2. ЧТО ВЫ УЗНАЕТЕ:
1. Политика - дело тонкое или дело
грязное?
2. Откуда у Политики ноги растут?
3. Место Политики в структуре ЛНА
организации
4. Мы детально разберем содержание
5. Мы осмыслим каждую фразу
8. ЦЕЛЬ ПОЛИТИКИ
«обеспечение решения
вопросов ИБ и
вовлечение высшего
руководства организации
в данный процесс»
ГОСТ Р ИСО/МЭК 17799-2005
«ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
9. ЦЕЛЬ ПОЛИТИКИ
«Обеспечить направление и
поддержку со стороны
руководства для защиты
информации в соответствии с
деловыми требованиями, а
также законами и нормами,
имеющими отношение к ИБ»
ГОСТ Р ИСО/МЭК 27001:2005
«ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МЕТОДЫ ЗАЩИТЫ. СИСТЕМЫ
МЕНЕДЖМЕНТА ЗАЩИТЫ ИНФОРМАЦИИ. ТРЕБОВАНИЯ»
11. РАЗРАБОТКА И РЕАЛИЗАЦИЯ
«должна
осуществляться высшим
руководством путем
выработки четкой
позиции в решении
вопросов ИБ»
ГОСТ Р ИСО/МЭК 17799-2005
«ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
12. ЕСЛИ У ВАС ТАК, ТО ПОЛИТИКА
ДЕЛАЕТ ИЗ ВАС АВТОРИТЕТА
13. ПОЛИТИКА – ЭТО:
1. Локальный нормативный акт, в
декларативной форме излагающий то,
что РЕАЛЬНО в организации делается
для обеспечения ИБ
2. Разрабатывается и утверждается
высшим руководством
3. Обеспечивает ИБ-шникам поддержку
топ-менеджмента
4. Оформляется документально и
доводится до всех без исключения
5. Устанавливает ответственность за ее
несоблюдение
У ВСЕХ ТАК?
15. СОДЕРЖАНИЕ
1. Определение ИБ, ее общих целей и
сферы действия, а также раскрытие
значимости безопасности как
инструмента, обеспечивающего
возможность совместного
использования информации
ГОСТ Р ИСО/МЭК 17799-2005
«ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
16. СОДЕРЖАНИЕ
2. Изложение целей и принципов
информационной безопасности,
сформулированных руководством
ГОСТ Р ИСО/МЭК 17799-2005
«ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
17. СОДЕРЖАНИЕ
2. Изложение целей и принципов
информационной безопасности,
сформулированных руководством
ГОСТ Р ИСО/МЭК 17799-2005
«ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
1. Определение ИБ, ее общих целей
и сферы действия, а также раскрытие
значимости безопасности как
инструмента, обеспечивающего
возможность совместного
использования информации
18. СОДЕРЖАНИЕ
3. Краткое изложение наиболее существенных для
организации принципов, правил и требований,
например:
Соответствие законодательным требованиям и
договорным обязательствам;
Требования в отношении обучения вопросам
безопасности;
Предотвращение появления и обнаружение
вирусов и другого вредоносного программного
обеспечения;
Управление непрерывностью бизнеса;
Ответственность за нарушения политики
безопасности.
ГОСТ Р ИСО/МЭК 17799-2005
«ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
19. СОДЕРЖАНИЕ
4. Определение общих и
конкретных обязанностей
сотрудников в рамках управления
ИБ, включая информирование об
инцидентах нарушения ИБ
ГОСТ Р ИСО/МЭК 17799-2005
«ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
20. СОДЕРЖАНИЕ
5. Ссылки на документы, дополняющие
политику информационной
безопасности, например,
более детальные политики и
процедуры безопасности для
конкретных информационных систем, а
также правила безопасности, которым
должны следовать пользователи.
ГОСТ Р ИСО/МЭК 17799-2005
«ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
21. СОДЕРЖАНИЕ
6. Назначение в организации
должностного лица,
ответственного за реализацию
Политики ИБ и ее пересмотр в
соответствии с установленной
процедурой.
ГОСТ Р ИСО/МЭК 17799-2005
«ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА
УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
22. ПОЛИТИКА ОТРАЖАЕТ ТО, ЧТО РЕАЛЬНО ДЕЛАЕТСЯ
В ОРГАНИЗАЦИИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ, В ДАННЫЙ МОМЕНТ ВРЕМЕНИ
КОНЦЕПЦИЯ, СТАНДАРТ
ПОЛИТИКА
РЕГЛАМЕНТЫ
ИНСТРУКЦИИ
ПОЛИТИКА - КВИНТЭССЕНЦИЯ ИБ
24. СОДЕРЖАНИЕ
1. Введение
2. Термины и сокращения
3. Цели политики
4. Область применения политики
5. Главные требования
6. Классификация информации
7. Разграничение доступа к информации
8. Средства обеспечения безопасности
9. Разработка и поддержка информационных систем
10. Безопасность персонала
11. Разделение полномочий
12. Защита персональных данных
13. Сведения о документе
14. Срок действия и порядок внесения изменений
НИЧЕГО НЕ ЗАБЫЛИ?
25. 1. ВВЕДЕНИЕ
Эффективная деятельность современного коммерческого предприятия
невозможна без информационной среды, обеспечивающей информационное
взаимодействие, доступ к требуемой информации и удовлетворение
потребности в информационных продуктах и услугах участников всех бизнес-
процессов. В Организации такой информационной средой является
корпоративная информационно-вычислительная система.
В связи с тем, что в корпоративной информационно-вычислительной
системе накапливаются и обрабатываются значительные объемы
информации, а сама корпоративная информационно-вычислительная
система является весьма сложной и распределенной инфраструктурой,
одним из важнейших и неотъемлемых факторов, обеспечивающих ее
функциональность, а также конфиденциальность, целостность и доступность
размещенной в ней информации, является информационная безопасность.
Предпосылкой создания настоящего документа является необходимость
определения требований и описания общего подхода к обеспечению
информационной безопасности в корпоративной информационно-
вычислительной системе Организации.
BLAH-BLAH-BLAH…
26. 2. ТЕРМИНЫ И СОКРАЩЕНИЯ
ИБ: Информационная
безопасность.
Информационная безопасность:
- это… (у каждого свое
определение – на эту тему нужен
отдельный доклад)
ТУТ ВСЕ ДОЛЖНО БЫТЬ ПОНЯТНО.
27. 3. ЦЕЛИ ПОЛИТИКИ
Основными целями Политики являются:
• Создание единого подхода к обеспечению
информационной безопасности в Организации;
• Определение требований информационной
безопасности, реализация которых
обязательна для обеспечения эффективности
коммерческой деятельности, сохранения
репутации и выполнения Организацией своих
обязательств перед третьими лицами;
• Разграничение полномочий и определение
ответственности за обеспечение
информационной безопасности в Организации.
КОНКРЕТНЫЕ ЦЕЛИ
28. 4. ОБЛАСТЬ ПРИМЕНЕНИЯ
ПОЛИТИКИ
Настоящая Политика применяется ко
всем информационным ресурсам и
информационным системам
Организации, а также ко всем лицам,
имеющим любую форму доступа к
любым информационным ресурсам
Организации.
ВАЖНО: ДЛЯ ЦЕЛЕЙ СООТВЕТСТВИЯ СТАНДАРТАМ,
ВЫБИРАЕТСЯ КОНКРЕТНАЯ ОБЛАСТЬ (НАПРИМЕР,
SERVICEDESK). НО У НАС ТАКОЙ ЦЕЛИ НЕТ – И ПОТОМУ
РАСПРОСТРАНЯЕМ ПОЛИТИКУ НА ВСЮ ОРГАНИЗАЦИЮ.
29. 5. ГЛАВНЫЕ ТРЕБОВАНИЯ
5.1. В Организации разработан и внедрен
комплекс механизмов контроля,
мониторинга и аутентификации для
обеспечения общей безопасности
информации, информационных ресурсов,
информационных систем, аппаратного
обеспечения и средств передачи данных.
ЕСТЬ НЕКИЙ КОМПЛЕКС БАЗОВЫХ МЕР
30. 5. ГЛАВНЫЕ ТРЕБОВАНИЯ
5.2. В Организации производится
анализ и оценка рисков,
относящихся к информационной
безопасности. Пересмотр рисков
ИБ проводится ежегодно.
ЕСТЬ РИСК-МЕНЕДЖМЕНТ
31. 5. ГЛАВНЫЕ ТРЕБОВАНИЯ
5.3. Аудит информационной безопасности
Организации проводится ежегодно. Аудит включает в
себя проверку соблюдения внутренних
регламентирующих документов в области ИБ,
проверку правил предоставления доступа к
информационным ресурсам Организации и
исследование элементов корпоративной сети на
предмет наличия возможных уязвимостей при
помощи специализированных средств. Порядок
проведения аудита определяется «Инструкцией по
проведению аудита информационной безопасности».
ЕСТЬ АУДИТ ИБ И МЫ ЗНАЕМ, ГДЕ О НЕМ ПОЧИТАТЬ
32. 5. ГЛАВНЫЕ ТРЕБОВАНИЯ
5.4. В Организации на постоянной основе
осуществляется повышение осведомленности
сотрудников в вопросах, относящихся к
информационной безопасности. Повышение
осведомленности сотрудников проводится путем их
ознакомления с регламентирующими документами в
области ИБ, проведением инструктажей, а также
проведением информирования посредством рассылки
информационных писем и уведомлений по
электронной почте. Порядок повышения
осведомленности сотрудников определяется
«Положением по организации обучения пользователей
основам информационной безопасности».
ЕСТЬ ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ И МЫ
ЗНАЕМ, ГДЕ О НЕМ ПОЧИТАТЬ
33. 5. ГЛАВНЫЕ ТРЕБОВАНИЯ
5.5. Для своевременного обнаружения и
предотвращения возможных утечек
конфиденциальной информации, а также
выявления инцидентов в области ИБ, в
Организации осуществляется контроль действий
пользователей в информационной системе.
Порядок организации и выполнения контрольных
мероприятий определяется Положением по
организации системы контроля и мониторинга
технических средств обработки, хранения и
передачи и передачи информации».
ОСУЩЕСТВЛЯЕТСЯ КОНТРОЛЬ ДЕЙСТВИЙ
ПОЛЬЗОВАТЕЛЕЙ И МЫ ЗНАЕМ, ГДЕ О НЕМ ПОЧИТАТЬ
34. 5. ГЛАВНЫЕ ТРЕБОВАНИЯ
5.6. Любой инцидент в области
информационной безопасности
фиксируется и расследуется. Результаты
служебного расследования доводятся до
руководителей Организации. По каждому
случаю нарушения требований ИБ
принимается решение о наложении на
виновных лиц дисциплинарного взыскания.
УПРАВЛЕНИЕ ИНЦИДЕНТАМИ
35. 5. ГЛАВНЫЕ ТРЕБОВАНИЯ
5.7. В Организации составляется ежегодный
отчет о состоянии информационной
безопасности. Отчет включает в себя результаты
аудита информационной безопасности КИВС,
результаты служебных расследований по
инцидентам в области ИБ, мероприятия,
проведенные для снижения рисков ИБ и меры,
которые необходимо предпринять для
предотвращения появления новых или
реализации существующих угроз ИБ в
следующем отчетном периоде.
СИСТЕМА ОТЧЕТНОСТИ
36. 6. КЛАССИФИКАЦИЯ ИНФОРМАЦИИ
6.1. Защите подлежит любая информация, принадлежащая
Организации или переданная Организации контрагентом в
рамках договорных отношений. Вся информация
классифицируется ее владельцами по степени
конфиденциальности. Степень защиты информации
выбирается в зависимости от ее категории.
6.2. Все информационные ресурсы Организации
классифицируются и защищаются в соответствии с их
степенью важности для нужд бизнеса. Порядок классификации
информационных ресурсов Организации определяется
«Регламентом управления информационными ресурсами».
6.3. Порядок категорирования и управления
конфиденциальной информацией определяется «Положением
о введении режима коммерческой тайны».
КАК ЗАЩИЩАТЬ – ОПРЕДЕЛЯЕТ БИЗНЕС
37. 7. РАЗГРАНИЧЕНИЕ ДОСТУПА К
ИНФОРМАЦИИ
7.1. В Организации разработаны, документированы и внедрены
механизмы разграничения доступа к информации в зависимости от
степени конфиденциальности.
7.2. Информационные ресурсы, информационные системы и
аппаратное обеспечение должны иметь необходимый и достаточный
набор методов, позволяющих реализовать механизмы авторизации,
аутентификации, разграничения и контроля доступа к ним.
7.3. В Организации введено ограничение доступа к
информационным ресурсам. Это ограничение реализуется путем
использования персональных учетных записей или
специализированных аппаратно-программных средств
аутентификации для всех пользователей.
7.4. Порядок управления доступом к информационным ресурсам
Организации определяется «Регламентом управления
информационными ресурсами».
38. 8. СРЕДСТВА ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ
8.1. Базовый уровень безопасности информации при работе
пользователей в информационной системе Организации
достигается путем объединения серверов и рабочих станций в
домен ОС Windows. Порядок управления инфраструктурой
домена определяется «Доменной политикой».
8.2. Защита сети Организации от внешних и внутренних
вредоносных воздействий достигается путем использования
средств межсетевого экранирования и системы обнаружения
и предотвращения атак IBM Proventia.
8.3. Обеспечение защиты сети Организации от вредоносного
программного обеспечения осуществляется при помощи
средств антивирусной защиты TrendMicro. Порядок работы с
этими средствами определен «Инструкцией по защите от
вредоносного программного кода».
39. 8. СРЕДСТВА ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ
8.4. Для предотвращения несанкционированного доступа в сеть
Организации используются средства защиты каналов связи. Создание и
администрирование защищенных каналов связи является
исключительной прерогативой департамента ИБ. Создание и
использование средств удаленного доступа в сеть Организации любыми
другими лицами в любых целях не допускается.
8.5. Для защиты конфиденциальной информации в Организации
применяются криптографические средства. Перечень сведений,
защищаемых при помощи криптографических средств, и порядок работы
с ними, определен в «Инструкции по использованию криптографических
ключей».
8.6. Для предотвращения утечки конфиденциальной информации,
обрабатываемой на рабочих местах пользователей КИВС, в
Организации внедрена система управления съемными средствами
хранения и передачи информации на базе программного обеспечения
DeviceLock. Порядок работы с указанными средствами определен в
«Инструкции по использованию съемных средств обработки, хранения и
передачи информации».
40. 8.7. Для предотвращения нанесения Организации ущерба, связанного с
потерей информации, и создания условий для обеспечения
непрерывности бизнеса в части оперативного восстановления ИР в
результате случайных или преднамеренных событий (действий), в
Организации осуществляется резервное копирование информации.
Порядок резервного копирования определяется «Политикой резервного
копирования информации».
8.8. Периметр безопасности на объектах Организации организован
путем создания пропускного и внутриобъектового режимов, а также
путем использования средств охранной, пожарной сигнализации,
видеонаблюдения и контроля доступа. Порядок управления периметром
безопасности определяется «Инструкцией по пропускному и
внутриобъектовому режиму».
8.9. В Организации проводятся регулярные мероприятия по поиску и
нейтрализации технических каналов утечки информации. Порядок их
проведения определяется «Инструкцией по выполнению мероприятий,
направленных на выявление и предупреждение утечки информации по
техническим каналам».
8. СРЕДСТВА ОБЕСПЕЧЕНИЯ
БЕЗОПАСНОСТИ
41. 9.1. Для снижения риска несанкционированного
доступа или внесения изменений в действующие
информационные системы, в Организации
организовано разделение среды разработки,
тестирования и промышленных (действующих)
экземпляров систем.
9.2. В Организации разработаны и внедрены
механизмы контроля внесения изменений в любые
элементы информационной системы. Процедуры
управления изменениями в информационной системе
определены в описании бизнес-процесса «Процесс
управления изменениями информационных систем».
8. РАЗРАБОТКА И ПОДДЕРЖКА
ИНФОРМАЦИОННЫХ СИСТЕМ
42. 10. БЕЗОПАСНОСТЬ ПЕРСОНАЛА
10.1. Для противодействия возможным угрозам
экономической и информационной безопасности, в
Организации осуществляется проверка достоверности
сведений, предоставляемых кандидатом при приеме на
работу, и контрагентом при заключении договора. Проверка
достоверности сведений проводится для всех кандидатов и
контрагентов, в соответствии с действующим
законодательством РФ.
10.2. Сотрудники Организации, контрагенты и иные лица,
выполнение служебных или договорных обязательств которых
требует наличия допуска к сведениям, составляющим
коммерческую тайну (секрет производства), персональным
данным и иной конфиденциальной информации, заключают
соглашение о неразглашении этих сведений. Порядок допуска
к работе с информацией, составляющей коммерческую тайну
(секрет производства), определяется Положением о введении
режима коммерческой тайны».
43. 11. РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ
11.1. Лица, имеющие любую форму доступа к любым
информационным ресурсам Организации, являются
пользователями. Порядок работы пользователя в информационной
системе Организации определен «Инструкцией пользователя
корпоративной информационно-вычислительной системы по
соблюдению требований информационной безопасности».
11.2. Пользователи, в должностные обязанности которых входит
управление информационной системой Организации, являются
администраторами. Порядок работы администратора
информационной системы определяется «Инструкцией
администратора корпоративной информационно-вычислительной
системы по соблюдению требований информационной
безопасности».
11.3. Организация мероприятий по обеспечению ИБ и контроль их
выполнения, а также ответственность за состояние ИБ в
Организации возложена на Департамент информационной
безопасности. Права и обязанности сотрудников ДИБ определяются
Положением об департаменте ИБ и должностными инструкциями.
44. 11. РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ
11.4. Выполнение технических мероприятий по обеспечению
защиты ИС Организации, указанных в п. 7.2, 7.6, 7.8 и 7.9
настоящей Политики, возложено на ДИБ.
11.5. Выполнение технических мероприятий по обеспечению
защиты ИС Организации, указанных в п. 7.1, 7.3, 7.4, 7.5, 7.7
настоящей Политики, возложено на департамент
информационных технологий. Права и обязанности сотрудников
ДИТ определяются Положением о департаменте
информационных технологий и должностными инструкциями
сотрудников.
11.6. Для поддержки процессов, связанных с построением СУИБ
в Организации, и координации действий по обеспечению ИБ в
Организации между представителями различных подразделений,
в Организации создана Комиссия по защите информации.
Комиссия является коллегиальным органом и осуществляет свою
деятельность в соответствии с «Положением о комиссии по
защите информации».
45. 12. ЗАЩИТА ПЕРСОНАЛЬНЫХ
ДАННЫХ
12.1. Защита персональных данных физических лиц,
обрабатываемых в Организации, организуется в
соответствии с требованиями законодательства РФ и
достигается с помощью организационных мер и
технических средств.
12.2. Организационные меры защиты персональных
данных определяются «Положением по организации
системы защиты персональных данных».
12.3. Защита ПДн, обрабатываемых в ИСПДн
Организации, осуществляется в том числе
техническими средствами, реализующими меры,
описанные в разделе 7 настоящей Политики.
46. 13. СВЕДЕНИЯ О ДОКУМЕНТЕ
13.1. Настоящая Политика разработана в соответствии с
требованиями, установленными в корпоративном Стандарте
«Информационная безопасность», а также в соответствии с
действующим законодательством РФ в области защиты
информации.
13.2. Методологической основой для разработки настоящей
Политики является Концепция информационной безопасности
Организации.
13.3. Настоящая Политика является методологической основой для
разработки всех нормативных документов, касающихся обеспечения
информационной безопасности в Организации.
13.4. Настоящая Политика разрабатывается департаментом ИБ и
согласуется с членами Комиссии по защите информации.
13.5. Настоящая Политика вступает в действие с момента
утверждения ее генеральным директором Организации.
47. 14. СРОК ДЕЙСТВИЯ И ПОРЯДОК
ВНЕСЕНИЯ ИЗМЕНЕНИЙ
14.1. Срок действия настоящей Политики –
один год с момента утверждения.
14.2. По истечении срока действия (или ранее
- при необходимости) Политика подлежит
пересмотру. Внесение изменений в Политику
осуществляет департамент ИБ.
Пересмотренная Политика утверждается
генеральным директором Организации.
END OF DOCUMENT
48. ЧТО МЫ УЗНАЛИ:
1. Политика - дело тонкое: весь текст, размещенный на
этих слайдах, умещается на 4 листа А4
2. Ноги у Политики растут из стандартов, голова – от
руководства, а руки – от смежных подразделений
организации.
3. Политика ИБ – это «коннектор» между документами
высшего (Концепции и Стандарты) и низшего
(Регламенты, Положения, Инструкции) уровней. Кроме
того, он должен быть «живым» и в каждый момент
времени достоверно отражать актуальные требования и
подходы к обеспечению ИБ в организации.
4. Мы детально разобрали ее содержание.
5. Мы осмыслили каждую фразу
ПОЖАЛУЙСТА, ВОПРОСЫ?