40. Документы политики информационной безопасности.

40. Концепция информационной безопасности.

Концепция ИБ – систематизированное изложение целей и задач защиты.

В концепции отражается:

1. Правовое обеспечение ЗИ

2. Модель угроз

3. Объекты ИБ (физические)

4. Перечень сведений подлежащих защите

5. Основные направления обеспечения безопасности ИС

6. Способы реагирования на ЧС

7. Требования к защите помещений и основных технических схем и систем

8. Планирование восстановительных работ после сбоев и инцидентов

9. Требования к классам защищенности

10. Требования к аттестации

11. Программа аттестационных испытаний

Документы, входящие в политику:

- стратегия обеспечения ИБ и комплекс мер по ее реализации

- нормативные и организационно-распорядительные документы, регламент действий всего персонала

- требования к системе ЗИ

- технологические схемы функционирования СЗИ и описание процессов по защите

Для подготовки концепции служба ИБ выполняет задачи:

- исследование информационной структуры (классификация, инвентаризация, изучение бизнес-процесса)

- схема информационной структуры с привязкой к схеме бизнес-процесса

- разработка рекомендаций по построению СЗИ

- необходимый комплекс средств защиты

- комплект нормативно-методической документации

Пример концепции:

1. Цели и задачи:

Цели:

- создание безопасного информационного пространства

- соблюдение интересов клиентов, партнеров

- совершенствование системы ИБ

Задачи:

- классификация информационных активов и их постоянная корректировка

- строгий учет программно-аппаратного обеспечения

- разработка способов формирования защищаемой информационной среды

- разработка механизмов оценки и предотвращения ущерба

2. Концептуальные вопросы:

- соблюдение интересов клиента

- сохранение конфиденциальности всех данных по деятельности клиента

- предоставление данных о клиентах только тем лицам, кто имеет разрешение

- предоставление клиентам полной и достоверной информации

- соблюдение международных и отечественных стандартов безопасности

- увеличение уровня безопасности контр-агента, если этот уровень не соответствует вашему уровню бизнес-процесса

40. Стандарты информационной безопасности.

Стандарты предприятия:

1. Назначение и содержание бизнес-процесса

2. Определения (всем понятиям при формировании политики)

3. Основные результаты инвентаризации и классификации

4. Непосредственно стандарты работы в ИС:

- создание объекта защиты и его эксплуатация

- порядок хранения информационных объектов (физические, организационные, информационные меры и т.д.)

- стандарты использования средств ВТ

- ответственность субъектов и их основные обязанности

- методы учета средств информации

40. Процедуры информационной безопасности.

Виды процедур:

- для пользователей

- администраторов

- специалиста по безопасности

- для остального персонала

Данная часть должна быть доведена до сведения пользователям(сотрудникам, только если их это касается)

Процедуры (виды):

- первичные

- общие (работа в сети, в Internet, с железом, с софтом)

- специфические (для системных администраторов, службы ИБ, определение сегментов сети)

- завершающие (связанны с временным или постоянным прекращением работы субъекта)

Внимание концентрируется на разделение полномочий и ответственности.

Пример процедур:

1. Получение работником прав доступа к ИС:

- кто принимает решение о допуске к ресурсам

- на чем основывается это решение

- как документально оформляется

- действия соответствующих должностных лиц по резолюциям

- кто принимает решение о прекращении доступа, в каких случаях (увольнение, временное отстранение(болезнь, отпуск и т.д.), перевод в другое подразделение)

- действие должностных лиц всех уровней при нарушении