Административный уровень иб: политики безопасности и управление рисками. Основа административного уровня

АДМИНИСТРАТИВНЫЙ УРОВЕНЬ ИБ: ПОЛИТИКИ БЕЗОПАСНОСТИ И УПРАВЛЕНИЕ РИСКАМИ

1

кандидат технических наук, доцент

ЦЕЛИ И ЗАДАЧИ АДМИНИСТРАТИВНОГО УРОВНЯ ИБ

2

• Главная цель мер административного уровня:
• сформировать программу работ по защите информации (обеспечению безопасности информации),
• обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
• Основа административного уровня - политика безопасности (ПБ), отражающая стратегию организации в области защиты своих информационных активов.
• Под политикой безопасности на административном уровне понимается совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

ЦЕЛИ И ЗАДАЧИ АДМИНИСТРАТИВНОГО УРОВНЯ ИБ

3

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Составление карты информационной системы обеспечивает учет актуальных данных, позволяя варьировать как уровень детализации, так и видимые грани объектов. Карта информационной системы - это описание ее структуры (компонентов системы и их взаимосвязей) с некоторым уровнем детализации. Выбор правильного уровня детализации и отражаемых граней – одна из основных задач.

4

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ. ВЕРХНИЙ УРОВЕНЬ

• Выделяются три уровня политики безопасности.
• Верхний уровень:
• решения общего характера, затрагивающие организацию в целом;
• цели формулируются в терминах целостности, доступности и конфиденциальности;
• четко очерченная сфера влияния (например, ресурсы КИС)
• является основой подотчетности персонала

5

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ ВЕРХНИЙ УРОВЕНЬ

• На верхний уровень выносится минимум вопросов
• Критерии вынесения:
• возможность обеспечить значительную экономию средств
• определяющие общий порядок работ в масштабах предприятия.
• Затрагиваются три аспекта исполнительской дисциплины:
• соблюдение существующего законодательства
• контроль действия лиц, ответственных за выработку программы безопасности.
• обеспечение исполнительности персонала (система поощрений и наказаний).
• Типовая структура документов верхнего уровня определяется стандартом ISO 17799

17

СТАНДАРТ МЕНЕДЖМЕНТА БЕЗОПАСНОСТИ ISO / IEC 17799

• 1 часть. Практические правила по управлению информационной
• безопасностью. Предназначен для руководителей и сотрудников,
• отвечающих за планирование, реализацию и поддержание системы
• информационной безопасности.
• Основные группы мероприятий по обеспечению ИБ:
• политика безопасности;
• общеорганизационные аспекты защиты;
• классификация активов и управление ими;
• безопасность персонала;
• физической безопасности и безопасность окружающей среды;
• администрирование систем и сетей;
• управление доступом к системам и сетям;
• разработка и сопровождение информационных систем;
• управление бесперебойной работы организации;
• контроль соответствия требованиям.

6

ПОЛИТИКА БЕЗОПАСНОСТИ.

См. Word-файл «Структура политики по ИСО 17799»

8

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ. СРЕДНИЙ УРОВЕНЬ.

• Средний уровень:
• вопросы по отдельным аспектам ИБ, важные для различных эксплуатируемых в организации систем. Например:
• отношение к передовым (но, возможно, недостаточно проверенным) технологиям;
• доступ в Internet (как совместить свободу доступа к информации с защитой от внешних угроз
• использование домашних компьютеров
• применение пользователями неофициального программного обеспечения
• И т.д.

9

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ СРЕДНИЙ УРОВЕНЬ

Описание аспекта (например: ПО, которое не было одобрено и/или закуплено на уровне организации) Область применения: где, когда, как, по отношению к кому и чему применяется данная ПБ (Например, касается ли политика, связанная с использованием неофициального ПО, организаций-субподрядчиков? Затрагивает ли она сотрудников, пользующихся портативными и домашними компьютерами ) Позиция организации по данному аспекту (полный запрет, процедура приемки и т.п.). Роли и обязанности (кто дает разрешение, кто контролирует и т.п. ). Законопослушность. Политика должна содержать общее описание запрещенных действий и наказаний за них. Точки контакта. Куда следует обращаться за разъяснениями, помощью и дополнительной информацией.

10

ПОЛИТИКА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ НИЖНИЙ УРОВЕНЬ

Политика безопасности нижнего уровня относится к конкретным информационным сервисам. Включает два аспекта - цели и правила их достижения, поэтому ее порой трудно отделить от вопросов реализации. Примеры вопросов, на которые следует дать ответ в политике безопасности нижнего уровня: кто имеет право доступа к объектам, поддерживаемым сервисом? при каких условиях можно читать и модифицировать данные? как организован удаленный доступ к сервису?

11

ПРОГРАММА БЕЗОПАСНОСТИ. УРОВНИ ДЕТАЛИЗАЦИИ

• Верхний (центральный) уровень: Возглавляет лицо, отвечающее