Разработка политики иб в соответствии в международными стандартами

1) Определение политики ИБ (стрелка от него) Список документов, определ. политику ИБ

2) Установление границ режима ИБ (стрелка от него) Документы в которых определяются Границы ИС

3) Проведение оценки рисков Риск=Ущерб*Вероятность (стрелка от него) Документы в которых описаны: угрозы, уязвимости, возможные сценарии действий, методика оценки рисков

4) Выбор контрмер и управления рисками (стрелка от него) Описание контрмер, структурированных по видам ЗИ: стандарты, процедуры, методики

5) Выбор средств контроля и управления, обеспечив. режим ИБ (стрелка от него) КСЗИ, обеспечивающее ИБ на всех этапах жизненного цикла ИС; блок документов, обеспечивающих эксплуатацию КСЗИ (журналы регистрации)

6) Сертификация суиб на соответствие требованиям нормативных документов (стрелка от него) Документы, сопровождающие процедуру сертификации.

15. Содержание основных разделов пиб

Раздел документа ПИБ «Описание границ ИС и построение модели ИС с позиции ее безопасности»

Необходимо определить границы системы, для которой должен быть обеспечен режим ИБ. Соответственно, система управления ИБ должна строиться именно в этих границах. Описание границ производится по общему плану:

1. Структура организации. Описание существующей структуры и изменений, которые предполагается внести в связи с разработкой или модернизацией КСЗИ

2. Размещение элементов ИС и поддерживающей инфраструктуры. Затем строится Модель ИС с позиции обеспечения ИБ:

   1. Описываются ресурсы ИС, подлежащие защите

Ресурсы ИС представляют собой все виды обеспечения, в т.ч.:

- аппаратное обеспечение (все элементы, в т.ч.: телефоны, факсы, диктофоны, камеры и т.д.)

- программное

- информационное

- правовое

- организационное (положение об отделах, ТЗ на разработку ИС, сам проект, акт приемки в эксплуатацию ИС, инструкции пользователей)

- кадровое

- лингвистическое (языки программирования, средства для перевода - переводчик)

- математическое – матем. модели, связанные с моделью доступа, к информации, модели принятия решений

- поддерживающая инфраструктура (электропитание, кондиционирование, тепло-, водоснабжение, канализация, интернет, ремонтные службы)

2. технологии обработки информации и решаемые задачи

Исходными данными для раздела являются результаты предпроектного обследования и ведомственные документы.

В результате выполнения этого раздела будет написан параграф ПИБ под названием «Модель ИС с позиции обеспечения ИБ» либо отдельный документ с подобным названием.

Раздел анализ рисков

Анализ рисков начинается с формализации системы приоритетов. Кроме критериев, учитывающих финансовые потери в коммерческих организациях, могут присутствовать критерии, отражающие:

1. Ущерб репутации предприятия

2. Неприятности, связанные с нарушением действ. законодательства

3. Ущерб для здоровья персонала

4. Ущерб, связанный с разглашением ПД отдельных лиц

5. Потери, связанные с невозможностью выполнений обязательств

6. Ущерб от дезорганизации деятельности

Минимальные требования к режиму ИБ.

Повышенные требования к режиму ИБ.

Для того чтобы сформулировать повышенные требования, необходимо:

1) определить ценность ресурсов

2) к стандартному набору добавить список угроз, актуальных для исследуемой ИС

3) определить вероятность угроз

4) определить уязвимость ресурсов

Для повышенного уровня след. разделы:

1 – оценка ценности инф.ресурсов

2 – возможные пути нарушения режима ИБ (модель угроз)

3 – модель нарушителя по выбранным классам угроз

4 – оценка параметров угроз и уязвимостей с дальнейшим расчетом рисков

Содержание основных разделов ПИБ

1 раздел «Управленческая политика» – в этом разделе собраны правила для менеджмента компании. Эти правила разделены на категории:

1. Классификация данных – необходима для определения ценности инф. и разграничения доступа к док.

   1. Категорирование данных.

   2. Обнародование принципов работы с данными.

   3. Инвентаризация инф. носителей.

2. Распространение информации.

   1. Процедура установления личности сотрудника

   2. Разглашение третьим лицам.

   3. Распространение информации ограниченного доступа.

   4. Распространение частной информации.

   5. Распространение информации для внутреннего использования.

   6. Использование служебной информации в телефонных разговорах.

   7. Процедуры для служащих вестибюля и приемной.

   8. Передача ПО третьим лицам.

   9. Определение мотивов клиентов.

   10. Передача файлов данных.

3. Администрирование телефонных систем.

   1. Переадресации на номера Dial-up соединений и факса.

   2. Автоматическое определение номера (АОН).

   3. Общедоступные телефонные аппараты.

   4. Стандартные пароли доступа к телефонным системам.

   5. Голосовая почта отдела.

   6. Проверка сотрудника телефонной компании.

   7. Настройка телефонной системы.

   8. Функция отслеживания звонков.

   9. Автоответчик.

   10. Блокирование ящика голосовой почты.

   11. Ограничение доступа к Внутренним номерам.

4. Разное

   1. Формат корпоративного бейджа.

   2. Пересмотр прав доступа при смене должности или обязанности.

   3. Идентификация лиц, не являющихся сотрудниками.

   4. Удаление учетных записей временных служащих.

   5. Организация команды чрезвычайного реагирования.

   6. Горячая линия оповещения.

   7. Охрана служебных помещений.

   8. Сетевые, серверные и телефонные аппаратные комнаты.

   9. Корпоративные почтовые ящики (неэлектр.).

   10. Корпоративная доска объявлений.

   11. Вход в информационный вычислительный центр организации.

   12. Учетные записи потребителей услуг внешних организаций.

   13. Контактное лицо отдела.

   14. Пароли клиентов.

   15. Проверка на уязвимость.

   16. Вывешивание корпоративной информации ограниченного доступа.

   17. Повышение компетентности в вопросах безопасности.

   18. Доступ к комп.технике и обучение персонала.

   19. Цветовое кодирование корпоративного бейджа.