- •Южно-уральский государственный университет
- •Курс лекций
- •Информационная безопасность.
- •Челябинск
- •5.3 Система информационной безопасности предприятия. 16
- •Введение
- •5. Система информационной безопасности предприятия.
- •5.1 Основные определения. Информация1 и ее свойства.
- •5.2 Стандарты обеспечения информационной безопасности.
- •5.2.1 Роль стандартов информационной безопасности.
- •5.2.2 Документирование деятельности по обеспечению иб предприятия.11
- •Документы второго уровня
- •Документы третьего уровня
- •Документы четвертого уровня
- •5.3 Система информационной безопасности предприятия.
- •5.3.1 Основные положения.
- •5.3.2 Защита коммерческой тайны на предприятии.
- •5.3.3 Защита персональных данных на предприятии.
- •Глава 14 (ст. 85 - 90). Защита персональных данных работника.
- •5.3.4 Электронный документооборот. Электронная подпись.
- •Преследуемые цели39
- •Сущность цифровой подписи.
- •Удостоверяющий центр
- •Формирование и проверка эп
- •Секретные и открытые ключи
- •Средства эп
- •Криптографические хэш-функции
- •Комплексная защита сообщений
- •5.3.5 Ответственность за нарушения правил обращения с конфиденциальной информацией.
- •5.4 Создание системы информационной безопасности предприятия.
- •5.4.1 Основные цели, методы и принципы.
- •5.4.2 Методическое направление работ по созданию ксзи
- •5.4.3 Организационное направление работ по созданию ксзи
- •Регламент обеспечения безопасности.
- •Общие документы
- •Документы по работе с кадрами
- •Документы по защите ас и свт
- •5.4.4 Техническое направление работ по созданию ксзи
- •5.4.5 Выводы. Как построить защищенную информационную систему?
- •5.5 Современные технологии защиты данных.43
- •5.5.1 Технология криптографической защиты информации.
- •5.5.2 Технологии аутентификации.
- •Приложение
- •Положение о коммерческой тайне
5.2.2 Документирование деятельности по обеспечению иб предприятия.11
Информация - это актив, который имеет ценность и, следовательно, должен быть защищен надлежащим образом. Система ИБ защищает информацию от широкого диапазона угроз с целью обеспечения уверенности в непрерывности бизнеса, минимизации ущерба, получения максимальной отдачи от инвестиций, а также реализации потенциальных возможностей бизнеса. Информация, поддерживающие ее процессы, ИС и сетевая инфраструктура являются существенными активами организации. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.
Главное, что для себя должен решить руководитель, - нужно ли вообще что-то делать для обеспечения безопасности этого специфического актива, и если да, то нужно ли для этого создавать отдельную специализированную службу. Руководитель должен помнить, что если он считает эту работу важной и необходимой, он обязан обеспечить ей постоянную поддержку и регулярное выделение соответствующих ресурсов.
Без поддержки со стороны высшего руководства предприятия добиться построения эффективной системы ИБ невозможно.
Приняв решение о построение системы ИБ предприятия в первую очередь необходимо обеспечить ей правовую основу для функционирования, используя соответствующие действующие нормативные документы, стандарты и рекомендации, обязательно учитывая специфику конкретного предприятия. Организация должна определить свои требования к ИБ с учетом следующих трех факторов.12
Во-первых, оценка рисков организации. Посредством оценки рисков происходит выявление угроз активам организации, оценка уязвимости соответствующих активов и вероятности возникновения угроз, а также оценка возможных последствий.
Во-вторых, юридические, законодательные, регулирующие и договорные требования, которым должны удовлетворять организация, ее торговые партнеры, подрядчики и поставщики услуг.
В-третьих, специфический набор принципов, целей и требований, разработанных организацией в отношении обработки информации.
Стандарты по ИБ рекомендуют создать в организации отдельную службу ИБ.
Однако на практике внимательный анализ состояния ИБ на предприятии часто показывает, что большинство вопросов успешно решается другими службами организации при исполнении их основных обязанностей. Для закрытия имеющейся уязвимости, как правило, чаще всего требуется совместные усилия уже существующих служб, а не вмешательство «со стороны». Таким образом, то, в чем реально нуждается, в данном случае, организация, - это налаживание совместной согласованной работы имеющихся служб, причем для решения не только проблем ИБ, но многих других задач.
Основная проблема, которую необходимо решить в этом случае - наличие на предприятии профессионального координатора по вопросам ИБ.
В соответствии со стандартом ISO ГОСТ Р ИСО/МЭК 17799-2005 основные меры, реализация которых позволяет добиться требуемого уровня ИБ организации, включают в себя:
- разработку и проведение в жизнь политики (регламента) ИБ;
- распределение обязанностей по обеспечению ИБ;
- обучение и подготовку персонала по вопросам поддержания режима ИБ;
- внедрение системы уведомлений о случаях нарушения системы безопасности;
- разработку планов на случай чрезвычайных ситуаций и для обеспечения непрерывности деловой деятельности организации;
- защиту документов организации;
- защиту конфиденциальной информации (коммерческой тайны, персональных данных, интеллектуальной собственности).
Руководитель организации должен:
- понимать значимость проблем ИБ и их взаимосвязь с другими направлениями деятельности, такими как обеспечение соответствия законодательству и нормативным требованиям, управление качеством, обеспечение непрерывности деловой деятельности;
- понимать последствия несоблюдения правил ИБ;
- видеть слабые места в системе ИБ своей организации.
Документирование деятельности.
Адекватный уровень ИБ, соответствующий потребностям бизнеса, может быть обеспечен только на основе комплексного подхода, предполагающего планомерное использование правовых, организационных, программно-технических и других мер обеспечения ИБ на единой концептуальной и методической основе.
Для обеспечения согласованности, целенаправленности, планомерности деятельности по обеспечению ИБ эта деятельность должна быть документирована.
Документы по обеспечению ИБ позволяют определить и довести до каждого работника правила и требования по обеспечению ИБ, которыми он должен руководствоваться в своей производственной деятельности, а также определить порядок контроля за их соблюдением и меру ответственности при нарушении установленных правил и требований.
Деятельность организации по обеспечению ИБ осуществляется на основе следующих документов:
- действующих законодательных актов и нормативных документов РФ по обеспечению ИБ;
- внутренних документов организации по обеспечению ИБ.
/ \
/ \
/ \
/ \
/ \
/ Документы,\
/ содержащие \
/ положения \
/ корпоративной \
/ политики ИБ \
/---------------------\
/ Документы, содержащие \
/положения частных политик\
/---------------------------\
/ Документы, содержащие \
/ требования ИБ к процедурам \
/---------------------------------\
/Документы, содержащие свидетельства\
/ выполненной деятельности \
/ по обеспечению ИБ \
-----------------------------------------
Структура внутренних документов организации по обеспечению ИБ
В состав внутренних документов организации по обеспечению ИБ рекомендуется включать следующие виды документов:
документы первого уровня. Документы, содержащие положения корпоративной политики ИБ организации, определяют высокоуровневые цели, содержание и основные направления деятельности по обеспечению ИБ, предназначенные для организации в целом;
документы второго уровня. Документы, содержащие положения частных политик, детализируют положения корпоративной политики ИБ применительно к одной или нескольким областям ИБ, видам и технологиям деятельности организации;
документы третьего уровня. Документы, содержащие положения ИБ, применяемые к процедурам (порядку выполнения действий или операций) обеспечения ИБ. Содержат правила и параметры, устанавливающие способ осуществления и выполнения конкретных действий, связанных с ИБ, в рамках технологических процессов, используемых в организации, либо ограничения по выполнению отдельных действий, связанных с реализацией защитных мер, в используемых технологических процессах (технические задания, регламенты, порядки, инструкции);
документы четвертого уровня. Документы, содержащие свидетельства выполненной деятельности по обеспечению ИБ, отражают достигнутые результаты (промежуточные и окончательные), относящиеся к обеспечению ИБ организации.
Рекомендуется, чтобы положения документов по обеспечению ИБ организации:
носили не рекомендательный, а обязательный характер;
были выполнимыми и контролируемыми. Не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен;
были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе в условиях их изменчивости;
не противоречили друг другу.
Документы первого уровня.
Корпоративная политика ИБ организации определяет содержание, назначение и требования к деятельности по обеспечению ИБ организации без указания специфических деталей. В корпоративной политике ИБ организации рекомендуется определять высокоуровневые правила и требования к деятельности по управлению рисками, в том числе по анализу и выработке позиций в отношении рисков. Корпоративная политика ИБ организации может быть представлена как в виде комплекта документов, так и в виде единого обобщающего документа.
В корпоративную политику ИБ организации рекомендуется включать следующие положения:
- определение ИБ в терминах деятельности данной организации, области действия политики, целей, задач и принципов обеспечения ИБ организации;
- изложение намерения обеспечения ИБ, направленного на достижение указанных целей и на реализацию принципов обеспечения ИБ;
- общие сведения об активах (ресурсах), подлежащих защите, их классификацию;
- модели угроз и нарушителей (внутреннего и внешнего) в соответствии с разработанными требованиями, на противодействие которым ориентирована корпоративная политика ИБ;
- высокоуровневое изложение правил и требований в области ИБ, представляющих особую важность для организации, например:
обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения ИБ;
требования к управлению ИБ;
требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения;
санкции и последствия нарушений политики безопасности;
определение общих ролей и обязанностей, связанных с обеспечением ИБ, включая информирование об инцидентах ИБ;
перечень частных политик ИБ, развивающих и детализирующих положения корпоративной политики ИБ, а также указание подразделений организации, ответственных за их соблюдение и/или реализацию;
положения по контролю реализации корпоративной политики ИБ организации;
ответственность за реализацию и сопровождение документа;
условия пересмотра (выпуска новой редакции) документа.
К разработке и согласованию корпоративной политики ИБ рекомендуется привлекать представителей следующих служб организации, связанных с ее информационной сферой:
- руководство организации;
- профильные подразделения;
- служба информатизации;
- служба обеспечения конфиденциальности (СОК).
Корпоративная политика ИБ должна быть утверждена руководителем организации (например, председателем, генеральным директором, президентом, руководителем филиала).