Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
嶋・1-15.ppt
Скачиваний:
143
Добавлен:
03.02.2018
Размер:
3.4 Mб
Скачать

Управление информационной безопасностью

Учебная дисциплина УИБ

Тема 1

Концептуальные подходы к обеспечению ИБ

Толстой Александр Иванович

к.т.н., доцент Доцент кафедры «Информационная безопасность

банковских систем» НИЯУ МИФИ,

Факультет «Кибернетика и информационная безопасность»,

кафедра

Москва, сентябрь 2015

УИБ

Тема 1

1.Концептуальные подходы к обеспечению и ИБ

1.1.Исходная концептуальная схема (парадигма) обеспечения ИБ

Концептуальные подходы к управлению информационной безопасностью

2

УИБ

Тема 1

1.1.Исходная концептуальная схема (парадигма) обеспечения ИБ

Парадигма - от греч. Παράδειγμα

пример, модель, образец

в философии науки и социологии науки:

исходная концептуальная схема,

модель постановки проблем и их решения,

совокупность методов исследования, господствующих в течение определённого исторического периода в научном сообществе.

Смена парадигм представляет собой научную революцию или эволюционный переход.

3

УИБ

Тема 1

1.1.Исходная концептуальная схема (парадигма) обеспечения ИБ

Определить модель постановки проблем и место обеспечения ИБ в организации.

Определить основные цели деятельности

в рамках модели.

Определить основное содержание деятельностей в рамках модели.

Определить стратегию обеспечения ИБ.

4

УИБ

Тема 4.1

1.1.Исходная концептуальная схема (парадигма) обеспечения ИБ

Традиционный подход: решение фундаментальной проблемы информационного права

 

Право на

 

 

 

 

 

Право на

 

 

информацию

 

 

 

 

 

тайну

 

 

 

Каждый имеет право…

 

 

 

 

 

 

 

 

 

 

 

1. …на неприкосновенность частной

 

…свободно искать, получать,

 

 

жизни, личную и семейную тайну,

 

передавать, производить и

 

защиту своей чести и доброго имени.

 

распространять информацию

 

2. …на тайну переписки, телефонных

 

любым законным способом

 

переговоров, почтовых, телеграфных и

 

(статья 29 п.4. Конституции РФ)

 

иных сообщений. Ограничение этого

 

 

 

 

 

права допускается только на основании

 

 

 

 

 

 

 

 

 

судебного решения.

 

 

 

 

 

(статья 23 Конституции РФ)

 

 

 

 

 

 

 

 

 

УИБ

Тема 1

1.1.Исходная концептуальная схема (парадигма) обеспечения ИБ

Традиционный подход: решение фундаментальной проблемы информационного права

Федеральный закон «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ от 27.07.2006, посл.изм.2011 г.);

…регулирует отношения, возникающие при:

1)осуществлении права на поиск, получение, передачу, производство и распространение информации;

2)применении информационных технологий;

3)обеспечении защиты информации.

6

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ Традиционный подход: решение фундаментальной проблемы информационного права

 

 

 

 

=

 

 

 

 

Объект информатизации

 

 

Объект защиты

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Защита

 

Комплексная система

Обеспечение ИБ

 

 

 

 

 

 

информации

 

защиты информации

 

 

 

 

Определения:

«защита информации» – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию (ГОСТ Р 50922-2006);

«объект информатизации» совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией (ГОСТ Р 51275-2006);

«объект защиты» – информация или носитель

информации или информационный процесс, в отношении

7

которых необходимо обеспечивать защиту в соответствии

УИБ

Тема 1

1.1.Исходная концептуальная схема (парадигма) обеспечения ИБ Традиционный подход: решение фундаментальной проблемы информационного права

 

 

 

 

=

 

 

 

 

Объект информатизации

 

 

Объект защиты

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Защита

 

Комплексная система

Обеспечение ИБ

 

 

 

 

 

 

информации

 

защиты информации

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Определения:

«система защиты информации» - совокупность органов и/или исполнителей, используемая ими техника защиты информации , а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации (ГОСТ Р 50922-2006);

8

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ

Традиционный подход: решение фундаментальной проблемы информационного права

«Кризис подхода» - Специфика обеспечения ИБ: 1.Деградация мер и средств защиты информации.

Правильно выстроенные процессы и используемые защитные меры в силу объективных причин имеют тенденцию к постепенному ослаблению своей эффективности.

Причины:

угрозы ИБ, их источники и риски ИБ через некоторые промежутки времени изменяются под воздействием среды ведения бизнеса организации.

защитные меры всегда тем или иным образом ограничивают сотрудников и сам бизнес (следствие - неправильного распределения ролей и ответственности и плохо отлаженного механизма выделения полномочий всем и все разрешено)

Результат: организация несет потери, так как на систему ЗИ были зря потрачены немалые средства

9

УИБ

Тема 1

1.1.Исходная концептуальная схема (парадигма) обеспечения ИБ

Традиционный подход: решение фундаментальной проблемы информационного права

«Кризис подхода» - Специфика обеспечения ИБ:

2.Изменчивость (стохастичность) бизнеса.

Бизнес ведется в условиях изменчивой среды, то есть при большой неопределенности.

Это естественное свойство среды, которое должно учитываться организацией в ее деятельности.

В условиях неопределенности на бизнес-уровне принимается решение о необходимости осуществить то или иное действие, отсрочить его, позаботиться о дополнительных гарантиях или ресурсах, либо вообще отказаться от выполнения действий.

При этом используются естественные для бизнеса механизмы самоконтроля, позволяющие проверить степень достижения заданной цели.

Изменчивость потребует постоянной подстройки обеспечения ИБ под изменение внутренней и внешней среды ведения

бизнеса организации.

10

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ

Традиционный подход: решение фундаментальной проблемы информационного права

«Кризис подхода» - Специфика обеспечения ИБ:

3.Обеспечение ИБ, в отличие от бизнеса, не имеет механизмов самоконтроля.

4.Эффективность деятельности по обеспечению ИБ реально проявляется

только в момент атак.

До наступления атаки непосредственно убедиться в эффективной реализации этой деятельности и, следовательно, успешном

отражении атаки проблематично.

11

УИБ

Тема 1

Исходная концептуальная схема (парадигма)

обеспечения ИБ

Традиционный подход: решение фундаментальной проблемы информационного права

«Кризис подхода» - Специфика обеспечения ИБ: 5.Своевременность обнаружения проблем в области

обеспечения ИБ. Организация должна:

своевременно обнаруживать проблемы, прямо или

косвенно относящиеся к ИБ и потенциально способные повлиять на успешное достижение ее бизнес-целей;

адекватно оценивать степень влияния выявленных

проблем в области обеспечения ИБ на ее бизнес-цели.

6.Рост масштабов и сложности самих задач ОИБ

организации.

Это требует их эффективного решения, что не может быть достигнуто без целенаправленного управления

всеми процессами обеспечения ИБ, основанного на

системном методологическом подходе.

12

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ Современный подход: новая парадигма

Основные идеи парадигмы (модели) обеспечения ИБ:

Эффективность обеспечения ИБ определяется эффективностью управления

Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.

Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.

Базовыми процессами УИБ являются:

-Управление рисками ИБ.

-Управление инцидентами ИБ.

-Проверка и оценка деятельности по обеспечению

ИБ

Направленность процессов УИБ:

Взаимодействие с управлением непрерывностью

бизнеса

13

УИБ

Тема 1

Почему «управление ИБ»?

Основные идеи современного подхода к обеспечению ИБ:

Эффективность обеспечения ИБ

определяется эффективностью управления

Базовыми процессами УИБ являются:

-Управление рисками ИБ.

-Управление инцидентами ИБ.

-Проверка и оценка деятельности по обеспечению ИБ

Направленность процессов УИБ:

Взаимодействие с управлением непрерывностью бизнеса

14

УИБ

Тема 1

Информационная безопасность объекта – это состояние объекта

Обеспечение ИБ – это системный процесс, а не состояние

Деятельность организации осуществляется через реализацию трех групп высокоуровневых бизнес-процессов:

- основные процессы (процессы основной деятельности), - вспомогательные процессы (процессы по

видам обеспечения), - процессы управления (менеджмента)

организацией,.

Процессы по обеспечению ИБ – вид вспомогательных процессов,

реализующих поддержку (обеспечение) процессов основной деятельности организации в целях достижения ею максимально возможного результата.

15

УИБ

Тема 1

Основные идеи современного подхода к обеспечению ИБ:

Эффективность обеспечения ИБ

определяется эффективностью управления

Почему «управление ИБ»?

Обеспечение ИБ – это системный процесс, а не состояние

Процессом надо управлять!

16

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ Современный подход: новая парадигма

Основные идеи парадигмы (модели) обеспечения ИБ:

Эффективность обеспечения ИБ определяется эффективностью управления

Основной целью деятельности службы ИБ организации является содействие бизнесу – целям деятельности организации.

17

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ Современный подход: новая парадигма

Основные идеи парадигмы (модели) обеспечения ИБ:

Активы могут рассматриваться только в контексте целей деятельности организации, но не как иначе.

Причем информационный актив является объектом взаимодействия различных субъектов

Определения:

«Актив» - все, что имеет ценность для организации [ГОСТ Р ИСО/МЭК 13335-1-2006];

«Субъект» – сущность, инициирующая выполнение операций (собственник актива, служба ИБ собственника, злоумышленник (нарушитель);

«Собственник» - субъект хозяйственной деятельности, имеющий права владения, распоряжения или пользования активами, который заинтересован или обязан (согласно требованиям законов или иных законодательных или нормативно-правовых актов) обеспечивать защиту активов от угроз, которые могут снизить их ценность или нанести ущерб собственнику.

«Злоумышленник (нарушитель)» - лицо, которое совершает или совершило заранее обдуманное действие с осознанием его опасных последствий или не предвидело, но должно было и могло предвидеть возможность наступления этих последствий (адаптировано из ст. 27 УК РФ).

18

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ Современный подход: новая парадигма

Основные идеи парадигмы (модели) обеспечения ИБ:

Примеры злоумышленников:

постороннее лицо, не имеющее легального

доступа к системе и атакующее ее только с использованием общедоступных сетей;

сотрудник организации, не имеющий

легального доступа к атакуемой системе и сумевший подсмотреть/подобрать пароль легального пользователя;

пользователь системы, обладающий

минимальными полномочиями и использующий ошибки в ПО и администрировании системы;

администратор системы, имеющий легально

полученные полномочия, достаточные для успешной атаки на систему;

разработчик системы, встроивший в код

системы “люки” (недокументированные возможности), которые в дальнейшем позволят ему осуществлять НСД к ресурсам системы.

19

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ Современный подход: новая парадигма

Основные идеи парадигмы (модели) обеспечения ИБ:

Цели собственника

мотивация

Собственник

Использование прав В соответствии с целями

бизнеса

Цели

злоумышленника

Завладение правами

Актив

 

 

 

 

 

 

е

 

 

 

 

 

 

и

 

 

 

 

 

 

н

 

 

с

 

 

 

е

 

 

 

 

 

ж

 

 

 

е

 

 

 

 

н

 

 

о

 

 

з

 

 

л

 

 

и

 

 

 

В

 

 

б

 

 

 

 

 

 

в

 

 

 

 

 

мотивация

Злоумышленник

 

П

 

 

 

 

 

 

 

о

 

 

 

 

 

 

 

л

 

 

 

 

н

 

 

у

 

 

 

 

 

 

чен

 

 

е

 

 

 

и

 

з

 

 

 

 

е

 

 

а

к

 

 

 

 

 

 

он

 

 

 

 

 

 

 

н

 

 

 

 

 

 

 

о

 

 

д

 

 

 

 

г

 

 

о

 

 

 

о

 

 

х

 

 

 

 

 

 

 

о

 

 

 

 

 

 

 

д

 

 

 

 

 

 

 

а

 

 

 

доход

Бизнес

Конфликт целей собственника и

 

 

злоумышленника по

 

 

 

установлению контроля над

Факторы эффективного

 

Риски

активами

Ведения бизнеса

 

 

20

 

 

УИБ

Тема 1

Почему «управление ИБ»?

Основные идеи современного подхода к обеспечению ИБ:

Эффективность обеспечения ИБ

определяется эффективностью управления

Базовыми процессами УИБ являются:

-Управление рисками ИБ.

-Управление инцидентами ИБ.

-Проверка и оценка деятельности по обеспечению ИБ

Направленность процессов УИБ:

Взаимодействие с управлением непрерывностью бизнеса

21

УИБ

Тема 1

Основные идеи современного подхода к обеспечению ИБ:

Эффективность обеспечения ИБ определяется

эффективностью управления

Базовыми процессами УИБ являются:

- Управление рисками ИБ.

Фундаментальные особенности безопасности:

1) Безопасность никогда не бывает абсолютной – всегда есть некоторый риск ее нарушения

«риск» – это вероятность причинения вреда с учетом его тяжести (ст.2 Федерального закона № 184-ФЗ «О техническом регулировании»);

2) Наступление рискового события в общем случае предотвратить невозможно, можно лишь понизить вероятность его наступления, т.е. добиться того, чтобы такие события будут наступать реже.

Следствие 1: усилия по обеспечению безопасности реально сводятся к задаче понижения уровня риска до приемлемого уровня, не болеe.

22

УИБ

Тема 1

Основные идеи современного подхода к обеспечению ИБ:

Эффективность обеспечения ИБ определяется

эффективностью управления

Базовыми процессами УИБ являются:

- Управление рисками ИБ.

Фундаментальные особенности безопасности:

3) Измерить уровень безопасности невозможно, можно лишь косвенно его оценить, измерив соответствующие показатели, характеризующие состояние безопасности объекта.

Следствие 2: можно говорить только о вероятности наступления того или иного события и степени его последствий, т.е. использовать для оценок уровня безопасности рисковый подход.

4) При любом вмешательстве в объект в первую очередь страдает ее безопасность

Следствие 3: при добавлении средства защиты безопасность объекта может не улучшиться, а ухудшится.

23

 

УИБ

Тема 1

Базовыми процессами УИБ являются:

 

-

Управление рисками ИБ – основа деятельности

-

по обеспечению ИБ.

 

«Актив» - все, что имеет ценность для организации [ГОСТ Р ИСО/МЭК 13335- 1-2006];

«Угроза ИБ» - совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ГОСТ Р 50922-2006];

«Уязвимость» (бреш) (vulnerability) - слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами [ГОСТ Р ИСО/МЭК 13335-1-2006];

Если уязвимость соответствует угрозе, то существует риск (ИСО 2382-8:1998)

24

 

УИБ

Тема 1

Базовыми процессами УИБ являются:

 

-

Управление рисками ИБ – основа деятельности

-

по обеспечению ИБ.

 

Оценка

рисков

ИБ

 

УИБ

Тема 1

Базовыми процессами УИБ являются:

 

-

Управление рисками ИБ – основа деятельности

-

по обеспечению ИБ.

 

Оценка

рисков

ИБ

Что

защищае

м?

 

УИБ

Тема 1

Базовыми процессами УИБ являются:

 

-

Управление рисками ИБ – основа деятельности

-

по обеспечению ИБ.

 

От чего защищае

м?

Оценка

рисков

ИБ

Что

защищае

м?

УИБ

Тема 1

Базовыми процессами УИБ являются:

-Управление рисками ИБ – основа деятельности

по обеспечению

ИБ.

Оценка

рисков

ИБ

Что

защищае

м?

От чего защищае

м?

Как

защищае

м?

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ

Современный подход: новая парадигма

Основные идеи парадигмы (модели) обеспечения ИБ:

Деятельности организации сопутствует значительное число различных рисков – риски ИБ один из видов рисков.

При принятии решений о внедрении защитных мер (включая и меры контроля) для противодействия идентифицированным угрозам (и для снижения рисков ИБ) собственник активов должен учитывать, что тем самым он увеличивает сложность своей системы обеспечения ИБ, а повышение сложности управления ИБ порождает новые

уязвимости.

29

 

УИБ

Тема 1

1.Регламентные работы по стене (покраска, проф. ремонт, …)

2.Безопасность стены (мониторинг состояния стены, периодический контроль злоумышленной активности, …)

3.Оценка параметров (толщина, высота, …) стены с точки зрения злоумышленной активности (оснащенность злоумышленника, его мотивация, …)

Первоначальный риск активов распадается на четыре составляющих

1.Риск несоблюдения регламента работ по стене (ухудшение характеристик)

2.Риск необнаружения и несвоевременной обработки инцидентов безопасности (дыры и лазейки в стене и их устранение)

3.Риск неверной (несвоевременной) оценки необходимых параметров стены

4.Риск преодоления стены (определяется ее параметрами относительно угроз)

Агрессивная среда (угрозы)

УИБ

Тема 1

Базовыми процессами УИБ являются:

- Управление рисками ИБ .

- Управление инцидентами ИБ. «Инцидент ИБ» -

появление одного или нескольких нежелательных или неожиданных событий ИБ, имеющих значительную вероятность компрометации бизнес-операций и указывающих на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ для активов организации ;

«Событие ИБ» -

идентифицированное появление определенного состояния актива организации (системы, сервиса или сети), указывающего на возможное нарушение Политики ИБ или нарушения в работе средств защиты, либо возникновение ранее неизвестной ситуации, которая может иметь отношение к ИБ.

31

УИБ

Тема 1

Базовыми процессами УИБ являются:

- Управление рисками ИБ .

- Управление инцидентами ИБ.

Это процесс, состоящий из ряда подпроцессов, на вход которого поступают данные, полученные в результате сбора и протоколирования событий ИБ, а на выходе – информация о причинах произошедшего инцидента ИБ, нанесенном организации ущербе и мерах, которые необходимо принять для того, чтобы инцидент ИБ не повторился вновь.

УИБ

Тема 1

Базовыми процессами УИБ являются:

- Управление рисками ИБ .

- Управление инцидентами ИБ.

Цель управления инцидентами ИБ – обеспечение следующих условий :

события ИБ обнаружены и эффективно обработаны, в

частности, определены как относящиеся или не относящиеся к категории инцидентов ИБ;

идентифицированные инциденты ИБ оценены, и

реагирование на них осуществлено наиболее целесообразным и результативным способом;

негативные воздействия инцидентов ИБ на организацию

и ее бизнес-операции минимизированы соответствующими защитными мерами, являющимися частью процесса реагирования на инцидент, иногда наряду с применением соответствующих элементов из плана(ов) ОНБ;

из инцидентов ИБ и их управления быстро извлечены

уроки. Это делается с целью повышения шансов предотвращения инцидентов ИБ в будущем, улучшения внедрения и использования защитных мер, улучшения общей системы управления инцидентами ИБ.

33

УИБ

Тема 1

Базовыми процессами УИБ являются:

-Управление рисками ИБ .

-Управление инцидентами ИБ.

Системный подход к а управлению инцидентами ИБ

Определение:

 

Назначение

Система управления инцидентами ИБ (СУИИБ)СУИИБ

 

 

часть общей системы управления организации,

предназначенная для:

 

обнаружения и регистрации, оценки, классификации и приоритезации, всестороннего исследования, обработки, извлечения уроков и предотвращения инцидентов ИБ в дальнейшем

и включающая организационную структуру, политику,

планирование действий, обязанности, установившийся порядок, процедуры, процессы и

ресурсы в области реагирования на инциденты ИБ.

Структура

34

СУИИБ

УИБ

Тема 1

Базовыми процессами УИБ являются:

-Управление рисками ИБ .

-Управление инцидентами ИБ.

Системный подход к а управлению инцидентами ИБ

35

УИБ

Тема 1

Базовыми процессами УИБ являются:

- Управление рисками ИБ .

- Управление инцидентами ИБ.

- Проверка и оценка деятельности по обеспечению ИБ: Почему?

Актуальные вопросы, возникающие на объекте, функционирующем в условиях существования угроз в информационной сфере:

Имеются ли в текущей конфигурации систем уязвимости, которые могут быть использованы для несанкционированного доступа (НСД) и взлома системы?

Насколько адекватны существующим рискам ИБ реализованные защитные меры?

Какие контрмеры позволят реально повысить существующий уровень защиты?

Как оценить уровень защищенности объекта и как определить, является ли он достаточным в данной среде функционирования?

На какие критерии оценки защищенности следует ориентироваться, и какие показатели защищенности использовать?

Ответы: в области проверки и оценки деятельности по

 

обеспечению ИБ

36

 

УИБ

Тема 1

Базовыми процессами УИБ являются:

- Управление рисками ИБ .

- Управление инцидентами ИБ.

- Проверка и оценка деятельности по

обеспечению ИБ:

Почему?

Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень ИБ может снижаться. Это неминуемо ведет к возрастанию рисков нарушения ИБ.

Для того, чтобы это не допустить, необходимо:

определить процессы, обеспечивающие контроль (проверку и оценку деятельности по управлению ИБ);

оценить эффективность обеспечения ИБ, используя «процессный подход»

37

УИБ

Тема 1

Базовыми процессами УИБ являются:

- Управление рисками ИБ .

- Управление инцидентами ИБ.

- Проверка и оценка деятельности по обеспечению ИБ:

Это элемент управления ИБ

-Проверка и оценка ИБ и СУИБ как части системы обеспечения ИБ (СОИБ) организации и, как результат, выявление признаков деградации используемых защитных мер могут проводиться путем выполнения следующих процессов на уровне как всей организации, так и ее отдельных активов – систем, сетей, сервисов, самой информации:

1) мониторинга и контроля используемых защитных мер (как непрерывные во времени, постоянно проводимые процессы);

2) самооценки ИБ (проводимые в рамках заданного интервала времени с установленными программой и планом проведения);

3) внешнего и внутреннего аудита ИБ (проводимые с установленными программой и планом проведения);

4) анализа функционирования СУИБ (в том числе со стороны руководства) (также проводимые с

установленной периодичностью).

38

 

УИБ

Тема 1

Базовыми процессами УИБ являются:

-

Управление рисками ИБ .

- Управление инцидентами ИБ.

-

Проверка и оценка деятельности по

 

обеспечению ИБ:

Это элемент

 

управления ИБ

 

Определения:

 

Мониторинг ИБ и контроль защитных мер (мониторинг ИБ) – постоянное наблюдение за объектами и субъектами, влияющими на обеспечение ИБ организации, а также сбор, анализ и обобщение результатов наблюдений.

Целями мониторинга ИБ - оперативное и постоянное наблюдение, сбор, анализ и обработка данных для каждого из направлений деятельности СУИБ в соответствии с заданными целями, а также обеспечение полной, своевременной, достоверной информацией для принятия обоснованных решений в области ИБ.

39

УИБ

Тема 1

Базовыми процессами УИБ являются:

-

Управление рисками ИБ .

- Управление инцидентами ИБ.

-

Проверка и оценка деятельности по

 

обеспечению ИБ:

Это элемент

 

управления ИБ

 

Определения:

 

Самооценка ИБ –

систематический и документируемый процесс получения ее сотрудниками свидетельств деятельности организации по ОИБ и установления степени выполнения установленных критериев самооценки ИБ.

Критерии самооценки ИБ –

совокупность политики, процедур или требований, используемых для сопоставления с ними свидетельств самооценки ИБ.

40

УИБ

Тема 1

Базовыми процессами УИБ являются:

- Управление рисками ИБ .

- Управление инцидентами ИБ.

- Проверка и оценка деятельности по обеспечению ИБ:

Определения:

Это элемент управления ИБ

 

Внутренний аудит ИБ –

деятельность по контролю функционирования различных аспектов обеспечения ИБ, регламентированная внутренними документами организации и осуществляемая представителями специального контрольного органа (подразделения организации) в рамках помощи органам управления организации.

Внешний аудит ИБ –

систематический, независимый и документируемый процесс получения свидетельств деятельности организации по обеспечению ИБ и установления степени выполнения в ней критериев аудита ИБ, проводимый внешней по отношению к проверяемой независимой проверяющей организацией и допускающий возможность формирования профессионального аудиторского суждения о состоянии ИБ организации.

41

УИБ

Тема 1

Процессы управления ИБ и система управления ИБ (СУИБ) СУИБ - часть общей системы управления организации,

основанная на подходе оценки и анализа бизнес-рисков, предназначена (назначение СУИБ) для разработки, внедрения,

эксплуатации, постоянного контроля, анализа, поддержания и улучшения системы обеспечения ИБ,

включающая (структура СУИБ) организационную структуру, политику, планирование действий, обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ

42

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ Современный подход: новая парадигма

Основные идеи парадигмы (модели) обеспечения ИБ:

«флаги» новой парадигмы:

Главный «флаг»: Управление информационной безопасности

Составляющие «флага»: 1.Управление рисками ИБ. 2.Управление инцидентами ИБ.

3.Проверка и оценка деятельности по управлению ИБ 4.Взаимодействие с управлением непрерывностью бизнеса

43

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ

Современный подход: (новая парадигма)

устойчивость процессов управления обеспечением непрерывности бизнеса

Определить основные идеи парадигмы

обеспечения ИБ в организации.

Определить основные цели деятельности в

рамках модели.

Обеспечение эффективного управления ИБ

Определить основное содержание

деятельностей в рамках модели. 1.Управление рисками ИБ. 2.Управление инцидентами ИБ. 3.Проверка и оценка деятельности по

управлению ИБ

Определить стратегию обеспечения ИБ.

Обеспечить непрерывность бизнеса

44

УИБ

Тема 1

Исходная концептуальная схема (парадигма) обеспечения ИБ

Определить основное содержание деятельностей в рамках

модели: 1.Управление рисками ИБ. 2.Управление инцидентами ИБ. 3.Проверка и оценка деятельности по управлению ИБ

Этапы процесса ОИБ организации

45

УИБ

Тема 1

Концептуальные подходы к управлению информационной безопасностью

Нормативная база управления ИБ

Термины и определения

Управление ИБ организации

Управление ИБ технологии (ИТТ)

Система управления ИБ

Политики ИБ

46

УИБ

Тема 1

Концептуальные подходы к управлению ИБ

Нормативная база управления ИБ: стандарты (лучшая практика)

В соответствие с этими стандартами обеспечение ИБ (ОИБ) в любой организации заключается в выполнении следующих действий:

определение целей ОИБ;

создание эффективной СУИБ;

расчет совокупности детализированных не только качественных, но и количественных показателей для оценки соответствия уровня ИБ заявленным целям;

применение инструментария ОИБ и оценки ее текущего состояния;

использование методик (с понятной системой критериев

и защитных мер, или мер ОИБ) в процессе анализа и управления рисками, позволяющих объективно оценить

текущее состояние дел в организации.

47

УИБ

Тема 1

Концептуальные подходы к управлению ИБ

Нормативная база управления ИБ: Стандарты серии ISO/IEC 27000:

Соседние файлы в предмете Управление информационной безопасностью