Толстой Александр Иванович к.т.н., доцент Доцент кафедры «Информационная

Скачать презентацию Толстой Александр Иванович к.т.н., доцент Доцент кафедры «Информационная Скачать презентацию Толстой Александр Иванович к.т.н., доцент Доцент кафедры «Информационная

242-uib-m-16-dokumenty.ppt

  • Количество слайдов: 23

>Толстой  Александр Иванович к.т.н., доцент Доцент кафедры «Информационная безопасность банковских систем» НИЯУ МИФИ, Толстой Александр Иванович к.т.н., доцент Доцент кафедры «Информационная безопасность банковских систем» НИЯУ МИФИ, Факультет «Кибернетика и информационная безопасность», кафедра Москва, 2016 Система управления информационной безопасностью. Документальное обеспечение СУИБ

>2 Нормативная база документального обеспечения СУИБ:    ГОСТ Р ИСО/МЭК 27001-2006 ИТ. 2 Нормативная база документального обеспечения СУИБ: ГОСТ Р ИСО/МЭК 27001-2006 ИТ. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. http://securitypolicy.ru В соответствии с немецкой Методика фирмы ИТ-Груншутц (Германия) 2 СУИБ Документальное обеспечение

>3 ГОСТ Р ИСО/МЭК 27001-2006: Документация должна включать в себя записи решений руководства, позволяющие 3 ГОСТ Р ИСО/МЭК 27001-2006: Документация должна включать в себя записи решений руководства, позволяющие обеспечивать контроль выполнения решений руководства и политик организации, а также обеспечивать воспроизводимость документированных результатов. Важно иметь обратную связь выбранных мер управления с результатами процессов оценки и обработки риска, а также последних с политикой СМИБ и целями СМИБ. 3 СУИБ Документальное обеспечение

>4 ГОСТ Р ИСО/МЭК 27001-2006: Документация СМИБ должна включать в себя следующее: a) документированные 4 ГОСТ Р ИСО/МЭК 27001-2006: Документация СМИБ должна включать в себя следующее: a) документированные положения политики СМИБ и целей СМИБ; b) область функционирования СМИБ; c) процедуры и меры управления, поддерживающие СМИБ; d) описание методологии оценки риска; e) отчет по оценке рисков ; f) план обработки рисков; g) документированные процедуры, необходимые организации для обеспечения эффективного планирования, внедрения процессов в области ИБ и управления этими процессами, а также описания путей оценки результативности мер управления; h) учетные записи; i) положение о применимости. 4 СУИБ Документальное обеспечение

>5 ГОСТ Р ИСО/МЭК 27001-2006: Примечания: Термин 5 ГОСТ Р ИСО/МЭК 27001-2006: Примечания: Термин "документированная процедура" означает, что процедура установлена, документально оформлена, реализована и поддерживается на должном уровне. 2. Для разных организаций объем документации СМИБ может быть различным в зависимости: - от размера организации и вида ее деятельности; - от области применения и сложности требований безопасности и от управляемой системы. 3. Документы и учетные записи могут существовать в любой форме и на носителях любого типа. 5 СУИБ Документальное обеспечение

>6 ГОСТ Р ИСО/МЭК 27001-2006: Управление документами Для разработки, актуализации, использования, хранения и уничтожения 6 ГОСТ Р ИСО/МЭК 27001-2006: Управление документами Для разработки, актуализации, использования, хранения и уничтожения документов СМИБ, а также их защиты в организации должна существовать документированная процедура, определяющая действия руководства по: a) утверждению документов СМИБ перед их изданием; b) пересмотру и обновлению, при необходимости, документов, а также повторному их утверждению; c) обеспечению идентификации внесенных изменений и текущего статуса документов; d) обеспечению наличия версий соответствующих документов в местах их использования; e) определению порядка просмотра документов и их идентификации; 6 СУИБ Документальное обеспечение

>7 ГОСТ Р ИСО/МЭК 27001-2006: Управление документами Для разработки, актуализации, использования, хранения и уничтожения 7 ГОСТ Р ИСО/МЭК 27001-2006: Управление документами Для разработки, актуализации, использования, хранения и уничтожения документов СМИБ, а также их защиты в организации должна существовать документированная процедура, определяющая действия руководства по: f) обеспечению доступа к документам авторизованным лицам, а также передачи, хранения и уничтожения в соответствии с процедурами, применимыми к степени их конфиденциальности; g) идентификации документов, созданных вне организации; h) обеспечению контроля за распространением документов; i) предотвращению непреднамеренного использования устаревших документов; j) использованию соответствующей идентификации устаревших документов в случае их дальнейшего хранения. 7 СУИБ Документальное обеспечение

>8 ГОСТ Р ИСО/МЭК 27001-2006: Управление записями Для предоставления свидетельств соответствия требованиям и результативности 8 ГОСТ Р ИСО/МЭК 27001-2006: Управление записями Для предоставления свидетельств соответствия требованиям и результативности функционирования СМИБ необходимо вести и поддерживать в рабочем состоянии учетные записи. Учетные записи необходимо контролировать и защищать. СМИБ должна принимать во внимание все нормативно-правовые требования и договорные обязательства, имеющие отношение к ИБ. Записи должны быть четкими, легко идентифицируемыми и восстанавливаемыми. Меры управления, требуемые для идентификации, хранения, защиты, поиска, определения сроков хранения и уничтожения записей должны быть документированы и реализованы. Кроме этого, следует вести и хранить записи о выполнении процессов и обо всех значительных инцидентах информационной безопасности, связанных со СМИБ. Примерами записей являются: журнал регистрации посетителей, отчеты о результатах аудитов, заполненные формы авторизации доступа. 8 СУИБ Документальное обеспечение

>9 Нормативная база документального обеспечения СУИБ:     http://securitypolicy.ru В соответствии с 9 Нормативная база документального обеспечения СУИБ: http://securitypolicy.ru В соответствии с немецкой Методика фирмы ИТ-Груншутц (Германия) 9 СУИБ Документальное обеспечение

>10 Состав внутренних документов, относящихся к СУИБ:       10 Состав внутренних документов, относящихся к СУИБ: 1. Документы первого уровня (административный) 2. Документы второго уровня (верхний) 3. Документы третьего уровня (средний - технический) 4. Документы четвертого уровня (нижний) 10 СУИБ Документальное обеспечение

>11 Состав внутренних документов, относящихся к СУИБ:   1. Документы первого уровня 11 Состав внутренних документов, относящихся к СУИБ: 1. Документы первого уровня (административный) 1.1. Орг.структура предприятия 1.2. Приказ о назначении представителя высшего руководства (ВР) по СУИБ 1.3. Положение о службе безопасности 1.4. Положение о службе ИБ 1.5. Должностная инструкция представителя ВР по СМИБ 1.6. Должностная инструкция системного администратора 1.7. Приказ ВР о внедрении и поддержке СМИБ 11 СУИБ Документальное обеспечение

>12 Состав внутренних документов, относящихся к СУИБ:   2. Документы второго уровня (верхний): 12 Состав внутренних документов, относящихся к СУИБ: 2. Документы второго уровня (верхний): 2.1. Область действия СУИБ 2.2. Политика СУИБ (политика ИБ) 2.3. Цели СУИБ по процессам 2.4. Анализ достижения целей 2.5. Орг.структура СУИБ 2.6. Положение о применимости направлений ИБ 2.7.Работа с рисками: Методика оценки рисков Критерии принятия рисков Отчет об оценке рисков План по обработке рисков Заявление ВР о принятии остаточных рисков 2.8.Работа с документами: Процедура управления документацией Процедура управления записями 12 СУИБ Документальное обеспечение

>13 Состав внутренних документов, относящихся к СУИБ:   2. Документы второго уровня (верхний): 13 Состав внутренних документов, относящихся к СУИБ: 2. Документы второго уровня (верхний): 2.9.Внутренние аудиты: Процедура проведения внутренних аудитов Группа внутреннего аудита Программа внутренних аудитов на год План аудита Отчет об аудите Протокол несоответствия План корректирующих и предупреждающих действий с отметкой об анализе результативности действий Корректирующие и предупреждающие действия Процедура управления корректирующими и предупреждающими действиями 2.10.Анализ со стороны ВР Анализ СУИБ со стороны ВР 13 СУИБ Документальное обеспечение

>14 Состав внутренних документов, относящихся к СУИБ:   3. Документы третьего уровня (средний 14 Состав внутренних документов, относящихся к СУИБ: 3. Документы третьего уровня (средний - технический): 3.1.Общая организация ИБ Журналы регистрации событий в области ИБ 3.2.Управление информационными активами Договор с третьим лицом по работе с ИА Журнал регистрации действий с ИА третьих лиц Реестр ИА: классификация ИА, ответственность за ИА, маркировка ИА, оценка ИА 3.3.Управление персоналом Процедура управления персоналом Критерии приема персонала Программа обучения персонала Прием на работу/ При переходе на другую должность/ При увольнении: Правила ИБ для конкретной должности, Соглашение о соблюдении правил ИБ, Соглашение о конфиденциальности Во время работы: записи об обучении (аттестации) 14 СУИБ Документальное обеспечение