
Лекц 2-4 Установл норм М и РФ.ppt
- Количество слайдов: 26
ФИНАНСОВЫЙ УНИВЕРСИТЕТ ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ Кафедра информационной безопасности УСТАНОВЛЕНИЯ ОСНОВНЫХ ИНФОРМАЦИОННЫХ ПРАВОВЫХ НОРМ В КОНСТИТУЦИОННОМ И ФЕДЕРАЛЬНОМ ЗАКОНОДАТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ ЛЕКЦИЯ 18 апреля 2013 г. ДЕРБИН Евгений Анатольевич, профессор кафедры, доктор военных наук тел. : 8 -926 -754 -13 -75
2 Учебные вопросы: 1. Закон «О безопасности» , «Стратегия национальной безопасности до 2020 г. » и «Доктрина информационной безопасности» об информационной безопасности Российской Федерации. 2. Особенности корпоративного нормативного регулирования обеспечения информационной безопасности Литература: 1. Закон № 310 -ФЗ «О безопасности» , 28 декабря 2010 г. 2. «Стратегия национальной безопасности Российской Федерации до 2020 г. » . Указ Президента РФ № 537 от 12. 05. 2009 3. Доктрина информационной безопасности Российской Федерации (утв. Президентом РФ 9 сентября 2000 г. № Пр-1895). 4. ГОСТ Р ИСО/МЭК 15408 -2002. Методы и средства обеспечения безопасности критерии оценки безопасности информационных технологий (КОБИТ). Ч. 1, 3 -5. 5. ГОСТ Р ИСО/МЭК 17799 -2005. Информационная технология. Практические правила управления информационной безопасностью
3 1. ЗАКОН «О БЕЗОПАСНОСТИ» , «СТРАТЕГИЯ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ до 2020 г. » и «ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» об ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
4 НАЦИОНАЛЬНАЯ БЕЗОПАСНОСТЬ РОССИЙСКОЙ ФЕДЕРАЦИИ ПРИОРИТЕТЫ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ НАЦИОНАЛЬНАЯ ОБОРОНА ГОСУДАРСТВЕННАЯ ОБЩЕСТВЕННАЯ БЕЗОПАСНОСТЬ Военная Экономическая Экологическая Политическая Другие ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Государства Общества Личности
ПРИНЦИПЫ И ПРАВОВАЯ ОСНОВА 5 ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ (ФЗ «О БЕЗОПАСНОСТИ» , 2010 г. ) Ст. 1. Предмет регулирования ФЗ «О безопасности» : основные принципы и содержание деятельности по обеспечению безопасности государства, общественной безопасности, экологической безопасности, безопасности личности, иных видов безопасности, предусмотренных законодательством РФ (национальная безопасность); полномочия и функции федеральных органов государственной власти, органов государственной власти субъектов РФ, органов местного самоуправления в области безопасности; статус Совета Безопасности РФ. Ст. 2. Основные принципы обеспечения безопасности: 1) соблюдение и защита прав и свобод человека и гражданина; 2) законность; 3) системность и комплексность применения политических, организационных, социально- экономических, информационных, правовых и иных мер обеспечения безопасности; 4) приоритет предупредительных мер в целях обеспечения безопасности; 5) взаимодействие органов государственной власти с общественными объединениями, международными организациями и гражданами в целях обеспечения безопасности. Ст. 5. Правовая основа обеспечения безопасности: Конституция РФ, общепризнанные принципы и нормы международного права, международные договоры РФ, федеральные конституционные законы, другие федеральные законы и иные нормативные правовые акты РФ, законы и иные нормативные правовые акты субъектов РФ, органов местного самоуправления.
СОДЕРЖАНИЕ ДЕЯТЕЛЬНОСТИ 6 ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ (ст. 3 ФЗ «О БЕЗОПАСНОСТИ» ) 1) прогнозирование, выявление, анализ и оценка угроз безопасности; 2) определение основных направлений государственной политики и стратегическое планирование в области обеспечения безопасности; 3) правовое регулирование в области обеспечения безопасности; 4) разработка и применение комплекса оперативных и долговременных мер по выявлению, предупреждению и устранению угроз безопасности, локализации и нейтрализации последствий их проявления; 5) применение специальных экономических мер в целях обеспечения безопасности; 6) разработка, производство и внедрение современных видов вооружения, военной и специальной техники, а также техники двойного и гражданского назначения в целях обеспечения безопасности; 7) организация научной деятельности в области обеспечения безопасности; 8) координация деятельности органов государственной власти и местного самоуправления в области обеспечения безопасности; 9) финансирование расходов на обеспечение безопасности, контроль за целевым расходованием выделенных средств; 10) международное сотрудничество в целях обеспечения безопасности и др.
БАЗОВЫЕ ПОНЯТИЯ «СТРАТЕГИИ ОБЕСПЕЧЕНИЯ 7 НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ до 2020 г. » (ст. 6) «Национальная безопасность» - состояние защищенности личности, общества и государства от внутренних и внешних угроз, которое позволяет обеспечить конституционные права, свободы, достойные качество и уровень жизни граждан, суверенитет, территориальную целостность и устойчивое развитие Российской Федерации, оборону и безопасность государства; «национальные интересы Российской Федерации» - совокупность внутренних и внешних потребностей государства в обеспечении защищенности и устойчивого развития личности, общества и государства; «угроза национальной безопасности» - прямая или косвенная возможность нанесения ущерба конституционным правам, свободам, достойному качеству и уровню жизни граждан, суверенитету и территориальной целостности, устойчивому развитию Российской Федерации, обороне и безопасности государства; «стратегические национальные приоритеты» - важнейшие направления обеспечения национальной безопасности, по которым реализуются конституционные права и свободы граждан Российской Федерации, осуществляются устойчивое социально-экономическое развитие и охрана суверенитета страны, ее независимости и территориальной целостности; «система обеспечения национальной безопасности» - силы и средства обеспечения национальной безопасности; «силы обеспечения национальной безопасности» - Вооруженные Силы Российской Федерации, другие войска, воинские формирования и органы, в которых федеральным законодательством предусмотрена военная и (или) правоохранительная служба, а также федеральные органы государственной власти, принимающие участие в обеспечении национальной безопасности государства на основании законодательства Российской Федерации; «средства обеспечения национальной безопасности» - технологии, а также технические, программные, лингвистические, правовые, организационные средства, включая телекоммуникационные каналы, используемые в системе обеспечения национальной безопасности для сбора, формирования, обработки, передачи или приема информации о состоянии национальной безопасности и мерах по ее укреплению
8 «СТРАТЕГИЯ …до 2020 г. » ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 7. Силы и средства обеспечения национальной безопасности сосредоточивают свои усилия и ресурсы на обеспечении национальной безопасности во внутриполитической, экономической, социальной сферах, в сфере науки и образования, в международной, духовной, информационной, военной, оборонно-промышленной и экологической сферах, а также в сфере общественной безопасности. 10. На обеспечение национальных интересов РФ негативное влияние будут оказывать … противоречия между основными участниками мировой политики, угроза распространения оружия массового уничтожения и его попадания в руки террористов, а также совершенствование форм противоправной деятельности в кибернетической и биологической областях, в сфере высоких технологий. Усилится глобальное информационное противоборство, возрастут угрозы стабильности индустриальных и развивающихся стран мира, их социально-экономическому развитию и демократическим институтам. Получат развитие националистические настроения, ксенофобия, сепаратизм. . . 26. Стратегические цели совершенствования национальной обороны состоят в предотвращении глобальных и региональных войн и конфликтов, а также в осуществлении стратегического сдерживания в интересах обеспечения военной безопасности страны. Стратегическое сдерживание предполагает разработку и системную реализацию комплекса взаимосвязанных политических, дипломатических, военных, экономических, информационных и иных мер, направленных на упреждение или снижение угрозы …со стороны агрессора. 52, 61. Для противодействия угрозам национальной безопасности в области повышения качества жизни российских граждан силы обеспечения национальной безопасности во взаимодействии с институтами гражданского общества: … обеспечивают сохранение культурного и духовного наследия, доступность информационных технологий, а также информации по различным вопросам социально-политической, экономической и духовной жизни общества…, нацелены на поддержку государственной социально-экономической политики, направленной … на развитие индустрии информационных и телекоммуникационных технологий, средств вычислительной техники, радиоэлектроники, телекоммуникационного оборудования и программного обеспечения
9 «СТРАТЕГИЯ … до 2020 г. » ОБ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 62. В интересах обеспечения национальной безопасности … расширяется использование инструментов государственно-частного партнерства для решения стратегических задач развития … информационной, военной инфраструктуры. 84. Решение задач обеспечения национальной безопасности в сфере культуры в среднесрочной и долгосрочной перспективе достигается за счет признания первостепенной роли культуры для возрождения и сохранения культурно-нравственных ценностей, укрепления духовного единства многонационального народа Российской Федерации и международного имиджа России в качестве страны с богатейшей традиционной и динамично развивающейся современной культурой, создания системы духовного и патриотического воспитания граждан России, развития общей гуманитарной и информационно-телекоммуникационной среды на пространстве СНГ. . . 97. Государственная политика РФ в области национальной безопасности обеспечивается согласованными действиями всех элементов системы обеспечения национальной безопасности при координирующей роли СБ РФ за счет реализации комплекса мер организационного, нормативно- правового и информационного характера. 107. Информационная и информационно-аналитическая поддержка реализации Стратегии осуществляется при координирующей роли СБ РФ за счет привлечения информационных ресурсов заинтересованных органов государственной власти и государственных научных учреждений с использованием системы распределенных ситуационных центров. . . 108. Для развития системы распределенных ситуационных центров в среднесрочной перспективе потребуется преодолеть технологическое отставание в важнейших областях информатизации, телекоммуникаций и связи, определяющих состояние национальной безопасности, разработать и внедрить технологии информационной безопасности в системах государственного и военного управления, системах управления экологически опасными производствами и критически важными объектами, а также обеспечить условия для гармонизации национальной информационной инфраструктуры с глобальными информационными сетями и системами. 109. Угрозы информационной безопасности … предотвращаются за счет совершенствования безопасности функционирования информационных и телекоммуникационных систем критически важных объектов инфраструктуры и объектов повышенной опасности в РФ, повышения уровня защищенности информационных систем, создания единой системы информационно- телекоммуникационной поддержки нужд системы обеспечения национальной безопасности.
ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РФ 10 совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности Российской Федерации. ДОКТРИНА СЛУЖИТ ОСНОВОЙ ДЛЯ: • формирования государственной политики в области обеспечения ИБ РФ; • подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения ИБ РФ; • разработки целевых программ обеспечения информационной безопасности РФ I. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ РОССИЙСКОЙ ФЕДЕРАЦИИ 1. Национальные интересы 2. Виды угроз 3. Источники угроз 4. Состояние ИБ РФ в информационной и основные задачи сфере и их обеспечение безопасности РФ по ее обеспечению II. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ 6. Особенности обеспечения 7. Международное 5. Общие методы ИБ РФ в различных сферах сотрудничество РФ обеспечения ИБ РФ общественной жизни в области ОИБ III. ОСН. ПОЛОЖЕНИЯ ГОС. ПОЛИТИКИ ОИБ РФ И ПОЧЕРЕДНЫЕ МЕР-Я ПО ЕЕ РЕАЛИЗАЦИИ 8. Основные положения 9. Первоочередные мероприятия государственной политики по реализации государственной обеспечения ИБ РФ политики ОИБ РФ IV. ОРГАНИЗАЦИОННАЯ ОСНОВА СИСТЕМЫ ОИБ РФ 10. Основные функции 11. Основные элементы организационной системы ОИБ РФ основы системы ОИБ РФ
НАЦИОНАЛЬНЫЕ ИНТЕРЕСЫ РОССИИ 11 В ИНФОРМАЦИОННОЙ СФЕРЕ Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства: Личности Общества Государства vв реализации v в обеспечении v в создании условий для конституционных прав гармоничного развития российской интересов личности, человека и гражданина информационной инфраструктуры, на доступ к информации, v в упрочении демократии, vдля реализации конституционных v в использовании прав и свобод человека и гражда- информации в интересах нина в области получения инфор- v в создании осуществления не мации и пользования ею в целях правового запрещенной законом обеспечения незыблемости консти- социального деятельности, туционного строя, суверенитета и государства, территориальной целостности vфизическом, духовном России, политической, экономичес- v в достижении и и интеллектуальном кой и социальной стабильности, поддержании развитии, общественного согласия, vв безусловном обеспечении vв защите информации, законности и правопорядка, разви- обеспечивающей личную тии равноправного и взаимовыгодно- vв духовном безопасность. го международного сотрудничества. обновлении России.
ДОСТИЖЕНИЕ НАЦИОНАЛЬНЫХ ИНТЕРЕСОВ РОССИИ 12 В ИНФОРМАЦИОННОЙ СФЕРЕ Первая составляющая Для достижения этого требуется: национальных интересов РФ повысить эффективность использования информационной инфраструк- в информационной сфере: туры в интересах общественного развития, консолидации российского соблюдение общества, духовного возрождения многонационального народа РФ; усовершенствовать систему формирования, сохранения и рационального конституционных прав и использования информационных ресурсов, составляющих основу научно- свобод человека и технического и духовного потенциала РФ; гражданина в области получения информации и обеспечить конституционные права и свободы человека и гражданина: свободно искать, получать, передавать, производить и распространять пользования ею, информацию любым законным способом, получать достоверную обеспечение духовного информацию о состоянии окружающей среды; обновления России, на личную и семейную тайну, тайну переписки, телефонных переговоров, сохранение и укрепление почтовых, телеграфных и иных сообщений, на защиту своей чести и своего нравственных ценностей доброго имени; общества, традиций укрепить механизмы правового регулирования отношений в области патриотизма и гуманизма, охраны интеллектуальной собственности, создать условия для соблюдения культурного и научного установленных федеральным законодательством ограничений на доступ к потенциала страны конфиденциальной информации; гарантировать свободу массовой информации и запрет цензуры; не допускать пропаганду и агитацию, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды; обеспечить запрет на сбор, хранение, использование и. распространение информации о частной жизни лица без его согласия и другой информации, доступ к которой ограничен федеральным законодательством
ДОСТИЖЕНИЕ НАЦИОНАЛЬНЫХ ИНТЕРЕСОВ РОССИИ 13 Вторая составляющая : Для достижения этого требуется: информационное обеспечение государственной укреплять государственные средства массовой политики РФ, связанное с доведением до общест- информации, расширять их возможности по венности достоверной информации о своевременному доведению достоверной информации до государственной политике РФ, ее официальной российских и иностранных граждан; позиции по социально значимым событиям интенсифицировать формирование открытых российской и международной жизни, с государственных информационных ресурсов, повысить обеспечением доступа граждан к открытым эффективность их хозяйственного использования государственным информационным ресурсам Третья составляющая : Для достижения этого требуется: развитие современных информационных развивать и совершенствовать инфраструктуру единого технологий, отечественной индустрии информации, информационного пространства РФ; обеспечение потребностей внутреннего рынка развивать отечественную индустрию информационных продукцией и выход этой продукции на мировой услуг и повышать эффективность использования рынок, а также обеспечение накопления, государственных ресурсов; сохранности и эффективного использования развивать производство конкурентоспособных средств и отечественных информационных ресурсов систем информатизации, телекоммуникации и связи; осуществлять государственную поддержку исследований Четвертая составляющая: В этих целях необходимо: защита информационных ресурсов от НСД, повысить безопасность информационных систем; обеспечение безопасности информационных и интенсифицировать развитие отечественного производства телекоммуникационных систем, как развернутых, аппаратных и программных средств защиты информации; так и создаваемых на территории России обеспечить защиту сведений, составляющих государственную тайну; расширять международное сотрудничество РФ в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.
14 ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ Реализация конституционных прав и свобод граждан Российской Федерации в сфере информационной деятельности Совершенствование и защита отечественной информационной инфраструктуры, интеграция России в мировое информационное пространство Противодействие угрозе развязывания противоборства в информационной сфере Выявление угроз в информационной сфере и защита информации от несанкционированного доступа Защита личности, общества, государства от воздействия ложной, вредной информации и дезинформации
МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ 15 БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ ПРАВОВЫЕ 1. Изменения в законодательстве в интересах системы обеспечения инф. безопасности 2. Законодательное разграничение полномочий между органами власти 3. Уточнение статуса иностранных информационных агентств 4. Законодательное закрепление приоритета развития национальных сетей связи ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИЕ 1. Создание и совершенствование системы обеспечения информационной безопасности 2. Предупреждение и пресечение правонарушений в информационной сфере, привлечение к ответственности лиц, совершивших преступления 3. Совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности СПО 4. Создание систем и средств предотвращения НСД к обрабатываемой информации 5 Выявление технических устройств и программ, представляющих опасность 6. Предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты 7. Сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации 8. Совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации ЭКОНОМИЧЕСКИЕ 1. Разработка программ обеспечения информационной безопасности и определение порядка их финансирования 2. Совершенствование системы финансирования работ, по реализации правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков
РЕАЛИЗАЦИЯ ГОСУДАРСТВОМ СВОИХ ФУНКЦИЙ 16 ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ v объективный и всесторонний анализ и прогнозирование угроз информационной безопасности Российской Федерации, разрабатывает меры по ее обеспечению; v организация работы законодательных (представительных) и исполнительных органов государственной власти по реализации комплекса мер, направленных на предотвращение, отражение и нейтрализацию угроз информационной безопасности РФ; v поддерживает деятельность общественных объединений, направленную на объективное информирование населения о социально значимых явлениях общественной жизни, защиту общества от искаженной и недостоверной информации; v осуществляет контроль за разработкой, созданием, развитием, использованием, экспортом и импортом средств защиты информации посредством их сертификации и лицензирования деятельности в области защиты информации; v проводит необходимую протекционистскую политику в отношении производителей средств информатизации и защиты информации на территории РФ и принимает меры по защите внутрен- него рынка от некачественных средств информатизации и информационных продуктов; v способствует предоставлению физическим и юридическим лицам доступа к мировым информационным ресурсам, глобальным информационным сетям; v формулирует и реализует государственную информационную политику России; v организует разработку федеральной программы обеспечения информационной безопасности РФ, объединяющей усилия государственных и негосударственных организаций в данной области; v способствует интернационализации глобальных информационных сетей и систем, а также вхождению России в мировое информационное сообщество на условиях равноправного партнерства
17 2. ОСОБЕННОСТИ КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПОНЯТИЯ БЕЗОПАСНОСТИ И ИХ ВЗАИМОСВЯЗЬ 18 ПРИМЕНИТЕЛЬНО К КОРПОРАТИВНЫМ НОРМАТИВНЫМ ДОКУМЕНТАМ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГОСТ Р ИСО/МЭК 15408 -1 -2008
ФОРМИРОВАНИЕ ТРЕБОВАНИЙ И СПЕЦИФИКАЦИЙ БЕЗОПАСНОСТИ 19 ОО – объект оценки ГОСТ Р ИСО/МЭК 15408 -1 -2008
20 СУЩНОСТЬ, РОЛЬ И МЕСТО ПОЛИТИК БЕЗОПАСНОСТИ Основы безопасности информационно-телекоммуникационных технологий (ИТТ) Политика Общие Стратегии безопасности организации Процедуры цели (способы достижения (правила, которые следует (методы осуществления цели) соблюдать при реализации политики) стратегий) уточняются в детальных и специфических целях, политике и процедурах во всех сферах интереса организации (управление финансами, персоналом и безопасностью) Политика безопасности информации в организации (англ. Organizational security policy) – совокупность документированных технических, организационных, администра-тивных, юридических, физических правил, процедур, практических приёмов или руководящих принципов, регламентирующих все вопросы обеспечения безопасности информации, которыми руководствуется организация в своей деятельности. Политика безопасности информационно-телекоммуникационных технологий (ИТТ) (англ. ІСТ security policy) – правила и сложившаяся практика, которые определя-ют, как управлять активами организации, в том числе критичной информацией, защищать их и распределять в пределах информационно-телекоммуникационных технологий ГОСТ Р ИСО/МЭК 13335 -1 - 2006
СТРАТЕГИИ И ПОЛИТИКА БЕЗОПАСНОСТИ 21 Политика обеспечения информационной безопасности в рамках характеристик бизнеса, особенностей данной организации, ее расположения, ресурсов, технологий и эффективности процесса управления рисками: включает в себя основу для определения ее целей и осознание необходимости безопасности и повышение квалификации в области безопасности; устанавливает общее направление и принципы деятельности по отношению к информационной безопасности; ISO/IEC 27001: 2005 учитывает требования бизнеса и законодательной или нормативной базы, а также контрактные обязательства в области безопасности; объединяется со стратегическим контекстом управления рисками в организации, в котором будет происходить создание и сопровождение системы ОИБ; устанавливает критерии для оценивания рисков; утверждается руководством; позволяет оценивать, в какой мере бизнес организации зависит от ИТТ, учитывая: задачи бизнеса и их связь с безопасностью; какие важные составляющие бизнеса не могут осуществляться без ИТТ; какие задачи могут быть решены только при помощи ИТТ; какие важные решения зависят от конфиденциальности, целостности, доступности, подот- четности, аутентичности и актуальности хранимой или обрабатываемой информации; стратегию оценки риска и методы, адаптируемые в рамках организации; комплексную политику безопасности ИТТ для каждой системы; организационные методы безопасности для каждой системы; схему классификации ИТТ систем; стандартные схемы управления инцидентами информационной безопасности в рам- ках всей организации ГОСТ Р ИСО/МЭК 13335 -1 - 2006
ВЗАИМОСВЯЗЬ ПОЛИТИК БЕЗОПАСНОСТИ 22 ISO 17799: документированная политика информационной безопасности должна устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, определение целей и механизмов контроля, включая структуру оценки и управления рисками. ISO 27001: политика информационной безопасности является подмножеством более общего документа – политики СУИБ, включающей в себя определение целей СУИБ, устанавливающей общее направление и принципы деятельности по отношению к информационной безопасности, учитывающей требования бизнеса, законодательной или нормативной базы, контрактные обязательства, устанавливающей критерии для оценивания рисков и т. д. ГОСТ Р ИСО/МЭК 13335 -1 - 2006
УРОВНИ ДОКУМЕНТИРОВАНИЯ ТРЕБОВАНИЙ ПОЛИТИКИ 23 ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Документы верхнего уровня отражают К среднему уровню относят позицию организации к деятельности в области документы, касающиеся отдель- защиты информации, её стремление ных аспектов ИБ: требования на В политику ИБ соответствовать государственным, создание и эксплуатацию СЗИ, нижнего уровня международным требованиям и стандартам. организацию информационных и входят: регламенты Согласно ГОСТ Р ИСО/МЭК 17799 -2005, на бизнес-процессов по конкретному работ, руководства верхнем уровне должны быть оформлены: направлению ЗИ ( «Безопасности по администриро- «Концепция обеспечения ИБ» , «Правила данных» , «Безопасности коммуникаций» , ванию, инструкции допустимого использования ресурсов инфор- «Использования средств криптографической защиты» , по эксплуатации мационной системы» , «План обеспечения «Контентная фильтрация» и т. п. ) в отдельных сервисов непрерывности бизнеса» . На практике могут виде внутренних технических и информационной создаваться «Регламент управления ИБ» , организационных конфиденци- безопасности «Технический стандарт ИБ» и др. в двух альных политик (стандартов) редакциях – для внешнего и внутреннего организации использования Документированная политика должна содержать следующие заявления: определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации; заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса; основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками; краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая: соответствие требованиям законодательства, нормативной базы и договоров; требования к повышению осведомленности, обучению и тренингам в области безопасности; управление непрерывностью бизнеса; последствия нарушений политики информационной безопасности; определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности; ссылки на документы, которые могут поддерживать политику (более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи)
ЭЛЕМЕНТЫ ПОЛИТИКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННО- 24 ТЕЛЕКОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ ОРГАНИЗАЦИИ Политика безопасности ИТТ должна: v исходить из согласованных целей и стратегий безопасности ИТТ организации; v соответствовать законодательству, требованиям регулирующих органов, политике в области бизнеса, безопасности и политике ИТТ; v обеспечивать выполнение бизнес-задач; v учитывать особенности культуры и окружающей среды организации; v основываться на организационных целях и стратегиях, результатах исследований по оценке и управлению риском, результатах создаваемых защитных мер, мониторинге, аудите и анализе безопасности ИТТ и отчетах об инцидентах безопасности v отражать участие представителей, связанных с аудитом; правом; финансами; информационными системами; коммунальными службами/инфраструктурой (здания, электроснабжение, кондиционирование); персоналом; безопасностью и роль руководства; v определить наиболее специфическую проблему безопасности (безопасности ИТТ – требования конфиденциальности, целостности, доступности, неотказуемости, аутентичности и достоверности, особенно с учетом мнений владельцев активов; организационную инфраструктуру и распределение обязанностей; интеграцию безопасности при совершенствовании системы и закупках; определение методов и уровней классификации информа- ции; стратегию управления рисками; планирование непрерывности бизнеса; вопросы, связанные с персоналом (технический персонал и системные администраторы); осведомленность и обучение персонала; правовые и регулирующие обязательства; менеджмент, осуществляемый независимым экспертом; управление инцидентами); v учитывать результаты исследований по оценке риска, проверок соответствия безопас- ности и инцидентов, которые могут оказывать влияние на политику безопасности ИТТ; v быть одобрена руководством организации; v сопровождаться директивными указаниями, обязательными для всех руководителей и сотрудников с подписанием каждым документа, подтверждающего обязанности; v развивать и осуществлять программу осведомленности о безопасности, разъясняющую обязанности сотрудников; v иметь ответственного за политику безопасности ИТТ ГОСТ Р ИСО/МЭК 13335 -1 -2006
ПОЛОЖЕНИЕ ОБ ИНФОРМАЦИОННОЙ ПОЛИТИКЕ 25 ДЛЯ ПОДРАЗДЕЛЕНИЙ ОРГАНИЗАЦИИ ВЫСШЕЕ РУКОВОДСТВО ДОЛЖНО ИЗДАТЬ В ПИСЬМЕННОЙ ФОРМЕ ПОЛОЖЕНИЕ ОБ ИНФОРМАЦИОННОЙ ПОЛИТИКЕ ДЛЯ ВСЕХ ПОДРАЗДЕЛЕНИЙ ОРГАНИЗАЦИИ ПРИНЦИПЫ ПОЛОЖЕНИЯ ОБ ИНФОРМАЦИОННОЙ ПОЛИТИКЕ: определение информационной безопасности, ее целей и сферы применения, а также ее значимости как механизма, обеспечивающего совместное использование информации; заверение руководства о его намерении поддерживать цели и задачи информационной безопасности; разъяснение специфических направлений политики безопасности, принципов, стандартов и соответствия требованиям, включая: v соответствие нормативно-правовым и договорным, контрактным требованиям; v требования по обучению в области обеспечения безопасности; v предотвращение воздействия деструктивных программ и мероприятия по их обнаружению; v политику планирования бесперебойной работы. v определение общей и особой ответственности для всех аспектов информационной безопасности; v разъяснение процедуры сообщения о подозрительных инцидентах, затрагивающих проблемы безопасности
ПЕРЕЧЕНЬ ВОПРОСОВ ПОЛИТИКИ БЕЗОПАСНОСТИ ИТТ 26 1. Введение 8. 2 Размещение оборудования 1. 1 Общий обзор 8. 3 Безопасность и защита зданий 1. 2 Область применения и цель политики обеспечения 8. 4 Защита коммуникаций и систем обеспечения безопасности ИТ энергоносителями в зданиях 2. Цели и принципы обеспечения безопасности 8. 5 Защита вспомогательных служб 2. 1 Цели 8. 6 Несанкционированное проникновение в помещения 2. 2 Принципы 8. 7 Доступность ПК и рабочих станций 3. Организация и инфраструктура безопасности 8. 8 Доступ к магнитным носителям информации 3. 1 Ответственность 8. 9 Защита персонала 3. 2 Основные направления политики обеспечения 8. 10 Противопожарная защита безопасности 8. 11 Защита от воды (жидкой среды) 3. 3 Регистрация инцидентов нарушения безопасности 8. 12 Обнаружение опасностей и сообщение о них 4. Анализ риска и стратегия менеджмента в области 8. 13 Защита системы освещения обеспечения безопасности ИТ 8. 14 Защита оборудования от кражи 4. 1 Введение 8. 15 Защита окружающей среды 4. 2 Менеджмент и анализ риска 8. 16 Управление услугами и ТО 4. 3 Проверка соответствия мер обеспечения безопасности 9. Безопасность персонала предъявляемым требованиям 9. 1 Введение 5. Чувствительность информации и риски 9. 2 Условия найма персонала 5. 1 Введение 9. 3 Осведомленность и обучение персонала 5. 2 Схема маркировки информации 9. 4 Служащие 5. 3 Общий обзор информации в организации 9. 5 Контракты с лицами, проводящими самост. работу 5. 4 Уровни ценности и чувствительности информации в 9. 6 Привлечение третьих сторон организации 10. Безопасность документов и носителей информации 5. 5 Общий обзор угроз, уязвимых мест и рисков 10. 1 Введение 6. Безопасность аппаратно-программного обеспечения 10. 2 Безопасность документов 6. 1 Идентификация и аутентификация 10. 3 Хранение носителей информации 6. 2 Контроль доступа 10. 4 Ликвидация носителей информации 6. 3 Журнал учета использования ресурсов и аудит 11. Обеспечение непрерывности деловой деятельнос-ти, 6. 4 Полное стирание включая ЧС и восстановлении после аварий 6. 5 Программное обеспечение, нарушающее нормальную 11. 1 Введение работу системы 11. 2 Запасные варианты 6. 6 Безопасность ПК 11. 3 Стратегия обеспечения бесперебойной работы 6. 7 Безопасность компактных портативных компьютеров 11. 4 План (планы) обеспечения бесперебойной работы 7. Безопасность связи 12. Надомная работа 7. 1 Введение 13. Политика аутсортинга 7. 2 Инфраструктура сетей 13. 1 Введение 7. 3 Интернет 13. 2 Требования безопасности 7. 4 Криптографическая аутентификация и аутентификация 14. Управление изменениями сообщений 14. 1 Обратная связь 8. Физическая безопасность 14. 2 Изменения в политике обеспечения безопасности 8. 1 Введение 14. 3 Статус документа ГОСТ Р ИСО/МЭК 13335 -3 -2006