- •Южно-уральский государственный университет
- •Курс лекций
- •Челябинск
- •Введение
- •Стандарты обеспечения информационной безопасности.
- •Раздел 1. Информация и ее свойства.
- •1.1 Основные определения. Законы информации1
- •1.2 Свойства информации
- •Раздел 2. Информационные технологии
- •2.1 Содержание информационной технологии
- •2.1.1 Определение информационной технологии4
- •2.1.2 Инструментарий информационной технологии
- •2.1.3 Информационная технология и информационная система
- •2.2 Этапы развития информационных технологий
- •2.3 Особенности современных информационных технологий
- •2.4 Проблемы использования информационных технологий
- •Раздел 3. Система информационной безопасности
- •3.1 Информационная безопасность – определение, цель, компоненты.
- •3.2 Место подсистемы иб в общей системе безопасности организации
- •Раздел 4. Нормативно-правовое обеспечение информационной безопасности
- •4.1 Нормативно-правовые акты в области защиты информации.
- •4.2 Стандарты обеспечения информационной безопасности
- •4.3 Виды и способы защиты информации
- •4.4 Виды тайн, предусмотренные законодательством России.
- •4.5 Ответственность за нарушения правил обращения с конфиденциальной информацией
- •4.5.1 Трудовой кодекс рф от 30.12.2001 № 195-фз.
- •4.5.2 Кодекс рф об административных правонарушениях от 30.12.2001 № 195-фз.
- •4.5.3 Уголовный кодекс Российской Федерации от 13.06.1996 № 63-фз.
- •Раздел 5. Нормативно-методическое обеспечение информационной безопасности
- •5.1 Значение нормативно-методического обеспечения
- •8.2 Модель угроз и модель нарушителя. 23
- •8.3 Методология формирования модели угроз
- •1 Этап - описать информационную систему.
- •Раздел 6. Организационно-техническое обеспечение информационной безопасности
- •6.1 Основные организационные мероприятия по обеспечению иб.
- •6.2 Технические методы обеспечения иб.
- •Раздел 7. Психологическое обеспечение информационной безопасности
- •7.1 Особенности использования полиграфа - детектора лжи.
- •7.2 Признаки сотрудника, работающего на злоумышленника.
- •Раздел 8 Документирование деятельности по обеспечению иб организации.31
- •Порядок проведения врутреннего служебного расследования34
- •Экспертное заключение
- •Служебная записка на имя директора
- •Приказ о создании комиссии по расследованию инцидента
- •Объяснительная записка нарушителя
- •Характеристика непосредственного руководителя нарушителя
- •Протокол заседания комиссии по расследованию
- •Заключение комиссии
- •Приказ о дисциплинарном взыскании
- •Приложение
Раздел 8 Документирование деятельности по обеспечению иб организации.31
Информация, поддерживающие ее процессы, ИС и сетевая инфраструктура являются значимыми активами организации. Система ИБ должна защищать информацию от широкого диапазона угроз с целью обеспечения непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, реализации потенциальных возможностей бизнеса. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации. Главное, что для себя должен решить руководитель, - нужно ли вообще что-то делать для обеспечения безопасности этого специфического актива, и если да, то нужно ли для этого создавать отдельную специализированную службу. Руководитель должен помнить, что если он считает эту работу важной и необходимой, он обязан обеспечить ей постоянную поддержку и регулярное выделение соответствующих ресурсов.
Без поддержки со стороны высшего руководства организации добиться построения эффективной системы ИБ невозможно.
Приняв решение о построение системы ИБ организации в первую очередь необходимо обеспечить ей правовую основу для функционирования, используя соответствующие действующие нормативные документы, стандарты и рекомендации, обязательно учитывая специфику конкретной организации. Организация должна определить свои требования к системе ИБ с учетом следующих трех факторов:32
Во-первых, оценка рисков организации, с целью выявления угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.
Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.
В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.
Стандарты по ИБ рекомендуют создать на предприятии отдельную службу ИБ.
Однако на практике внимательный анализ состояния ИБ организации часто показывает, что большинство вопросов успешно решается службами организации при исполнении их основных обязанностей. Для закрытия имеющейся уязвимости, как правило, чаще всего требуется совместные усилия уже существующих служб, а не вмешательство «со стороны». То, в чем реально нуждается, в данном случае, организация, - это налаживание совместной согласованной работы имеющихся служб, причем для решения не только проблем ИБ, но многих других задач.
Основная проблема, которую необходимо решить в этом случае - наличие на предприятии профессионального координатора по вопросам ИБ.
В соответствии со стандартом ISO ГОСТ Р ИСО/МЭК 17799-2005 основные меры, реализация которых позволяет добиться требуемого уровня ИБ организации, включают в себя:
- разработку и проведение в жизнь политики (регламента) ИБ;
- распределение обязанностей по обеспечению ИБ;
- обучение и подготовку персонала по вопросам поддержания режима ИБ;
- внедрение системы уведомлений о случаях нарушения системы безопасности;
- разработку планов на случай чрезвычайных ситуаций и для обеспечения непрерывности деловой деятельности организации;
- защиту документов организации;
- защиту конфиденциальной информации (коммерческой тайны, персональных данных).
Руководитель организации должен:
- понимать значимость проблем ИБ и их взаимосвязь с другими направлениями деятельности (обеспечение соответствия законодательству, управление качеством и т.д.);
- понимать последствия несоблюдения правил ИБ;
- видеть слабые места в системе ИБ своей организации.
Документирование деятельности.
Адекватный уровень ИБ, соответствующий потребностям бизнеса, может быть обеспечен только на основе комплексного подхода, предполагающего планомерное использование правовых, организационных, программно-технических и других мер обеспечения ИБ на единой концептуальной и методической основе.
Для обеспечения согласованности, целенаправленности, планомерности деятельности по обеспечению ИБ эта деятельность должна быть документирована.
Документы по обеспечению ИБ позволяют определить и довести до каждого работника правила и требования по обеспечению ИБ, которыми он должен руководствоваться в своей деятельности, а также определить порядок контроля за их соблюдением и меру ответственности при нарушении установленных правил и требований.
Деятельность организации по обеспечению ИБ осуществляется на основе следующих документов:
- действующих законодательных актов и нормативных документов РФ по обеспечению ИБ;
- внутренних документов организации по обеспечению ИБ:
документы первого уровня, содержащие положения корпоративной политики ИБ организации. Определяют высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ предприятия;
документы второго уровня, содержащие положения частных политик. Детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации;
документы третьего уровня, содержащие положения ИБ, применяемые к процедурам (порядку выполнения действий или операций) обеспечения ИБ. Содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых на предприятии, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, инструкции);
документы четвертого уровня, содержащие свидетельства выполненной деятельности по обеспечению ИБ. Отражают достигнутые результаты (промежуточные и окончательные), относящиеся к обеспечению ИБ организации.
Рекомендуется, чтобы положения документов по обеспечению ИБ организации:
носили не рекомендательный, а обязательный характер;
были выполнимыми и контролируемыми;
были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;
не противоречили друг другу.
Документы первого уровня.
Корпоративная политика ИБ определяет содержание, назначение и требования к деятельности по обеспечению ИБ организации без указания специфических деталей. В корпоративной политике ИБ рекомендуется определять высокоуровневые правила и требования к деятельности по управлению рисками, в том числе по анализу и выработке позиций в отношении рисков. Корпоративная политика ИБ организации может быть представлена как в виде комплекта документов, так и в виде единого обобщающего документа.
В корпоративную политику ИБ организации рекомендуется включать следующие положения:
- определение ИБ в терминах деятельности данной организации, области действия политики, целей, задач и принципов обеспечения ИБ организации;
- изложение намерения обеспечения ИБ, направленного на достижение указанных целей и на реализацию принципов обеспечения ИБ;
- общие сведения об активах (ресурсах), подлежащих защите, их классификацию;
- модели угроз и нарушителей (внутреннего и внешнего) в соответствии с разработанными требованиями, на противодействие которым ориентирована корпоративная политика ИБ;
- высокоуровневое изложение правил и требований в области ИБ, представляющих особую важность для организации, например:
обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения ИБ;
требования к управлению ИБ;
требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения;
санкции и последствия нарушений политики безопасности;
определение общих ролей и обязанностей, связанных с обеспечением ИБ, включая информирование об инцидентах ИБ;
перечень частных политик ИБ, развивающих и детализирующих положения корпоративной политики ИБ, а также указание подразделений организации, ответственных за их соблюдение и/или реализацию;
положения по контролю реализации корпоративной политики ИБ организации;
ответственность за реализацию и сопровождение документа;
условия пересмотра (выпуска новой редакции) документа.
К разработке и согласованию корпоративной политики ИБ рекомендуется привлекать представителей следующих служб предприятия, связанных с ее информационной сферой:
- руководства организации и профильных подразделений;
- служб информатизации и обеспечения конфиденциальности.
Корпоративная политика ИБ должна быть утверждена руководителем организации (например, председателем, генеральным директором, президентом, руководителем филиала).
Документы второго уровня -
документы, определяющие правила, требования и принципы, используемые применительно к отдельным областям ИБ, видам и технологиям деятельности организации, кроме этого, планы работ по обеспечению ИБ организации и стандарты технологий обеспечения ИБ.
Не рекомендуется повторение одинаковых правил в различных частных политиках. Включение в частную политику правила, содержащегося в другой (существующей) политике, целесообразно осуществлять посредством соответствующей ссылки. Например, для того чтобы в «Политику обеспечения ИБ информационных технологических процессов» включить требования по антивирусной защите, следует сделать ссылку на «Политику антивирусной защиты» (при ее наличии).
Частные политики формируются на основании принципов, требований и задач, определенных в корпоративной политике ИБ организации, с учетом детализации, уточнения и дополнительной классификации активов и угроз, определения владельцев активов, анализа, оценки рисков и возможных последствий реализаций угроз в границах области действия регламентируемой области или технологии.
В частные политики ИБ рекомендуется включать положения, определяющие:
- цели и задачи ИБ, на обеспечение которых направлена частная политика;
- область действия политики, определение объектов защиты, уязвимостей, угроз и оценка рисков, связанных с объектами защиты;
- сведения о виде деятельности, на обеспечение ИБ которой направлено действие положений частной политики, о совокупности технологий, применяемых в рамках выполнения данного вида деятельности, и об основных технологических процессах, реализующих указанные технологии;
- определение субъектов (ролей), на которых распространяется действие документа. В качестве субъектов (ролей) могут рассматриваться как структурные подразделения организации, так и отдельные исполнители;
- содержательную часть документа (требования и правила);
- обязанности по обеспечению ИБ в рамках области действия частной политики ИБ, описание функций субъектов (ролей) над управляемыми объектами в рамках регламентируемых технологических процессов;
- состав ссылочных документов;33
- положения по контролю реализации частной политики ИБ;
- ответственность за реализацию и сопровождение документа;
- условия пересмотра документа.
В состав планов работ по обеспечению ИБ рекомендуется включать, но не ограничиваться ими:
- планы по реализации и внедрению процедур, требований и мер обеспечения ИБ;
- планы мероприятий на случаи возможных инцидентов ИБ;
- планы мероприятий по обеспечению деятельности в рамках управления ИБ;
- планы мероприятий по управлению документами, связанными с обеспечением ИБ;
- планы работ по обслуживанию аппаратных средств и программных систем, используемых для обеспечения ИБ;
- планы мероприятий по обучению и повышению осведомленности служащих организации.
В планах работ по обеспечению ИБ рекомендуется описывать перечень, порядок, объем, сроки выполнения мероприятий по реализации задач обеспечения ИБ организации, а также указывать руководителей, исполнителей и ответственность за выполнение этих мероприятий.
Планы по обеспечению ИБ как минимум должны определять:
- последовательность выполнения мероприятий в рамках деятельности по обеспечению ИБ;
- сроки начала и окончания запланированных мероприятий;
- субъектов (лиц или структурные подразделения), ответственных за выполнение каждого указанного мероприятия.
Стандарты технологий обеспечения ИБ организации устанавливают требования и характеристики, предназначенные для всеобщего и многократного использования, касающиеся обеспечения ИБ организации. Стандарты технологий обеспечения ИБ могут разрабатываться как в отношении специализированных технологий обеспечения ИБ, так и в отношении технологий, реализуемых информационными системами.
К разработке и согласованию частных политик обеспечения ИБ рекомендуется привлекать представителей:
- руководства организации и профильных подразделений;
- служб информатизации и обеспечения конфиденциальности.
Документы второго уровня могут быть утверждены руководителем организации, его заместителем по вопросам ИБ или иными должностными лицами, в компетенцию которых входят вопросы, отраженные в этих документах.
Примеры состава частных политик ИБ и состава планов ИБ приведены в приложении №4.
Документы третьего уровня -
документы, содержащие требования к процедурам обеспечения ИБ, выполняемым работниками в рамках технологических процессов, реализующих технологии, требования ИБ к которым определены в частных политиках организации.
В таких документах рекомендуется давать детализированные описания порядка выполняемых
действий и вводимых ограничений, что должно позволить четко определить правила выполнения задач обеспечения ИБ на каждом рабочем месте, для каждой роли ИБ, а также установить конкретную ответственность за выполнение предписанных требований.
К документам, содержащим требования ИБ к процедурам, относятся, например:
- инструкции по обеспечению ИБ, в том числе и должностные;
- руководства по обеспечению ИБ, например, по классификации активов;
- методические указания по обеспечению ИБ;
- документы, содержащие требования к конфигурациям.
Инструкции, руководства, методические указания по обеспечению ИБ содержат свод правил, устанавливающих порядок и способ выполнения отдельных операций по обеспечению ИБ. К этим документам предъявляются повышенные требования четкости и ясности изложения текста. Документы этого уровня, в отличие от документов вышестоящего уровня, описывают конкретные приемы и порядок действий сотрудников для решения определенных им (например, ролью) задач либо конкретные ограничения.
Рекомендуется, чтобы инструкции, руководства, методические указания по обеспечению ИБ содержали:
- определение субъекта (субъектов), деятельность которых регламентируется инструкцией, и/или наименование деятельности, которая описывается инструкцией;
- ресурсы, необходимые для выполнения деятельности;
- детальное описание выполняемых операций, включая накладываемые ограничения, и результат выполнения операций;
- обязанности субъекта (субъектов) в рамках выполнения регламентируемой деятельности;
- права и ответственность субъекта (субъектов).
Документы, содержащие требования к конфигурациям, определяют конкретные значения параметров систем и их компонентов, а также способы их настройки, позволяющие обеспечить требуемый уровень ИБ.
Документы, содержащие процедурные требования ИБ, могут быть утверждены лицами, ответственными за реализацию соответствующих видов деятельности по обеспечению ИБ.
Документы четвертого уровня -
документы, содержащие записи о результатах реализации деятельности по обеспечению ИБ, регламентированной документами верхних уровней иерархии согласно структуре документов. Свидетельства выполненной деятельности совместно с документами более высоких уровней иерархии могут служить документированным доказательством реализации требований ИБ при проведении внутреннего контроля и внешнего аудита ИБ организации.
К этой группе документов относятся, например:
- реестры и описи (например, опись информационных активов организации);
- регистрационные журналы, в том числе журналы регистрации инцидентов;
- протоколы (например, протокол проведения испытаний);
- листы ознакомления;
- обязательства (например, обязательства о неразглашении);
- акты, договоры, отчеты.
Наличие документов организации, содержащих свидетельства выполненной деятельности по обеспечению ИБ, определяется требованиями, зафиксированными во внутренних документах по обеспечению ИБ верхних уровней иерархии.
Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, могут быть представлены как в электронной форме, так и на бумажном носителе.
Рекомендуется по возможности дублировать документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, представленные в электронной форме, на бумажный носитель.
Должно обеспечиваться архивное хранение документов, содержащих свидетельства выполненной деятельности по обеспечению ИБ. Время хранения может определяться как требованиями законодательных актов РФ, так и требованиями самой организации.