Презентация "Политика информационной безопасности компании, ее разработка и оценка"

ПОЛИТИКА  ИНФОРМАЦИОННОЙ  БЕЗОПАСНОСТИ  КОМПАНИИ, ЕЁ  РАЗРАБОТКА И ОЦЕНКА

 Политика информационной безопасности – это совокупность правил,  процедур, практических методов и руководящих принципов в области  ИБ, используемых организацией в своей деятельности.  Согласно отечественному стандарту ГОСТ Р ИСО/МЭК  17799­2005, политика информационной безопасности должна  устанавливать ответственность руководства, а также излагать  подход организации к управлению информационной  безопасностью. В соответствии с указанным стандартом,  необходимо, чтобы политика информационной безопасности  предприятия как минимум включала:

• соответствие законодательным требованиям и договорным  обязательствам; • требования в отношении обучения вопросам безопасности;  • управление непрерывностью бизнеса; • предотвращение появления и обнаружение вирусов и другого  вредоносного программного обеспечения; • определение общих и конкретных обязанностей сотрудников в рамках  управления информационной безопасностью, включая информирование об  инцидентах нарушения информационной безопасности.  • ответственность за нарушения политики безопасности. • ссылки на документы, дополняющие политику ИБ, например, более  детальные политики и процедуры для конкретных информационных  систем, а также правила безопасности, которым должны следовать  пользователи.

Политика информационной безопасности компании должна быть  утверждена руководством, издана и доведена до сведения всех сотрудников  в доступной и понятной форме. Для того чтобы политика информационной безопасности не оставалась только «на  бумаге» необходимо, чтобы она была: ­ непротиворечивой – разные документы не должны по разному описывать  подходы к одному и тому же процессу обработки информации ­ не запрещала необходимые действия – в таком случае неизбежные массовые  нарушения приведут к дискредитации политики информационной безопасности  среди пользователей ­ не налагала невыполнимых обязанностей и требований. В организации должно быть назначено лицо, ответственное за политику  безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр.

РАЗРАБОТКА ПОЛИТИКИ  ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Система ИБ представляет из себя совокупность корпоративных правил и  норм работы, процедур обеспечения ИБ, формируемую на основе аудита  состояния информационной системы компании, анализа действующих  рисков безопасности в соответствии с требованиями нормативно­ руководящих документов РФ и положениями стандартов в области  защиты информации ( ISO/IEC 27001­2005, ISO/IEC 17799­2005, ISO/IEC  TR 13335, ГОСТ Р ИСО/МЭК 15408 и т.п.), что особенно важно для  организаций и компаний, активно взаимодействующих с отечественными и  иностранными партнерами.

Достаточная надежность системы ИБ предприятия может быть   реализована только в случае наличия на предприятии политики ИБ.  В противном случае разрозненные попытки различных служб по  противодействию современным угрозам только создают иллюзию  безопасности.

РАЗРАБОТКА ПОЛИТИКИ  ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Разработка системы информационной безопасности, как правило, состоит из  следующих этапов: ­ проведение аудита информационной безопасности предприятия; ­ анализ возможных рисков безопасности предприятия и сценариев защиты; ­ выработка вариантов требований к системе информационной безопасности; ­ выбор основных решений по обеспечению режима информационной  безопасности; ­ разработка нормативных документов, включая политику информационной  безопасности предприятия;

­ принятие выработанных нормативных документов; ­ создание системы информационной безопасности и системы обеспечения  бесперебойной работы компании; ­ сопровождение созданных систем, включая доработку принятых  нормативных документов.

РАЗРАБОТКА ПОЛИТИКИ  ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Выработанная политика  информационной безопасности  состоит из организационно­ распорядительных и  нормативно­методических  руководящих документов и  включает:

­общую характеристику объектов защиты и описание функций и  принятых технологий обработки данных; ­ описание  создания системы защиты и путей достижения  принятых целей; ­ перечень действующих угроз информационной безопасности,  оценку риска их реализации, модель вероятных нарушителей;  описание принятых принципов и подходов к построению  системы обеспечения информационной безопасности.

МЕРЫ  ОБЕСПЕЧЕНИЯ  ИБ  РАЗБИВАЮТСЯ  НА:  административно­организационные меры –  действия сотрудников организации по  обеспечению норм безопасности;  программно­технические меры ­ описание  системы управления доступом к  информационным ресурсам компании, включая  доступ к данным, программам и аппаратным  средствам; описание политики антивирусной  защиты; описание системы  резервного  копирования;

ВНЕДРЕНИЕ И ИСПОЛЬЗОВАНИЕ ПОЛИТИКИ ИБ  После утверждения политики ИБ необходимо:  ознакомить с политикой всех уже работающих  сотрудников;  разработать положения, процедуры, инструкции и  прочие документы, дополняющие политику  (инструкция по предоставлению доступа к сети  интернет, инструкция по предоставлению доступа в  помещения с ограниченным доступом, инструкции по  работе с информационными системами компании и  т.п.);  не реже, чем раз в квартал пересматривать политику ИБ  и прочие документы по ИБ с целью их актуализации.

При формировании политики безопасности необходимо максимально учесть  принятые нормы работы предприятия, с тем, чтобы выработанная политика,  обеспечивая высокий уровень безопасности, оказывала минимальное влияние на  производительность труда сотрудников и не требовала высоких затрат на свое  создание. Политика безопасности зависит:  от конкретной технологии обработки  информации;  от используемых технических и  программных средств;  от расположения организации;

МЕТОДЫ ОЦЕНКИ ИБ Существуют две системы оценки текущей ситуации в области  информационной безопасности на предприятии: «исследование снизу вверх» и  «исследование сверху вниз». "исследование снизу вверх"  метод достаточно прост, требует намного меньших капитальных  вложений, но и обладает меньшими возможностями. Он основан на  известной схеме : "Вы – злоумышленник. Ваши действия ?". То есть  служба информационной безопасности, основываясь на данных о всех  известных видах атак, пытается применить их на практике с целью  проверки, а возможно ли такая атака со стороны реального  злоумышленника.

"ИССЛЕДОВАНИЕ СВЕРХУ ВНИЗ"  Метод "сверху вниз" представляет собой, наоборот,  детальный анализ всей существующей схемы хранения и  обработки информации. Первым этапом этого метода  является, как и всегда, определение, какие  информационные объекты и потоки необходимо  защищать. Далее следует изучение текущего состояния  системы информационной безопасности с целью  определения, что из классических методик защиты  информации уже реализовано, в каком объеме и на  каком уровне. На третьем этапе производится  классификация всех информационных объектов на  классы в соответствии с ее конфиденциальностью,  требованиями к доступности и целостности  (неизменности).

ПРЕДПОЛАГАЕМЫЙ УЩЕРБ  Размер ущерба должен оценивать владелец информации  или работающий с этой информацией персонал. Оценку  же вероятности атаки выполняют соответствующие  технические сотрудники.

Спасибо за внимание!