4. Современные цели ИБ
1. Защита от «внешних угроз»
2. Защита имиджа компании
3. Минимизация финансовых потерь
«Внешние угрозы» - внешние организации,
предъявляющие требования по ИБ:
головной офис, аудиторы, регуляторы.
6. Современная ситуация
1. Желание сделать «бумажку для отмашки»
2. Ответственность за разработку политик, процедур и
стандартов в области ИБ возложена на сотрудников
отделов ИТ, которые не всегда умеют писать документы.
3. Низкий уровень формализации процессов управления
ИБ
4. Отсутствие четкой логической структуры
регламентирующей документации
5. Нечеткие границы ответственности
8. Решение: продуманная документация
Политика ИБ
Детальные Положения об
политики ИБ отделах
Внутренние Свод правил
Процедуры Должностные
стандарты для
ИБ инструкции
ИБ сотрудников
для всех сотрудников
для конкретных специалистов
9. Кратко
• Политика определяет куда движемся
• Процедура определяет действия
• Стандарт фиксирует целевое состояние
и еще нюанс:
• Политика подойдет и для редких событий
• Процедура нужна для регулярных событий
11. Политика ИБ
• Цели обеспечения информационной
безопасности
• Признание важности обеспечения
информационной безопасности
• Заявление о намерении руководства компании
поддерживать цели и принципы обеспечения
информационной безопасности,
соответствующим целям бизнеса
12. Политика ИБ
• Краткое объяснение принципов информационной
безопасности, требования информационной
безопасности
• Определение общих и специфических
обязанностей по обеспечению информационной
безопасности
• Ссылки на более детальные политики и
процедуры поддерживающие политику
информационной безопасности
13. Стандарт
• Стандарт представляет собой
зафиксированную практику использования
того или иного решения. Например,
корпоративный стандарт конфигурации
серверов под управлением Windows 2003
Server будет включать описание всех
критичных настроек, в том числе влияющих
и на уровень защищенности системы.
14. Процедура
• Процедура содержит описание шагов и четко определяет
кто, когда и что делает.
• Например, процедура предоставления доступа к системе
1С:Бухгалтерия должна содержать описание ролей
инициатора запроса на предоставление доступа,
владельца информационной системы со стороны бизнеса,
администратора системы. В приложении, как правило,
приводится шаблон запроса.
16. Свод правил для сотрудников
• использование электронной почты
• использование Интернет;
• выбора паролей
• политика чистого стола и чистого экрана
• обеспечение физической безопасности
мобильных устройств
• и т.д.
17. Критический взгляд аудитора
• Действительно ли контрмера
минимизирует риски информационной
безопасности?
• Кто отвечает за функционирование
контрмеры?
• Какие остаются свидетельства
функционирования контрмеры?
• Какая периодичность функционирования
меры?
18. Разработка документов
• Ориентированность на пользователей
документации
• Продуманная структура документа, включающая
помимо содержательной части историю
согласований и изменений, границы
применимости
• Ясность - использование оборотов, исключающих
свободную трактовку исполнителями. Понятно,
кто что делает и за что отвечает
• Краткость
• Взаимосвязь со смежными политиками и
процедурами
19. Структура документа
• Реквизиты (название, коды, утверждение, место
хранения, гриф и т.п.)
• Контроль изменений
• Введение/Общие положения
• Границы применимости
• Распределение ответственности
• Основное содержание (положения политики, процессы и
т.п.)
• Контрмеры (controls)
• Записи
20. Разрабатываем сами или нанимаем
консультантов?
• Разработчик документа должен иметь
управленческий опыт
• Документы, сильно завязанные на бизнес-
процессы компании, консультанты
качественно разработать не смогут.