- •Управление информационной безопасностью
- •Основные программно-технические меры
- •Идентификация и аутентификация
- •Наиболее распространенные угрозы
- •Общая структура управления иб на предприятии
- •Общие принципы Управления информационной безопасностью на государственном уровне
- •Операционные регуляторы
- •Управление персоналом
- •Физическая защита
- •Организационная структура, персонал и основные задачи департамента информационной безопасности предприятия
- •Основные задачи
- •Операционные регуляторы
- •Планирование восстановительных работ
- •Операционные регуляторы
- •Поддержание работоспособности
- •Политика безопасности в примерах
- •Описание аспекта.
- •Область применения.
- •Позиция организации.
- •Роли и обязанности (общие положения).
- •Законопослушность.
- •Роли и обязанности (детальное изложение). Руководители подразделений обязаны:
- •Администраторы локальной сети обязаны:
- •Администраторы сервисов обязаны:
- •Пользователи обязаны:
- •Политика информационной безопасности предприятия: верхний уровень
- •Политика информационной безопасности предприятия: нижний уровень
- •Политика информационной безопасности предприятия: средний уровень
- •1. Предварительное обследование системы иб.
- •Предпосылки развития управления иб предприятии
- •Программа реализации политики безопасности — управленческий аспект
- •2. Проектирование системы иб.
- •Основные программно-технические меры
- •Протоколирование и аудит
- •Работа с персоналом предприятия
- •Операционные регуляторы
- •Реакция на нарушения режима безопасности
- •Структура организационного обеспечения информационной безопасности на уровне государств
- •Структура политики информационной безопасности и процесс ее разработки
- •Основные программно-технические меры
- •Управление доступом
- •Управление рисками
- •Функции Департамента информационной безопасности, связанные с формированием, поддержкой и документальным обеспечением политики информационной безопасности предприятия
2. Проектирование системы иб.
Следующим этапом построения системы ИБ является её проектирование, включая систему управления ИБ.
Задача проектирования системы ИБ тесно связана с понятием архитектуры системы ИБ. Построение архитектуры системы ИБ, как интегрированного решения, соблюдение баланса между уровнем защиты и инвестициями в систему ИБ обеспечивают ряд преимуществ: интеграция подсистем позволяет снизить совокупную стоимость владения, повысить коэффициент возврата инвестиций при внедрении и улучшает управляемость системы ИБ, а, следовательно, возможности отслеживания событий, связанных с ИБ.
Высокая эффективность системы ИБ может быть достигнута, если все её компоненты представлены качественными решениями, функционируют как единый комплекс и имеют централизованное управление. Система безопасности должна строиться на основе анализа рисков, и стоимость её внедрения и поддержки должна быть адекватной существующим угрозам, то есть экономически обоснованной.
Архитектура системы ИБ включает в себя систему управления (процессы и процедуры по обеспечению ИБ) информационной безопасностью (СУИБ). Задачами СУИБ являются систематизация процессов обеспечения ИБ, расстановка приоритетов компании в области ИБ, достижение адекватности системы ИБ существующим рискам, достижение её «прозрачности». Последнее особенно важно, так как позволяет чётко определить, как взаимосвязаны процессы и подсистемы ИБ, кто за них отвечает, какие финансовые и людские ресурсы необходимы для их обеспечения и т.д. Создание СУИБ позволяет также обеспечить отслеживание изменений, вносимых в систему информационной безопасности, отслеживать процессы выполнения политики безопасности, эффективно управлять системой в критичных ситуациях.
В целом, процесс управления безопасностью отвечает за планирование, исполнение, контроль и техническое обслуживание всей инфраструктуры безопасности. Организация этого процесса усложняется тем обстоятельством, что обеспечение информационной безопасности компании связано не только с защитой информационных систем и бизнес-процессами, которые поддерживаются этими информационными системами. У компании часто существуют бизнес-процессы, не связанные с ИТ, но попадающие в сферу обеспечения ИБ, например, процессы кадровой службы по найму персонала.
Этапы работ по проектированию системы ИБ:
1) разработка Концепции обеспечения информационной безопасности. Определяются основные цели, задачи и требования, а также общая стратегия построения системы ИБ. Идентифицируются критичные информационные ресурсы. Вырабатываются требования к системе ИБ и определяются базовые подходы к их реализации;
2) создание / развитие политики ИБ;
3) построение модели системы управления ИБ;
4) подготовка технического задания на создание системы информационной безопасности.
5) создание модели системы ИБ;
6) разработка техническо-рабочего проекта (ТРП) создания системы ИБ и архитектуры системы ИБ. ТРП по созданию системы ИБ включает следующие документы:
пояснительную записку, содержащую описание основных технических решений по созданию системы ИБ и организационных мероприятий по подготовке системы ИБ к эксплуатации;
обоснование выбранных компонентов системы ИБ и определение мест их размещения. Описание разработанных профилей защиты;
спецификацию на комплекс технических средств системы ИБ;
спецификацию на комплекс программных средств системы ИБ;
определение настроек и режима функционирования компонентов системы ИБ.
7) тестирование спроектированной системы ИБ;
8) разработка организационно-распорядительных документов системы управления ИБ (политик по обеспечению информационной безопасности, процедур, регламентов и др.).
9) разработка рабочего проекта (включая документацию на используемые средства защиты и порядок администрирования, план ввода системы ИБ в эксплуатацию и др.), планирование обучения пользователей и обслуживающего персонала информационной системы.
46-Протоколирование и аудит