1.74M
Категория: ПравоПраво
Похожие презентации:
Стандарты управления информационной безопасностью
Стандарты управления информационной безопасностью
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Система управления информационной безопасности
Система управления информационной безопасности
Аудит безопасности информационных систем
Аудит безопасности информационных систем
Построение политики информационной безопасности для организации. Лекция 3
Построение политики информационной безопасности для организации. Лекция 3
Методики управления информационными рисками
Методики управления информационными рисками
Основные принципы современных систем менеджмента
Основные принципы современных систем менеджмента
Разработка политики безопасности информационной системы. Лекция 5
Разработка политики безопасности информационной системы. Лекция 5
Стандарты безопасности
Стандарты безопасности

Презентация _Политика информационной безопасности_

1.

ПОЛИТИКА
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ

2.

Политика информационной безопасности – это совокупность правил,
процедур, практических методов и руководящих принципов в области
ИБ, используемых организацией в своей деятельности.
Согласно отечественному стандарту ГОСТ Р ИСО/МЭК
17799, политика информационной безопасности должна
устанавливать ответственность руководства, а также излагать
подход организации к управлению информационной
безопасностью. В соответствии с указанным стандартом,
необходимо, чтобы политика информационной безопасности
предприятия как минимум включала:

3.

• соответствие законодательным требованиям и договорным
обязательствам;
• требования в отношении обучения вопросам безопасности;
• управление непрерывностью бизнеса;
• предотвращение появления и обнаружение вирусов и другого
вредоносного программного обеспечения;
• определение общих и конкретных обязанностей сотрудников в рамках
управления информационной безопасностью, включая информирование
об инцидентах нарушения информационной безопасности.
• ответственность за нарушения политики безопасности.
• ссылки на документы, дополняющие политику ИБ, например, более
детальные политики и процедуры для конкретных информационных
систем, а также правила безопасности, которым должны следовать
пользователи.

4.

Политика информационной безопасности компании должна быть
утверждена руководством, издана и доведена до сведения всех сотрудников
в доступной и понятной форме.
Для того чтобы политика информационной безопасности не оставалась
только «на бумаге» необходимо, чтобы она была:
- непротиворечивой – разные документы не должны по разному
описывать подходы к одному и тому же процессу обработки информации
- не запрещала необходимые действия – в таком случае неизбежные
массовые нарушения приведут к дискредитации политики
информационной безопасности среди пользователей
- не налагала невыполнимых обязанностей и требований.
В организации должно быть назначено лицо, ответственное за политику
безопасности, отвечающее за её эффективную реализацию и регулярный
пересмотр.

5.

РАЗРАБОТКА ПОЛИТИКИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Система ИБ представляет из себя совокупность корпоративных правил и
норм работы, процедур обеспечения ИБ, формируемую на основе аудита
состояния информационной системы компании, анализа действующих
рисков безопасности в соответствии с требованиями нормативноруководящих документов и положениями стандартов в области защиты
информации ( ISO/IEC 27001, ISO/IEC 17799, ISO/IEC TR 13335, ГОСТ Р
ИСО/МЭК 15408 и т.п.), что особенно важно для организаций и
компаний, активно взаимодействующих с отечественными и
иностранными партнерами.

6.

Достаточная надежность системы ИБ предприятия может быть
реализована только в случае наличия на предприятии политики ИБ.
В противном случае разрозненные попытки различных служб по
противодействию современным угрозам только создают иллюзию
безопасности.

7.

РАЗРАБОТКА ПОЛИТИКИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Разработка системы информационной безопасности, как правило, состоит из
следующих этапов:
- проведение аудита информационной безопасности предприятия;
- анализ возможных рисков безопасности предприятия и сценариев защиты;
- выработка вариантов требований к системе информационной
безопасности;
- выбор основных решений по обеспечению режима информационной
безопасности;
- разработка нормативных документов, включая политику информационной
безопасности предприятия;

8.

- принятие выработанных нормативных документов;
- создание системы информационной безопасности и системы
обеспечения бесперебойной работы компании;
- сопровождение созданных систем, включая доработку принятых
нормативных документов.

9.

РАЗРАБОТКА ПОЛИТИКИ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Выработанная политика
информационной безопасности
состоит из организационнораспорядительных и
нормативно-методических
руководящих документов и
включает:

10.

-общую характеристику объектов защиты и описание функций и
принятых технологий обработки данных;
- описание создания системы защиты и путей достижения
принятых целей;
- перечень действующих угроз информационной безопасности,
оценку риска их реализации, модель вероятных нарушителей;
- описание принятых принципов и подходов к построению
системы обеспечения информационной безопасности.

11.

МЕРЫ ОБЕСПЕЧЕНИЯ ИБ РАЗБИВАЮТСЯ НА:
административно-организационные меры
– действия сотрудников организации по
обеспечению норм безопасности;
программно-технические меры - описание
системы управления доступом к
информационным ресурсам компании,
включая доступ к данным, программам и
аппаратным средствам; описание политики
антивирусной защиты; описание
системы резервного копирования;

12.

ВНЕДРЕНИЕ И ИСПОЛЬЗОВАНИЕ ПОЛИТИКИ ИБ
После утверждения политики ИБ необходимо:
ознакомить с политикой всех уже работающих
сотрудников;
разработать положения, процедуры, инструкции и
прочие документы, дополняющие политику
(инструкция по предоставлению доступа к сети
интернет, инструкция по предоставлению доступа в
помещения с ограниченным доступом, инструкции
по работе с информационными системами
компании и т.п.);
не реже, чем раз в квартал пересматривать
политику ИБ и прочие документы по ИБ с целью их
актуализации.

13.

При формировании политики безопасности необходимо максимально учесть
принятые нормы работы предприятия, с тем, чтобы выработанная политика,
обеспечивая высокий уровень безопасности, оказывала минимальное влияние на
производительность труда сотрудников и не требовала высоких затрат на свое
создание.
Политика безопасности зависит:
от конкретной технологии
обработки информации;
от используемых технических и
программных средств;
от расположения организации;

14.

МЕТОДЫ ОЦЕНКИ ИБ
Существуют две системы оценки текущей ситуации в области
информационной безопасности на предприятии: «исследование снизу вверх»
и «исследование сверху вниз».
"исследование снизу вверх"
метод достаточно прост, требует намного меньших капитальных
вложений, но и обладает меньшими возможностями. Он основан на
известной схеме : "Вы – злоумышленник. Ваши действия ?". То есть
служба информационной безопасности, основываясь на данных о всех
известных видах атак, пытается применить их на практике с целью
проверки, а возможно ли такая атака со стороны реального
злоумышленника.

15.

"ИССЛЕДОВАНИЕ СВЕРХУ ВНИЗ"
Метод "сверху вниз" представляет собой, наоборот,
детальный анализ всей существующей схемы хранения и
обработки информации. Первым этапом этого метода
является, как и всегда, определение, какие
информационные объекты и потоки необходимо
защищать. Далее следует изучение текущего состояния
системы информационной безопасности с целью
определения, что из классических методик защиты
информации уже реализовано, в каком объеме и на каком
уровне. На третьем этапе производится классификация
всех информационных объектов на классы в
соответствии с ее конфиденциальностью, требованиями
к доступности и целостности (неизменности).

16.

ПРЕДПОЛАГАЕМЫЙ УЩЕРБ
Размер ущерба должен оценивать владелец информации
или работающий с этой информацией персонал. Оценку
же вероятности атаки выполняют соответствующие
технические сотрудники.

17.

Спасибо за внимание!
English     Русский Правила