Похожие презентации:
Система управления информационной безопасностью. Документальное обеспечение
1.
Система управленияинформационной безопасностью.
Документальное обеспечение СУИБ
Толстой Александр Иванович
к.т.н., доцент
Доцент кафедры «Информационная безопасность банковских систем»
НИЯУ МИФИ,
Факультет «Кибернетика и информационная безопасность»,
кафедра
Москва, 2016
2.
СУИБДокументальное обеспечение
Нормативная база документального обеспечения СУИБ:
ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства
обеспечения безопасности. Системы менеджмента
информационной безопасности. Требования.
http://securitypolicy.ru
В соответствии с немецкой
Методика фирмы ИТ-Груншутц (Германия)
2
3.
СУИБДокументальное обеспечение
ГОСТ Р ИСО/МЭК 27001-2006:
Документация должна включать в себя записи решений
руководства, позволяющие обеспечивать контроль
выполнения решений руководства и политик организации, а
также обеспечивать воспроизводимость документированных
результатов.
Важно иметь обратную связь выбранных мер управления с
результатами процессов оценки и обработки риска, а также
последних с политикой СМИБ и целями СМИБ.
3
4.
СУИБДокументальное обеспечение
ГОСТ Р ИСО/МЭК 27001-2006:
Документация СМИБ должна включать в себя следующее:
a) документированные положения политики СМИБ и целей
СМИБ;
b) область функционирования СМИБ;
c) процедуры и меры управления, поддерживающие СМИБ;
d) описание методологии оценки риска;
e) отчет по оценке рисков ;
f) план обработки рисков;
g) документированные процедуры, необходимые
организации для обеспечения эффективного планирования,
внедрения процессов в области ИБ и управления этими
процессами, а также описания путей оценки результативности
мер управления;
h) учетные записи;
i) положение о применимости.
4
5.
СУИБДокументальное обеспечение
ГОСТ Р ИСО/МЭК 27001-2006:
Примечания:
1.Термин "документированная процедура" означает, что
процедура установлена, документально оформлена,
реализована и поддерживается на должном уровне.
2. Для разных организаций объем документации СМИБ может
быть различным в зависимости:
- от размера организации и вида ее деятельности;
- от области применения и сложности требований
безопасности и от управляемой системы.
3. Документы и учетные записи могут существовать в любой
форме и на носителях любого типа.
5
6.
СУИБДокументальное обеспечение
ГОСТ Р ИСО/МЭК 27001-2006:
Управление документами
Для разработки, актуализации, использования, хранения и
уничтожения документов СМИБ, а также их защиты в
организации должна существовать документированная
процедура, определяющая действия руководства по:
a) утверждению документов СМИБ перед их изданием;
b) пересмотру и обновлению, при необходимости,
документов, а также повторному их утверждению;
c) обеспечению идентификации внесенных изменений и
текущего статуса документов;
d) обеспечению наличия версий соответствующих документов
в местах их использования;
e) определению порядка просмотра документов и их
идентификации;
6
7.
СУИБДокументальное обеспечение
ГОСТ Р ИСО/МЭК 27001-2006:
Управление документами
Для разработки, актуализации, использования, хранения и
уничтожения документов СМИБ, а также их защиты в
организации должна существовать документированная
процедура, определяющая действия руководства по:
f) обеспечению доступа к документам авторизованным
лицам, а также передачи, хранения и уничтожения в
соответствии с процедурами, применимыми к степени их
конфиденциальности;
g) идентификации документов, созданных вне организации;
h) обеспечению контроля за распространением документов;
i) предотвращению непреднамеренного использования
устаревших документов;
j) использованию соответствующей идентификации
устаревших документов в случае их дальнейшего хранения.
7
8.
СУИБДокументальное обеспечение
ГОСТ Р ИСО/МЭК 27001-2006:
Управление записями
•Для предоставления свидетельств соответствия требованиям и
результативности функционирования СМИБ необходимо вести и
поддерживать в рабочем состоянии учетные записи.
•Учетные записи необходимо контролировать и защищать. СМИБ должна
принимать во внимание все нормативно-правовые требования и
договорные обязательства, имеющие отношение к ИБ.
•Записи должны быть четкими, легко идентифицируемыми и
восстанавливаемыми.
• Меры управления, требуемые для идентификации, хранения, защиты,
поиска, определения сроков хранения и уничтожения записей должны быть
документированы и реализованы.
Кроме этого, следует вести и хранить записи о выполнении процессов и обо
всех значительных инцидентах информационной безопасности, связанных со
СМИБ.
Примерами записей являются: журнал регистрации посетителей,
отчеты о результатах аудитов, заполненные формы авторизации
доступа.
8
9.
СУИБДокументальное обеспечение
Нормативная база документального обеспечения СУИБ:
http://securitypolicy.ru
В соответствии с немецкой
Методика фирмы ИТ-Груншутц (Германия)
9
10.
СУИБДокументальное обеспечение
Состав внутренних документов, относящихся к СУИБ:
1. Документы первого уровня
(административный)
2. Документы второго уровня
(верхний)
3. Документы третьего уровня
(средний - технический)
4. Документы четвертого уровня
(нижний)
10
11.
СУИБДокументальное обеспечение
Состав внутренних документов, относящихся к СУИБ:
1. Документы первого уровня (административный)
1.1. Орг.структура предприятия
1.2. Приказ о назначении представителя высшего
руководства (ВР) по СУИБ
1.3. Положение о службе безопасности
1.4. Положение о службе ИБ
1.5. Должностная инструкция представителя ВР по
СМИБ
1.6. Должностная инструкция системного
администратора
1.7. Приказ ВР о внедрении и поддержке СМИБ
11
12.
СУИБДокументальное обеспечение
Состав внутренних документов, относящихся к СУИБ:
2. Документы второго уровня (верхний):
2.1. Область действия СУИБ
2.2. Политика СУИБ (политика ИБ)
2.3. Цели СУИБ по процессам
2.4. Анализ достижения целей
2.5. Орг.структура СУИБ
2.6. Положение о применимости направлений ИБ
2.7.Работа с рисками:
• Методика оценки рисков
• Критерии принятия рисков
• Отчет об оценке рисков
• План по обработке рисков
• Заявление ВР о принятии остаточных рисков
2.8.Работа с документами:
• Процедура управления документацией
12
• Процедура управления записями
13.
СУИБДокументальное обеспечение
Состав внутренних документов, относящихся к СУИБ:
2. Документы второго уровня (верхний):
2.9.Внутренние аудиты:
• Процедура проведения внутренних аудитов
• Группа внутреннего аудита
• Программа внутренних аудитов на год
• План аудита
• Отчет об аудите
• Протокол несоответствия
• План корректирующих и предупреждающих действий с
отметкой об анализе результативности действий
• Корректирующие и предупреждающие действия
• Процедура управления корректирующими и
предупреждающими действиями
2.10.Анализ со стороны ВР
• Анализ СУИБ со стороны ВР
13
14.
СУИБДокументальное обеспечение
Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня (средний - технический):
3.1.Общая организация ИБ
• Журналы регистрации событий в области ИБ
3.2.Управление информационными активами
• Договор с третьим лицом по работе с ИА
• Журнал регистрации действий с ИА третьих лиц
• Реестр ИА: классификация ИА, ответственность за ИА,
маркировка ИА, оценка ИА
3.3.Управление персоналом
• Процедура управления персоналом
• Критерии приема персонала
• Программа обучения персонала
• Прием на работу/ При переходе на другую должность/ При
увольнении: Правила ИБ для конкретной должности, Соглашение
о соблюдении правил ИБ, Соглашение о конфиденциальности
• Во время работы: записи об обучении (аттестации)
14
15.
СУИБДокументальное обеспечение
Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня (средний - технический):
3.4.Физическая безопасность:
• Процедура физической защиты предприятия
• Схема периметра безопасности
• Схема расположения зданий, помещений
• Схема расположения средств обработки информации
• Паспорта зон особой безопасности
3.5.Управление компьютерами и сетями:
• Правила обслуживания средств обработки информации
• Процедура управления изменениями в средствах обработки
информации (СОИ)
• Процедура антивирусной защиты
• Процедура резервного копирования
• Процедура сетевой защиты
• Процедура работы с носителями информации
• Процедура обмена информацией
• Процедура управления электронной коммерцией
• Журнал регистрации действий пользователей
• Журналы регистрации действий администраторов
15
• Руководства по обслуживанию СОИ
16.
СУИБДокументальное обеспечение
Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня (средний - технический):
3.6.Управление доступом:
• Физический доступ
• Процедура доступа к помещениям
• Процедура доступа к персоналу
• Процедура доступа к бумажным архивам
• Электронный и физический доступ
• Процедура доступа к СОИ и ИА за пределами предприятия
• Процедура доступа к электронным архивам
• Процедура доступа к СОИ
• Процедура доступа к программному обеспечению (ПО)
• Процедура доступа к информационной системе(ИС)
• Процедура доступа к операционной системе (ОС)
• Процедура доступа к сетям
• Правила парольной защиты
• Правила чистого стола и экрана
• Журнал регистрации доступов
• Анализ зарегистрированных доступов
16
17.
СУИБДокументальное обеспечение
Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня (средний технический):
3.7.Приобретение, разработка и поддержание ИС:
• Процедура принятия нового СОИ, ПО, ИС, сети
• Процедура разработки(доработки) ПО, ИС
• Процедура управления техническими
уязвимостями
• Процедура криптографической защиты
• Правила ввода данных в ПО, ИС, СОИ
3.8.Управление инцидентами:
• Процедура выявления и регистрации инцидентов
• Журнал регистрации инцидентов ИБ
• Журнал регистрации жалоб и предложений ИБ
17
18.
СУИБДокументальное обеспечение
Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня (средний - технический):
3.9.Управление непрерывностью бизнеса:
• Процедура управления непрерывностью бизнеса
• Риски серьезного прерывания бизнеса
• Планы восстановления бизнеса
• Записи о тестировании планов восстановления
3.10.Управление соответствием требованиям:
• Перечень применимого законодательства
• Документы на ПО, ИС (лицензии)
• Перечень законодательных и контрактовых требований
по наличию и хранению записей
• Процедура защиты персональных данных
• Перечень законодательных требований по криптозащите
18
19.
СУИБДокументальное обеспечение
Состав внутренних документов, относящихся к СУИБ:
4. Документы четвертого уровня (нижний):
4.1.Копии внешней политики во всех помещениях
4.2.Копии Процедур управления документацией во всех
подразделениях
4.3.Копии Процедуры управления записями во всех подразделениях
4.4. Памятка по антивирусной защите
4.5. Памятка по резервному копированию
4.6. Памятка по работе с паролями
4.7. Памятка при работе на ПК
4.8. Памятка по обмену информацией
4.9. Памятка по вводу информации в ИС
4.10. Памятка по работе с электронными документами
4.11. Памятка по работе с бумажными документами
4.12. Действия в случае нестандартной ситуации
4.13. Действия в случае катастрофы
4.14. Памятка по защите персональных данных
4.15. Указатели на входах в зоны особой защиты
19
20.
СУИБДокументальное обеспечение
Шаблоны документов, относящихся к СУИБ:
Политики
o
http://securitypolicy.ru
o
http://www.dir.state.tx.us/security/policies/templates.htm
o
http://csrc.nist.gov/groups/SMA/fasp/archive.html
o
http://www.sans.org/resources/policies/
o
http://www.brookes.ac.uk/infosec/
o
http://www.vita.virginia.gov/library/default.aspx?id=537
o
http://www.it.ufl.edu/policies/security/
o
http://www.yourwindow.to/security-policies/
o
http://www.hp.com/sbso/productivity/howto/security/
o
http://www.wustl.edu/policies/
o
http://www.dhs.state.or.us/policy/admin/infosecuritylist.htm
o
http://www.tcd.ie/ITSecurity/policies/infosec.php
o
http://www.fs.uiuc.edu:1503/fsindex.html?col=cam&qc=cam
o
http://campus.leeds.ac.uk/isms/
o
http://it.ouhsc.edu/policies/
o
http://www.cisco.com/en/US/tech/tk869/tk769/
technologies_white_paper09186a008014f945.shtml
o
http://www.sans.org/reading_room/whitepapers/policyissues/
o
http://www.windowsecurity.com/pages/security-policy.pdf
20
21.
СУИБДокументальное обеспечение
Шаблоны документов, относящихся к СУИБ:
Политики сетевой безопасности
http://www.cisco.com/warp/public/126/secpol.html
Правила разработки политик
http://www.sans.org/reading_room/whitepapers/policyissues/
http://www.windowsecurity.com/pages/security-policy.pd
21
22.
СУИБДокументальное обеспечение
Управление документами СУИБ:
Рекомендуется, чтобы положения документов:
• носили обязательный (не рекомендательный)
характер;
• были выполнимыми и контролируемыми (не
рекомендуется включать в состав этих документов
положения, контроль реализации которых затруднен
или невозможен);
• были адекватны требованиям и условиям ведения
деятельности (включая угрозы и риски ИБ), в том
числе, в условиях их изменчивости;
• не противоречили друг другу.
22