- •Организационно-административные методы защиты информации.
- •Структура системы информационной безопасности предприятия.
- •Задачи службы информационной безопасности.
- •Варианты организации работы сиб.
- •Требования к специалистам по защите информации.
- •Методика подбора кадров сиб.
- •Общий характер инвентаризации информационных систем.
- •Принципы и направления инвентаризации информационных систем
- •Объем собираемой информации при инвентаризации информационных систем.
- •Модель классификации по целостности.
- •Модель классификации по конфиденциальности.
- •Модель классификации информационных субъектов.
- •Сопоставление ролей субъектов их функциональным обязанностям.
- •Сопоставление ролей субъектов классам обрабатываемой информации.
- •Модель качественной оценки информационных рисков.
- •Модель обобщенного стоимостного результата Миорры.
- •Количественная модель оценки информационных рисков.
- •Методическая работа с персоналом.
- •Работа с бывшими кадрами.
- •Документы политики информационной безопасности.
- •Концепция информационной безопасности.
- •Стандарты информационной безопасности.
- •Процедуры информационной безопасности.
- •Методы информационной безопасности.
Документы политики информационной безопасности.
Концепция информационной безопасности.
Концепция ИБ – систематизированное изложение целей и задач защиты.
В концепции отражается:
Правовое обеспечение ЗИ
Модель угроз
Объекты ИБ (физические)
Перечень сведений подлежащих защите
Основные направления обеспечения безопасности ИС
Способы реагирования на ЧС
Требования к защите помещений и основных технических схем и систем
Планирование восстановительных работ после сбоев и инцидентов
Требования к классам защищенности
Требования к аттестации
Программа аттестационных испытаний
Документы, входящие в политику:
- стратегия обеспечения ИБ и комплекс мер по ее реализации
- нормативные и организационно-распорядительные документы, регламент действий всего персонала
- требования к системе ЗИ
- технологические схемы функционирования СЗИ и описание процессов по защите
Для подготовки концепции служба ИБ выполняет задачи:
- исследование информационной структуры (классификация, инвентаризация, изучение бизнес-процесса)
- схема информационной структуры с привязкой к схеме бизнес-процесса
- разработка рекомендаций по построению СЗИ
- необходимый комплекс средств защиты
- комплект нормативно-методической документации
Пример концепции:
Цели и задачи:
Цели:
- создание безопасного информационного пространства
- соблюдение интересов клиентов, партнеров
- совершенствование системы ИБ
Задачи:
- классификация информационных активов и их постоянная корректировка
- строгий учет программно-аппаратного обеспечения
- разработка способов формирования защищаемой информационной среды
- разработка механизмов оценки и предотвращения ущерба
Концептуальные вопросы:
- соблюдение интересов клиента
- сохранение конфиденциальности всех данных по деятельности клиента
- предоставление данных о клиентах только тем лицам, кто имеет разрешение
- предоставление клиентам полной и достоверной информации
- соблюдение международных и отечественных стандартов безопасности
- увеличение уровня безопасности контр-агента, если этот уровень не соответствует вашему уровню бизнес-процесса
Стандарты информационной безопасности.
Стандарты предприятия:
Назначение и содержание бизнес-процесса
Определения (всем понятиям при формировании политики)
Основные результаты инвентаризации и классификации
Непосредственно стандарты работы в ИС:
- создание объекта защиты и его эксплуатация
- порядок хранения информационных объектов (физические, организационные, информационные меры и т.д.)
- стандарты использования средств ВТ
- ответственность субъектов и их основные обязанности
- методы учета средств информации
Процедуры информационной безопасности.
Виды процедур:
- для пользователей
- администраторов
- специалиста по безопасности
- для остального персонала
Данная часть должна быть доведена до сведения пользователям(сотрудникам, только если их это касается)
Процедуры (виды):
- первичные
- общие (работа в сети, в Internet, с железом, с софтом)
- специфические (для системных администраторов, службы ИБ, определение сегментов сети)
- завершающие (связанны с временным или постоянным прекращением работы субъекта)
Внимание концентрируется на разделение полномочий и ответственности.
Пример процедур:
Получение работником прав доступа к ИС:
- кто принимает решение о допуске к ресурсам
- на чем основывается это решение
- как документально оформляется
- действия соответствующих должностных лиц по резолюциям
- кто принимает решение о прекращении доступа, в каких случаях (увольнение, временное отстранение(болезнь, отпуск и т.д.), перевод в другое подразделение)
- действие должностных лиц всех уровней при нарушении