УИБ Лекция 2

1.

Управление информационной
безопасностью
Тема 1
Концептуальные подходы к
обеспечению ИБ

2.

УИБ
Тема 1
1.Концептуальные подходы к обеспечению и ИБ
1.1.Исходная концептуальная схема (парадигма)
обеспечения ИБ
Концептуальные подходы к управлению
информационной безопасностью
2

3.

УИБ
Тема 1
1.1.Исходная концептуальная схема (парадигма)
обеспечения ИБ
Парадигма - от греч. Παράδειγμα
• пример, модель, образец
в философии науки и социологии науки:
• исходная концептуальная схема,
• модель постановки проблем и их решения,
• совокупность методов исследования, господствующих в
течение определённого исторического периода в
научном сообществе.
Смена парадигм представляет собой научную
революцию или эволюционный переход.
3

4.

УИБ
Тема 1
1.1.Исходная концептуальная схема (парадигма)
обеспечения ИБ
Определить модель постановки проблем и место
обеспечения ИБ в организации.
Определить основные цели деятельности в рамках
модели.
Определить основное содержание деятельностей
в рамках модели.
Определить стратегию обеспечения ИБ.
4

5.

УИБ
Тема 4.1
1.1.Исходная концептуальная схема (парадигма)
обеспечения ИБ
Традиционный подход: решение фундаментальной
проблемы информационного права
Право на
информацию
Право на
тайну
Каждый имеет право…
…свободно искать, получать,
передавать, производить и
распространять информацию
любым законным способом
(статья 29 п.4. Конституции РФ)
1. …на неприкосновенность частной
жизни, личную и семейную тайну,
защиту своей чести и доброго имени.
2. …на тайну переписки, телефонных
переговоров, почтовых, телеграфных и
иных сообщений. Ограничение этого
права допускается только на основании
судебного решения.
(статья 23 Конституции РФ)
5

6.

УИБ
Тема 1
1.1.Исходная концептуальная схема (парадигма)
обеспечения ИБ
Традиционный подход: решение фундаментальной
проблемы информационного права
Федеральный закон «Об информации,
информационных технологиях и о защите
информации» (№ 149-ФЗ от 27.07.2006,
посл.изм.2011 г.);
…регулирует отношения, возникающие при:
1) осуществлении права на поиск, получение,
передачу, производство и распространение
информации;
2) применении информационных технологий;
3) обеспечении защиты информации.
6

7.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Традиционный подход: решение фундаментальной проблемы
информационного права
Объект информатизации
Обеспечение ИБ
=
Защита
информации
Объект защиты
Комплексная система
защиты информации
Определения:
«защита информации» – деятельность, направленная на предотвращение
утечки защищаемой информации, несанкционированных и
непреднамеренных воздействий на защищаемую информацию (ГОСТ Р
50922-2006);
«объект информатизации» –совокупность информационных ресурсов,
средств и систем обработки информации, используемых в соответствии с
заданной информационной технологией (ГОСТ Р 51275-2006);
«объект защиты» – информация или носитель информации или
информационный процесс, в отношении которых необходимо обеспечивать
защиту в соответствии с поставленной целью защиты информации (ГОСТ Р7
50922-2006);

8.

УИБ
Тема 1
1.1.Исходная концептуальная схема (парадигма) обеспечения ИБ
Традиционный подход: решение фундаментальной проблемы
информационного права
Объект информатизации
Обеспечение ИБ
=
Защита
информации
Объект защиты
Комплексная система
защиты информации
Определения:
«система защиты информации» - совокупность органов и/или
исполнителей, используемая ими техника защиты информации , а
также объекты защиты, организованные и функционирующие по
правилам, установленным соответствующими правовыми,
организационно-распорядительными и нормативными
документами по защите информации (ГОСТ Р 50922-2006);
8

9.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Традиционный подход: решение фундаментальной проблемы
информационного права
«Кризис подхода» - Специфика обеспечения ИБ:
1.Деградация мер и средств защиты информации.
Правильно выстроенные процессы и используемые защитные меры в силу
объективных причин имеют тенденцию к постепенному ослаблению
своей эффективности.
Причины:
• угрозы ИБ, их источники и риски ИБ через некоторые промежутки
времени изменяются под воздействием среды ведения бизнеса
организации.
• защитные меры всегда тем или иным образом ограничивают сотрудников
и сам бизнес (следствие - неправильного распределения ролей и
ответственности и плохо отлаженного механизма выделения полномочий
всем и все разрешено)
Результат: организация несет потери, так как на систему ЗИ были зря
потрачены немалые средства
9

10.

УИБ
Тема 1
1.1.Исходная концептуальная схема (парадигма) обеспечения ИБ
Традиционный подход: решение фундаментальной проблемы
информационного права
«Кризис подхода» - Специфика обеспечения ИБ:
2.Изменчивость (стохастичность) бизнеса.
Бизнес ведется в условиях изменчивой среды, то есть при большой
неопределенности.
Это естественное свойство среды, которое должно учитываться
организацией в ее деятельности.
В условиях неопределенности на бизнес-уровне принимается решение о
необходимости осуществить то или иное действие, отсрочить его,
позаботиться о дополнительных гарантиях или ресурсах, либо вообще
отказаться от выполнения действий.
При этом используются естественные для бизнеса механизмы
самоконтроля, позволяющие проверить степень достижения заданной цели.
Изменчивость потребует постоянной подстройки обеспечения ИБ под
изменение внутренней и внешней среды ведения бизнеса организации.
10

11.

УИБ
Тема 1
Исходная концептуальная схема (парадигма)
обеспечения ИБ
Традиционный подход: решение фундаментальной
проблемы информационного права
«Кризис подхода» - Специфика обеспечения ИБ:
3.Обеспечение ИБ, в отличие от бизнеса, не имеет
механизмов самоконтроля.
4.Эффективность деятельности по обеспечению
ИБ реально проявляется только в момент атак.
До наступления атаки непосредственно убедиться в
эффективной реализации этой деятельности и,
следовательно, успешном отражении атаки
проблематично.
11

12.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Традиционный подход: решение фундаментальной проблемы
информационного права
«Кризис подхода» - Специфика обеспечения ИБ:
5.Своевременность обнаружения проблем в области
обеспечения ИБ.
Организация должна:
• своевременно обнаруживать проблемы, прямо или косвенно
относящиеся к ИБ и потенциально способные повлиять на успешное
достижение ее бизнес-целей;
• адекватно оценивать степень влияния выявленных проблем в
области обеспечения ИБ на ее бизнес-цели.
6.Рост масштабов и сложности самих задач ОИБ организации.
Это требует их эффективного решения, что не может быть
достигнуто без целенаправленного управления всеми процессами
обеспечения ИБ, основанного на системном методологическом
подходе.
12

13.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Современный подход:
новая парадигма
Основные идеи парадигмы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью
управления
Основной целью деятельности службы ИБ организации является
содействие бизнесу – целям деятельности организации.
Активы могут рассматриваться только в контексте целей
деятельности организации, но не как иначе.
Базовыми процессами УИБ являются:
- Управление рисками ИБ.
- Управление инцидентами ИБ.
- Проверка и оценка деятельности по обеспечению ИБ
Направленность процессов УИБ:
Взаимодействие с управлением непрерывностью бизнеса
13

14.

УИБ
Тема 1
Почему «управление ИБ»?
Основные идеи современного подхода к обеспечению
ИБ:
Эффективность обеспечения ИБ определяется
эффективностью управления
Базовыми процессами УИБ являются:
- Управление рисками ИБ.
- Управление инцидентами ИБ.
- Проверка и оценка деятельности по обеспечению
ИБ
Направленность процессов УИБ:
Взаимодействие с управлением непрерывностью
бизнеса
14
14

15.

УИБ
Тема 1
Информационная безопасность объекта – это состояние
объекта
Обеспечение ИБ – это системный процесс, а не состояние
Деятельность организации осуществляется через
реализацию трех групп высокоуровневых бизнеспроцессов:
- основные процессы (процессы основной
деятельности),
- вспомогательные процессы (процессы по видам
обеспечения),
- процессы управления (менеджмента) организацией,.
Процессы по обеспечению ИБ –
вид вспомогательных процессов, реализующих
поддержку (обеспечение) процессов основной
деятельности организации в целях достижения ею
максимально возможного результата.
15
15

16.

УИБ
Тема 1
Основные идеи современного подхода к обеспечению
ИБ:
Эффективность обеспечения ИБ определяется
эффективностью управления
Почему «управление ИБ»?
Обеспечение ИБ – это системный процесс, а не
состояние
Процессом надо управлять!
16
16

17.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Современный подход:
новая парадигма
Основные идеи парадигмы (модели) обеспечения ИБ:
Эффективность обеспечения ИБ определяется эффективностью управления
Основной целью деятельности службы ИБ организации является содействие бизнесу – целям
деятельности организации.
17

18.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Современный подход:
новая парадигма
Основные идеи парадигмы (модели) обеспечения ИБ:
Активы могут рассматриваться только в контексте целей деятельности
организации, но не как иначе.
Причем информационный актив является объектом взаимодействия различных
субъектов
Определения:
«Актив» - все, что имеет ценность для организации [ГОСТ Р ИСО/МЭК 13335-12006];
«Субъект» – сущность, инициирующая выполнение операций (собственник актива,
служба ИБ собственника, злоумышленник (нарушитель);
«Собственник» - субъект хозяйственной деятельности, имеющий права владения,
распоряжения или пользования активами, который заинтересован или обязан
(согласно требованиям законов или иных законодательных или нормативноправовых актов) обеспечивать защиту активов от угроз, которые могут снизить
их ценность или нанести ущерб собственнику.
«Злоумышленник (нарушитель)» - лицо, которое совершает или совершило заранее
обдуманное действие с осознанием его опасных последствий или не
предвидело, но должно было и могло предвидеть возможность наступления
этих последствий (адаптировано из ст. 27 УК РФ).
18

19.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Современный подход: новая парадигма
Основные идеи парадигмы (модели) обеспечения ИБ:
Примеры злоумышленников:
постороннее лицо, не имеющее легального доступа к
системе и атакующее ее только с использованием
общедоступных сетей;
сотрудник организации, не имеющий легального доступа
к атакуемой системе и сумевший подсмотреть/подобрать
пароль легального пользователя;
пользователь системы, обладающий минимальными
полномочиями и использующий ошибки в ПО и
администрировании системы;
администратор системы, имеющий легально
полученные полномочия, достаточные для успешной
атаки на систему;
разработчик системы, встроивший в код системы
“люки” (недокументированные возможности), которые в
дальнейшем позволят ему осуществлять НСД к ресурсам
системы.
19

20.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Современный подход:
новая парадигма
Основные идеи парадигмы (модели) обеспечения ИБ:
Цели
Цели собственника
злоумышленника
мотивация
Завладение правами
мотивация
Собственник
Использование прав
В соответствии с целями
бизнеса
Злоумышленник
Актив
доход
Бизнес
Конфликт целей собственника и
злоумышленника по
установлению контроля над Факторы эффективного
Ведения бизнеса
активами
Риски
20

21.

УИБ
Тема 1
Почему «управление ИБ»?
Основные идеи современного подхода к обеспечению
ИБ:
Эффективность обеспечения ИБ определяется
эффективностью управления
Базовыми процессами УИБ являются:
- Управление рисками ИБ.
- Управление инцидентами ИБ.
- Проверка и оценка деятельности по обеспечению
ИБ
Направленность процессов УИБ:
Взаимодействие с управлением непрерывностью
бизнеса
21
21

22.

УИБ
Тема 1
Основные идеи современного подхода к обеспечению ИБ:
Эффективность обеспечения ИБ определяется
эффективностью управления
Базовыми процессами УИБ являются:
- Управление рисками ИБ.
Фундаментальные особенности безопасности:
1) Безопасность никогда не бывает абсолютной – всегда есть
некоторый риск ее нарушения
«риск» – это вероятность причинения вреда с учетом его
тяжести (ст.2 Федерального закона № 184-ФЗ «О
техническом регулировании»);
2) Наступление рискового события в общем случае
предотвратить невозможно, можно лишь понизить
вероятность его наступления, т.е. добиться того, чтобы такие
события будут наступать реже.
Следствие 1: усилия по обеспечению безопасности реально
сводятся к задаче понижения уровня риска до приемлемого
уровня, не болеe.
22
22

23.

УИБ
Тема 1
Основные идеи современного подхода к обеспечению ИБ:
Эффективность обеспечения ИБ определяется
эффективностью управления
Базовыми процессами УИБ являются:
- Управление рисками ИБ.
Фундаментальные особенности безопасности:
3) Измерить уровень безопасности невозможно, можно лишь
косвенно его оценить, измерив соответствующие
показатели, характеризующие состояние безопасности
объекта.
Следствие 2: можно говорить только о вероятности наступления
того или иного события и степени его последствий, т.е.
использовать для оценок уровня безопасности рисковый
подход.
4) При любом вмешательстве в объект в первую очередь
страдает ее безопасность
Следствие 3: при добавлении средства защиты безопасность
объекта может не улучшиться, а ухудшится.
23
23

24.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ – основа деятельности
- по обеспечению ИБ.
«Актив» - все, что имеет ценность для
организации [ГОСТ Р ИСО/МЭК 13335-12006];
«Угроза ИБ» - совокупность условий и
факторов, создающих потенциальную
или реально существующую опасность
нарушения безопасности информации
[ГОСТ Р 50922-2006];
«Уязвимость» (бреш) (vulnerability) - слабость одного или
нескольких активов, которая может быть использована одной
или несколькими угрозами [ГОСТ Р ИСО/МЭК 13335-1-2006];
Если уязвимость соответствует угрозе, то существует риск
(ИСО 2382-8:1998)
24
24

25.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ – основа деятельности
- по обеспечению ИБ.
Оценка
рисков ИБ
25
25

26.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ – основа деятельности
- по обеспечению ИБ.
Оценка
рисков ИБ
Что
защищаем?
26
26

27.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ – основа деятельности
- по обеспечению ИБ.
От чего
защищаем?
Оценка
рисков ИБ
Что
защищаем?
27
27

28.

УИБ
-
Тема 1
Базовыми процессами УИБ являются:
Управление рисками ИБ – основа деятельности
по обеспечению ИБ.
От чего
защищаем?
Оценка
рисков ИБ
Что
защищаем?
Как
защищаем?
28

29.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Современный подход:
новая парадигма
Основные идеи парадигмы (модели) обеспечения ИБ:
Деятельности организации сопутствует значительное число
различных рисков – риски ИБ один из видов рисков.
При принятии решений о внедрении защитных мер
(включая и меры контроля) для противодействия
идентифицированным угрозам (и для снижения рисков ИБ)
собственник активов должен учитывать, что тем самым он
увеличивает сложность своей системы обеспечения ИБ, а
повышение сложности управления ИБ порождает новые
уязвимости.
29

30.

УИБ
1. Регламентные работы по стене
(покраска, проф. ремонт, …)
2. Безопасность стены (мониторинг
состояния стены, периодический
контроль злоумышленной
активности, …)
3. Оценка параметров (толщина,
высота, …) стены с точки зрения
злоумышленной активности
(оснащенность злоумышленника,
его мотивация, …)
Тема 1
1.Риск несоблюдения регламента
работ по стене (ухудшение
характеристик)
2. Риск необнаружения и
несвоевременной обработки
инцидентов безопасности (дыры и
лазейки в стене и их устранение)
3.Риск неверной (несвоевременной)
оценки необходимых параметров
стены
4.Риск преодоления стены
(определяется ее параметрами
относительно угроз)
Первоначальный
риск активов
распадается на
четыре
составляющих
Агрессивная
среда (угрозы)
30

31.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
«Инцидент ИБ» появление одного или нескольких нежелательных или
неожиданных событий ИБ, имеющих значительную
вероятность компрометации бизнес-операций и
указывающих на свершившуюся, предпринимаемую или
вероятную реализацию угрозы ИБ для активов
организации ;
«Событие ИБ» идентифицированное появление определенного
состояния актива организации (системы, сервиса или
сети), указывающего на возможное нарушение
Политики ИБ или нарушения в работе средств
защиты, либо возникновение ранее неизвестной
ситуации, которая может иметь отношение к ИБ.
31
31

32.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
Это процесс, состоящий из ряда подпроцессов, на вход которого
поступают данные, полученные в результате сбора и
протоколирования событий ИБ, а на выходе – информация о
причинах произошедшего инцидента ИБ, нанесенном
организации ущербе и мерах, которые необходимо принять для
того, чтобы инцидент ИБ не повторился вновь.
32
32

33.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
Цель управления инцидентами ИБ – обеспечение следующих
условий :
• события ИБ обнаружены и эффективно обработаны, в частности,
определены как относящиеся или не относящиеся к категории
инцидентов ИБ;
• идентифицированные инциденты ИБ оценены, и реагирование на
них осуществлено наиболее целесообразным и результативным
способом;
• негативные воздействия инцидентов ИБ на организацию и ее
бизнес-операции минимизированы соответствующими защитными
мерами, являющимися частью процесса реагирования на
инцидент, иногда наряду с применением соответствующих
элементов из плана(ов) ОНБ;
• из инцидентов ИБ и их управления быстро извлечены уроки. Это
делается с целью повышения шансов предотвращения инцидентов
ИБ в будущем, улучшения внедрения и использования защитных
мер, улучшения общей системы управления инцидентами ИБ. 33
33

34.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
Системный подход к а управлению инцидентами ИБ
Назначение
Определение:
СУИИБ
Система управления инцидентами ИБ (СУИИБ) –
часть общей системы управления организации, предназначенная
для:
обнаружения и регистрации, оценки, классификации и
приоритезации, всестороннего исследования, обработки,
извлечения уроков и предотвращения инцидентов ИБ в
дальнейшем
и включающая организационную структуру, политику,
планирование действий, обязанности,
установившийся порядок, процедуры, процессы и
Структура
34
СУИИБ
ресурсы в области реагирования на инциденты34
ИБ.

35.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
Системный подход к а управлению инцидентами ИБ
35

36.

УИБ
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
- Проверка и оценка деятельности по обеспечению ИБ:
Тема 1
Почему?
Актуальные вопросы, возникающие на объекте, функционирующем в
условиях существования угроз в информационной сфере:
• Имеются ли в текущей конфигурации систем уязвимости, которые
могут быть использованы для несанкционированного доступа
(НСД) и взлома системы?
• Насколько адекватны существующим рискам ИБ реализованные
защитные меры?
• Какие контрмеры позволят реально повысить существующий
уровень защиты?
• Как оценить уровень защищенности объекта и как определить,
является ли он достаточным в данной среде функционирования?
• На какие критерии оценки защищенности следует
ориентироваться, и какие показатели защищенности
использовать?
Ответы: в области проверки и оценки деятельности по обеспечению ИБ
36
36

37.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
- Проверка и оценка деятельности по обеспечению ИБ:
Почему?
Любые защитные меры в силу ряда объективных причин со
временем имеют тенденцию к ослаблению своей
эффективности, в результате чего общий уровень ИБ может
снижаться. Это неминуемо ведет к возрастанию рисков
нарушения ИБ.
Для того, чтобы это не допустить, необходимо:
определить процессы, обеспечивающие контроль (проверку
и оценку деятельности по управлению ИБ);
оценить эффективность обеспечения ИБ, используя
«процессный подход»
37
37

38.

УИБ
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
- Проверка и оценка деятельности по обеспечению ИБ:
Тема 1
Это
элемент управления ИБ
- Проверка и оценка ИБ и СУИБ как части системы обеспечения ИБ
(СОИБ) организации и, как результат, выявление признаков
деградации используемых защитных мер могут проводиться
путем выполнения следующих процессов на уровне как всей
организации, так и ее отдельных активов – систем, сетей,
сервисов, самой информации:
1) мониторинга и контроля используемых защитных мер (как
непрерывные во времени, постоянно проводимые процессы);
2) самооценки ИБ (проводимые в рамках заданного интервала
времени с установленными программой и планом проведения);
3) внешнего и внутреннего аудита ИБ (проводимые с
установленными программой и планом проведения);
4) анализа функционирования СУИБ (в том числе со стороны
руководства) (также проводимые с установленной
периодичностью).
38
38

39.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
- Проверка и оценка деятельности по обеспечению ИБ:
Это элемент управления ИБ
Определения:
Мониторинг ИБ и контроль защитных мер (мониторинг
ИБ) – постоянное наблюдение за объектами и
субъектами, влияющими на обеспечение ИБ
организации, а также сбор, анализ и обобщение
результатов наблюдений.
Целями мониторинга ИБ - оперативное и постоянное
наблюдение, сбор, анализ и обработка данных для
каждого из направлений деятельности СУИБ в
соответствии с заданными целями, а также
обеспечение полной, своевременной, достоверной
информацией для принятия обоснованных решений в
области ИБ.
39
39

40.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
- Проверка и оценка деятельности по обеспечению ИБ:
Это элемент управления ИБ
Определения:
Самооценка ИБ –
систематический и документируемый процесс получения
ее сотрудниками свидетельств деятельности
организации по ОИБ и установления степени
выполнения установленных критериев самооценки ИБ.
Критерии самооценки ИБ –
совокупность политики, процедур или требований,
используемых для сопоставления с ними свидетельств
самооценки ИБ.
40
40

41.

УИБ
Тема 1
Базовыми процессами УИБ являются:
- Управление рисками ИБ .
- Управление инцидентами ИБ.
- Проверка и оценка деятельности по обеспечению ИБ:
Это элемент управления ИБ
Определения:
Внутренний аудит ИБ –
деятельность по контролю функционирования различных аспектов
обеспечения ИБ, регламентированная внутренними
документами организации и осуществляемая представителями
специального контрольного органа (подразделения организации)
в рамках помощи органам управления организации.
Внешний аудит ИБ –
систематический, независимый и документируемый процесс
получения свидетельств деятельности организации по
обеспечению ИБ и установления степени выполнения в ней
критериев аудита ИБ, проводимый внешней по отношению к
проверяемой независимой проверяющей организацией и
допускающий возможность формирования профессионального
аудиторского суждения о состоянии ИБ организации.
41
41

42.

УИБ
Тема 1
Процессы управления ИБ и система управления ИБ (СУИБ)
СУИБ - часть общей системы управления организации, основанная на
подходе оценки и анализа бизнес-рисков,
предназначена (назначение СУИБ) для разработки, внедрения,
эксплуатации, постоянного контроля, анализа, поддержания и
улучшения системы обеспечения ИБ,
включающая (структура СУИБ) организационную структуру, политику,
планирование действий, обязанности, установившийся порядок,
процедуры, процессы и ресурсы в области ИБ
42
42

43.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Современный подход:
новая парадигма
Основные идеи парадигмы (модели) обеспечения ИБ:
«флаги» новой парадигмы:
Главный «флаг»: Управление информационной безопасности
Составляющие «флага»:
1.Управление рисками ИБ.
2.Управление инцидентами ИБ.
3.Проверка и оценка деятельности по управлению ИБ
4.Взаимодействие с управлением непрерывностью бизнеса
43

44.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Современный подход:
(новая парадигма) устойчивость
процессов управления обеспечением непрерывности
бизнеса
Определить основные идеи парадигмы обеспечения ИБ в
организации.
Определить основные цели деятельности в рамках модели.
Обеспечение эффективного управления ИБ
Определить основное содержание деятельностей в рамках
модели.
1.Управление рисками ИБ.
2.Управление инцидентами ИБ.
3.Проверка и оценка деятельности по управлению ИБ
Определить стратегию обеспечения ИБ.
Обеспечить непрерывность бизнеса
44

45.

УИБ
Тема 1
Исходная концептуальная схема (парадигма) обеспечения ИБ
Определить основное содержание деятельностей в рамках модели:
1.Управление рисками ИБ. 2.Управление инцидентами ИБ. 3.Проверка и
оценка деятельности по управлению ИБ
Этапы процесса ОИБ организации
45

46.

УИБ
Тема 1
Концептуальные подходы к управлению
информационной безопасностью
• Нормативная база управления ИБ
• Термины и определения
• Управление ИБ организации
• Управление ИБ технологии (ИТТ)
• Система управления ИБ
• Политики ИБ
46

47.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: стандарты (лучшая практика)
В соответствие с этими стандартами обеспечение ИБ (ОИБ) в любой
организации заключается в выполнении следующих действий:
• определение целей ОИБ;
• создание эффективной СУИБ;
• расчет совокупности детализированных не только качественных, но и
количественных показателей для оценки соответствия уровня ИБ
заявленным целям;
• применение инструментария ОИБ и оценки ее текущего состояния;
• использование методик (с понятной системой критериев и защитных
мер, или мер ОИБ) в процессе анализа и управления рисками,
позволяющих объективно оценить текущее состояние дел в
организации.
47

48.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: Стандарты серии ISO/IEC 27000:

49.

УИБ
Тема 1
Нормативная база управления ИБ: Стандарты серии 27000
Номер
и год принятия
27000:2014
27001:2013/
Cor 1:2014
27002:2013
27003:2010
27004:2009
27005:2011
27006:2011
27007:2011
27008:2011
27009
27010:2012
27011:2008
27013:2012
27014:2013
27015:2012
27016:2014
Название
СУИБ. Обзор и основные термины
СУИБ. Требования (на основе BS 7799–2:2005)
Практические правила управления ИБ (ранее ISO/IEC 17799:2005)
Руководство по внедрению СУИБ (готовится новая редакция)
Управление ИБ. Оценка СУИБ (готовится новая редакция)
Управление рисками ИБ (на основе BS 7799–3:2006)
Требования к органам, обеспечивающим аудит и сертификацию СУИБ
Руководство по аудиту СУИБ (готовится новая редакция)
Руководство по аудиту средств управления ИБ, реализованных в СУИБ
Использование и применение ISO/IEC 27001 при сертификации
аккредитованных третьих сторон для отдельного сектора/сервиса
Управление ИБ при коммуникации между секторами (в нескольких частях,
предоставляющих руководство по совместному использованию информации
о рисках ИБ, средствах управления, проблемах и/или инцидентах ИБ,
выходящих за границы отдельных секторов экономики и государств,
особенно в части, касающейся критичных инфраструктур)
Руководство по управлению ИБ для телекоммуникационных компаний на
основе ISO/IEC 27002 (готовится новая редакция)
Руководство по интегрированному внедрению ISO 27000 и ISO 20000-1
Руководство ИБ
Руководство по внедрению СУИБ для финансовых сервисов (банков,
страховых компаний, кредитных организаций и т.д.)
Управление ИБ. Экономика организации

50.

УИБ
Тема 1
Нормативная база управления ИБ: Стандарты серии 27000
Практические правила для средств управления ИБ для сервисов облачных
вычислений на основе ISO/IEC 27002
Практические правила для средств управления защитой данных в общедоступных
27018:2014
сервисах облачных вычислений
Руководство по управлению ИБ на базе ISO/IEC 27002 для систем управления
27019:2013
процессами, характерными для энергетической промышленности
Руководство по готовности информационных и телекоммуникационных технологий
27031:2011
для обеспечения непрерывности бизнеса (на основе BS 25699:2006/2007)
27017
27032:2012 Руководство по обеспечению кибербезопасности
27033
27034
27033–1:2009 Безопасность сетей. Часть 1. Общие положения и концепции (готовится
новая редакция)
27033–2:2012 Руководство по проектированию и внедрению системы обеспечения
безопасности сетей
27033–3:2010 Базовые сетевые сценарии – угрозы, методы проектирования и средства
управления
27033–4:2014 Обеспечение безопасности межсетевых взаимодействий при помощи
шлюзов безопасности
27033–5:2013 Обеспечение безопасности связи в сетях на основе использования
виртуальных частных сетей
27033–6 Защита беспроводного доступа к IP-сетям
27034–1:2011/Cor1:2014 Безопасность приложений. Часть 1. Обзор и основные
концепции в области обеспечения безопасности приложений
27034–2 Нормативная база организации
27034–3 Процесс управления безопасностью приложений
27034–4 Оценка безопасности приложений
27034–5 Протоколы и структура управляющей информации для обеспечения
безопасности приложений (XML-схема)
27034–6 Руководство по обеспечению безопасности конкретных приложений

51.

УИБ
Тема 1
Нормативная база управления ИБ: Стандарты серии 27000
Управление инцидентами безопасности (заменил ISO/IEC ТR 18044) (готовится 3
новых части)
27036-1:2014 ОИБ при взаимоотношениях с другими организациями (поставщиками).
Часть 1: Обзор и концепции
27036-2:2014 Требования
27036
27036-3:2013 Руководство по защите цепи поставок информационных и
коммуникационных технологий
Руководство по идентификации, сбору и/или получению и обеспечению сохранности
27037:2012
свидетельств, представленных в электронной форме (на основе BS 10008:2008)
27038:2014 Спецификация для изданий, представленных в электронной форме
Выбор, размещение и функционирование систем обнаружения вторжений (будет
27039
вместо 18043:2006)
27040
Безопасность хранения данных
Руководство по обеспечению применимости и адекватности методов исследования
27041
свидетельств, представленных в электронной форме
Руководство по анализу и интерпретации свидетельств, представленных в
27042
электронной форме
Принципы и процессы исследования свидетельств, представленных в электронной
27043
форме
27044
Руководство по управлению информацией и событиями безопасности (SIEM)
27050
Электронное исследование
27789:2013 Аудит электронных медицинских записей
27799:2008 Управление ИБ в сфере здравоохранения
27035:2011
29147:2014 Обнаружение уязвимостей
30111:2013 Процессы устранения уязвимостей
20004:2012 Усовершенствование анализа уязвимостей ПО на базе ISO/IEC 15408 и ISO/IEC 18045
18045:2008 Методология оценки безопасности ИТ (стандарт, сопровождающий ISO/IEC 15408)

52.

УИБ
Тема 1
Нормативная база управления ИБ: Стандарты серии 27000
Российский стандарт
ГОСТ Р ИСО/МЭК 27000-2012
ГОСТ Р ИСО/МЭК 27001-2006
ГОСТ Р ИСО/МЭК 27002-2012
ГОСТ Р ИСО/МЭК 27003-2012
ГОСТ Р ИСО/МЭК 27004-2011
ГОСТ Р ИСО/МЭК 27005-2010
ГОСТ Р ИСО/МЭК 27006-2008
ГОСТ Р ИСО/МЭК 27011-2012
ГОСТ Р ИСО/МЭК 27031-2012
ГОСТ Р ИСО/МЭК 27033-1-2011
Международный
Британский
стандарт
стандарт
BS ISO/IEC 27000:2009
ISO/IEC 27001:2005
BS 7799-2:2002
ISO/IEC 27002:2005
BS ISO/IEC 27003:2010
BS ISO/IEC 27004:2009
ISO/IEC 27005:2008
BS 7799-3:2005
BS ISO/IEC 27006:2007
BS ISO/IEC 27011:2008
BS ISO/IEC 27031:2011
BS ISO/IEC 27033-1:2009
ГОСТ Р ИСО/МЭК 18045-2013
ГОСТ Р ИСО/МЭК 15408-1-2008
ГОСТ Р ИСО/МЭК 15408-2-2013
ГОСТ Р ИСО/МЭК 15408-3-2013
BS ISO/IEC 18045:2008
BS ISO/IEC 15408-1:2005
BS ISO/IEC 15408-2:2008
BS ISO/IEC 15408-3:2008
52

53.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: Стандарты серии ГОСТ Р
ИСО/МЭК 27000:
1. ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства обеспечения
безопасности. Системы менеджмента информационной безопасности.
Требования.
2. ГОСТ Р ИСО/МЭК 17799-2006 ИТ. Методы и средства обеспечения
безопасности. Практические правила менеджмента информационной
безопасности.
3. ГОСТ Р ИСО/МЭК 27004-2011 ИТ. Методы и средства обеспечения
безопасности. Менеджмент информационной безопасности. Измерения.
4. ГОСТ Р ИСО/МЭК 27005-2010 ИТ. Методы и средства обеспечения
безопасности. Менеджмент риска информационной безопасности.
5. ГОСТ Р ИСО/МЭК 27006-2008 ИТ. Методы и средства обеспечения
безопасности. Требования к органам, осуществляющим аудит и
сертификацию систем менеджмента информационной безопасности.
6. ГОСТ Р ИСО/МЭК 27033-1-2011 ИТ. Методы и средства обеспечения
безопасности. Безопасность сетей. Часть 1. Обзор и концепции.
53

54.

ООНиИББ
Тема 4.2
Концептуальные подходы к управлению ИБ
Нормативная база управления ИБ: Стандарты «управление ИБ
ИТТ»
1. ГОСТ Р ИСО/МЭК 13335-1-2006 ИТ. Методы и средства
обеспечения безопасности. Часть 1. Концепция и модели
менеджмента безопасности информационных и
телекоммуникационных технологий.
2. ГОСТ Р ИСО/МЭК ТО 13335-3-2007 ИТ. Методы и средства
обеспечения безопасности. Часть 3. Методы менеджмента
безопасности информационных технологий.
3. ГОСТ Р ИСО/МЭК 13335-4-2006 ИТ. Методы и средства
обеспечения безопасности. Часть 4. Выбор защитных мер.
4. ГОСТ Р ИСО/МЭК ТО 13335-5-2006 ИТ. Методы и средства
обеспечения безопасности. Часть 5. Руководство по
менеджменту безопасности сети.
5. ГОСТ Р ИСО/МЭК ТО 18044 – 2007 ИТ. Методы и средства
обеспечения безопасности. Менеджмент инцидентов
информационной безопасности.
54

55.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Термины и определения
Обеспечение ИБ – это системный процесс, а не состояние.
Процессом надо управлять!
Определения:
«процесс» – это совокупность взаимосвязанных или взаимодействующих видов
деятельности, преобразующая входы в выходы и требующая для этого
определенных ресурсов и управляющих воздействий (управления);
«бизнес-процесс» - множество из одной или нескольких
упорядоченных во времени, логически связанных и завершенных
видов деятельности, в совокупности поддерживающих
деятельность организации и реализующих ее политику,
направленную на достижение поставленных целей;
«управление» - осуществление совокупности непрерывных взаимосвязанных
воздействий на объект (управляемую систему), выбранных из множества
возможных воздействий на основании информации о поведении объекта и
состоянии внешней среды для достижения заданной цели;
«система управления» - система, в которой реализуются функции управления.
55

56.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Термины и определения
Определения –пояснения
• Control – исторически первый из применяемых в информационных
технологиях (ИТ) терминов, отражающий самые простейшие операции
в области управления, в большей степени с точки зрения технического
аспекта деятельности.
• Management – термин, который первоначально употреблялся в
отношении управления человеческими ресурсами; в настоящее время
встречается в сочетании с множеством понятий из области ИТ и
имеет смысл организации и регулирования какой-либо деятельности,
т. е. ее администрирования.
• Governance – термин, который стал активно использоваться
применительно к ИТ только в последнем десятилетии; под ним обычно
понимается руководство по организации и контролю за какой-либо
деятельностью. Это слово переводится на русский как «власть,
руководство, управление».
56

57.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Термины и определения
Определения – пояснения
• Менеджмент –
как особый вид профессионально осуществляемой (осуществляемой
профессионалами – профессиональными управляющими) деятельности,
направленной на достижение определенных целей путем рационального
использования материальных и трудовых ресурсов с применением
определенных научных подходов, принципов, функций и методов;
объединение управленческой деятельности с кадровой политикой;
состояние всей управленческой инфраструктуры в различных масштабах;
процесс оптимизации человеческих, материальных и финансовых ресурсов
для достижения организационных целей;
теория и практика научного и хозяйственного управления организацией в
условиях рынка;
система научных знаний, составляющих теоретическую базу
практического опыта в области управления и имеющих
междисциплинарный характер;
совокупность лиц, идентифицируемых с менеджерами, а также с органами
или аппаратом управления и т. п.
57

58.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Термины и определения
Определения –пояснения
• Менеджмент –
• способ (манера) обращения с людьми, власть и искусство управления,
особого рода административные навыки, орган управления;
• совокупность принципов, форм, методов, приемов и средств
управления производством и производственным персоналом с
использованием достижений науки управления ;
• искусство управления интеллектуальными, финансовыми,
материальными ресурсами ;
• эффективное и результативное достижение целей организации
посредством планирования, организации, лидерства (руководства) и
контроля над организационными ресурсами ;
• скоординированная деятельность по руководству и управлению
организацией [ГОСТ Р ИСО 9000-2001].
Поэтому иногда делают вывод, что понятие менеджмента шире, чем
просто управление.
58

59.

УИБ
Тема 1
Концептуальные подходы к ИБ
Термины и определения
Управление: процессный подход (улучшение процессов)
Процессный подход: циклическая модель (для структурирования всех процессов
управления и для обеспечения учета всех значимых элементов процессного
подхода) PDCA (от англ. Plan-Do-Check-Act – планируй – выполняй –
проверяй – действуй»)
Циклическая модель:
Предложена и развита двумя американскими учеными и специалистами в
теории управления качеством. Шухарт (Walter A. Shewhart) (1939 г.
«Статистические методы с точки зрения управления качеством»)
Пропагандировалась: Деминг (William Edwards Deming) в качестве основного
способа достижения непрерывного улучшения процессов (цикл PDSA).
59

60.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Термины и определения
Управление ИБ – Управление обеспечением ИБ
Управление ИБ:
• техническую составляющую процесса управления с единой консоли
распределенной системой агентов, решающих в сетевой среде
различные задачи по ОИБ – обнаружение вторжений и вирусов,
управление настройками систем защиты и т. д.
• управление программными или аппаратными СЗИ.
Более правильно рассматривать управление ИБ
как совокупность целенаправленных действий, осуществляемых для
обеспечения нормального функционирования основных процессов и, в
конечном счете, достижения бизнес-целей организации посредством
обеспечения защищенности ее информационной сферы.
Определение:
«информационная сфера» - представляет собой совокупность
информации, информационной инфраструктуры (состоит из банков
данных и знаний, систем связи и т. п.), субъектов, осуществляющих
сбор, формирование, распространение, хранение и использование
информации, а также системы регулирования возникающих при этом
отношений.
60

61.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Термины и определения
Управление ИБ – Управление обеспечением ИБ
Различают:
Управление ИБ организации
Управление ИБ технологии (ИТТ)
Определение:
«Управление ИБ организации» - управление ИБ организации как циклический
процесс, состоящий из совокупности целенаправленных действий,
осуществляемых для достижения заявленных бизнес-целей организации
посредством обеспечения защищенности ее информационной сферы, и
включающий :
осознание необходимости ОИБ,
постановку задачи по ОИБ,
оценку текущей ситуации и состояния объекта управления,
планирование мер по обработке рисков ИБ,
реализацию, внедрение и оценку эффективности соответствующих
защитных мероприятий и средств управления,
распределение ролей и ответственности в области ОИБ,
обучение и мотивацию сотрудников, выбор управляющих и корректирующих
воздействий и их реализацию.
61

62.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Управление ИБ организации
Управление (обеспечением) ИБ организации
– это не разовое мероприятие. Его следует рассматривать как непрерывную
деятельность по постоянному поддержанию требуемого организацией
уровня ИБ, так как правильно управляемая ИБ – инструмент успешного
ведения бизнеса.
Основным предметом управления ИБ в организации являются следующие
области деятельности:
• планирование работ по ОИБ, включая разработку и продвижение
соответствующей документации;
• поддержка и участие в эксплуатации защитных мер;
• осуществление контроля за ОИБ и уровнем ИБ;
• совершенствование работ по ОИБ на основе собственного опыта и лучших
практик.
62

63.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Управление ИБ организации
В целом процесс управления ИБ организации, носящий циклический характер,
заключается в следующем:
• описание объектов управления и защищаемых активов организации и сбор
данных об их состоянии;
• выявление и формализация возможных угроз ИБ и анализ рисков ИБ;
• оценка защищенности объектов управления (с выявлением уязвимостей) и
ее сравнение с требованиями по ОИБ организации, сформулированными в
Политике ИБ организации (ПолИБ);
• формирование управляющих воздействий;
• оценка результирующей деятельности по управлению ИБ.
Определение:
«Политика ИБ организации» - документация, определяющая высокоуровневые
цели, содержание и основные направления и устанавливающая правила,
процедуры, практические приемы и руководящие принципы обеспечения ИБ
активов организации, которыми она руководствуется в своей деятельности.
63

64.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Управление ИБ организации
Цель управления ИБ в организации:
заключается в гарантировании того, что
соответствующие мероприятия по обеспечению ИБ
осуществляются таким образом, что в текущий момент
надлежащим образом:
1) снижены риски ИБ;
2) осуществляются инвестиции в обеспечение ИБ;
3) руководство ознакомлено со всеми осуществляемыми
мероприятиями;
4) верно сформулированы критерии оценки эффективности
обеспечения ИБ.
64

65.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Управление ИБ организации
Уровни управления ИБ организации:
65

66.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Управление ИБ организации: Функциональная структура управления ИБ
организации
66

67.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Управление ИБ технологии (ИТТ)
Управление обеспечением ИБ ИТТ организации
Процесс управления ИБ ИТТ :
• интегрируется в общий процесс управления ИТТ;
• основывается на определенных принципах (например,
изложенных в ГОСТ Р ИСО/МЭК 13335–1);
• имеет определенные этапы, например (ГОСТ Р ИСО/МЭК ТО
13335-3):
анализ требований по ОИБ ИТТ;
разработка плана выполнения этих требований;
реализация положений выработанного плана;
управление и административный контроль над процессом
управления ИБ ИТТ.
67

68.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Управление ИБ технологии (ИТТ)
Этапы процесса управления обеспечением ИБ ИТТ
68

69.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Система управления ИБ
Управление ИБ в организации включает в себя две важнейшие
составляющие:
- собственно сам процесс управления ИБ;
- систему управления ИБ (СУИБ) организации.
Определение:
«Система управления ИБ организации» -часть общей
системы управления организации, основанная на подходе
оценки и анализа бизнес-рисков, предназначена для
разработки, внедрения, эксплуатации, постоянного
контроля, анализа, поддержания и улучшения системы
обеспечения ИБ, и включающая организационную
структуру, политику, планирование действий,
обязанности, установившийся порядок, процедуры,
процессы и ресурсы в области ИБ
69

70.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Система управления ИБ
Определение:
«Система управления ИБ организации» часть общей системы управления организации, основанная на
подходе оценки и анализа бизнес-рисков,
предназначена (назначение СУИБ) для разработки, внедрения,
эксплуатации, постоянного контроля, анализа,
поддержания и улучшения системы обеспечения ИБ,
включающая (структура СУИБ) организационную структуру,
политику, планирование действий, обязанности,
установившийся порядок, процедуры, процессы и ресурсы в
области ИБ
70

71.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Система управления ИБ: выполняет следующие функции:
• реализует целенаправленный, систематический и комплексный
подход к управлению ИБ защищаемых активов, что приводит к
повышению текущего уровня их защищенности;
• объединяет все применяемые в организации защитные и
организационные меры в единый, адекватный реальным угрозам
ИБ и управляемый комплекс, позволяющий достигать цели
обеспечения ИБ на уровне всей организации;
• позволяет четко установить, как взаимосвязаны процессы и
подсистемы обеспечения ИБ, кто за них отвечает, какие
финансовые и трудовые ресурсы необходимы для их
эффективного функционирования и т. д.;
• проводит процесс выполнения ПолИБ и позволяет находить и
устранять слабые места в обесмпечении ИБ;
• охватывает людей, процессы и ИТ-структуру организации.
71

72.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Система управления ИБ: Выгоды от использования СУИБ (начало):
• обеспечение соответствия уровня ИБ законодательным, отраслевым,
контрактным, внутрикорпоративным требованиям и целям бизнеса;
• доказательство стремления высшего руководства к ОИБ в
необходимом объеме для всей организации в соответствии с
установленными требованиями;
• повышение доверия партнеров, клиентов, заказчиков за счет
демонстрации высокого уровня ОИБ всем заинтересованным сторонам;
• управляемое ОИБ и контролируемое управление ИБ (особенно
в критичных ситуациях);
• систематизация процессов ОИБ;
• расстановка приоритетов в области ИБ;
• достижение «прозрачности» в ОИБ;
• обеспечение понятности защищаемых активов для руководства;
72

73.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Система управления ИБ: Выгоды от использования СУИБ (окончание):
• выявление угроз ИБ для бизнес-процессов;
• достижение адекватности ОИБ существующим рискам;
• предупреждение возникновения инцидентов ИБ и снижение ущерба в
случае их возникновения;
• повышение культуры ИБ в организации;
• интеграция защитных мер в бизнес-процессы;
• оптимизация (за счет формализации всех процессов ОИБ) и обоснование
расходов на ИБ;
• снижение финансовых рисков и рисков прямых потерь;
• снижение операционных рисков за счет повышения экономической
эффективности ОИБ;
• снижение рисков для инвесторов за счет повышения прозрачности
процессов внутри организации;
• экономия времени, ресурсов и затрат на начальной стадии сбора
информации при проведении любых аудитов ИБ;
• создание информации, порождаемой в процессе использования СУИБ, для
всех заинтересованных сторон и т. д.
73

74.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Система управления ИБ:
Формирование СУИБ:
1. Область действия СУИБ
2. Документальное обеспечение СУИБ
3. Политика СУИБ
4. Поддержка СУИБ со стороны руководства организации
Методологическая основа СУИБ: процессный подход в рамках управления
ИБ:
1. Планирование СУИБ
2. Реализация СУИБ
3. Проверка СУИБ
4. Совершенствование СУИБ
Работа с процессами СУИБ
Стратегия построения и внедрения СУИБ
74

75.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Система управления ИБ:
Методологическая основа СУИБ: процессный подход в рамках управления
ИБ: 1.Планирование СУИБ; 2.Реализация СУИБ; 3.Проверка СУИБ;
4.Совершенствование СУИБ
75

76.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Система управления ИБ:
Методологическая основа СУИБ: процессный подход в рамках управления
ИБ:
76

77.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Система управления ИБ:
Работа с процессами СУИБ: Основные процессы СУИБ
77

78.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Система управления ИБ:
Стратегия построения и внедрения СУИБ
Два подхода:
1) построение и внедрение СУИБ в целом;
Достоинство: уже через небольшое время возможно обеспечить
логическую связь между процессами управления ИБ и создать условия
для работы СУИБ на всех этапах цикла PDCA.
2) построение и внедрение процессов управления ИБ по отдельности с
последующим объединением их в единую СУИБ.
Достоинство: процессы будут внедряться постепенно, тщательнее
будут отлаживаться и корректироваться в соответствии с
потребностями организации
78

79.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Политика ИБ: Причины выработки политики ИБ:
Наиболее правильный и эффективный способ добиться минимизации рисков
нарушения ИБ организации еще до того, как появится первая проблема с
безопасностью, – разработать ПолИБ и в соответствии с ней реализовать,
эксплуатировать и совершенствовать СОИБ организации.
Почему?
• ПолИБ составляет общую основу для защиты всех влияющих на ОИБ активов
организации, в рамках которой определяются правила разграничения доступа
к этим активам.
• ПолИБ определяет, какое поведение по отношению к активам разрешено, т. е.
является санкционированным, а какое запрещено, является
несанкционированным и свидетельствует о незаконном их использовании.
• ПолИБ определяет «правила игры» для всех сотрудников организации и
третьих лиц, что позволяет достичь согласия по вопросам ОИБ как внутри
самой организации (включая ее руководство), так и вовне.
• ПолИБ часто помогает сделать правильный выбор самой платформы для
работы с активами, учитывая, какие инструментальные средства и
процедуры будут использованы.
79

80.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Политика ИБ: Причины выработки политики ИБ:
Среди других причин, побуждающих организацию разрабатывать ПолИБ,
выделяют:
• Требование руководства, обнаружившего недостаток внимания к проблемам
ИБ, которые привели к снижению эффективности бизнеса.
• Требования законодательства и отраслевых стандартов.
• Требования клиентов и партнеров о подтверждении необходимого уровня ОИБ
для гарантии того, что их конфиденциальная информация защищена
надлежащим образом.
• Необходимость сертификации по стандартам (например, ISO/IEC 9001, 27002,
15408 и т. п.).
• Устранение замечаний аудиторов и выполнение их рекомендаций.
• Обеспечение конкурентоспособности за счет оптимизации бизнес-процессов и
увеличения результативности.
• Демонстрация заинтересованности руководства в ОИБ, что значительно
увеличивает приоритет безопасности в глазах сотрудников организации.
• Создание корпоративной культуры ИБ и широкое вовлечение сотрудников в
процесс ОИБ.
• Уменьшение стоимости страхования.
• Экономическая целесообразность.
80
• Хорошая практика.

81.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Политика ИБ:
Важность:
Политика ….. организации
• Политика ИБ
• Политика обеспечения ИБ
• Политика обеспечения ИБ организации
• Политика системы управления ИБ
Первостепенной целью разработки ПолИБ организации
является обеспечение решения вопросов ОИБ в пределах
организации и вовлечение ее высшего руководства в
данный процесс.
81

82.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Политика ИБ:
2. Базовые понятия
«Политика ИБ» •совокупность требований и правил по ИБ для объекта ИБ, выработанных в
соответствии с требованиями руководящих и нормативных документов в целях
противодействия заданному множеству угроз ИБ, с учетом ценности
защищаемой информационной сферы;
•совокупность документированных правил, процедур, практических приемов или
руководящих принципов в области безопасности информации, которыми
руководствуется организация в своей деятельности;
•документация, определяющая высокоуровневые цели, содержание и основные
направления и устанавливающая правила, процедуры, практические приемы и
руководящие принципы обеспечения ИБ активов организации, которыми она
руководствуется в своей деятельности.
•одно или несколько правил, процедур, практических приемов в области
безопасности, которыми руководствуется организация в своей деятельности;
•документированные решения в области обеспечения ИБ;
ПолИБ =
Что защищать (активы) + Отчего защищать (угрозы-уязвимости) + как
защищать (стратегия защиты)
82

83.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Политика ИБ:
В современной практике ОИБ термин ПолИБ может употребляться:
•В широком смысле как система документированных управленческих решений по
ОИБ организации (корпоративная ПолИБ)
•В узком смысле – отдельный нормативный документ, определяющий требования
безопасности, систему мер и/или порядок действий, а также ответственность
сотрудников организации и средства управления для определенной области ОИБ
(частная ПолИБ)
Частная ПолИБ - это:
•ПолИБ по конкретным вопросам или проблемам (issue-specific);
•ПолИБ по конкретным системам (system-specific), ориентированная на отдельную
область ОИБ или технологию, используемую в организации или ее подразделении;
•составляющими корпоративной ПолИБ организации ( ее конкретизация);
•документация, детализирующая положения ПолИБ применительно к одной или
нескольким областям ИБ, видам и технологиям деятельности организации.
Примеры областей частных ПолИБ: ОИБ телекоммуникационных систем и
сервисов, антивирусная защита, доступ в Интернет, использование средств
криптографической защиты и т. д.
В них формулируются требования на создание и эксплуатацию СЗИ, организацию
информационных и бизнес-процессов организации по конкретному направлению
83
ОИБ.

84.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Политика ИБ:
Еще один подход разделяет ПолИБ на две категории:
• организационная или административные, выполняемые людьми
• технические, реализуемые с помощью оборудования и программ.
Техническая ПолИБ – это совокупность законов, правил и практических
методов, регулирующих обработку чувствительной информации и
использование ресурсов ПО и аппаратного обеспечения.
ПолИБ могут создаваться для:
•отдельных пользователей;
•группы пользователей (для отдельного департамента, роли/должности,
внутри организации или за ее пределами - для партнеров, клиентов,
аудиторов и т. п.).
84

85.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Политика ИБ: Причины выработки политики ИБ:
Среди других причин, побуждающих организацию разрабатывать ПолИБ,
выделяют:
• Требование руководства, обнаружившего недостаток внимания к проблемам
ИБ, которые привели к снижению эффективности бизнеса.
• Требования законодательства и отраслевых стандартов.
• Требования клиентов и партнеров о подтверждении необходимого уровня ОИБ
для гарантии того, что их конфиденциальная информация защищена
надлежащим образом.
• Необходимость сертификации по стандартам (например, ISO/IEC 9001, 27002,
15408 и т. п.).
• Устранение замечаний аудиторов и выполнение их рекомендаций.
• Обеспечение конкурентоспособности за счет оптимизации бизнес-процессов и
увеличения результативности.
• Демонстрация заинтересованности руководства в ОИБ, что значительно
увеличивает приоритет безопасности в глазах сотрудников организации.
• Создание корпоративной культуры ИБ и широкое вовлечение сотрудников в
процесс ОИБ.
• Уменьшение стоимости страхования.
• Экономическая целесообразность.
85
• Хорошая практика.

86.

УИБ
Тема 1
Концептуальные подходы к управлению ИБ
Подробно: Электронные образовательные курсы
(ЭОК):
ЭОК-1
«УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ» (324 экрана)
ЭОК-2
«УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» (199 )
ЭОК-3
«УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ»
(154)
ЭОК-4
«ПРОВЕРКА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
(152 )
86

87.

УИБ
Тема 1
1.3. Порядок освоения дисциплины
3. Самостоятельная работа: выполнение комплексного
группового домашнего задания
Группа: 4 человека («бригада» с выбранным руководителем)
Тема: «Управление обеспечением ИБ <объекта>»
Составляющие темы:
1. Описание <объекта>. Политика ИБ <объекта>
2.Управление рисками ИБ <объекта>
3. Управление инцидентами ИБ <объекта>
4. Контроль обеспечения ИБ <объекта>
87