Концепция информационной безопасности.

 

Концепция ИБ – систематизированное изложение целей и задач защиты.

В концепции отражается:

1) Правовое обеспечение ЗИ

2) Модель угроз

3) Объекты ИБ (физические)

4) Перечень сведений подлежащих защите

5) Основные направления обеспечения безопасности ИС

6) Способы реагирования на ЧС

7) Требования к защите помещений и основных технических схем и систем

8) Планирование восстановительных работ после сбоев и инцидентов

9) Требования к классам защищенности

10) Требования к аттестации

11) Программа аттестационных испытаний

Документы, входящие в политику:

- стратегия обеспечения ИБ и комплекс мер по ее реализации

- нормативные и организационно-распорядительные документы, регламент действий всего персонала

- требования к системе ЗИ

- технологические схемы функционирования СЗИ и описание процессов по защите

Для подготовки концепции служба ИБ выполняет задачи:

- исследование информационной структуры (классификация, инвентаризация, изучение бизнес-процесса)

- схема информационной структуры с привязкой к схеме бизнес-процесса

- разработка рекомендаций по построению СЗИ

- необходимый комплекс средств защиты

- комплект нормативно-методической документации

Пример концепции:

1) Цели и задачи:

Цели:

- создание безопасного информационного пространства

- соблюдение интересов клиентов, партнеров

- совершенствование системы ИБ

Задачи:

- классификация информационных активов и их постоянная корректировка

- строгий учет программно-аппаратного обеспечения

- разработка способов формирования защищаемой информационной среды

- разработка механизмов оценки и предотвращения ущерба

2) Концептуальные вопросы:

- соблюдение интересов клиента

- сохранение конфиденциальности всех данных по деятельности клиента

- предоставление данных о клиентах только тем лицам, кто имеет разрешение

- предоставление клиентам полной и достоверной информации

- соблюдение международных и отечественных стандартов безопасности

- увеличение уровня безопасности контр-агента, если этот уровень не соответствует вашему уровню бизнес-процесса

 

Стандарты информационной безопасности.

 

Стандарты предприятия:

1) Назначение и содержание бизнес-процесса

2) Определения (всем понятиям при формировании политики)

3) Основные результаты инвентаризации и классификации

4) Непосредственно стандарты работы в ИС:

- создание объекта защиты и его эксплуатация

- порядок хранения информационных объектов (физические, организационные, информационные меры и т.д.)

- стандарты использования средств ВТ

- ответственность субъектов и их основные обязанности

- методы учета средств информации

 

Процедуры информационной безопасности.

 

Виды процедур:

- для пользователей

- администраторов

- специалиста по безопасности

- для остального персонала

Данная часть должна быть доведена до сведения пользователям(сотрудникам, только если их это касается)

Процедуры (виды):

- первичные

- общие (работа в сети, в Internet, с железом, с софтом)

- специфические (для системных администраторов, службы ИБ, определение сегментов сети)

- завершающие (связанны с временным или постоянным прекращением работы субъекта)

Внимание концентрируется на разделение полномочий и ответственности.

Пример процедур:

1) Получение работником прав доступа к ИС:

- кто принимает решение о допуске к ресурсам

- на чем основывается это решение

- как документально оформляется

- действия соответствующих должностных лиц по резолюциям

- кто принимает решение о прекращении доступа, в каких случаях (увольнение, временное отстранение(болезнь, отпуск и т.д.), перевод в другое подразделение)

- действие должностных лиц всех уровней при нарушении