Механизмы управления информационной безопасностью.

12.1 Обеспечение конфиденциальности, доступности и целостности информационных активов организации на основе положений стандарта ГОСТ Р ИСО/МЭК 17799-2005: классификация и управление активами; вопросы безопасности, связанные с персоналом организации; управление информационной безопасностью организации; контроль доступа к информационным активам; управление непрерывностью бизнеса.

Информацию следует классифицировать в зависимости от её ценности и чувствительности для организации.

С юзерами: обучение, проверка при приеме, ИБ в договоре, соглашение о конфиденциальности, информирование юзеров о проблемах.

У юзеров должны быть минимально необходимые права на доступ к активам.

 

12.2 Понятие «Политика информационной безопасности организации». Цель Политики. Документальное оформление Политики: структура, основное содержание разделов.

Политика ИБ организации.

Термин "Политика" в ЗИ может рассматриваться как:

1. Широкое значение - политика ИБ - совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обечпечения ИБ.

2. Узкое - политика ИБ - документ в системе упарвления ИБ опганизации, который может рассматриватся в качестве одного из ключевых механизмов ИБ.

В соответствии с ГОСТ 27001 в оргенизации вводятся регламентные документы по обеспечению ИБ 4х уровней:

1. Концептуальные документы, в которыхрассматриваются общие вопросы обеспечения ИБ организации вцелом. Рассматривается область действия документа, область действия и т.д.

2. Частные политики по обеспечению ИБ - рассматриваются отдельные направления обеспечения ИБ, документ является более подробным и более детальным. Пример - частная политики антивирусной защиты,...предоставления доступа к ИР,...использования сети интернет,...обеспечения работы с персоналом при работе с ИС.

3. Регламенты по обеспечению ИБ - конкретный документ(инструкция, методика), в котором четко описываются действия пользователя или администратора системы при работе с определенным ТС или процессом.

4. "Свидительства о выполненной работе" по обеспечению ИБ - справки, отчеты, акты, аналитические справки.

В 27001 приведено около 68 документов из всех групп.

Политика ИБ - документ, в котором описываются правила обеспечения ИБ.

Обычно, в политике ИБ описываются:

1. Термины и определения.

2. Общие положения - назначение документа, цели, задачи, правовая основа. Здесь же - ответственность.

3. Объекты защиты (структура,состав, размещение обхектов защиты), категории ИР, которые подлежат защите.

4. Угрозы ИБ. Основные угрозы, источники угроз, пути реализации угроз, модель нарушителя, каналы утечки и тд.

5. Основные принципы построения системы обеспечения ИБ.

6. Меры, методы и средства обеспечения ИБ - описываются технические мероприятия и средства их обеспечения.

7. Контроль защищенности инфы.

8. Изменения (как вносятся).

 

Последовательность разработки Политики информационной безопасности организации. Пересмотр и оценка Политики.

 

Разработка ПБ – длительный и трудоемкий процесс, требующего высокого профессионализма, отличного знания нормативной базы в области ИБ и, помимо всего прочего, писательского таланта. Этот процесс обычно занимает многие месяцы и не всегда завершается успешно. Координатором этого процесса является специалист, на которого руководство организации возлагает ответственность за обеспечение ИБ. Эта ответственность обычно концентрируется на руководителе Отдела информационной безопасности, Главном офицере по информационной безопасности (CISO), Главном офицере безопасности (CSO), ИТ-директоре (CIO), либо на руководителе Отдела внутреннего аудита. Этот специалист координирует деятельность рабочей группы по разработке и внедрению ПБ на протяжении всего жизненного цикла, который состоит из пяти последовательных этапов, описанных ниже.