- •Гост р 53114-2008
- •Служба защиты информации организации
- •-Стратегия упреждающего противодействия угрозам безопасности инфы
- •-Стратегия пассивной защиты от угроз безопасности инфы
- •-Стратегия адекватного ответа угрозам безопасности инфы
- •1 Группа
- •Принципы на которых базируется подразделения по зи
- •Подходы к созданию подразделения по зи
- •Организационно-планирующие документы по зи, разрабатываемые в организации
- •Положение о подразделении по зи организации
- •Разработка и оформления положения о подразделении по зи
- •Взаимоотношения(служебные связи с другими подразделениями)
- •Ответственность
- •Задание
- •Организация проведения аудита безопасности инфы в организации
- •1Экспертный аудит и 2 аудит на соответствие стандартам.
- •Домашка
- •Мероприятия по проведению аудита иб
- •Структура политики иб и процесс ее разработки
Структура политики иб и процесс ее разработки
Представляет собой комплекс доков, который отражает все основные требования к обеспечению ЗИ и направления работы организации в этой области.
ПИБ:
-верхний
-средний
-нижний
Верхний служит для формулирования и демонстрации отношения руководства организации к вопросам ИБ и отражений общих целей организации к этой области. Документами этого уровня определяют, что будет раскрываться на нижних уровнях.
Средний –определяются отношения и требования организации к отдельным инф потокам и ИС, которые исп в различных сферах деятельности организации. Определяются отношения и требования к определенным инф и телекоммуникационным технологиям методом и подходом к обработке инфы и построения ИС. Разрабатываются отношения и требования к сотрудникам организации как к участникам процесса обработки инфы от которых напрямую зависит защищенность инф ресурсов, а так же определяются основные направления и методы воздейст на персонал с целью повышения ИБ организации
Основные правила которые необходимо соблюдать независимо от уровня:
политики безопасности которые разраб на нижних уровнях должны подчиняться политикам верхних уровней
текст политики безоп должен содержать четкие и однозначные формулировки, не допускающие двойного толкования
текст ПБ должен быть доступен для понимания тех сотрудников которым он адресован
общий жизненный цикл ПБ вкл:
проведение предварительного исследования состояния ИБ в организации
разработка ПБ
внедрение ПБ
анализ соблюдения требований внедренной политики безопасности и формулирование требований по дальнейшему ее совершенствованию
Политика ИБ верхнего уровня явл декларацией руководителей по необходимости вести целенаправленную работу по защите инф ресурсов.
Описывает:
Решения об осуществлении данной деятельности
Определяется перечень осн инф ресурсов защита которых имеет наибольший приоритет для всей организации
Общий подход к распределению ответственности за обеспечение ИБ внутри организации
Указание на необходимость всего персонала соблюдать опред требования в области ЗИ, повышать свою квалификацию в данной области и осознавать меру ответственности за возможные нарушения
Отношения руководства организации к фактам нарушения требований по ИБ, отношение руководства к лицам, соверш нарушения, а так же какое наказание предусмотрено этим должностным лицам за те или иные нарушения
Политики безопасности среднего уровня ….. требования задачи и правила, которые присутствуют в политике верхнего уровня и отдельно описывают основные сферы деятельность организации в которых необходимо системное осуществление орг и технических мероприятий
Разделы политики среднего ур-ня:
Сфера деятельности на которую распр данная политика
Область применения политики безоп. Указывается перечень лиц, организаций к которым она применяется
Конкретные правила, критерии, показатели которые предъявляются к ИС, процедурам обращения инфы, прогр и аппаратным ср-вам
Как распределяются роли, обязанности должностных лиц при решении задач в области обеспечения ИБ
Политика безоп ср-него уровня делится на:
-политики, которые относятся к определенным сферам деятельности организации и определенным инф потокам
-политики которые относятся к вопросам использования ИТ, вне зависимости той сферы, где исп данные вопросы и методы
Политика безоп нижнего ур-ня вкл в себя доки которые явл инструкциями методиками и используются в повседневной деятельности. Доки для отдельных инф сист, процедур.
-регламент работы с определенными телекоммуникационными системами, БД
-должностные обязанности отдельных категорий сотрудников в отношении обесп ИБ, а так же требования, которые предъявл к персоналу
-регламенты предоставления доступа сотрудников к опред инф системам и ресурсам