Построение политики информационной безопасности для организации. Лекция 3

Март 7, 2021

Главная
Разное
Построение политики информационной безопасности для организации. Лекция 3

Содержание

2. Летучка Получить листок с вопросом Написать ответ на вопрос Время 5 минут 2
3. Основные вопросы лекции Основные угрозы безопасности информации. Стандарты безопасности (ISO/IEC 17799:2005, ISO/IEC 27001). Политика безопасности для
4. Основные угрозы безопасности информации Угроза информационной безопасности автоматизированной системы - это возможность реализации воздействия на информацию,
5. Стандарт ISO/IEC 17799:2005 Стандарт ISO/IEC 17799:2005 “Information technology – Security techniques – Code of practice for
6. Сервисы безопасности (ISO/IEC 17799) Информационная безопасность рассматривается как процесс защиты информационных активов организации от различного рода
7. Стандарт ISO/IEC 27001:2005 Стандарт ISO/IEC 27001:2005 “Information technology – Security techniques – Information security management systems
8. Модель PDCA Предварительное условие - принятие политики безопасности, устанавливающей общие принципы обеспечения информационной безопасности в организации
9. Документация СУИБ (ISO/IEC 27001) положения политики безопасности организации; область действия СУИБ; процедуры и сервисы безопасности, поддерживающие
10. Организационно-распорядительные документы организации по ИБ • политика информационной безопасности организации - высокоуровневый документ, описывающий основные принципы
11. Политика ИБ Политика безопасности — это организационно-правовой и технический документ одновременно. Любая защитная мера есть компромисс
12. Требования к содержанию ПБ Политика безопасности — документ «верхнего» уровня, в котором должны быть указаны: лица,
13. Пример ПБ (ОАО "Газпромбанк") 13
14. Пример ПБ (ОАО "Газпромбанк") 14
15. Пример ПБ (ОАО "Газпромбанк") 15
16. Пример ПБ (ОАО "Газпромбанк") 16
17. Пример ПБ (ОАО "Газпромбанк") 17
18. Пример ПБ (ОАО "Газпромбанк") 18
19. Пример ПБ (ОАО "Газпромбанк") 19
20. Пример ПБ (ОАО "Газпромбанк") 20
21. Пример ПБ (ОАО "Газпромбанк") 21
22. Пример ПБ (ОАО "Газпромбанк") 22
23. Пример ПБ (ОАО "Газпромбанк") 23
24. Пример ПБ (ОАО "Газпромбанк") 24
25. Пример ПБ (ОАО "Газпромбанк") 25
26. Пример ПБ (ОАО "Газпромбанк") 26
27. Пример ПБ (ОАО "Газпромбанк") 26
28. Пример ПБ (ОАО "Газпромбанк") 28
29. Пример ПБ (ОАО "Газпромбанк") 29
30. Пример ПБ (ОАО "Газпромбанк") 30
31. Пример ПБ (ОАО "Газпромбанк") 31
32. Пример ПБ (ОАО "Газпромбанк") 26
33. Пример ПБ (ОАО "Газпромбанк") 26
34. Пример ПБ (ОАО "Газпромбанк") 34
35. Пример ПБ (ОАО "Газпромбанк") 35
36. Пример ПБ (ОАО "Газпромбанк") 26
37. Пример ПБ (ОАО "РАДИОТЕХНИЧЕСКИЙ ИНСТИТУТ ИМЕНИ АКАДЕМИКА А.Л. МИНЦА") 37
38. Пример ПБ (ОАО "РАДИОТЕХНИЧЕСКИЙ ИНСТИТУТ ИМЕНИ АКАДЕМИКА А.Л. МИНЦА") 37
39. Пример ПБ (ИНСТИТУТ ИМЕНИ АКАДЕМИКА А.Л. МИНЦА") 37
40. Практическое задание 40 Разработать политику безопасности для вымышленной организации. Время - 2 академических часа. Форма представления
42. Скачать презентацию

Летучка
Получить листок с вопросом
Написать ответ на вопрос
Время 5 минут
2

Основные вопросы лекции
Основные угрозы безопасности информации.
Стандарты безопасности (ISO/IEC 17799:2005, ISO/IEC 27001).
Политика безопасности

для организации.

Основные угрозы безопасности информации
Угроза информационной безопасности автоматизированной системы - это возможность реализации

воздействия на информацию, обрабатываемую в АС, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты АС, приводящего к их утрате, уничтожению или сбою функционирования.
Классификация угроз:
По природе возникновения: естественные и искусственные.
По степени преднамеренности: случайные и преднамеренные.
По источникам угроз: природная среда, человек, санкционированные программно-аппаратные средства, несанкционированные программно-аппаратные средства.
По свойствам информации: угроза нарушения конфиденциальности, угроза нарушения целостности, угроза нарушения доступности.

Слайд 5

Стандарт ISO/IEC 17799:2005
Стандарт ISO/IEC 17799:2005 “Information technology – Security techniques – Code

of practice for information security management” (Информационные технологии. Методы обеспечения безопасности. Практическое руководство по управлению информационной безопасностью.)
Разработан Британским институтом стандартов (BSI – British Standards Institution). Внутреннее наименование BS 7799.
Принят в России в качестве ГОСТ.
Представляет собой набор практических рекомендаций по построению комплексной корпоративной системы управления информационной безопасностью.

Слайд 6

Сервисы безопасности (ISO/IEC 17799)
Информационная безопасность рассматривается как процесс защиты информационных активов организации

от различного рода угроз, который достигается путём реализации тех или иных сервисов безопасности.
Сервисы выбираются таким образом, чтобы минимизировать идентифицированные информационные риски.
Тематические разделы сервисов:
Политика безопасности.
Организация информационной безопасности.
Управление активами.
Безопасность человеческих ресурсов.
Физическая безопасность и безопасность окружающей среды.
Управление телекоммуникациями и операциями.
Управление доступом.
Приобретение, разработка и внедрение информационных систем.
Управление инцидентами в сфере информационной безопасности.
Управление непрерывностью бизнеса.
Соответствие.

Слайд 7

Стандарт ISO/IEC 27001:2005
Стандарт ISO/IEC 27001:2005 “Information technology – Security techniques – Information

security management systems - Requirements” (Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования.)
Представляет собой расширение ISO/IEC 17799:2005, устанавливающее требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию корпоративных систем управления информационной безопасностью (СУИБ).
Реализация СУИБ осуществляется путём внедрения четырёхфазной модели PDCA (Plan-Do-Check-Act, Планирование – Реализация – Оценка - Корректировка).
Принят в качестве ГОСТ РФ.

Слайд 8

Модель PDCA
Предварительное условие - принятие политики безопасности, устанавливающей общие принципы обеспечения информационной

безопасности в организации и задающей область действия СУИБ.
Планирование осуществляется путём проведения оценки рисков и выбора сервисов безопасности, соответствующих требованиям, идентифицированным по результатам анализа рисков.
На этапе реализации необходимо реализовать выбранные на этапе планирования сервисы безопасности и обеспечить корректную их эксплуатацию. Осуществлять обучение пользователей вопросам ИБ, тщательно контролировать и корректно отрабатывать инциденты ИБ.
Проведение оценки СУИБ предполагает проведение анализа эффективности функционирования как отдельных сервисов безопасности, так и СУИБ в целом. Отслеживание изменений сопровождается пересмотром результатов анализа рисков. Внутренний аудит СУИБ должен проводиться через запланированные интервалы времени.
Фаза корректировки должна обеспечить непрерывное совершенствование СУИБ с учётом изменяющихся рисков и требований. В ряде случаев необходим возврат к предыдущим фазам модели –
например, к этапам планирования и реализации.

Слайд 9

Документация СУИБ (ISO/IEC 27001)
положения политики безопасности организации;
область действия СУИБ;
процедуры и сервисы безопасности,

поддерживающие СУИБ;
описание применяемых методов оценки рисков;
отчёты, содержащие результаты оценки рисков;
план управления рисками;
методики оценки эффективности применяемых сервисов безопасности;
декларация применимости;
записи, подтверждающие эффективность функционирования СУИБ и предоставляющие свидетельства её соответствия положениям стандарта.

Слайд 10

Организационно-распорядительные документы организации по ИБ
• политика информационной безопасности организации - высокоуровневый документ, описывающий

основные принципы и правила, направленные на защиту информационных ресурсов организации;
• регламенты информационной безопасности, раскрывающие более подробно процедуры и методы обеспечения информационной безопасности в соответствии с основными принципами и правилами, описанными в политике;
• инструкции по обеспечению информационной безопасности для должностных лиц организации с учетом требований политики и регламентов;
• прочие документы, представляющие собой отчеты, регистрационные журналы и прочие низкоуровневые руководящие документы.

Слайд 11

Политика ИБ
Политика безопасности — это организационно-правовой и технический документ одновременно.
Любая защитная мера

есть компромисс между снижением рисков и удобством работы пользователя.

Слайд 12

Требования к содержанию ПБ
Политика безопасности — документ «верхнего» уровня, в котором должны

быть указаны:
лица, ответственные за безопасность функционирования организации;
полномочия и ответственность отделов и служб в отношении безопасности;
организация допуска новых сотрудников и их увольнения;
правила разграничения доступа сотрудников к информационным ресурсам;
организация пропускного режима, регистрации сотрудников и посетителей;
использование программно-технических средств защиты;
другие требования общего характера.