Построение политики информационной безопасности для организации. Лекция 3

Содержание

Слайд 2

Летучка

Получить листок с вопросом
Написать ответ на вопрос
Время 5 минут

2

Летучка Получить листок с вопросом Написать ответ на вопрос Время 5 минут 2

Слайд 3

Основные вопросы лекции

Основные угрозы безопасности информации.
Стандарты безопасности (ISO/IEC 17799:2005, ISO/IEC 27001).
Политика безопасности

Основные вопросы лекции Основные угрозы безопасности информации. Стандарты безопасности (ISO/IEC 17799:2005, ISO/IEC
для организации.

3

Слайд 4

Основные угрозы безопасности информации

Угроза информационной безопасности автоматизированной системы - это возможность реализации

Основные угрозы безопасности информации Угроза информационной безопасности автоматизированной системы - это возможность
воздействия на информацию, обрабатываемую в АС, приводящего к нарушению конфиденциальности, целостности или доступности этой информации, а также возможность воздействия на компоненты АС, приводящего к их утрате, уничтожению или сбою функционирования.
Классификация угроз:
По природе возникновения: естественные и искусственные.
По степени преднамеренности: случайные и преднамеренные.
По источникам угроз: природная среда, человек, санкционированные программно-аппаратные средства, несанкционированные программно-аппаратные средства.
По свойствам информации: угроза нарушения конфиденциальности, угроза нарушения целостности, угроза нарушения доступности.

4

Слайд 5

Стандарт ISO/IEC 17799:2005

Стандарт ISO/IEC 17799:2005 “Information technology – Security techniques – Code

Стандарт ISO/IEC 17799:2005 Стандарт ISO/IEC 17799:2005 “Information technology – Security techniques –
of practice for information security management” (Информационные технологии. Методы обеспечения безопасности. Практическое руководство по управлению информационной безопасностью.)
Разработан Британским институтом стандартов (BSI – British Standards Institution). Внутреннее наименование BS 7799.
Принят в России в качестве ГОСТ.
Представляет собой набор практических рекомендаций по построению комплексной корпоративной системы управления информационной безопасностью.

5

Слайд 6

Сервисы безопасности (ISO/IEC 17799)

Информационная безопасность рассматривается как процесс защиты информационных активов организации

Сервисы безопасности (ISO/IEC 17799) Информационная безопасность рассматривается как процесс защиты информационных активов
от различного рода угроз, который достигается путём реализации тех или иных сервисов безопасности.
Сервисы выбираются таким образом, чтобы минимизировать идентифицированные информационные риски.
Тематические разделы сервисов:
Политика безопасности.
Организация информационной безопасности.
Управление активами.
Безопасность человеческих ресурсов.
Физическая безопасность и безопасность окружающей среды.
Управление телекоммуникациями и операциями.
Управление доступом.
Приобретение, разработка и внедрение информационных систем.
Управление инцидентами в сфере информационной безопасности.
Управление непрерывностью бизнеса.
Соответствие.

6

Слайд 7

Стандарт ISO/IEC 27001:2005

Стандарт ISO/IEC 27001:2005 “Information technology – Security techniques – Information

Стандарт ISO/IEC 27001:2005 Стандарт ISO/IEC 27001:2005 “Information technology – Security techniques –
security management systems - Requirements” (Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования.)
Представляет собой расширение ISO/IEC 17799:2005, устанавливающее требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию корпоративных систем управления информационной безопасностью (СУИБ).
Реализация СУИБ осуществляется путём внедрения четырёхфазной модели PDCA (Plan-Do-Check-Act, Планирование – Реализация – Оценка - Корректировка).
Принят в качестве ГОСТ РФ.

7

Слайд 8

Модель PDCA

Предварительное условие - принятие политики безопасности, устанавливающей общие принципы обеспечения информационной

Модель PDCA Предварительное условие - принятие политики безопасности, устанавливающей общие принципы обеспечения
безопасности в организации и задающей область действия СУИБ.
Планирование осуществляется путём проведения оценки рисков и выбора сервисов безопасности, соответствующих требованиям, идентифицированным по результатам анализа рисков.
На этапе реализации необходимо реализовать выбранные на этапе планирования сервисы безопасности и обеспечить корректную их эксплуатацию. Осуществлять обучение пользователей вопросам ИБ, тщательно контролировать и корректно отрабатывать инциденты ИБ.
Проведение оценки СУИБ предполагает проведение анализа эффективности функционирования как отдельных сервисов безопасности, так и СУИБ в целом. Отслеживание изменений сопровождается пересмотром результатов анализа рисков. Внутренний аудит СУИБ должен проводиться через запланированные интервалы времени.
Фаза корректировки должна обеспечить непрерывное совершенствование СУИБ с учётом изменяющихся рисков и требований. В ряде случаев необходим возврат к предыдущим фазам модели –
например, к этапам планирования и реализации.

8

Слайд 9

Документация СУИБ (ISO/IEC 27001)

положения политики безопасности организации;
область действия СУИБ;
процедуры и сервисы безопасности,

Документация СУИБ (ISO/IEC 27001) положения политики безопасности организации; область действия СУИБ; процедуры
поддерживающие СУИБ;
описание применяемых методов оценки рисков;
отчёты, содержащие результаты оценки рисков;
план управления рисками;
методики оценки эффективности применяемых сервисов безопасности;
декларация применимости;
записи, подтверждающие эффективность функционирования СУИБ и предоставляющие свидетельства её соответствия положениям стандарта.

9

Слайд 10

Организационно-распорядительные документы организации по ИБ

• политика информационной безопасности организации - высокоуровневый документ, описывающий

Организационно-распорядительные документы организации по ИБ • политика информационной безопасности организации - высокоуровневый
основные принципы и правила, направленные на защиту информационных ресурсов организации;
• регламенты информационной безопасности, раскрывающие более подробно процедуры и методы обеспечения информационной безопасности в соответствии с основными принципами и правилами, описанными в политике;
• инструкции по обеспечению информационной безопасности для должностных лиц организации с учетом требований политики и регламентов;
• прочие документы, представляющие собой отчеты, регистрационные журналы и прочие низкоуровневые руководящие документы.

10

Слайд 11

Политика ИБ

Политика безопасности — это организационно-правовой и технический документ одновременно.
Любая защитная мера

Политика ИБ Политика безопасности — это организационно-правовой и технический документ одновременно. Любая
есть компромисс между снижением рисков и удобством работы пользователя.

11

Слайд 12

Требования к содержанию ПБ

Политика безопасности — документ «верхнего» уровня, в котором должны

Требования к содержанию ПБ Политика безопасности — документ «верхнего» уровня, в котором
быть указаны:
лица, ответственные за безопасность функционирования организации;
полномочия и ответственность отделов и служб в отношении безопасности;
организация допуска новых сотрудников и их увольнения;
правила разграничения доступа сотрудников к информационным ресурсам;
организация пропускного режима, регистрации сотрудников и посетителей;
использование программно-технических средств защиты;
другие требования общего характера.

12

Слайд 13

Пример ПБ (ОАО "Газпромбанк")

13

Пример ПБ (ОАО "Газпромбанк") 13

Слайд 14

Пример ПБ (ОАО "Газпромбанк")

14

Пример ПБ (ОАО "Газпромбанк") 14

Слайд 15

Пример ПБ (ОАО "Газпромбанк")

15

Пример ПБ (ОАО "Газпромбанк") 15

Слайд 16

Пример ПБ (ОАО "Газпромбанк")

16

Пример ПБ (ОАО "Газпромбанк") 16

Слайд 17

Пример ПБ (ОАО "Газпромбанк")

17

Пример ПБ (ОАО "Газпромбанк") 17

Слайд 18

Пример ПБ (ОАО "Газпромбанк")

18

Пример ПБ (ОАО "Газпромбанк") 18

Слайд 19

Пример ПБ (ОАО "Газпромбанк")

19

Пример ПБ (ОАО "Газпромбанк") 19

Слайд 20

Пример ПБ (ОАО "Газпромбанк")

20

Пример ПБ (ОАО "Газпромбанк") 20

Слайд 21

Пример ПБ (ОАО "Газпромбанк")

21

Пример ПБ (ОАО "Газпромбанк") 21

Слайд 22

Пример ПБ (ОАО "Газпромбанк")

22

Пример ПБ (ОАО "Газпромбанк") 22

Слайд 23

Пример ПБ (ОАО "Газпромбанк")

23

Пример ПБ (ОАО "Газпромбанк") 23

Слайд 24

Пример ПБ (ОАО "Газпромбанк")

24

Пример ПБ (ОАО "Газпромбанк") 24

Слайд 25

Пример ПБ (ОАО "Газпромбанк")

25

Пример ПБ (ОАО "Газпромбанк") 25

Слайд 26

Пример ПБ (ОАО "Газпромбанк")

26

Пример ПБ (ОАО "Газпромбанк") 26

Слайд 27

Пример ПБ (ОАО "Газпромбанк")

26

Пример ПБ (ОАО "Газпромбанк") 26

Слайд 28

Пример ПБ (ОАО "Газпромбанк")

28

Пример ПБ (ОАО "Газпромбанк") 28

Слайд 29

Пример ПБ (ОАО "Газпромбанк")

29

Пример ПБ (ОАО "Газпромбанк") 29

Слайд 30

Пример ПБ (ОАО "Газпромбанк")

30

Пример ПБ (ОАО "Газпромбанк") 30

Слайд 31

Пример ПБ (ОАО "Газпромбанк")

31

Пример ПБ (ОАО "Газпромбанк") 31

Слайд 32

Пример ПБ (ОАО "Газпромбанк")

26

Пример ПБ (ОАО "Газпромбанк") 26

Слайд 33

Пример ПБ (ОАО "Газпромбанк")

26

Пример ПБ (ОАО "Газпромбанк") 26

Слайд 34

Пример ПБ (ОАО "Газпромбанк")

34

Пример ПБ (ОАО "Газпромбанк") 34

Слайд 35

Пример ПБ (ОАО "Газпромбанк")

35

Пример ПБ (ОАО "Газпромбанк") 35

Слайд 36

Пример ПБ (ОАО "Газпромбанк")

26

Пример ПБ (ОАО "Газпромбанк") 26

Слайд 37

Пример ПБ (ОАО "РАДИОТЕХНИЧЕСКИЙ ИНСТИТУТ ИМЕНИ АКАДЕМИКА А.Л. МИНЦА")

37

Пример ПБ (ОАО "РАДИОТЕХНИЧЕСКИЙ ИНСТИТУТ ИМЕНИ АКАДЕМИКА А.Л. МИНЦА") 37

Слайд 38

Пример ПБ (ОАО "РАДИОТЕХНИЧЕСКИЙ ИНСТИТУТ ИМЕНИ АКАДЕМИКА А.Л. МИНЦА")

37

Пример ПБ (ОАО "РАДИОТЕХНИЧЕСКИЙ ИНСТИТУТ ИМЕНИ АКАДЕМИКА А.Л. МИНЦА") 37

Слайд 39

Пример ПБ (ИНСТИТУТ ИМЕНИ АКАДЕМИКА А.Л. МИНЦА")

37

Пример ПБ (ИНСТИТУТ ИМЕНИ АКАДЕМИКА А.Л. МИНЦА") 37

Слайд 40

Практическое задание

40

Разработать политику безопасности для вымышленной организации.
Время - 2 академических часа.
Форма представления

Практическое задание 40 Разработать политику безопасности для вымышленной организации. Время - 2
результата – письменно.
Имя файла: Построение-политики-информационной-безопасности-для-организации.-Лекция-3.pptx
Количество просмотров: 33
Количество скачиваний: 0