кафедра
Москва, 2016
Система управления информационной безопасностью.
Документальное обеспечение СУИБ
- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Система управления информационной безопасностью. Документальное обеспечение презентация
Содержание
- 1. Система управления информационной безопасностью. Документальное обеспечение
- 2. Нормативная база документального обеспечения СУИБ:
- 3. ГОСТ Р ИСО/МЭК 27001-2006: Документация должна включать
- 4. ГОСТ Р ИСО/МЭК 27001-2006: Документация СМИБ должна
- 5. ГОСТ Р ИСО/МЭК 27001-2006: Примечания: Термин "документированная
- 6. ГОСТ Р ИСО/МЭК 27001-2006: Управление документами Для
- 7. ГОСТ Р ИСО/МЭК 27001-2006: Управление документами Для
- 8. ГОСТ Р ИСО/МЭК 27001-2006: Управление записями Для
- 9. Нормативная база документального обеспечения СУИБ:
- 10. Состав внутренних документов, относящихся к СУИБ:
- 11. Состав внутренних документов, относящихся к СУИБ:
- 12. Состав внутренних документов, относящихся к СУИБ:
- 13. Состав внутренних документов, относящихся к СУИБ:
- 14. Состав внутренних документов, относящихся к СУИБ:
- 15. Состав внутренних документов, относящихся к СУИБ:
- 16. Состав внутренних документов, относящихся к СУИБ:
- 17. Состав внутренних документов, относящихся к СУИБ:
- 18. Состав внутренних документов, относящихся к СУИБ:
- 19. Состав внутренних документов, относящихся к СУИБ:
- 20. Шаблоны документов, относящихся к СУИБ:
- 21. Шаблоны документов, относящихся к СУИБ:
- 22. Управление документами СУИБ: Рекомендуется, чтобы
- 23. Благодарю за внимание! Толстой
Нормативная база документального обеспечения СУИБ: ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. http://securitypolicy.ru В соответствии с немецкой Методика фирмы
Слайд 1Толстой Александр Иванович
к.т.н., доцент
Доцент кафедры «Информационная безопасность банковских систем»
НИЯУ МИФИ,
Факультет
«Кибернетика и информационная безопасность»,
кафедра
кафедра
Слайд 2Нормативная база документального обеспечения СУИБ:
ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы
и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
http://securitypolicy.ru
В соответствии с немецкой
Методика фирмы ИТ-Груншутц (Германия)
http://securitypolicy.ru
В соответствии с немецкой
Методика фирмы ИТ-Груншутц (Германия)
СУИБ Документальное обеспечение
Слайд 3ГОСТ Р ИСО/МЭК 27001-2006:
Документация должна включать в себя записи решений руководства,
позволяющие обеспечивать контроль выполнения решений руководства и политик организации, а также обеспечивать воспроизводимость документированных результатов.
Важно иметь обратную связь выбранных мер управления с результатами процессов оценки и обработки риска, а также последних с политикой СМИБ и целями СМИБ.
Важно иметь обратную связь выбранных мер управления с результатами процессов оценки и обработки риска, а также последних с политикой СМИБ и целями СМИБ.
СУИБ Документальное обеспечение
Слайд 4ГОСТ Р ИСО/МЭК 27001-2006:
Документация СМИБ должна включать в себя следующее:
a) документированные
положения политики СМИБ и целей СМИБ;
b) область функционирования СМИБ;
c) процедуры и меры управления, поддерживающие СМИБ;
d) описание методологии оценки риска;
e) отчет по оценке рисков ;
f) план обработки рисков;
g) документированные процедуры, необходимые организации для обеспечения эффективного планирования, внедрения процессов в области ИБ и управления этими процессами, а также описания путей оценки результативности мер управления;
h) учетные записи;
i) положение о применимости.
b) область функционирования СМИБ;
c) процедуры и меры управления, поддерживающие СМИБ;
d) описание методологии оценки риска;
e) отчет по оценке рисков ;
f) план обработки рисков;
g) документированные процедуры, необходимые организации для обеспечения эффективного планирования, внедрения процессов в области ИБ и управления этими процессами, а также описания путей оценки результативности мер управления;
h) учетные записи;
i) положение о применимости.
СУИБ Документальное обеспечение
Слайд 5ГОСТ Р ИСО/МЭК 27001-2006:
Примечания:
Термин "документированная процедура" означает, что процедура установлена, документально
оформлена, реализована и поддерживается на должном уровне.
2. Для разных организаций объем документации СМИБ может быть различным в зависимости:
- от размера организации и вида ее деятельности;
- от области применения и сложности требований безопасности и от управляемой системы.
3. Документы и учетные записи могут существовать в любой форме и на носителях любого типа.
2. Для разных организаций объем документации СМИБ может быть различным в зависимости:
- от размера организации и вида ее деятельности;
- от области применения и сложности требований безопасности и от управляемой системы.
3. Документы и учетные записи могут существовать в любой форме и на носителях любого типа.
СУИБ Документальное обеспечение
Слайд 6ГОСТ Р ИСО/МЭК 27001-2006:
Управление документами
Для разработки, актуализации, использования, хранения и уничтожения
документов СМИБ, а также их защиты в организации должна существовать документированная процедура, определяющая действия руководства по:
a) утверждению документов СМИБ перед их изданием;
b) пересмотру и обновлению, при необходимости, документов, а также повторному их утверждению;
c) обеспечению идентификации внесенных изменений и текущего статуса документов;
d) обеспечению наличия версий соответствующих документов в местах их использования;
e) определению порядка просмотра документов и их идентификации;
a) утверждению документов СМИБ перед их изданием;
b) пересмотру и обновлению, при необходимости, документов, а также повторному их утверждению;
c) обеспечению идентификации внесенных изменений и текущего статуса документов;
d) обеспечению наличия версий соответствующих документов в местах их использования;
e) определению порядка просмотра документов и их идентификации;
СУИБ Документальное обеспечение
Слайд 7ГОСТ Р ИСО/МЭК 27001-2006:
Управление документами
Для разработки, актуализации, использования, хранения и уничтожения
документов СМИБ, а также их защиты в организации должна существовать документированная процедура, определяющая действия руководства по:
f) обеспечению доступа к документам авторизованным лицам, а также передачи, хранения и уничтожения в соответствии с процедурами, применимыми к степени их конфиденциальности;
g) идентификации документов, созданных вне организации;
h) обеспечению контроля за распространением документов;
i) предотвращению непреднамеренного использования устаревших документов;
j) использованию соответствующей идентификации устаревших документов в случае их дальнейшего хранения.
f) обеспечению доступа к документам авторизованным лицам, а также передачи, хранения и уничтожения в соответствии с процедурами, применимыми к степени их конфиденциальности;
g) идентификации документов, созданных вне организации;
h) обеспечению контроля за распространением документов;
i) предотвращению непреднамеренного использования устаревших документов;
j) использованию соответствующей идентификации устаревших документов в случае их дальнейшего хранения.
СУИБ Документальное обеспечение
Слайд 8ГОСТ Р ИСО/МЭК 27001-2006:
Управление записями
Для предоставления свидетельств соответствия требованиям и результативности
функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи.
Учетные записи необходимо контролировать и защищать. СМИБ должна принимать во внимание все нормативно-правовые требования и договорные обязательства, имеющие отношение к ИБ.
Записи должны быть четкими, легко идентифицируемыми и восстанавливаемыми.
Меры управления, требуемые для идентификации, хранения, защиты, поиска, определения сроков хранения и уничтожения записей должны быть документированы и реализованы.
Кроме этого, следует вести и хранить записи о выполнении процессов и обо всех значительных инцидентах информационной безопасности, связанных со СМИБ.
Примерами записей являются: журнал регистрации посетителей, отчеты о результатах аудитов, заполненные формы авторизации доступа.
Учетные записи необходимо контролировать и защищать. СМИБ должна принимать во внимание все нормативно-правовые требования и договорные обязательства, имеющие отношение к ИБ.
Записи должны быть четкими, легко идентифицируемыми и восстанавливаемыми.
Меры управления, требуемые для идентификации, хранения, защиты, поиска, определения сроков хранения и уничтожения записей должны быть документированы и реализованы.
Кроме этого, следует вести и хранить записи о выполнении процессов и обо всех значительных инцидентах информационной безопасности, связанных со СМИБ.
Примерами записей являются: журнал регистрации посетителей, отчеты о результатах аудитов, заполненные формы авторизации доступа.
СУИБ Документальное обеспечение
Слайд 9Нормативная база документального обеспечения СУИБ:
http://securitypolicy.ru
В соответствии с немецкой
Методика фирмы ИТ-Груншутц
(Германия)
СУИБ Документальное обеспечение
Слайд 10Состав внутренних документов, относящихся к СУИБ:
1.
Документы первого уровня
(административный)
2. Документы второго уровня
(верхний)
3. Документы третьего уровня
(средний - технический)
4. Документы четвертого уровня
(нижний)
(административный)
2. Документы второго уровня
(верхний)
3. Документы третьего уровня
(средний - технический)
4. Документы четвертого уровня
(нижний)
СУИБ Документальное обеспечение
Слайд 11Состав внутренних документов, относящихся к СУИБ:
1. Документы первого уровня
(административный)
1.1. Орг.структура предприятия
1.2. Приказ о назначении представителя высшего руководства (ВР) по СУИБ
1.3. Положение о службе безопасности
1.4. Положение о службе ИБ
1.5. Должностная инструкция представителя ВР по СМИБ
1.6. Должностная инструкция системного администратора
1.7. Приказ ВР о внедрении и поддержке СМИБ
1.1. Орг.структура предприятия
1.2. Приказ о назначении представителя высшего руководства (ВР) по СУИБ
1.3. Положение о службе безопасности
1.4. Положение о службе ИБ
1.5. Должностная инструкция представителя ВР по СМИБ
1.6. Должностная инструкция системного администратора
1.7. Приказ ВР о внедрении и поддержке СМИБ
СУИБ Документальное обеспечение
Слайд 12Состав внутренних документов, относящихся к СУИБ:
2. Документы второго уровня
(верхний):
2.1. Область действия СУИБ
2.2. Политика СУИБ (политика ИБ)
2.3. Цели СУИБ по процессам
2.4. Анализ достижения целей
2.5. Орг.структура СУИБ
2.6. Положение о применимости направлений ИБ
2.7.Работа с рисками:
Методика оценки рисков
Критерии принятия рисков
Отчет об оценке рисков
План по обработке рисков
Заявление ВР о принятии остаточных рисков
2.8.Работа с документами:
Процедура управления документацией
Процедура управления записями
2.1. Область действия СУИБ
2.2. Политика СУИБ (политика ИБ)
2.3. Цели СУИБ по процессам
2.4. Анализ достижения целей
2.5. Орг.структура СУИБ
2.6. Положение о применимости направлений ИБ
2.7.Работа с рисками:
Методика оценки рисков
Критерии принятия рисков
Отчет об оценке рисков
План по обработке рисков
Заявление ВР о принятии остаточных рисков
2.8.Работа с документами:
Процедура управления документацией
Процедура управления записями
СУИБ Документальное обеспечение
Слайд 13Состав внутренних документов, относящихся к СУИБ:
2. Документы второго уровня
(верхний):
2.9.Внутренние аудиты:
Процедура проведения внутренних аудитов
Группа внутреннего аудита
Программа внутренних аудитов на год
План аудита
Отчет об аудите
Протокол несоответствия
План корректирующих и предупреждающих действий с отметкой об анализе результативности действий
Корректирующие и предупреждающие действия
Процедура управления корректирующими и предупреждающими действиями
2.10.Анализ со стороны ВР
Анализ СУИБ со стороны ВР
2.9.Внутренние аудиты:
Процедура проведения внутренних аудитов
Группа внутреннего аудита
Программа внутренних аудитов на год
План аудита
Отчет об аудите
Протокол несоответствия
План корректирующих и предупреждающих действий с отметкой об анализе результативности действий
Корректирующие и предупреждающие действия
Процедура управления корректирующими и предупреждающими действиями
2.10.Анализ со стороны ВР
Анализ СУИБ со стороны ВР
СУИБ Документальное обеспечение
Слайд 14Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня
(средний - технический):
3.1.Общая организация ИБ
Журналы регистрации событий в области ИБ
3.2.Управление информационными активами
Договор с третьим лицом по работе с ИА
Журнал регистрации действий с ИА третьих лиц
Реестр ИА: классификация ИА, ответственность за ИА, маркировка ИА, оценка ИА
3.3.Управление персоналом
Процедура управления персоналом
Критерии приема персонала
Программа обучения персонала
Прием на работу/ При переходе на другую должность/ При увольнении: Правила ИБ для конкретной должности, Соглашение о соблюдении правил ИБ, Соглашение о конфиденциальности
Во время работы: записи об обучении (аттестации)
3.1.Общая организация ИБ
Журналы регистрации событий в области ИБ
3.2.Управление информационными активами
Договор с третьим лицом по работе с ИА
Журнал регистрации действий с ИА третьих лиц
Реестр ИА: классификация ИА, ответственность за ИА, маркировка ИА, оценка ИА
3.3.Управление персоналом
Процедура управления персоналом
Критерии приема персонала
Программа обучения персонала
Прием на работу/ При переходе на другую должность/ При увольнении: Правила ИБ для конкретной должности, Соглашение о соблюдении правил ИБ, Соглашение о конфиденциальности
Во время работы: записи об обучении (аттестации)
СУИБ Документальное обеспечение
Слайд 15Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня
(средний - технический):
3.4.Физическая безопасность:
Процедура физической защиты предприятия
Схема периметра безопасности
Схема расположения зданий, помещений
Схема расположения средств обработки информации
Паспорта зон особой безопасности
3.5.Управление компьютерами и сетями:
Правила обслуживания средств обработки информации
Процедура управления изменениями в средствах обработки информации (СОИ)
Процедура антивирусной защиты
Процедура резервного копирования
Процедура сетевой защиты
Процедура работы с носителями информации
Процедура обмена информацией
Процедура управления электронной коммерцией
Журнал регистрации действий пользователей
Журналы регистрации действий администраторов
Руководства по обслуживанию СОИ
3.4.Физическая безопасность:
Процедура физической защиты предприятия
Схема периметра безопасности
Схема расположения зданий, помещений
Схема расположения средств обработки информации
Паспорта зон особой безопасности
3.5.Управление компьютерами и сетями:
Правила обслуживания средств обработки информации
Процедура управления изменениями в средствах обработки информации (СОИ)
Процедура антивирусной защиты
Процедура резервного копирования
Процедура сетевой защиты
Процедура работы с носителями информации
Процедура обмена информацией
Процедура управления электронной коммерцией
Журнал регистрации действий пользователей
Журналы регистрации действий администраторов
Руководства по обслуживанию СОИ
СУИБ Документальное обеспечение
Слайд 16Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня
(средний - технический):
3.6.Управление доступом:
Физический доступ
Процедура доступа к помещениям
Процедура доступа к персоналу
Процедура доступа к бумажным архивам
Электронный и физический доступ
Процедура доступа к СОИ и ИА за пределами предприятия
Процедура доступа к электронным архивам
Процедура доступа к СОИ
Процедура доступа к программному обеспечению (ПО)
Процедура доступа к информационной системе(ИС)
Процедура доступа к операционной системе (ОС)
Процедура доступа к сетям
Правила парольной защиты
Правила чистого стола и экрана
Журнал регистрации доступов
Анализ зарегистрированных доступов
3.6.Управление доступом:
Физический доступ
Процедура доступа к помещениям
Процедура доступа к персоналу
Процедура доступа к бумажным архивам
Электронный и физический доступ
Процедура доступа к СОИ и ИА за пределами предприятия
Процедура доступа к электронным архивам
Процедура доступа к СОИ
Процедура доступа к программному обеспечению (ПО)
Процедура доступа к информационной системе(ИС)
Процедура доступа к операционной системе (ОС)
Процедура доступа к сетям
Правила парольной защиты
Правила чистого стола и экрана
Журнал регистрации доступов
Анализ зарегистрированных доступов
СУИБ Документальное обеспечение
Слайд 17Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня
(средний - технический):
3.7.Приобретение, разработка и поддержание ИС:
Процедура принятия нового СОИ, ПО, ИС, сети
Процедура разработки(доработки) ПО, ИС
Процедура управления техническими уязвимостями
Процедура криптографической защиты
Правила ввода данных в ПО, ИС, СОИ
3.8.Управление инцидентами:
Процедура выявления и регистрации инцидентов
Журнал регистрации инцидентов ИБ
Журнал регистрации жалоб и предложений ИБ
3.7.Приобретение, разработка и поддержание ИС:
Процедура принятия нового СОИ, ПО, ИС, сети
Процедура разработки(доработки) ПО, ИС
Процедура управления техническими уязвимостями
Процедура криптографической защиты
Правила ввода данных в ПО, ИС, СОИ
3.8.Управление инцидентами:
Процедура выявления и регистрации инцидентов
Журнал регистрации инцидентов ИБ
Журнал регистрации жалоб и предложений ИБ
СУИБ Документальное обеспечение
Слайд 18Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня
(средний - технический):
3.9.Управление непрерывностью бизнеса:
Процедура управления непрерывностью бизнеса
Риски серьезного прерывания бизнеса
Планы восстановления бизнеса
Записи о тестировании планов восстановления
3.10.Управление соответствием требованиям:
Перечень применимого законодательства
Документы на ПО, ИС (лицензии)
Перечень законодательных и контрактовых требований по наличию и хранению записей
Процедура защиты персональных данных
Перечень законодательных требований по криптозащите
3.9.Управление непрерывностью бизнеса:
Процедура управления непрерывностью бизнеса
Риски серьезного прерывания бизнеса
Планы восстановления бизнеса
Записи о тестировании планов восстановления
3.10.Управление соответствием требованиям:
Перечень применимого законодательства
Документы на ПО, ИС (лицензии)
Перечень законодательных и контрактовых требований по наличию и хранению записей
Процедура защиты персональных данных
Перечень законодательных требований по криптозащите
СУИБ Документальное обеспечение
Слайд 19Состав внутренних документов, относящихся к СУИБ:
4. Документы четвертого уровня
(нижний):
4.1.Копии внешней политики во всех помещениях
4.2.Копии Процедур управления документацией во всех подразделениях
4.3.Копии Процедуры управления записями во всех подразделениях
4.4. Памятка по антивирусной защите
4.5. Памятка по резервному копированию
4.6. Памятка по работе с паролями
4.7. Памятка при работе на ПК
4.8. Памятка по обмену информацией
4.9. Памятка по вводу информации в ИС
4.10. Памятка по работе с электронными документами
4.11. Памятка по работе с бумажными документами
4.12. Действия в случае нестандартной ситуации
4.13. Действия в случае катастрофы
4.14. Памятка по защите персональных данных
4.15. Указатели на входах в зоны особой защиты
4.1.Копии внешней политики во всех помещениях
4.2.Копии Процедур управления документацией во всех подразделениях
4.3.Копии Процедуры управления записями во всех подразделениях
4.4. Памятка по антивирусной защите
4.5. Памятка по резервному копированию
4.6. Памятка по работе с паролями
4.7. Памятка при работе на ПК
4.8. Памятка по обмену информацией
4.9. Памятка по вводу информации в ИС
4.10. Памятка по работе с электронными документами
4.11. Памятка по работе с бумажными документами
4.12. Действия в случае нестандартной ситуации
4.13. Действия в случае катастрофы
4.14. Памятка по защите персональных данных
4.15. Указатели на входах в зоны особой защиты
СУИБ Документальное обеспечение
Слайд 20Шаблоны документов, относящихся к СУИБ:
Политики
http://securitypolicy.ru
http://www.dir.state.tx.us/security/policies/templates.htm
http://csrc.nist.gov/groups/SMA/fasp/archive.html
http://www.sans.org/resources/policies/
http://www.brookes.ac.uk/infosec/
http://www.vita.virginia.gov/library/default.aspx?id=537
http://www.it.ufl.edu/policies/security/
http://www.yourwindow.to/security-policies/
http://www.hp.com/sbso/productivity/howto/security/
http://www.wustl.edu/policies/
http://www.dhs.state.or.us/policy/admin/infosecuritylist.htm
http://www.tcd.ie/ITSecurity/policies/infosec.php
http://www.fs.uiuc.edu:1503/fsindex.html?col=cam&qc=cam
http://campus.leeds.ac.uk/isms/
http://it.ouhsc.edu/policies/
http://www.cisco.com/en/US/tech/tk869/tk769/
technologies_white_paper09186a008014f945.shtml
http://www.sans.org/reading_room/whitepapers/policyissues/
http://www.windowsecurity.com/pages/security-policy.pdf
СУИБ
Документальное обеспечение
Слайд 21Шаблоны документов, относящихся к СУИБ:
Политики сетевой безопасности
http://www.cisco.com/warp/public/126/secpol.html
Правила разработки политик
http://www.sans.org/reading_room/whitepapers/policyissues/
http://www.windowsecurity.com/pages/security-policy.pd
СУИБ
Документальное обеспечение
Слайд 22Управление документами СУИБ:
Рекомендуется, чтобы положения документов:
носили обязательный (не рекомендательный) характер;
были
выполнимыми и контролируемыми (не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен);
были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе, в условиях их изменчивости;
не противоречили друг другу.
были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе, в условиях их изменчивости;
не противоречили друг другу.
СУИБ Документальное обеспечение
