- •Глава I. Обзор стандортов и подходов в области
- •Глава II. Анализ информационных
- •Глава III. Проект системы конденциальной информации…41
- •Введение.
- •Глава I. Обзор стандортов и подходов в области информационной безопастности.
- •1.1 Стандарт гост р исо/мэк 17799-2005.
- •1.2 Стандарт гост р исо/мэк 27001-2006.
- •1.3 Стандарт сто бр иббс-1.0-2008
- •1.4. Стандарт bs 7799-3:2006.
- •1.5. Обзор моделей построения информационных рисков.
- •Глава II. Анализ информационных рисков чп зао «лиса»
- •2.1 Информационная сеть и оборудование центрального офиса.
- •2.2 Информационная сеть и оборудование абк асу.
- •2.3 Информационная сеть и оборудование лаборатории физико – механических испытаний. Чп зао «Лиса».
- •2.4. Оценка рисков.
- •2.5 Анализ информационных рисков.
- •Глава III. Проект системы конденциальной информации.
- •3.1 Проект по изменению информационной сети Центрального офиса.
- •3.2 Проект по изменению информационной сети абк асу.
- •3.3 Проект по изменению информационной сети лаборатории физико - механических испытаний.
- •3.4 Система цифровых сертификатов.
- •3.5 Организационные меры по защите информации.
- •3.6. Внедрение системы защиты конфиденциальной информации в чп зао «Лиса»
- •3.7 Выводы.
- •Заключение.
- •Библиография
3.5 Организационные меры по защите информации.
Требования к политике безопасности
В политике безопасности определяются цели процесса управления информационной безопасностью, а также основные этапы функционирования данного процесса.
Политика безопасности предназначена для комплексного управления информационной безопасностью, а также для поддержания в актуальном и эффективном состоянии систем защиты информации. В Политике безопасности описывается разделение обязанностей по управлению и обеспечению безопасности, а также механизмы контроля над исполнением процедур обеспечения и управления безопасностью, возложенных на сотрудников компании.
Кроме этого, присутствуют основные этапы процессного подхода к обеспечению безопасности. В частности, каждое правило политики последовательно проходит этапы жизненного цикла: планирование, внедрение, проверка эффективности, совершенствование. Важно отметить, что эффективный процесс управления невозможен без документирования всех процедур, так как правильность и контролируемость выполнения процедуры зависит от наличия четко сформулированных правил ее выполнения.
В политике безопасности требуется кратко описать правила, выполнение которых является основой обеспечения и управления информационной безопасностью. В частности, следует создать правила, описывающие такие процедуры, как контроль доступа к информационным активам компании, внесение изменений в информационную систему, взаимодействие с третьими лицами, расследование инцидентов, аудит информационной безопасности, обеспечение непрерывности ведения бизнеса и прочее. В описании правил должно даваться четкое определение, на что это правило распространяется, а также должны быть описаны условия, при которых это правил подлежит выполнению.
В политике безопасности требуется описать ответственность сотрудников компании за обеспечение и управление информационной безопасностью. Обязанность обеспечения безопасности возложена на всех сотрудников компании, а также, в соответствии с договором, на сторонних лиц, имеющих доступ к информационным активам компании. Обязанность управления информационной безопасностью возложена на руководство компании.
Вместе с изменениями в информационной системе компании, которые могут происходить достаточно часто, требуется вносить коррективы в политику безопасности как документированное отражение основных правил работы системы управления. Следовательно, необходимо предусмотреть возможность пересмотра политики безопасности.
Поскольку политика безопасности, по сути, является каркасом, объединяющим все остальные документы, регламентирующие обеспечение и управление информационной безопасностью, при описании правил следует указывать на необходимость создания регламентов и руководств, в которых процесс выполнения описываемых процедур изложен подробно.
Таким образом, в политике безопасности описываются все необходимые требования, для обеспечения и управления информационной безопасности, структура управления безопасностью, а также обязанности и ответственность за обеспечение безопасности. В результате следования политике безопасности и сопутствующим документам по обеспечению и управлению безопасности, защищенность информационной системы компании должна достигнуть требуемого уровня, сотрудники должны осознавать свою роль и участие в процессе обеспечения безопасности. Следование правилам позволит гарантировать, что требуемые информационные ресурсы будут доступны в необходимые моменты времени, а изменения в структуре информационной системы будут вноситься только уполномоченными сотрудниками.
Этапы создания политики безопасности
1. Определить, какие объекты необходимо защищать и почему. В роли объектов защиты могут выступать: аппаратные средства, программное обеспечение, средства доступа к информации, люди, внутренние коммуникаций, сети, телекоммуникации и так далее.
2. Разработка структуры политики безопасности. Политика безопасности должна быть разбита на логически самостоятельнее разделы, каждый из которых посвящен отдельному аспекту защиты. Такая структура позволяет проще понимать и внедрять политику безопасности, а также становится проще ее корректировать. Обязательно должен присутствовать раздел описывающий ответственность за нарушение правил безопасности. Данный раздел, возможно, следует проработать с юристом. Формулировки в тексте политики безопасности должны быть четкими, коротко изложенными. Подробному описанию структуры политики безопасности посвящен следующий параграф.
3. Проведение всестороннего исследования архитектуры ИС. Лучший способ это сделать – оценка рисков, анализ рисковых ситуаций или всесторонний аудит системы. Лучше если такое исследование будет проводиться сторонней организацией. В любом случае при разработке правил безопасности первоначальное обследование объекта проводится разработчиком политики безопасности еще на первом этапе, с последующим более детальным изучением совместно с сотрудником в чьем ведении находится данный объект с целью возможной корректировки правил.
4. Критическая оценка политики безопасности и ее утверждение. В критике должны принимать участие руководители департаментов и отделов имеющие непосредственное отношение к разрабатываемым правилам, а также юристы т. к. в процессе рецензирования должны рассматриваться не только технические, но и юридические аспекты безопасности. Процесс утверждения представляет собой простое одобрение руководством окончательной версии документа. Утверждение должно состояться после рецензирования. Однако если руководство не утвердит этот документ, его эффективность будет крайне ограничена.
Структура политики безопасности
Общие положения
В данной части следует описать цели создания политики безопасности, область действия данной политики, кратко описать, о чем идет речь в документе.
Описание информационной системы
Необходимо определить задачи, которые выполняет информационная система в компании, дать определение, что является ее составными частями.
Правила
Основная часть политики безопасности, содержащая правила которые следует соблюдать сотрудникам компании. Эта часть должна быть разбита на самостоятельные разделы, касающиеся отдельных аспектов обеспечения информационной безопасности. Структурированный подход к написанию данного раздела позволит сотрудникам четко понимать, что от них требуется в отдельных случаях, а также будет способствовать процессу сопровождения политики.
Обработка инцидентов безопасности
В первую очередь в данном разделе следует описать, что является инцидентом безопасности, а также описать порядок действия сотрудников в случае возникновения инцидентов, и обозначить необходимость назначения сотрудников ответственных за реагирование на инциденты и их регистрацию.
Ответственность
Любой нормативный документ вряд ли будет иметь реальную силу, если в нем не будет предусмотрена ответственность за те или иные нарушения положений, прописанных в нем. Тоже касается и политики безопасности. Должно быть четко определено, за что сотрудник несет ответственность, работая в компании, однако, не стоит переписывать в данный раздел меры предусмотренные законодательством.