Открыть Электронные книги
Категории
Открыть Аудиокниги
Категории
Открыть Журналы
Категории
Открыть Документы
Категории
управления защитой
1
Система Менеджмента Информационной Безопасности (СМИБ)
2
Целью разработки СМИБ является обеспечение отбора только отвечающих
требованиям и соразмерных средств обеспечения безопасности, способных
защитить информационные активы и предоставить уверенность в безопасности
заинтересованным лицам.
З аинтересован З аинтересован
ны е стороны ны е стороны
П ЛАН
С оздание С М И Б
В недрение и ВЫП О ЛН ЕН И Е
использование П оддерж ка и
С М И Б соверш енствование
ДЕЙ С ТВИ Е С М И Б
М ониторинг и проверка
С М И Б
И С П ЫТАН И Е
Требования и
ож идания Управляем ая
инф орм ацион инф орм ационная
ной
безопасность
безопасности
4
Р исунок 1 П рим енение м од ел и P D C A в проц ессах С М И Б
Планирование Введение политики, установление целей, процессов и
(создание СМИБ) процедур, относящихся к управлению риском и
совершенствованию информационной безопасности
для достижения результатов в соответствии с
политиками и целями организации.
ПРИМЕР 2
Ожидание может быть такое:
6
Риск в сфере ИБ - потенциальная возможность понести убытки из-за
нарушения безопасности информационной системы (ИС).
Зачастую понятие риска путают с понятием угрозы.
7
Система менеджмента информационной безопасности (СМИБ)
это часть комплексной системы менеджмента, основанная на
концепции бизнес-рисков, предназначена для создания, внедрения,
использования, мониторинга, проверки, поддержки и
совершенствования информационной безопасности.
Система менеджмента включает:
1.организационную структуру,
2.политики безопасности,
3.мероприятия по планированию управления,
4.обязательства,
5.инструкции,
6.методики проведения,
7.процедуры и ресурсы.
8
Создание СМИБ
10
Разработка концепции оценки риска в организации.
11
Выявление рисков
1.Определить активы в рамках положений СМИБ, и владельцев.
Термин «владелец» отождествляется с индивидом или субъектом,
который утвержден нести ответственность за контроль
производства, развития, технического обслуживания, применения и
безопасности активов. Термин «владелец» не означает, что
персона действительно имеет какие-либо права собственности на
актив.
2.Выявить опасности для этих активов.
3.Выявить уязвимые места в системе защиты.
4.Выявить воздействия, которые разрушают конфиденциальность,
целостность и доступность активов.
12
Анализ и оценка рисков
1.Оценить ущерб бизнесу организации, который может быть нанесён
вследствие несостоятельности системы защиты, а также являться
последствием нарушения конфиденциальности, целостности, или
доступности активов.
2.Определить вероятность провала системы безопасности в свете
преобладающих опасностей и уязвимостей, ударов, связанных с
активами, и внедренных в настоящее время элементов управления.
3.Оценить уровни риска.
4.Определить приемлемость риска, или же требовать его сокращения,
используя критерии допустимости риска.
13
Выявление и оценка инструментов для сокращения риска
1.Применение подходящих элементов управления;
2.Сознательное и объективное принятие рисков, гарантирующее их безусловное
соответствие требованиям политики организации и критериям допустимости
риска;
3.Избежание риска;
4.Передача соответствующих бизнес-рисков другой стороне, например, страховым
компаниям, поставщикам.
14
Выбор задач и средств управления для сокращения рисков
Задачи и средства управления должны быть выбраны и внедрены в
соответствии с требованиями, установленными процессом оценкой риска и
сокращения риска.
Выбор должен учитывать:
• критерии допустимости риска,
•юридические, регулятивные и договорные требования.
1.Достигнуть утверждения управления предполагаемыми остаточными рисками.
2.Достигнуть авторизации управления для функционирования СМИБ.
3.Составить Декларацию Применимости
Декларация Применимости должна включать следующее:
•задачи и средства управления, причины их выбора;
•задачи и средства управления, действующие в настоящее время;
•исключение каких-либо задач и средств управления и обоснование их
исключения.
15
Основные принципы обеспечения информационной безопасности организации
1. Общие принципы безопасного функционирования организации
1.1. Своевременность обнаружения проблем
1.2. Прогнозируемость развития проблем.
1.3. Оценка влияния проблем на бизнес-цели.
1.4. Адекватность защитных мер. (Адекватное— вполне соответствующее,
соразмерное, согласующееся, верное, точное, тождественное.)
1.5. Эффективность защитных мер.
1.6. Использование опыта при принятии и реализации решений.
1.7. Непрерывность принципов безопасного функционирования.
1.8. Контролируемость защитных мер.
Политика безопасности:
Принятая организованная совокупность мероприятий, регламентирующих
правовые аспекты обработки защищаемой информации, разрабатываемая с
учетом действующего законодательства, руководящих и нормативных материалов,
положений, инструкций, правил и т.п. в области обращения, хранения и
распределения защищаемой информации.
Политика безопасности (security policy) - это формальное описание правил,
которые должны соблюдать пользователи данной организации, которым
предоставлен доступ к информационным ценностям организации и ее
информационным технологиям.
18
Положение об информационной политике для всех подразделений организации.
20
1.2.1.1. Организационные вопросы
Целью разработки официальной политики предприятия в области
информационной безопасности является определение правильного (с точки
зрения организации) способа использования информационных,
вычислительных и коммуникационных ресурсов, а также разработка процедур,
предотвращающих или реагирующих на нарушения режима безопасности.
21
1.2.1.2. Кто делает политику?
Политика безопасности должна стать результатом совместной деятельности
технического персонала, способного понять все аспекты политики и ее
реализации, а также руководителей, способных влиять на проведение политики
в жизнь.
22
1.2.1.3. Кого затрагивает политика?
Политика безопасности потенциально затрагивает всех пользователей
компьютеров в организации, причем по нескольким аспектам.
Пользователи могут отвечать за администрирование собственных паролей.
Системные администраторы или администраторы безопасности обязаны
ликвидировать слабые места в защите и надзирать за работой всех систем.
23
1.2.1.4. Распределение ответственности
Несанкционированный доступ
Нелегальное ознакомление с информацией
Отказ в обслуживании
27
1.2.3. Политические вопросы
28
1.2.3.1. Кто имеет право использовать ресурсы?
Одним из шагов в разработке политики безопасности является определение
того, кто может использовать Ваши системы и сервисы. Должно быть явно
сказано, кому дается право использовать те или иные ресурсы.
29
1.2.3.2. Как правильно использовать ресурсы?
После определения круга лиц, имеющих доступ к системным ресурсам,
необходимо описать правильные и неправильные способы использования
ресурсов.
Для разных категорий пользователей (студентов, внешних пользователей,
штатных сотрудников и т.д.) эти способы могут различаться.
Должно быть явно сказано, что допустимо, а что — нет.
31
1.2.3.4. Кто может иметь административные привилегии?
32
1.2.3.5. Каковы права и обязанности пользователей?
Критерии оценки
34
1.2.3.6. Каковы права и обязанности администраторов безопасности по
отношению к другим пользователям?
Может ли администратор отслеживать или читать пользовательские файлы при
каких-либо обстоятельствах?
Какие обязательства администратор при этом берет на себя?
Имеют ли право администраторы исследовать сетевой трафик?
35