УИБ Тема 1
Концептуальные подходы к управлению ИБ
Управление ИБ организации
Уровни управления ИБ организации:
65
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ
Управление ИБ организации: Функциональная структура управления ИБ организации
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Управление ИБ технологии (ИТТ)
Управление обеспечением ИБ ИТТ организации
Процесс управления ИБ ИТТ :
•интегрируется в общий процесс управления ИТТ;
•основывается на определенных принципах (например, изложенных в ГОСТ Р ИСО/МЭК 13335–1);
•имеет определенные этапы, например (ГОСТ Р ИСО/МЭК ТО 13335-3):
анализ требований по ОИБ ИТТ;
разработка плана выполнения этих требований;
реализация положений выработанного плана;
управление и административный контроль над
процессом управления ИБ ИТТ.
67
УИБ Тема 1
Концептуальные подходы к управлению ИБ
Управление ИБ технологии (ИТТ)
Этапы процесса управления обеспечением ИБ ИТТ
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ
Система управления ИБ
Управление ИБ в организации включает в себя две важнейшие составляющие:
-собственно сам процесс управления ИБ;
-систему управления ИБ (СУИБ) организации.
Определение:
«Система управления ИБ организации» -часть общей системы управления организации, основанная на подходе оценки и анализа бизнес- рисков, предназначена для разработки, внедрения, эксплуатации, постоянного контроля, анализа, поддержания и улучшения системы обеспечения ИБ, и включающая организационную структуру, политику, планирование действий, обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ
69
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Система управления ИБ Определение:
«Система управления ИБ организации» - часть общей системы управления организации,
основанная на подходе оценки и анализа бизнес- рисков,
предназначена (назначение СУИБ) для разработки, внедрения, эксплуатации, постоянного контроля, анализа, поддержания и улучшения системы обеспечения ИБ,
включающая (структура СУИБ) организационную структуру, политику, планирование действий, обязанности, установившийся порядок, процедуры, процессы и ресурсы в области ИБ
70
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Система управления ИБ: выполняет следующие функции:
•реализует целенаправленный, систематический и комплексный подход к управлению ИБ защищаемых активов, что приводит к повышению текущего уровня их защищенности;
•объединяет все применяемые в организации защитные и организационные меры в единый, адекватный реальным угрозам ИБ и управляемый комплекс, позволяющий достигать цели обеспечения ИБ на уровне всей организации;
•позволяет четко установить, как взаимосвязаны процессы и подсистемы обеспечения ИБ, кто за них отвечает, какие финансовые и трудовые ресурсы необходимы для их эффективного функционирования и т. д.;
•проводит процесс выполнения ПолИБ и позволяет находить и устранять слабые места в обесмпечении ИБ;
•охватывает людей, процессы и ИТ-структуру организации.
71
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ
Система управления ИБ: Выгоды от использования СУИБ (начало):
•обеспечение соответствия уровня ИБ законодательным, отраслевым, контрактным, внутрикорпоративным требованиям и целям бизнеса;
•доказательство стремления высшего руководства к ОИБ в необходимом объеме для всей организации в соответствии с установленными требованиями;
•повышение доверия партнеров, клиентов, заказчиков за счет демонстрации высокого уровня ОИБ всем заинтересованным сторонам;
•управляемое ОИБ и контролируемое управление ИБ (особенно в критичных ситуациях);
•систематизация процессов ОИБ;
•расстановка приоритетов в области ИБ;
•достижение «прозрачности» в ОИБ;
•обеспечение понятности защищаемых активов для
руководства; |
72 |
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Система управления ИБ: Выгоды от использования СУИБ
(окончание):
•выявление угроз ИБ для бизнес-процессов;
•достижение адекватности ОИБ существующим рискам;
•предупреждение возникновения инцидентов ИБ и снижение ущерба в случае их возникновения;
•повышение культуры ИБ в организации;
•интеграция защитных мер в бизнес-процессы;
•оптимизация (за счет формализации всех процессов ОИБ) и обоснование расходов на ИБ;
•снижение финансовых рисков и рисков прямых потерь;
•снижение операционных рисков за счет повышения экономической эффективности ОИБ;
•снижение рисков для инвесторов за счет повышения прозрачности процессов внутри организации;
•экономия времени, ресурсов и затрат на начальной стадии сбора информации при проведении любых аудитов ИБ;
•создание информации, порождаемой в процессе использования СУИБ, для всех заинтересованных сторон и
т. д. |
73 |
|
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Система управления ИБ:
Формирование СУИБ:
1.Область действия СУИБ
2.Документальное обеспечение СУИБ
3.Политика СУИБ
4.Поддержка СУИБ со стороны руководства организации
Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
1.Планирование СУИБ
2.Реализация СУИБ
3.Проверка СУИБ
4.Совершенствование СУИБ
Работа с процессами СУИБ
Стратегия построения и внедрения СУИБ |
74 |
|
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Система управления ИБ:
Методологическая основа СУИБ: процессный подход в рамках управления ИБ: 1.Планирование СУИБ; 2.Реализация СУИБ; 3.Проверка СУИБ; 4.Совершенствование СУИБ
75
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Система управления ИБ:
Методологическая основа СУИБ: процессный подход в рамках управления ИБ:
76
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ
Система управления ИБ:
Работа с процессами СУИБ: Основные процессы СУИБ
77
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Система управления ИБ:
Стратегия построения и внедрения СУИБ
Два подхода:
1) построение и внедрение СУИБ в целом;
Достоинство: уже через небольшое время возможно обеспечить логическую связь между процессами
управления ИБ и создать условия для работы СУИБ на
всех этапах цикла PDCA.
2) построение и внедрение процессов управления ИБ по
отдельности с последующим объединением их в единую СУИБ.
Достоинство: процессы будут внедряться постепенно, тщательнее будут отлаживаться и корректироваться в
соответствии с потребностями организации
78
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Политика ИБ: Причины выработки политики ИБ:
Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ организации еще до того, как появится первая проблема с безопасностью, – разработать ПолИБ и в соответствии с ней реализовать, эксплуатировать и совершенствовать СОИБ организации.
Почему?
•ПолИБ составляет общую основу для защиты всех влияющих на ОИБ активов организации, в рамках которой определяются правила разграничения доступа к этим активам.
•ПолИБ определяет, какое поведение по отношению к активам разрешено, т. е. является санкционированным, а какое запрещено, является несанкционированным и свидетельствует о незаконном их использовании.
•ПолИБ определяет «правила игры» для всех сотрудников организации и третьих лиц, что позволяет достичь согласия по вопросам ОИБ как внутри самой организации (включая ее руководство), так и вовне.
•ПолИБ часто помогает сделать правильный выбор самой платформы для работы с активами, учитывая, какие инструментальные средства и процедуры будут использованы.
79
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Политика ИБ: Причины выработки политики ИБ:
Среди других причин, побуждающих организацию разрабатывать ПолИБ, выделяют:
•Требование руководства, обнаружившего недостаток внимания к проблемам ИБ, которые привели к снижению эффективности бизнеса.
•Требования законодательства и отраслевых стандартов.
•Требования клиентов и партнеров о подтверждении необходимого уровня ОИБ для гарантии того, что их конфиденциальная информация защищена надлежащим образом.
•Необходимость сертификации по стандартам (например, ISO/IEC 9001, 27002, 15408 и т. п.).
•Устранение замечаний аудиторов и выполнение их рекомендаций.
•Обеспечение конкурентоспособности за счет оптимизации бизнес- процессов и увеличения результативности.
•Демонстрация заинтересованности руководства в ОИБ, что значительно увеличивает приоритет безопасности в глазах сотрудников организации.
•Создание корпоративной культуры ИБ и широкое вовлечение сотрудников в процесс ОИБ.
•Уменьшение стоимости страхования.
•Экономическая целесообразность.
•Хорошая практика.
80
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Политика ИБ:
Важность:
•Политика ….. организации
•Политика ИБ
•Политика обеспечения ИБ
•Политика обеспечения ИБ организации
•Политика системы управления ИБ
Первостепенной целью разработки ПолИБ организации является обеспечение решения
вопросов ОИБ в пределах организации и вовлечение ее высшего руководства в данный процесс.
81
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ
Политика ИБ:
2. Базовые понятия «Политика ИБ» -
•совокупность требований и правил по ИБ для объекта ИБ, выработанных
всоответствии с требованиями руководящих и нормативных документов
вцелях противодействия заданному множеству угроз ИБ, с учетом ценности защищаемой информационной сферы;
•совокупность документированных правил, процедур, практических
приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности;
•документация, определяющая высокоуровневые цели, содержание и
основные направления и устанавливающая правила, процедуры, практические приемы и руководящие принципы обеспечения ИБ активов организации, которыми она руководствуется в своей деятельности.
•одно или несколько правил, процедур, практических приемов в области
безопасности, которыми руководствуется организация в своей деятельности;
•документированные решения в области обеспечения ИБ;
ПолИБ = Что защищать (активы) + Отчего защищать (угрозы-уязвимости) + как
защищать (стратегия защиты)
82
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Политика ИБ:
В современной практике ОИБ термин ПолИБ может употребляться:
•В широком смысле как система документированных управленческих
решений по ОИБ организации (корпоративная ПолИБ)
•В узком смысле – отдельный нормативный документ, определяющий
требования безопасности, систему мер и/или порядок действий, а также ответственность сотрудников организации и средства управления для определенной области ОИБ (частная ПолИБ)
Частная ПолИБ - это:
•ПолИБ по конкретным вопросам или проблемам (issue-specific);
•ПолИБ по конкретным системам (system-specific), ориентированная на
отдельную область ОИБ или технологию, используемую в организации или ее подразделении;
•составляющими корпоративной ПолИБ организации ( ее конкретизация);
•документация, детализирующая положения ПолИБ применительно к
одной или нескольким областям ИБ, видам и технологиям деятельности организации.
Примеры областей частных ПолИБ: ОИБ телекоммуникационных систем и сервисов, антивирусная защита, доступ в Интернет, использование средств криптографической защиты и т. д.
В них формулируются требования на создание и эксплуатацию СЗИ, организацию информационных и бизнес-процессов организации по конкретному направлению ОИБ.
83
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Политика ИБ:
Еще один подход разделяет ПолИБ на две категории:
•организационная или административные, выполняемые
людьми
•технические, реализуемые с помощью оборудования и
программ.
Техническая ПолИБ – это совокупность законов, правил и практических методов, регулирующих обработку чувствительной информации и использование ресурсов ПО и аппаратного обеспечения.
ПолИБ могут создаваться для:
•отдельных пользователей;
•группы пользователей (для отдельного департамента,
роли/должности, внутри организации или за ее пределами - для партнеров, клиентов, аудиторов и т. п.).
84
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ Политика ИБ: Причины выработки политики ИБ:
Среди других причин, побуждающих организацию разрабатывать ПолИБ, выделяют:
•Требование руководства, обнаружившего недостаток внимания к проблемам ИБ, которые привели к снижению эффективности бизнеса.
•Требования законодательства и отраслевых стандартов.
•Требования клиентов и партнеров о подтверждении необходимого уровня ОИБ для гарантии того, что их конфиденциальная информация защищена надлежащим образом.
•Необходимость сертификации по стандартам (например, ISO/IEC 9001, 27002, 15408 и т. п.).
•Устранение замечаний аудиторов и выполнение их рекомендаций.
•Обеспечение конкурентоспособности за счет оптимизации бизнес- процессов и увеличения результативности.
•Демонстрация заинтересованности руководства в ОИБ, что значительно увеличивает приоритет безопасности в глазах сотрудников организации.
•Создание корпоративной культуры ИБ и широкое вовлечение сотрудников в процесс ОИБ.
•Уменьшение стоимости страхования.
•Экономическая целесообразность.
•Хорошая практика.
85
УИБ |
Тема 1 |
Концептуальные подходы к управлению ИБ
Подробно: Электронные образовательные курсы (ЭОК):
ЭОК-1 «УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ»
(324 экрана) ЭОК-2
«УПРАВЛЕНИЕ РИСКАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» (199 )
ЭОК-3 «УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ» (154) ЭОК-4
«ПРОВЕРКА УПРАВЛЕНИЯ ИНФОРМАЦИОННОЙ |
|
БЕЗОПАСНОСТЬЮ» (152 ) |
86 |
|
УИБ |
Тема 1 |
1.3. Порядок освоения дисциплины
3. Самостоятельная работа: выполнение комплексного группового домашнего задания Группа: 4 человека («бригада» с выбранным руководителем)
Тема: «Управление обеспечением ИБ <объекта>» Составляющие темы:
1. Описание <объекта>. Политика ИБ <объекта> 2.Управление рисками ИБ <объекта>
3.Управление инцидентами ИБ <объекта>
4.Контроль обеспечения ИБ <объекта>
87