Политика информационной безопасности: как сделать...

ПОЛИТИКА

ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ

КАК СДЕЛАТЬ ПРАВИЛЬНО

И ПОЛЕЗНО

Алексей Волков,

ОАО «Северсталь»

ЧТО ВЫ УЗНАЕТЕ:

1. Политика - дело тонкое или дело

грязное?

2. Откуда у Политики ноги растут?

3. Место Политики в структуре ЛНА

организации

4. Мы детально разберем содержание

5. Мы осмыслим каждую фразу

И ВСЕ ЭТО

В ЛЕГКОЙ И

НЕПРИНУЖ-

ДЕННОЙ

ФОРМЕ ;)

ПОЛИТИКИ БЫВАЮТ РАЗНЫЕ

108 СТРАНИЦ ТЕКСТА


1 ЛИСТ А4


99% ИЗ НИХ НЕ РАБОТАЮТ

ОБРАТИМСЯ К ПЕРВОИСТОЧНИКУПОЧЕМУ?

ЦЕЛЬ ПОЛИТИКИ

«обеспечение решения

вопросов ИБ и

вовлечение высшего

руководства организации

в данный процесс»

ГОСТ Р ИСО/МЭК 17799-2005

«ИНФОРМАЦИОННАЯ ТЕХНОЛОГИЯ. ПРАКТИЧЕСКИЕ ПРАВИЛА

УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»

ЦЕЛЬ ПОЛИТИКИ

«Обеспечить направление и

поддержку со стороны

руководства для защиты

информации в соответствии с

деловыми требованиями, а

также законами и нормами,

имеющими отношение к ИБ»ГОСТ Р ИСО/МЭК 27001:2005

«ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ. МЕТОДЫ ЗАЩИТЫ. СИСТЕМЫ

МЕНЕДЖМЕНТА ЗАЩИТЫ ИНФОРМАЦИИ. ТРЕБОВАНИЯ»

НАЗНАЧЕНИЕ ПОЛИТИКИ

«устанавливать

ответственность

руководства, а также

излагать подход

организации к

управлению ИБ»ГОСТ Р ИСО/МЭК 17799-2005



РАЗРАБОТКА И РЕАЛИЗАЦИЯ

«должна

осуществляться высшим

руководством путем

выработки четкой

позиции в решении

вопросов ИБ»ГОСТ Р ИСО/МЭК 17799-2005



ЕСЛИ У ВАС ТАК, ТО ПОЛИТИКА

ДЕЛАЕТ ИЗ ВАС АВТОРИТЕТА

ПОЛИТИКА – ЭТО:

1. Локальный нормативный акт, в

декларативной форме излагающий то,

что РЕАЛЬНО в организации делается

для обеспечения ИБ

2. Разрабатывается и утверждается

высшим руководством

3. Обеспечивает ИБ-шникам поддержку

топ-менеджмента

4. Оформляется документально и

доводится до всех без исключения

5. Устанавливает ответственность за ее

несоблюдение

У ВСЕХ ТАК?

ПОЛИТИКА - ТО,

О ЧЕМ ВЫ ДОГОВОРИЛИСЬ

СОДЕРЖАНИЕ

1. Определение ИБ, ее общих целей и

сферы действия, а также раскрытие

значимости безопасности как

инструмента, обеспечивающего

возможность совместного

использования информации





2. Изложение целей и принципов

информационной безопасности,

сформулированных руководством





2. Изложение целей и принципов

информационной безопасности,

сформулированных руководствомГОСТ Р ИСО/МЭК 17799-2005



1. Определение ИБ, ее общих целей

и сферы действия, а также раскрытие

значимости безопасности как

инструмента, обеспечивающего

возможность совместного

использования информации


3. Краткое изложение наиболее существенных для

организации принципов, правил и требований,

например:

Соответствие законодательным требованиям и

договорным обязательствам;

Требования в отношении обучения вопросам

безопасности;

Предотвращение появления и обнаружение

вирусов и другого вредоносного программного

обеспечения;

Управление непрерывностью бизнеса;

Ответственность за нарушения политики

безопасности.ГОСТ Р ИСО/МЭК 17799-2005




4. Определение общих и

конкретных обязанностей

сотрудников в рамках управления

ИБ, включая информирование об

инцидентах нарушения ИБ





5. Ссылки на документы, дополняющие

политику информационной

безопасности, например,

более детальные политики и

процедуры безопасности для

конкретных информационных систем, а

также правила безопасности, которым

должны следовать пользователи.





6. Назначение в организации

должностного лица,

ответственного за реализацию

Политики ИБ и ее пересмотр в

соответствии с установленной

процедурой.




ПОЛИТИКА ОТРАЖАЕТ ТО, ЧТО РЕАЛЬНО ДЕЛАЕТСЯ

В ОРГАНИЗАЦИИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ

БЕЗОПАСНОСТИ, В ДАННЫЙ МОМЕНТ ВРЕМЕНИ

КОНЦЕПЦИЯ, СТАНДАРТ

ПОЛИТИКА

РЕГЛАМЕНТЫ

ИНСТРУКЦИИ

ПОЛИТИКА - КВИНТЭССЕНЦИЯ ИБ

С ТЕОРИЕЙ ЗАКОНЧЕНО

ПЕРЕХОДИМ К ПРАКТИКЕ


1. Введение

2. Термины и сокращения

3. Цели политики

4. Область применения политики

5. Главные требования

6. Классификация информации

7. Разграничение доступа к информации

8. Средства обеспечения безопасности

9. Разработка и поддержка информационных систем

10. Безопасность персонала

11. Разделение полномочий

12. Защита персональных данных

13. Сведения о документе

14. Срок действия и порядок внесения изменений

НИЧЕГО НЕ ЗАБЫЛИ?

1. ВВЕДЕНИЕ

Эффективная деятельность современного коммерческого предприятия

невозможна без информационной среды, обеспечивающей информационное

взаимодействие, доступ к требуемой информации и удовлетворение

потребности в информационных продуктах и услугах участников всех бизнес-

процессов. В Организации такой информационной средой является

корпоративная информационно-вычислительная система.

В связи с тем, что в корпоративной информационно-вычислительной

системе накапливаются и обрабатываются значительные объемы

информации, а сама корпоративная информационно-вычислительная

система является весьма сложной и распределенной инфраструктурой,

одним из важнейших и неотъемлемых факторов, обеспечивающих ее

функциональность, а также конфиденциальность, целостность и доступность

размещенной в ней информации, является информационная безопасность.

Предпосылкой создания настоящего документа является необходимость

определения требований и описания общего подхода к обеспечению

информационной безопасности в корпоративной информационно-

вычислительной системе Организации.

BLAH-BLAH-BLAH…

2. ТЕРМИНЫ И СОКРАЩЕНИЯ

ИБ: Информационная

безопасность.

Информационная безопасность:

- это… (у каждого свое

определение – на эту тему нужен

отдельный доклад)

ТУТ ВСЕ ДОЛЖНО БЫТЬ ПОНЯТНО.

3. ЦЕЛИ ПОЛИТИКИ

Основными целями Политики являются:

• Создание единого подхода к обеспечению

информационной безопасности в Организации;

• Определение требований информационной

безопасности, реализация которых

обязательна для обеспечения эффективности

коммерческой деятельности, сохранения

репутации и выполнения Организацией своих

обязательств перед третьими лицами;

• Разграничение полномочий и определение

ответственности за обеспечение

информационной безопасности в Организации.

КОНКРЕТНЫЕ ЦЕЛИ

4. ОБЛАСТЬ ПРИМЕНЕНИЯ

ПОЛИТИКИ

Настоящая Политика применяется ко

всем информационным ресурсам и

информационным системам

Организации, а также ко всем лицам,

имеющим любую форму доступа к

любым информационным ресурсам

Организации.ВАЖНО: ДЛЯ ЦЕЛЕЙ СООТВЕТСТВИЯ СТАНДАРТАМ,

ВЫБИРАЕТСЯ КОНКРЕТНАЯ ОБЛАСТЬ (НАПРИМЕР,

SERVICEDESK). НО У НАС ТАКОЙ ЦЕЛИ НЕТ – И ПОТОМУ

РАСПРОСТРАНЯЕМ ПОЛИТИКУ НА ВСЮ ОРГАНИЗАЦИЮ.

5. ГЛАВНЫЕ ТРЕБОВАНИЯ

5.1. В Организации разработан и внедрен

комплекс механизмов контроля,

мониторинга и аутентификации для

обеспечения общей безопасности

информации, информационных ресурсов,

информационных систем, аппаратного

обеспечения и средств передачи данных.

ЕСТЬ НЕКИЙ КОМПЛЕКС БАЗОВЫХ МЕР


5.2. В Организации производится

анализ и оценка рисков,

относящихся к информационной

безопасности. Пересмотр рисков

ИБ проводится ежегодно.

ЕСТЬ РИСК-МЕНЕДЖМЕНТ


5.3. Аудит информационной безопасности

Организации проводится ежегодно. Аудит включает в

себя проверку соблюдения внутренних

регламентирующих документов в области ИБ,

проверку правил предоставления доступа к

информационным ресурсам Организации и

исследование элементов корпоративной сети на

предмет наличия возможных уязвимостей при

помощи специализированных средств. Порядок

проведения аудита определяется «Инструкцией по

проведению аудита информационной безопасности».

ЕСТЬ АУДИТ ИБ И МЫ ЗНАЕМ, ГДЕ О НЕМ ПОЧИТАТЬ


5.4. В Организации на постоянной основе

осуществляется повышение осведомленности

сотрудников в вопросах, относящихся к

информационной безопасности. Повышение

осведомленности сотрудников проводится путем их

ознакомления с регламентирующими документами в

области ИБ, проведением инструктажей, а также

проведением информирования посредством рассылки

информационных писем и уведомлений по

электронной почте. Порядок повышения

осведомленности сотрудников определяется

«Положением по организации обучения пользователей

основам информационной безопасности».

ЕСТЬ ПОВЫШЕНИЕ ОСВЕДОМЛЕННОСТИ И МЫ

ЗНАЕМ, ГДЕ О НЕМ ПОЧИТАТЬ


5.5. Для своевременного обнаружения и

предотвращения возможных утечек

конфиденциальной информации, а также

выявления инцидентов в области ИБ, в

Организации осуществляется контроль действий

пользователей в информационной системе.

Порядок организации и выполнения контрольных

мероприятий определяется Положением по

организации системы контроля и мониторинга

технических средств обработки, хранения и

передачи и передачи информации».

ОСУЩЕСТВЛЯЕТСЯ КОНТРОЛЬ ДЕЙСТВИЙ

ПОЛЬЗОВАТЕЛЕЙ И МЫ ЗНАЕМ, ГДЕ О НЕМ ПОЧИТАТЬ


5.6. Любой инцидент в области

информационной безопасности

фиксируется и расследуется. Результаты

служебного расследования доводятся до

руководителей Организации. По каждому

случаю нарушения требований ИБ

принимается решение о наложении на

виновных лиц дисциплинарного взыскания.

УПРАВЛЕНИЕ ИНЦИДЕНТАМИ


5.7. В Организации составляется ежегодный

отчет о состоянии информационной

безопасности. Отчет включает в себя результаты

аудита информационной безопасности КИВС,

результаты служебных расследований по

инцидентам в области ИБ, мероприятия,

проведенные для снижения рисков ИБ и меры,

которые необходимо предпринять для

предотвращения появления новых или

реализации существующих угроз ИБ в

следующем отчетном периоде.

СИСТЕМА ОТЧЕТНОСТИ

6. КЛАССИФИКАЦИЯ ИНФОРМАЦИИ

6.1. Защите подлежит любая информация, принадлежащая

Организации или переданная Организации контрагентом в

рамках договорных отношений. Вся информация

классифицируется ее владельцами по степени

конфиденциальности. Степень защиты информации

выбирается в зависимости от ее категории.

6.2. Все информационные ресурсы Организации

классифицируются и защищаются в соответствии с их

степенью важности для нужд бизнеса. Порядок классификации

информационных ресурсов Организации определяется

«Регламентом управления информационными ресурсами».

6.3. Порядок категорирования и управления

конфиденциальной информацией определяется «Положением

о введении режима коммерческой тайны».

КАК ЗАЩИЩАТЬ – ОПРЕДЕЛЯЕТ БИЗНЕС

7. РАЗГРАНИЧЕНИЕ ДОСТУПА К

ИНФОРМАЦИИ

7.1. В Организации разработаны, документированы и внедрены

механизмы разграничения доступа к информации в зависимости от

степени конфиденциальности.

7.2. Информационные ресурсы, информационные системы и

аппаратное обеспечение должны иметь необходимый и достаточный

набор методов, позволяющих реализовать механизмы авторизации,

аутентификации, разграничения и контроля доступа к ним.

7.3. В Организации введено ограничение доступа к

информационным ресурсам. Это ограничение реализуется путем

использования персональных учетных записей или

специализированных аппаратно-программных средств

аутентификации для всех пользователей.

7.4. Порядок управления доступом к информационным ресурсам

Организации определяется «Регламентом управления

информационными ресурсами».

8. СРЕДСТВА ОБЕСПЕЧЕНИЯ


8.1. Базовый уровень безопасности информации при работе

пользователей в информационной системе Организации

достигается путем объединения серверов и рабочих станций в

домен ОС Windows. Порядок управления инфраструктурой

домена определяется «Доменной политикой».

8.2. Защита сети Организации от внешних и внутренних

вредоносных воздействий достигается путем использования

средств межсетевого экранирования и системы обнаружения

и предотвращения атак IBM Proventia.

8.3. Обеспечение защиты сети Организации от вредоносного

программного обеспечения осуществляется при помощи

средств антивирусной защиты TrendMicro. Порядок работы с

этими средствами определен «Инструкцией по защите от

вредоносного программного кода».



8.4. Для предотвращения несанкционированного доступа в сеть

Организации используются средства защиты каналов связи. Создание и

администрирование защищенных каналов связи является

исключительной прерогативой департамента ИБ. Создание и

использование средств удаленного доступа в сеть Организации любыми

другими лицами в любых целях не допускается.

8.5. Для защиты конфиденциальной информации в Организации

применяются криптографические средства. Перечень сведений,

защищаемых при помощи криптографических средств, и порядок работы

с ними, определен в «Инструкции по использованию криптографических

ключей».

8.6. Для предотвращения утечки конфиденциальной информации,

обрабатываемой на рабочих местах пользователей КИВС, в

Организации внедрена система управления съемными средствами

хранения и передачи информации на базе программного обеспечения

DeviceLock. Порядок работы с указанными средствами определен в

«Инструкции по использованию съемных средств обработки, хранения и

передачи информации».

8.7. Для предотвращения нанесения Организации ущерба, связанного с

потерей информации, и создания условий для обеспечения

непрерывности бизнеса в части оперативного восстановления ИР в

результате случайных или преднамеренных событий (действий), в

Организации осуществляется резервное копирование информации.

Порядок резервного копирования определяется «Политикой резервного

копирования информации».

8.8. Периметр безопасности на объектах Организации организован

путем создания пропускного и внутриобъектового режимов, а также

путем использования средств охранной, пожарной сигнализации,

видеонаблюдения и контроля доступа. Порядок управления периметром

безопасности определяется «Инструкцией по пропускному и

внутриобъектовому режиму».

8.9. В Организации проводятся регулярные мероприятия по поиску и

нейтрализации технических каналов утечки информации. Порядок их

проведения определяется «Инструкцией по выполнению мероприятий,

направленных на выявление и предупреждение утечки информации по

техническим каналам».



9.1. Для снижения риска несанкционированного

доступа или внесения изменений в действующие

информационные системы, в Организации

организовано разделение среды разработки,

тестирования и промышленных (действующих)

экземпляров систем.

9.2. В Организации разработаны и внедрены

механизмы контроля внесения изменений в любые

элементы информационной системы. Процедуры

управления изменениями в информационной системе

определены в описании бизнес-процесса «Процесс

управления изменениями информационных систем».

8. РАЗРАБОТКА И ПОДДЕРЖКА

ИНФОРМАЦИОННЫХ СИСТЕМ

10. БЕЗОПАСНОСТЬ ПЕРСОНАЛА

10.1. Для противодействия возможным угрозам

экономической и информационной безопасности, в

Организации осуществляется проверка достоверности

сведений, предоставляемых кандидатом при приеме на

работу, и контрагентом при заключении договора. Проверка

достоверности сведений проводится для всех кандидатов и

контрагентов, в соответствии с действующим

законодательством РФ.

10.2. Сотрудники Организации, контрагенты и иные лица,

выполнение служебных или договорных обязательств которых

требует наличия допуска к сведениям, составляющим

коммерческую тайну (секрет производства), персональным

данным и иной конфиденциальной информации, заключают

соглашение о неразглашении этих сведений. Порядок допуска

к работе с информацией, составляющей коммерческую тайну

(секрет производства), определяется Положением о введении

режима коммерческой тайны».

11. РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ

11.1. Лица, имеющие любую форму доступа к любым

информационным ресурсам Организации, являются

пользователями. Порядок работы пользователя в информационной

системе Организации определен «Инструкцией пользователя

корпоративной информационно-вычислительной системы по

соблюдению требований информационной безопасности».

11.2. Пользователи, в должностные обязанности которых входит

управление информационной системой Организации, являются

администраторами. Порядок работы администратора

информационной системы определяется «Инструкцией

администратора корпоративной информационно-вычислительной

системы по соблюдению требований информационной

безопасности».

11.3. Организация мероприятий по обеспечению ИБ и контроль их

выполнения, а также ответственность за состояние ИБ в

Организации возложена на Департамент информационной

безопасности. Права и обязанности сотрудников ДИБ определяются

Положением об департаменте ИБ и должностными инструкциями.

11. РАЗДЕЛЕНИЕ ПОЛНОМОЧИЙ

11.4. Выполнение технических мероприятий по обеспечению

защиты ИС Организации, указанных в п. 7.2, 7.6, 7.8 и 7.9

настоящей Политики, возложено на ДИБ.

11.5. Выполнение технических мероприятий по обеспечению

защиты ИС Организации, указанных в п. 7.1, 7.3, 7.4, 7.5, 7.7

настоящей Политики, возложено на департамент

информационных технологий. Права и обязанности сотрудников

ДИТ определяются Положением о департаменте

информационных технологий и должностными инструкциями

сотрудников.

11.6. Для поддержки процессов, связанных с построением СУИБ

в Организации, и координации действий по обеспечению ИБ в

Организации между представителями различных подразделений,

в Организации создана Комиссия по защите информации.

Комиссия является коллегиальным органом и осуществляет свою

деятельность в соответствии с «Положением о комиссии по

защите информации».

12. ЗАЩИТА ПЕРСОНАЛЬНЫХ

ДАННЫХ

12.1. Защита персональных данных физических лиц,

обрабатываемых в Организации, организуется в

соответствии с требованиями законодательства РФ и

достигается с помощью организационных мер и

технических средств.

12.2. Организационные меры защиты персональных

данных определяются «Положением по организации

системы защиты персональных данных».

12.3. Защита ПДн, обрабатываемых в ИСПДн

Организации, осуществляется в том числе

техническими средствами, реализующими меры,

описанные в разделе 7 настоящей Политики.

13. СВЕДЕНИЯ О ДОКУМЕНТЕ

13.1. Настоящая Политика разработана в соответствии с

требованиями, установленными в корпоративном Стандарте

«Информационная безопасность», а также в соответствии с

действующим законодательством РФ в области защиты

информации.

13.2. Методологической основой для разработки настоящей

Политики является Концепция информационной безопасности

Организации.

13.3. Настоящая Политика является методологической основой для

разработки всех нормативных документов, касающихся обеспечения

информационной безопасности в Организации.

13.4. Настоящая Политика разрабатывается департаментом ИБ и

согласуется с членами Комиссии по защите информации.

13.5. Настоящая Политика вступает в действие с момента

утверждения ее генеральным директором Организации.

14. СРОК ДЕЙСТВИЯ И ПОРЯДОК

ВНЕСЕНИЯ ИЗМЕНЕНИЙ

14.1. Срок действия настоящей Политики –

один год с момента утверждения.

14.2. По истечении срока действия (или ранее

- при необходимости) Политика подлежит

пересмотру. Внесение изменений в Политику

осуществляет департамент ИБ.

Пересмотренная Политика утверждается

генеральным директором Организации.

END OF DOCUMENT

ЧТО МЫ УЗНАЛИ:

1. Политика - дело тонкое: весь текст, размещенный на

этих слайдах, умещается на 4 листа А4

2. Ноги у Политики растут из стандартов, голова – от

руководства, а руки – от смежных подразделений

организации.

3. Политика ИБ – это «коннектор» между документами

высшего (Концепции и Стандарты) и низшего

(Регламенты, Положения, Инструкции) уровней. Кроме

того, он должен быть «живым» и в каждый момент

времени достоверно отражать актуальные требования и

подходы к обеспечению ИБ в организации.

4. Мы детально разобрали ее содержание.

5. Мы осмыслили каждую фразу

ПОЖАЛУЙСТА, ВОПРОСЫ?

СПАСИБО

ЗА ВНИМАНИЕ!

Блог: http://anvolkov.blogspot.com

E-Mail: [email protected]

Алексей Волков,

ОАО «Северсталь»

http://anvolkov.blogspot.com/

mailto:[email protected]

Политика информационной безопасности: как сделать...

Documents