- •Организационно-административные методы защиты информации.
- •Структура системы информационной безопасности предприятия.
- •Задачи службы информационной безопасности.
- •Варианты организации работы сиб.
- •Требования к специалистам по защите информации.
- •Методика подбора кадров сиб.
- •Общий характер инвентаризации информационных систем.
- •Принципы и направления инвентаризации информационных систем
- •Объем собираемой информации при инвентаризации информационных систем.
- •Модель классификации по целостности.
- •Модель классификации по конфиденциальности.
- •Модель классификации информационных субъектов.
- •Сопоставление ролей субъектов их функциональным обязанностям.
- •Сопоставление ролей субъектов классам обрабатываемой информации.
- •Модель качественной оценки информационных рисков.
- •Модель обобщенного стоимостного результата Миорры.
- •Количественная модель оценки информационных рисков.
- •Методическая работа с персоналом.
- •Работа с бывшими кадрами.
- •Документы политики информационной безопасности.
- •Концепция информационной безопасности.
- •Стандарты информационной безопасности.
- •Процедуры информационной безопасности.
- •Методы информационной безопасности.
Организационно-административные методы защиты информации.
Организационно-административные мероприятия:
- выделение специального защищенного помещения для обработки информации секретного характера
- выделение специального АРМ
- организация хранения защищаемой информации
- использование соответствующих технических и программных средств, имеющих сертификаты
- организация специального делопроизводства для обработки конфиденциальной информации
- организация регламентированного доступа субъектов к тем объектам, которые содержат защищенную информацию
- запрет использования открытых телекоммуникационных каналов
- разработка организационно-распорядительных документов (ОРД) по организации защиты
- организация контроля за установленными требованиями по защите информации
Структура системы информационной безопасности предприятия.
Задачи службы информационной безопасности.
- Администрирование имеющихся средств безопасности
- Разработка моделей ЗИ
- Контроль работы субъектов с информационными объектами
- Контроль внешнего доступа
Варианты организации работы сиб.
При создании СБ необходимо обратить внимание на:
- Помещение, где будет располагаться СБ
- Взаимодействие СБ с другими штатными подразделениями (особенно охраной)
- Кому должна подчиняться СБ
Варианты работы СБ:
ИТ подразделение занимается администрированием, распределением ресурсов и т.д. СБ- контролирует работу, приобретение оборудования, админ. средства ЗИ.
СБ занимается администрированием ресурсов, сама настраивает политики безопасности.
Требования к специалистам по защите информации.
Сотрудник СБ должен знать:
Системы контроля доступа и методы их создания
Телекоммуникации и сетевая связь
Практическое управление безопасностью (настройка, отладка, модернизация и т.д.)
Безопасность разработки приложений систем
Криптография
Архитектура и модель безопасности
Планирование продолжения бизнес-процесса после аварии и сбоев
Методика проведения расследований и вопросов корпоративной этики
Вопросы физической защиты ИС
Методика подбора кадров сиб.
Если кадровая служба подбирает сотрудников без участия СБ, необходимо ознакомиться с документами представленные в кадровую службу, загружать сотрудника работой на испытательном сроке и возможно провести анкетирование с целью определения понимания задачи.
Основные принципы кадровой политики:
- сохранение кадрового потенциала (беречь людей)
- эффективная мотивация
- взаимозаменяемость сотрудников
- создание команды единомышленников
Психологические особенности ИТ-специалиста:
- стремление к развитию
- интерес к выполнению поставленных задач
- креативное мышление
- не лидеры
- не клиентоориетированы
- свобода и независимость
Общий характер инвентаризации информационных систем.
Инвентаризация является одной из составляющих анализа рисков. Объект инвентаризации – что-то осязаемое. Субъект инвентаризации – то, что влияет на объект.
Инвентаризация – составление списка систем (объектов) и субъектов, которые задействованы в ИС и влияющих на СЗИ.
План проведения инвентаризации:
Издание приказа об инвентаризации (плановый или неплановый)
В приложении к приказу определяются объекты инвентаризации, субъекты, объем необходимой информации, форма представления отчёта, сроки, ответственные лица.
Общее знакомство с системой в ходе которого определяется расположение объектов, их составляющих.
Предварительная беседа с ключевыми субъектами(TOP-менеджерами, руководителями подразделений, администрация ИС). Выясняется общее функционирование системы, её задачи.
Изучение документации по ИС.
Общее описание системы с точки зрения её безопасности.
Внешний небольшой аудит.
Составляющие для инвентаризации:
Аппаратные составляющие («железо»)
Системное ПО, СУБД
Прикладное ПО
Сетевая инфраструктура
Организационное обеспечение – перечень пользователей и их функциональные обязанности.
Нормативное обеспечение – вся текущая и рабочая документация по работе системы
Данные