16.15M
Похожие презентации:
Стандарты информационной безопасности иностранных государств
Стандарты информационной безопасности иностранных государств
Система управления информационной безопасности
Система управления информационной безопасности
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Управление документацией
Управление документацией
Аудит безопасности информационных систем
Аудит безопасности информационных систем
Обзор стандартов и методических документов в области защиты информации
Обзор стандартов и методических документов в области защиты информации
Управление информационной безопасностью. Политика информационной безопасности
Управление информационной безопасностью. Политика информационной безопасности
Организация анализа рисков информационной безопасности. (Лекция 8)
Организация анализа рисков информационной безопасности. (Лекция 8)
Политика информационной безопасности
Политика информационной безопасности
Политика информационной безопасности
Политика информационной безопасности

IT-specialisty-i-Dokumentaciya-Neizbezhnaya-Svyaz (1)

1.

ИТ-специалисты и
Документация: Неизбежная
Связь
Найти ИТ-специалиста, любящего бумажную работу, сложно, но порядок
необходим. При аудите ИС по модели "белого ящика" документация — ваш
главный инструмент. Хороший специалист запросит документацию к
системе, а лучший — изучит всю релевантную документацию
предприятия.

2.

Почему Документация Важна?
1
2
Обязательность Исполнения
Оптимизация Работы
Документы обязательны для исполнения.
Грамотная инструкция экономит время, избавляя от
Игнорирование инструкций может повлечь наказание, в
бесконечных собраний и индивидуального обучения.
отличие от устных предупреждений.
3
4
Взаимодействие с Коллегами
Непрерывность Бизнеса
Документация позволяет быстро решать проблемы в
Документация обеспечивает плавную передачу систем
отсутствие коллег, например, при DDoS-атаке.
новым сотрудникам, снижая риски текучести кадров.

3.

Документация — это Процесс
Управление документацией —
это непрерывный процесс.
Современные реалии,
особенно в сфере ИБ, быстро
меняются, требуя
постоянного пересмотра и
корректировки нормативных
документов.
Понимание важности
документации — первый шаг
к эффективной и безопасной
ИТ-инфраструктуре.

4.

Политика Безопасности: Основа ИБ
Политика безопасности — это документ верхнего уровня, описывающий общие принципы
информационной безопасности организации. Это "конституция" ИБ, которой должны
соответствовать все остальные документы.
Ключевые Аспекты
• Общие принципы ИБ
• Соответствие
законодательству
• Охват широкого спектра
вопросов

5.

Разработка Политики Безопасности
Лучше создавать политику безопасности индивидуально для каждого предприятия,
учитывая его особенности, риски и стратегию защиты. Шаблоны легко найти, но
персонализация критична.
Индивидуальный Подход
Анализ Рисков
Учитывайте специфику
предприятия и потенциальные
риски.
Определите основные угрозы и
объекты защиты.

6.

Содержание Политики Безопасности
Политика безопасности создается для пользователей и руководства, поэтому должна быть
краткой и понятной. Избегайте технических терминов, если они не разъяснены.
Общие Положения
Цели и Задачи
Реалистичность
Обоснование значимости
документа и объяснение
терминов.
Определение целей ИБ, рисков
и объектов защиты.
Баланс между удобством
использования ИС и их
безопасностью.

7.

Ответственность и Контроль
В конце документа необходимо
определить ответственность служб
и каждого сотрудника за
инциденты ИБ. Также важно
описать механизм контроля за
исполнением положений.
Каждый сотрудник, имеющий
доступ к ИС, должен ознакомиться с
политикой безопасности.

8.

Выводы
Документация — это Необходимость
Основа порядка и эффективности в ИТ.
Политика Безопасности —
Главный Документ
Определяет общие принципы и цели ИБ.
Ясность и Доступность
Постоянное Обновление
Документы должны быть понятны всем
пользователям.
Документация требует регулярного пересмотра
и корректировки.

9.

Стандарты: Основа
Упорядоченности
Стандарт — это образец или эталон, принимаемый за исходный для
сопоставления с другими объектами. Стандарты являются документами
более низкого уровня по отношению к политике безопасности и
предназначены для ИТ-специалистов.

10.

Значение Стандартизации
Унификация
Упорядочение
Взаимосвязь
Достижение необходимого
уровня однообразия.
Систематизация процессов и
систем.
Обеспечение согласованности
информационных систем.
Стандартизировать можно многое: от оценки рисков ИБ до принципов шифрования и физической
безопасности. В больших организациях их значение трудно переоценить.

11.

Международные Стандарты
Международное сообщество разработало стандарты, которыми
можно пользоваться. Однако важно помнить о принципе
реальности исполнения: не всегда у предприятия достаточно
ресурсов для полного копирования международных стандартов.
Нельзя просто взять и скопировать, ведь часто бывает так,
что на текущий момент у предприятия недостаточно
ресурсов для исполнения всего, что описывают
международные стандарты.

12.

Адаптация и Реальность
В таких случаях необходимо
временно изменить некоторые
положения, чтобы документ
соответствовал реальной ситуации.
Иначе документ будет принят, но
не будет исполняться.
Принцип реальности
исполнения: адаптируйте
стандарты под текущие
возможности вашей
организации.

13.

Рекомендуемые Стандарты
ISO/IEC 17799:2002
BSI
ISO 15408
Один из самых известных
стандартов, основанный на
BSI, рассматривает
практические вопросы
управления информационной
безопасностью.
Стандарт, разработанный в
Германии, посвящен
подробному освещению более
частных вопросов.
Описывает общие критерии
безопасности
информационных технологий,
основан на опыте США и
Канады.

14.

Процедуры: Детальный Порядок Действий
Процедуры находятся на самой низкой ступени иерархии документов, но их игнорирование недопустимо. Они
описывают порядок выполнения действий, связанных с ИС, например, создание нового пользователя.

15.

Содержание Процедур
В документе должны описываться:
• Обоснования для заявки на
создание пользователя.
• Должность сотрудника,
имеющего право на заявки.
• Должность специалиста,
обрабатывающего заявку.
• Последовательность
создания пользователя.
• Стандартные привилегии
доступа.
Для расширенных прав доступа требуется отдельная процедура.

16.

Важность Процедур
Упорядочение
Безопасность
Обоснование
Систематизация процессов в
Повышение уровня безопасности ИС.
Возможность сослаться при
организации.
невыполнении действий.
ИТ-специалисты должны пресекать действия в обход процедур. В случае форс-мажора сначала устраните
опасность, затем анализируйте и обновляйте документацию.

17.

Инструкции: Для Рядовых
Пользователей
Инструкции — это правила пользования функционалом ИС, чаще
всего написанные создателем системы для рядовых
пользователей. Они должны быть написаны простым языком, с
минимумом терминологии и с использованием иллюстраций.

18.

Техническая Документация: Для ИТ-Специалистов
01
02
03
Аннотация
Список Сокращений
Схемы
Краткое описание документа и
функций ИС.
Для облегчения понимания коллегами. Логическая и сетевая, графическое
представление.
04
05
06
Инструкция для Администратора
Обновление ИС
Тестирование Работоспособности
Описание установки, конфигурации и
администрирования ИС.
Процедуры обновления, проверки
работоспособности.
Шаги для проверки ИС, критерии успеха.
07
Аварийные Ситуации
Алгоритмы поиска, устранения проблем и восстановления.
Техническая документация должна быть полной и ясной, чтобы даже у менее опытных специалистов не оставалось вопросов.
English     Русский Правила