- •1. Сущность и задачи ксзи
- •2. Необходимость и принципы создания ксзи
- •3. Организация архитектурного построения ксзи
- •4. Специфические функции и задачи ксзи
- •5. Методы формирования функций защиты
- •6. Функции управления ксзи
- •7. Планирование как элемент управления ксзи
- •8. Классификация задач зи
- •9. Система управления иб (в соответствие с гост р 27001-2005)
- •Система управления предприятия
- •Этапы создания суиб
- •1. Принятие решения о создании суиб
- •2. Подготовка к созданию суиб
- •3. Анализ рисков
- •4. Разработка политик и процедур суиб
- •5. Внедрение суиб в эксплуатацию
- •10. Управление рисками как основной вид управления в суиб
- •Реализация плана обработки рисков
- •11. Разработка политик и процедур суиб
- •Внедрение суиб в эксплуатацию
- •Подготовка к сертификационному аудиту
- •12. Классификация субъектов и объектов доступа к зи
- •13. Понятие и структура Концепции и Политики безопасности
- •14. Основные этапы разработки пиб
- •Разработка политики иб в соответствии в международными стандартами
- •6) Сертификация суиб на соответствие требованиям нормативных документов (стрелка от него) Документы, сопровождающие процедуру сертификации.
- •15. Содержание основных разделов пиб
- •16. Пиб в стандарте гост р исо/мэк 17799-2005 «ит. Практические правила управления иб»
- •17. Основы стандарта гост р исо/мэк 15408-2002 «Общие критерии оценки безопасности ит»
- •Назначение профиля защиты
- •18. Основы стандарта cobit
- •Описание структуры.
- •Принципы аудита.
- •19. Основы экономической эффективности ксзи
- •Методика расчета ущерба
- •20. Библиотека itil и ее роль в обеспечении иб
3. Анализ рисков
4. Разработка политик и процедур суиб
5. Внедрение суиб в эксплуатацию
10. Управление рисками как основной вид управления в суиб
В процессе анализа рисков проводятся следующие работы:
Идентификация всех активов в рамках выбранной области деятельности (инф.ресурсы огранич.доступа, средства обработки и их передачи).
Определение ценности идентифицированных активов.
Идентификация угроз и уязвимостей для идентифицированных активов.
Оценка рисков для возможных случаев успешной реализации угроз ИБ в отношении идентифицированных активов.
Выбор критериев принятия рисков.
Подготовка плана обработки рисков.
Идентификация и определение ценности активов
В рамках данных работ должны быть рассмотрены все бизнес-процессы, входящие в выбранную область деятельности организации. По каждому бизнес-процессу совместно с его владельцем производится идентификация задействованных активов.
В терминах стандарта под активами понимается инф. входные данные, инф. выходные данные, инф. записи, ресурсы: люди, оборудование, ПО, инструменты, услуги, инфраструктура.
Следующим шагом явл. определение ценности актива, которая выражается в величине ущерба, если нарушается какое-либо из след. свойств актива: конфиденциальность, целостность, доступность. Результатом данных работ явл. отчет об идентификации оценки ценности активов.
Анализ рисков.
Необходимо подобрать или разработать такую методику анализа рисков, Существует 2 пути решения этой проблемы:
Использовать существующие методики.
Разработать свою собственную методику, будет подходить к специфике организации и охватываемой СУИБ области деятельности.
Типичные недостатки методик:
Стандартный набор угроз и уязвимостей, который зачастую невозможно изменить
Принятие в качестве активов только программно-технических и инф. ресурсов (без рассмотрения человеческих ресурсов, сервисов и т.п.)
Общая сложность методики с т.з. ее устойчивого и повторяющегося использования.
В соответствии с требованиями стандарта в процессе анализа рисков должны быть идентифицированы критерии принятия рисков и приемлемые уровни рисков.
В случае, когда риск превышает приемлемый уровень высшее руководство должно принять одно из следующих возможных решений:
Снижение риска до приемлемого уровня путем применения соответствующих контрмер
Принятие риска
Избежание риска
Перевод риска в другую область (посредством его страхования)
Эти 4 решения – т.н. стратегия управления рисками.
Реализация плана обработки рисков
Данный документ содержит перечень первоочередных мероприятий по снижению уровней рисков, а также цели и средства управления, направленные на снижение рисков с указанием:
1) лиц, ответственных за реализацию данных мероприятий и средств
2) сроков реализации мероприятий и приоритетов их выполнения
3) ресурсов для реализации таких мероприятий
4) уровней остаточных рисков после внедрения мероприятий и средств управления
11. Разработка политик и процедур суиб
Разработка организационно-нормативной базы, необходимой для функционирования СУИБ, может проводиться параллельно с реализацией мероприятий плана обработки рисков.
На данном этапе разрабатываются документы, явно указанные в Стандарте, а также те, необходимость реализации которых вытекает из результатов анализа рисков и из собственных требований компании к ЗИ. Обычно сюда входят следующие основные политики и процедуры:
1. область деятельности СУИБ;
2. политика СУИБ;
3. частные политики (подполитики) по основным механизмам обеспечения ИБ, применимым к выбранной области деятельности:
a) политика антивирусной защиты;
b) политика предоставления доступа к информационным ресурсам;
c) политика использования средств криптографической защиты;
d) другие политики;
4. процедуры СУИБ:
a) управления документацией;
b) управления записями;
c) проведения внутренних аудитов;
d) проведения корректирующих действий;
e) проведения предупреждающих действий;
f) управления инцидентами;
g) анализа функционирования СУИБ руководством организации;
h) оценки эффективности механизмов управления СУИБ;
i) другие процедуры и инструкции.
Разрабатываемые политики и процедуры должны охватывать следующие ключевые процессы СУИБ:
1. управление рисками;
2. управление инцидентами;
3. управление персоналом;
4. управление документацией и записями СУИБ;
5. управление эффективностью системы;
6. пересмотр и модернизация системы;
7. управление непрерывностью бизнеса и восстановления его после инцидентов и прерываний.
Кроме того, в ДИ ответственного персонала, Положения о подразделениях, договорные обязательства организации должны быть включены обязанности по обеспечению ИБ.
Обязанности по выполнению требований СУИБ посредством соотв. приказов и распоряжений возлагаются на ответственных сотрудников подразделений, охватываемых СУИБ. Все разработанные положения в виде политик СУИБ, частных политик, процедур и инструкций доводятся до сведения рядовых сотрудников при их первоначальном и последующем периодическом обучении и информировании.
Т.о. в результате не только создается документальная база СУИБ, но и происходит реальное распределение обязанностей по обеспечению ИБ среди персонала организации.