слайды политика-новая

Тема лекции: «Политика информационной безопасности организации» Стандарт СТБ П ИСО/МЭК 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью» » Лектор - Мария Константиновна Андрухович , инженер I категории испытательной лаборатории Центра испытаний средств защиты информации и аттестации информационных объектов УП «Научно-исследовательский институт технической защиты информации»

Политика безопасности Защита Обнаружение Корректировка Операции и поддержка Приобретение Исследования Дизайн и внедрение Интеграция Тестирование Сертификация Обучение и тренировка Политика безопасности Анализ угроз Управление рисками Технология Процедуры Страховка Конфиденциальность Целостность Доступность Анализ уязвимостей Обнаружение «вредного»кода и вторжений Аудит и мониторинг Реакция Сортировка Редизайн Повторная сертификация

Нормативная база СТБ 34.101.1 - СТБ 34.101.3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий . Части 1-3 СТБ П ИСО/МЭК 17799-2000/2004 Информационная технология. Свод правил по управлению информационной безопасностью

Структура ИСО 17799 Введение, термины и определения Политика безопасности Организация защиты Классификация активов и контроль за ними Безопасность персонала Физическая безопасность и безопасность окружающей среды Управление коммуникациями и процессами Управление доступом к системам Разработка и сопровождение систем Организация непрерывной работы организации Обеспечение соответствия законодательству и нормам безопасности

2.Политика безопасности В этот документ должны быть включены следующие положения: а) определение информационной безопасности, ее основные цели и область ее применения, а также значение безопасности как механизма позволяющего коллективно использовать информацию ; б) изложение позиции руководства по вопросам реализации целей и принципов информационной безопасности; в) разъяснение конкретных вариантов политики безопасности, принципов, стандартов и требований к ее соблюдению, включая, например: - выполнение правовых и договорных требований; - требования к обучению персонала правилам безопасности; - политика предупреждения и обнаружения вирусов, а также другого злонамеренного программного обеспечения; - политика обеспечения бесперебойной работы организации; - последствия нарушения политики безопасности; г) определение общих и конкретных обязанностей по обеспечению режима информационной безопасности; д) разъяснение процесса уведомления о событиях, таящих угрозу безопасности

3.Организация защиты 3.1 Инфраструктура информационной безопасности Совещани я руководства по проблемам информационной безопасности Координация действий по защите информации Распределение обязанностей по обеспечению информационной безопасности Процесс утверждения средств обработки информации Рекомендации специалистов по информационной безопасности Сотрудничество между организациями Независимый анализ информационной безопасности Безопасность доступа сторонних организаций Безопасность при разработке программного обеспечения сторонней организацией

3.2 Безопасность доступа сторонних организаций Идентификация рисков, связанных с подключениями сторонних организаций Типы доступа (физический, логический) Причины предоставления доступа Контракты со сторонними организациями Условия безопасности в контрактах, заключенных со сторонними организациями Требования безопасности в контрактах 3 .3 Заключение договора на выполнение работ сторонними организациями

4.Классификация активов и контроль за ними 4.1 Ответственность за активы Инвентаризация активов а) информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, операционные процедуры и процедуры поддержки, планы обеспечения бесперебойной работы организации, процедуры перехода на аварийный режим, архивная информация; б) программные активы: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты; в) физические активы: компьютерное оборудование (процессоры, мониторы, лэптопы, модемы), коммуникационное оборудование (маршрутизаторы, УАТС , факсы, автоответчики) магнитные носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения; г) сервисы: вычислительные и коммуникационные сервисы, другие технические сервисы (отопление, освещение, энергоснабжение, кондиционирование воздуха). 4.2 Классификация (категорирование) информации

5.Безопасность персонала 5.1 Безопасность в должностных инструкциях и при выделении ресурсов Безопасность в должностных инструкциях Проверка персонала Соглашение о конфиденциальности (о неразглашении) Договор и условия найма 5.2 Обучение пользователей Обучение правилам информационной безопасности 5.3 Реагирование на связанные с безопасностью инциденты и злонамеренную деятельности Уведомление об инцидентах в системе безопасности Уведомление о слабых местах в системе безопасности Уведомление об отказах программного обеспечения Использование накапливаемого в процессе инцидентов опыта Процедура наложения дисциплинарных взысканий

6.Физическая безопасность и безопасность окружающей среды 6.1 Защищенные области 6.1.1 Физический периметр безопасности а) периметр безопасности должен быть четко определен; б) периметр безопасности, представляющий собой строение или участок, на территории которого находятся средства обработки информации, должны быть физически прочным . Внешние стены объекта должны представлять собой прочные конструкции и все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа, например, механизмами контроля, барьеры, сигналы тревоги, замки и т.д.; в) должен быть установлен контролируемый приемн ый пункт (проходная) или другие средства контроля физического доступа к месторасположению объекта или в помещение. Доступ к месторасположению объекта и в помещения должен устанавливаться только уполномоченным персоналом; г) ф изические барьеры должны по необходимости простираться от пола до потолка, чтобы предотвратить несанкционированный доступ в помещение и загрязнение окружающей среды такие, как последствия пожара или наводнения; д) н а все воспламеняющиеся двери периметра безопасности должна быть поставлена сигнализация и они должны закрываться со стуком для привлечения внимания .

6.1.2 Физический контроль за доступом 6.1.3 Защита офисов, комнат и средств 6.1.4 Работа в защищенной области 6.1.5 Изолированные области разгрузки и загрузки оборудования и материалов 6.2 Защита оборудования 6.2.1 Размещение и защита оборудования 6.2.2 Источники электропитания 6.2.3 Защита кабельной разводки 6.2.4 Техническое обслуживание оборудования 6.2.5 Защита оборудования, используемого за пределами организации 6.2.6 Надежная утилизация или повторное использование оборудования 6.3 Общий контроль 6.3.1 Политика чистого рабочего стола и чистого экрана 6.3.2 Вынос имущества за пределы организации

7.Управление средствами и процессами 7.1 Рабочие процедуры и ответственность 7.1.1 Документированные операционные процедуры 7.1.2 Контроль текущих изменений в информационной системе 7.1.3 Процедуры управления в случае инцидентов 7.1.4 Разделение обязанностей 7.1.5 Разделение процессов разработки и использования рабочих программ 7.1.6 Внешнее (стороннее) управление средствами обработки информации

7.2 Планирование систем и их приемка 7.2.1 Планирование производительности 7.2.2 Приемка систем Следует специально контрол ировать : а) требовани я к производительности и загрузке компьютеров; б) подготовку процедур восстановления и перезапуска систем после сбоев, а также планов действий в экстремальных ситуациях; в) подготовку и тестирование повседневных операционных процедур в соответствии с заданными стандартами; г) эффективности процедур ручного управления; д) производственные соглашения; е) указани я на то, что установка новой системы не будет иметь пагубных последствий для функционирующих систем, особенно в моменты пиковой нагрузки на систему обработки (например, в конце месяца); ж) эффект, который новая система оказывает на общую безопасность организации; д) подготовку персонала к использованию новых систем.

7.3 Защита от вредоносного программного обеспечения 7.4 Обслуживание систем 7.4.1 Резервное копирование данных 7.4.2 Журналы регистрации событий 7.4.3 Регистрация сбоев 7.5 Сетевое администрирование Средства управления безопасностью сетей 7.6 Работа с носителями информации и их защита 7.6.1 Управление съемными компьютерными носителями информации 7.6.2 Удаление носителей данных 7.6.3 Процедуры работы c данными 7.6.4 Защита системной документации 7.7 Обмен данными и программами 7.7.1 Соглашения об обмене данными и программами 7.7.2 Защита носителей информации во время транспортировки 7.7.3 Защита электронной торговли (электронных документов) 7.7.4 Защита электронной почты 7.7.5 Защита систем электронного офиса Системы общего доступа (Интернент) 7.7.6 Другие виды информационного обмена

8. У правление доступом к системам 8.1 Т ребования к управлению доступом 8.1.1 Документированная политика управления доступом к и нформации Производственные требования Правила управления доступом 8.2 Управление доступом пользователей 8.2.1 Регистрация пользователей 8.2.2 Управление привилегиями 8.2.3 Управление пользовательскими паролями 8.2.4 Пересмотр прав доступа пользователей 8.3 Обязанности пользователей 8.3.1 Использование паролей 8.3.2 Пользовательское оборудование, оставленное без присмотра

8.4 Управление доступом к сети 8.4.1 Политика использования сетевых сервисов 8.4.2 Принудительная маршрутизация 8.4.3 Аутентификация пользователей для внешних подключений 8.4.4 Аутентификация узлов сети 8.4.5 Защита удаленного диагностического порта 8.4.6 Сегментация сетей 8.4.7 Контроль сетевых подключений 8.4.8 Управление сетевой маршрутизацией 8.4.9 Защита сетевых сервисов 8.5 Управление доступом к операционной системе 8.5.1 Автоматическая идентификация терминалов 8.5.2 Процедуры входа в систему с терминала 8.5.3 Идентификация и аутентификация пользователей 8.5.4 Система управления паролями 8.5.5 Использование системных утилит 8.5.6 Сигнал тревоги, предупреждающий о принуждении, для защиты пользователей 8.5.7 Время простоя терминалов 8.5.8 Ограничение времени подключения

8.6 Управление доступом к приложениям 8.6.1 Ограничение доступа к информации 8.6.2 Изоляция уязвимых систем 8.7 Слежение за доступом к системам и их использованием 8.7.1 Регистрация событий 8.7.2 Слежение за использованием систем 8.7.3 Синхронизация системных часов 8.8 Мобильн ые вычислени я и телеобработка 8.8.1 Мобильн ые вычислени я 8.8.2 Телеобработка

9. Разработка и сопровождение систем (Область регулирования ОК) 9.1 Требования к безопасности систем 9.2 Безопасность в прикладных системах 9.3 Криптографические средства контроля 9.4 Безопасность системных файлов 9.5 Безопасность процессов разработки и поддержки 10.Управление бесперебойной работой организации 11.Соответствие законодательству и нормам безопасности 11.1 Соответствие правовым нормам 11.2 Анализ политики безопасности и технической согласованности 11.3 Положения, касающиеся аудита систем

Виды работ НИИТЗИ: проведение сертификационных испытаний аппаратных, аппаратно-программных и программных средств защиты информации от несанкционированного доступа (НСД) и от утечки по техническим каналам; проектирование и строительство локальных вычислительных сетей (ЛВС); экспериментальное производство образцов новых видов техники и технологий для обеспечения технической защиты информации и средств ее обработки, а также СВТ и связи в защищенном исполнении; разработку профилей защиты и заданий по обеспечению безопасности объектов, организацию обучения и повышения квалификации специалистов по проблемам технической защиты информации и др.; разработку проектов СТБ, ТУ, спец. требований, методических документов, пособий по технической защите информации;

Виды работ НИИТЗИ: проведение специальных исследований технических средств обработки информации; специальные исследования объектов на наличие технических средств негласного съема информации; инструментальную оценку защищенности объектов и их аттестацию; НИР и ОКР по технической защите информации, создание защищенных информационных систем, средств защиты информации (специальных и общего применения) и средств контроля ее защищенности; разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание технических и программных средств защиты информации и контроля ее защищенности, специальных материалов и оборудования для производства этих средств, программно- аппаратных средств защиты от НСД, в т.ч. с применением криптографии.

УП «Научно-исследовательский институт технической защиты информации» г. Минск, ул. Первомайская, 26, к.2 Тел. 2 94 00 11, 2 94 22 54, 2 94 01 71 Директор – Чурко Олег Василевич тел. 2 94 16 84 Центр испытаний средств защиты информации и аттестации информационных объектов [email_address] Зам.начальника Центра испытаний - Мельник Александр Филиппович тел. 294 30 85 Начальник испытательной лаборатории - Кондрахин Олег Юрьевич Инженер 1 категории испытательной лаборатории - Андрухович Мария Константиновна

слайды политика-новая

More Related Content

What's hot (20)

Similar to слайды политика-новая (20)

More from trenders (20)

слайды политика-новая