namefix-2
.ppt
Управление информационной безопасностью
Учебная дисциплина УИБ Тема 5
Документальное обеспечение системы управления информационной безопасности
Толстой Александр Иванович
к.т.н., доцент Доцент кафедры «Информационная безопасность
банковских систем» НИЯУ МИФИ,
Факультет «Кибернетика и информационная безопасность»,
кафедра
Москва, сентябрь 2015
УИБ |
Тема 5 |
Нормативная база документального обеспечения СУИБ:
ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства обеспечения безопасности.
Системы менеджмента информационной безопасности. Требования.
http://securitypolicy.ru
В соответствии с немецкой Методика фирмы ИТ-Груншутц (Германия)
2
УИБ |
Тема 5 |
Состав внутренних документов, относящихся к СУИБ:
1. Документы первого уровня
(административный)
2. Документы второго уровня
(верхний)
3. Документы третьего уровня
(средний - технический)
4. Документы четвертого уровня
(нижний)
3
УИБ |
Тема 5 |
Состав внутренних документов, относящихся к СУИБ:
1. Документы первого уровня (административный)
1.1.Орг.структура предприятия
1.2.Приказ о назначении представителя высшего руководства (ВР) по СУИБ
1.3.Положение о службе безопасности
1.4.Положение о службе ИБ
1.5.Должностная инструкция представителя ВР по СМИБ
1.6.Должностная инструкция системного администратора
1.7.Приказ ВР о внедрении и поддержке СМИБ
4
УИБ |
Тема 5 |
Состав внутренних документов, относящихся к СУИБ:
2. Документы второго уровня (верхний):
2.1.Область действия СУИБ
2.2.Политика СУИБ (политика ИБ)
2.3.Цели СУИБ по процессам
2.4.Анализ достижения целей
2.5.Орг.структура СУИБ
2.6.Положение о применимости направлений ИБ
2.7.Работа с рисками:
|
• |
Методика оценки рисков |
|
• |
Критерии принятия рисков |
|
• |
Отчет об оценке рисков |
|
• |
План по обработке рисков |
• |
Заявление ВР о принятии остаточных рисков |
|
2.8.Работа с документами:
•Процедура управления документацией
•Процедура управления записями
5
УИБ |
Тема 5 |
Состав внутренних документов, относящихся к СУИБ:
2. Документы второго уровня (верхний): 2.9.Внутренние аудиты:
•Процедура проведения внутренних аудитов
•Группа внутреннего аудита
•Программа внутренних аудитов на год
• |
План аудита |
• |
Отчет об аудите |
•Протокол несоответствия
•План корректирующих и предупреждающих действий
сотметкой об анализе результативности действий
•Корректирующие и предупреждающие действия
•Процедура управления корректирующими и
предупреждающими действиями
2.10.Анализ со стороны ВР
•Анализ СУИБ со стороны ВР
6
УИБ |
Тема 5 |
Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня (средний - технический): 3.1.Общая организация ИБ
• Журналы регистрации событий в области ИБ
3.2.Управление информационными активами
•Договор с третьим лицом по работе с ИА
•Журнал регистрации действий с ИА третьих лиц
•Реестр ИА: классификация ИА, ответственность за ИА,
маркировка ИА, оценка ИА
3.3.Управление персоналом
•Процедура управления персоналом
•Критерии приема персонала
•Программа обучения персонала
•Прием на работу/ При переходе на другую должность/ При увольнении: Правила ИБ для конкретной должности, Соглашение о соблюдении правил ИБ, Соглашение о
конфиденциальности
•Во время работы: записи об обучении (аттестации)
7
УИБ |
Тема 5 |
Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня (средний - технический): 3.4.Физическая безопасность:
•Процедура физической защиты предприятия
• |
Схема периметра безопасности |
•Схема расположения зданий, помещений
•Схема расположения средств обработки информации
• Паспорта зон особой безопасности
3.5.Управление компьютерами и сетями:
•Правила обслуживания средств обработки информации
•Процедура управления изменениями в средствах обработки
|
информации (СОИ) |
• |
Процедура антивирусной защиты |
• |
Процедура резервного копирования |
• |
Процедура сетевой защиты |
•Процедура работы с носителями информации
|
• |
Процедура обмена информацией |
• |
Процедура управления электронной коммерцией |
|
•Журнал регистрации действий пользователей
•Журналы регистрации действий администраторов
• |
Руководства по обслуживанию СОИ |
8
УИБ |
Тема 5 |
Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня (средний - технический): 3.4.Физическая безопасность:
•Процедура физической защиты предприятия
• |
Схема периметра безопасности |
•Схема расположения зданий, помещений
•Схема расположения средств обработки информации
• Паспорта зон особой безопасности
3.5.Управление компьютерами и сетями:
•Правила обслуживания средств обработки информации
•Процедура управления изменениями в средствах обработки
|
информации (СОИ) |
• |
Процедура антивирусной защиты |
• |
Процедура резервного копирования |
• |
Процедура сетевой защиты |
•Процедура работы с носителями информации
|
• |
Процедура обмена информацией |
• |
Процедура управления электронной коммерцией |
|
•Журнал регистрации действий пользователей
•Журналы регистрации действий администраторов
• |
Руководства по обслуживанию СОИ |
9
УИБ |
Тема 5 |
Состав внутренних документов, относящихся к СУИБ:
3. Документы третьего уровня (средний - технический): 3.6.Управление доступом:
• |
Физический доступ |
• Процедура доступа к помещениям
•Процедура доступа к персоналу
•Процедура доступа к бумажным архивам
•Электронный и физический доступ
•Процедура доступа к СОИ и ИА за пределами предприятия
•Процедура доступа к электронным архивам
•Процедура доступа к СОИ
•Процедура доступа к программному обеспечению (ПО)
•Процедура доступа к информационной системе(ИС)
•Процедура доступа к операционной системе (ОС)
•Процедура доступа к сетям
• |
Правила парольной защиты |
• |
Правила чистого стола и экрана |
• |
Журнал регистрации доступов |
•Анализ зарегистрированных доступов
10