НТВ плюс 

Построение суиб: с чего начать? Управление информационной безопасностью

Содействовать осведомленности сотрудников

Существенным фактором эффективного осуществления этих принципов является связующий цикл деятельности, гарантирующий, что управление информационной безопасностью постоянно нацелено на текущие риски. Важно, чтобы высший менеджмент организации признал наличие рисков нарушения бизнес-процессов, связанных с безопасностью информационных систем. Основанием для разработки и внедрения политик и выбора необходимых средств контроля является оценка рисков отдельных бизнес-приложений. Принятые шаги позволят увеличить осведомленность пользователей о рисках и соответствующих политиках. Эффективность средств контроля подлежит оценке путем различных исследований и аудиторских проверок. Полученные результаты обеспечивают подход к последующей оценке рисков и определяют необходимые изменения в политиках и средствах контроля. Все эти действия централизовано координируются службой безопасности или штатом специалистов, состоящем из консультантов, представителей бизнес-подразделений и менеджмента организации. Цикл управления рисками проиллюстрирован на рисунке.

Методы реализации программы информационной безопасности

Следующие шестнадцать методов, используемые для реализации пяти принципов управления рисками, выделенны на следующей иллюстрации. Эти методы являются ключевыми для эффективной реализации программы информационной безопасности организации.

Оценить риск и определить потребности

Оценка риска является первым шагом реализации программы обеспечения информационной безопасности. Безопасность не рассматривается сама по себе, но как набор политик и соответствующих средств контроля, предназначенных для обеспечения бизнес-процессов и уменьшения соответствующих рисков. Таким образом, определение бизнес-рисков, связанных с информационной безопасностью - отправная точка цикла управления риском (информационной безопасностью).

Признать информационные ресурсы в качестве существенных (неотъемлемых) активов организации

Признание рисков информационной безопасности менеджментом организации, а также набора мер, направленных на определение и управление этими рисками является важным фактором развития программы обеспечения информационной безопасности. Такой подход менеджмента позволит гарантировать, что информационная безопасность серьезно рассматривается и на более низких организационных уровнях организации, а специалисты информационной безопасности обеспечены ресурсами, необходимыми для эффективного осуществления программы.

Разработать практические процедуры оценки рисков, связывающие безопасность и требования бизнеса

Существуют различные методологии оценки риска, начиная от неформального обсуждения риска и заканчивая достаточно сложными методами, предусматривающими использование специализированных программных средств. Однако, мировой опыт успешных процедур управления рисками описывает относительно простой процесс, предусматривающий участие различных подразделений финансовых организаций с привлечением специалистов со знаниями бизнес-процессов, технических специалистов и специалистов в области защиты информации.

Стоит подчеркнуть, что понимание рисков не предусматривает их точного количественного определения, включая вероятность инцидента или стоимость ущерба. Такие данные недоступны, так как потери могут быть не обнаружены, а менеджмент не поставлен в известность. Кроме того, данные о полных затратах на устранение ущерба, вызванного слыбыми механизмами контроля безопасности, а также операционной стоимости этих механизмов (механизмов контроля) ограничены. Из-за потоянных изменений технологий, а также программных средств и инструментов, доступных злоумышленникам, применение статистических данных, собранных в предыдущие годы сомнительно. В результате, трудно, если это вообще возможно, точно сравнить стоимость средств контроля с риском потери чтобы определить какое средство контроля является наиболее рентабельным. В любом случае, менеджеры бизнес-подразделений и специалисты в области информационной безопасности должны пологаться на наиболее полную информацию, доступную им при принятии решения о выборе необходимых средств (методов) контроля.

Установить ответственность менеджеров бизнес-подразделений и менеджеров, участвующих в программе обеспечения безопасности

Менеджеры бизнес-подразделения должны нести первичную ответственность за определение уровня безопасности (конфиденциальности) информационных ресурсов, обеспечивающих бизнес-процессы. Именно менеджеры бизнес-подразделений в наибольшей степени способны определить, какой из информационных ресурсов является наиболее критичным, а также возможное влияние на бизнес, в случае нарушения его целостности, конфиденциальности или доступности. Кроме того, менеджеры бизнес-подразделений могут указать на средства (механизмы) контроля, способные нанести вред бизнес-процессам. Таким образом, привлекая их к выбору средств контроля можно гарантировать, что средства контроля удовлетворяют поставленным требованиям, и будут успешно внедрены.

Непрерывно управлять рисками

Информационной безопасности стоит уделять постоянное внимание, чтобы гарантировать адекватность и эффективность средств контроля. Как было отмечено ранее, современные информационные и смежные технологии, также как и факторы, относящиеся к информационной безопасности, постоянно изменяются. Такие факторы включают в себя угрозы, технологии и системные конфигурации, известные уязвимости в программном обеспечении, уровень надежности автоматизированных систем и электронных данных, критичность данных и операций.

Установить централизованное управление

Руководящая группа выступает, прежде всего, в роли советника или консультанта бизнес-подразделений, и не может навязывать методы (средства) информационной безопасности.

Определить руководящую группу для выполнения ключевых действий

В целом, руководящая группа должна являться (1) катализатором (ускорителем) процесса, гарантирующим, что риски информационной безопасности рассматриваются непрерывно; (2) центральным консультационным ресурсом для подразделений организаций; (3) средством доведения до руководства организации информации о состоянии информационной безопасности и принимаемых мерах. Кроме того, руководящая группа позволяет централизовано управлять поставленными задачами, в противном случае эти задачи могут дублироваться различными подразделениями организации.

Предоставить руководящей группе простой и независимый доступ к высшему менеджменту организации

Отметим необходимость обсуждения проблем информационной безопасности менеджерами руководящей группы с высшим менеджментом организации. Такой диалог позволит действовать эффективно и избежать разногласий. В противном случае возможны конфликтные ситуации с менеджерами бизнес-подразделений и разработчиками систем, желающими скорейшего внедрения новых программных продуктов, и, потому, оспаривающими применение средств контроля, которые могут препятствовать эффективности и комфортности работы с программным обеспечением. Таким образом, возможность обсуждения проблем информационной безопасности на высшем уровне сможет гарантировать полное понимание рисков и их допустимость до принятия окончательных решений.

Определить и выделить бюджет и персонал

Бюджет позволит планировать и устанавливать цели программы информационной безопасности. Как минимум, бюджет включает заработную плату сотрудников и затраты на обучение. Штатная численность руководящей группы (подразделения безопасности) может варьироваться и завистить как от поставленных целей, так и от проектов, находящихся на рассмотрении. Как было отмечено ранее, к работе в группе могут привлекаться как технические специалисты, так и сотрудники бизнес-подразделений.

Повышать профессионализм и технические знания сотрудников

Сотрудники организации должны участвовать в различных аспектах программы информационной безопасности и обладать соответствующими навыками и знаниями. Необходимый уровень профессионализма сотрудников может быть достигнут с помощью тренингов, проводить которые могут как специалисты организации, так и внешние консультанты.

Внедрить необходимые политики и соответствующие средства контроля

Политики в области информационной безопасности являются основанием принятия определенных процедур и выбора средств (механизмов) контроля (управления). Политика - первичный механизм, с помощью которого менеджмент доводит свое мнение и требования сотрудникам, клиентам и деловым партнерам. Для информационной безопасности, как и для других областей внутреннего контроля, требования политик напрямую зависят от результатов оценки уровня риска.

Установить взаимосвязь политик и бизнес-рисков

Всесторонний набор адекватных политик, доступных и понятных пользователям, является одним из первых шагов в установлении программы обеспечения информационной безопасности. Стоит подчеркнуть важность непрерывного сопровождения (корректировки) политик для своевременного реагирования на выявляемые риски и возможные разногласия.

Установить отличия между политиками и руководящими принципами

Общий подход к созданию политик информационной безопасности должен предусматривать (1) краткие (лаконичные) политики высокого уровня и (2) более детальную информацию, представленную в практических руководствах и стандартах. Политики предусматривают основные и обязательные требования, принятые высшим менеджментом. В то время как практические руководства не являются обязательными для всех бизнес-подразделений. Такой подход позволяет высшему менеджменту акцентировать внимание на наиболее важных элементах информационной безопасности, а также предоставить возможность маневрирования менеджерам бизнес-подразделений, сделать политики легкими для понимания сотрудников.

Обеспечить сопровождение политик руководящей группой

Руководящая группа должна быть ответственна за разработку политик информационной безопасности организации во взаимодействии с менеджерами бизнес-подразделений, внутренними аудиторами и юристами. Кроме того, руководящая группа должна обеспечить необходимые разъяснения и предоставить ответы на вопросы пользователей. Это поможет уладить и предотвратить недоразумения, а также принять необходимые меры, не предусмотренные политиками (руководящими принципами).

Политики стоит сделать доступными, так чтобы пользователи, при необходимости, могли получить доступ к их актуальным версиям. Пользователи должны расписываться в том, что они ознакомлены с политиками до предоставления им доступа к информационным ресурсам организации. Если пользователь будет вовлечен в инцидент безопасности, это соглашение послужит свидетельством того, что он или она были проинформированы о политике организации, как и о возможных санкциях, в случае ее нарушения.

Содействовать осведомленности

Компетентность пользователей является обязательным условием для успешного обеспечения информационной безопасности, а также позволяет гарантировать, что средства контроля работают должным образом. Пользователи не могут следовать политике, которую они не знают или не понимают. Не зная о рисках, связанных с информационными ресурсами организации, они не могут видеть необходимости исполнения политики, разработанной с целью уменьшения рисков.

Непрерывное обучение пользователей и других сотрудников на примере рисков и соответствующих политик

Руководящая группа должна обеспечить стратегию постоянного обучения сотрудников, так или иначе влияющих на информационную безопасность организации. Группа должна сосредоточить усилия на всеобщем понимании рисков, связанных с информацией, обрабатываемой в организации, а также политиках и методах (средствах) контроля, направленных на уменьшение этих рисков.

Использовать дружественный подход

Руководящая группа должна использовать разнообразные методы обучения и поощрения (стимулирования) чтобы сделать политику организации доступной и обучить пользователей. Стоит избегать встреч, проводимых раз в год со всеми сотрудниками организации, напротив обучение лучше проводить в небольших группах сотрудников.

Контролировать и оценивать эффективность политик и механизмов контроля

Как и любой вид деятельности, информационная безопасность подлежит контролю и периодической переоценке, чтобы гарантировать адекватность (соответствие) политик и средств (методов) контроля поставленным целям.

Контролировать факторы, влияющие на риски и указывающие на эффективность информационной безопасности

Контроль должен быть сосредоточен, прежде всего, на (1) наличии средств и методов контроля и их использования, направленного на уменьшение рисков и (2) оценке эффективности программы и политик информационной безопасности, улучшающих понимание пользователей и сокращающих количество инцидентов. Такие проверки предусматривают тестирование средств (методов) контроля, оценку их соответствия политикам организации, анализ инцидентов безопасности, а также другие индикаторы эффективности программы информационной безопасности. Эффективность работы руководящей группы может быть оценена, основываясь, например, на следующих показателях (но, не ограничиваясь ими):

  • число проведенных тренингов и встреч;
  • число выполненных оценок риска (рисков);
  • число сертифицированных специалистов;
  • отсутствие инцидентов, затрудняющих работу сотрудников организации;
  • снижение числа новых проектов, внедренных с задержкой из-за проблем информационной безопасности;
  • полное соответствие или согласованные и зарегистрированные отклонения от минимальных требований информационной безопасности;
  • снижение числа инцидентов, влекущих за собой несанкционированный доступ, потерю или искажение информации.

Использовать полученные результаты для координации будущих усилий и повышения ответственности менеджмента

Контроль, безусловно, позволяет привести организацию в соответствие с принятыми политикам информационной безопасности, однако полные выгоды от контроля не будут достигнуты, если полученные результаты не используются для улучшения программы обеспечения информационной безопасности. Анализ результатов контроля предоставляет специалистам в области информационной безопасности и менеджерам бизнес-подразделений средства (1) переоценки ранее идентифицированных рисков, (2) определения новых проблемных участков, (3) переоценки достаточности и уместности существующих средств и методов контроля (управления) и действий по обеспечению информационной безопасности, (4) определения потребностей в новых средствах и механизмах контроля, (5) переадресации контрольных усилий (контролирующих действий). Кроме того, результаты могут использоваться для оценки деятельности бизнес-менеджеров, ответственных за понимание и уменьшение рисков в бизнес-подразделениях.

Отслеживать новые методы и средства контроля

Важно гарантировать, что (1) специалисты в области информационной безопасности не отстают от разрабатываемых методов и инструментов (приложений) и располагают самой последней информацией об уязвимости информационных систем и приложений, (2) высший менеджмент гарантирует, что располагает для этого необходимыми ресурсами.

Друзья! Приглашаем вас к обсуждению. Если у вас есть своё мнение, напишите нам в комментарии.

Информация является одним из самых главных деловых ресурсов, который обеспечивает организации добавочную стоимость, и вследствие этого нуждается в защите. Слабые места в защите информации могут привести к финансовым потерям, и нанести ущерб коммерческим операциям. Поэтому в наше время вопрос разработки системы управления информационной безопасностью и ее внедрение в организации является концептуальным.

Стандарт ISO 27001 определяет информационную безопасность как: «сохранение конфиденциальности, целостности и доступности информации; кроме того, могут быть включены и другие свойства, такие как подлинность, невозможность отказа от авторства, достоверность».

Конфиденциальность – обеспечение доступности информации только для тех, кто имеет соответствующие полномочия (авторизированные пользователи);

Целостность – обеспечение точности и полноты информации, а также методов ее обработки;

Доступность – обеспечение доступа к информации авторизированным пользователям, когда это необходимо (по требованию).

По вопросам : klubok@сайт

1. Выполнение деятельности по обеспечению информационной безопасности должно поддерживаться системой управления информационной безопасности, которая реализуется службой информационной безопасности в виде совокупности взаимозависимых и постоянно действующих процессов (синхронизации, контроля, мониторинга, анализа и т. д.) штатного функционирования используемых защитных мер и должного исполнения персоналом предъявляемых к ним требований информационной безопасности.

2. Задачи защиты информационных активов Организации решаются в рамках функционирования соответствующих технологических процессов, направленных на достижение конкретных практических результатов. Результатом функционирования процессов является защищенность Организации.

3. В Организации процесс обеспечения защиты информации в информационных системах включает в себя:

Планирование мероприятий по защите информации;

Формирование комплекса средств защиты информации;

Администрирование информационной безопасности и средств защиты;

Мониторинг информационной безопасности информационных активов;

Анализ защищенности и контроль выполнения требований информационной безопасности.

4. Планирование мероприятий по защите информации предполагает определение сроков и состава мероприятий по информационной безопасности, производимое в рамках системы планирования Организации. Формами представления данного процесса являются планы мероприятий, политики безопасности, частные политики безопасности.

5. Формирование комплекса средств зашиты информации предполагает оснащение АС и рабочих мест обработки информации средствами защиты, подтверждение соответствия реализованной подсистемы информационной безопасности требованиям эксплуатационной документации для внедряемых АС, формирование требований по обеспечению информационной безопасности и правил работы со средствами защиты информации. Результатом процесса должна явиться комплексная система информационной безопасности, включающая организационные и технические средства защиты, регламент их использования. Формами представления процесса являются акты установки средств защиты, акты сдачи-приема АС, положения, инструкции, регламенты применения средств защиты.

6. Администрирование информационной безопасности и средств защиты предполагает обеспечение и поддержку защищенности информационных активов Организации. Результатом процесса является обеспечение защиты от несанкционированного доступа к средствам вычислительной техники, контроль целостности аппаратной и программной конфигурации АС, соответствие предоставленных прав доступа функциям, выполняемым сотрудниками, обеспечение разграничения доступа к информационным активам, обеспечение восстановления систем защиты информации в нештатных ситуациях, обеспечение защиты электронного документооборота. Формами представления процесса могут являться учетные формы защищаемых активов, допущенных сотрудников, паспорта программного обеспечения, атрибуты доступа, журналы учета и администрирования средств защиты, документы фиксирования инцидентов информационной безопасности (акты).


7. Мониторинг информационной безопасности информационных активов предполагает выявление возможных отклонений от принятой Частной политики информационной безопасности, попыток несанкционированного доступа к информационным активам. Результатом процесса является выявление инцидентов информационной безопасности, уязвимостей, нарушений правил информационной безопасности, попыток НСД, выявление случаев заражения вредоносным кодом, не должного выполнения персоналом своих обязанностей. Отчетными формами представления процесса могут быть любые документы, регистрирующие инциденты информационной безопасности.

8. Анализ защищенности и контроль выполнения требований информационной безопасности предполагает определение уровня зрелости информационной безопасности Организации в соответствии со Стандартом и соответствие информационной безопасности Организации требованиям нормативных документов Банка России. Результатом процесса является проведение плановых, целевых выборочных проверок по выявлению фактов нарушения требований по защите информации, проведение аудита информационной безопасности, проведение самооценки состояния информационной безопасности с использованием специальных методик. Формами представления процесса являются итоговые документы установленных форм (анкеты, акты, справки, служебные записки).

9. Процессы контроля и оценки состояния безопасности и качества проведения технологических операций по защите активов должны быть регламентированы руководящими документами.

10. Основная задача управления информационной безопасностью заключается в том, чтобы приведенные процессы выполнялись непрерывно в виде замкнутого цикла: «планирование – реализация (администрирование) – проверка (мониторинг) – совершенствование (анализ) - планирование и т. д.» так, чтобы осуществлялась периодическая корректировка принятых мер информационной безопасности активов Организации.

Доброго времени суток, уважаемые!
Давно не писал на Хабр, не было времени, много работы было. Но теперь разгрузился и сформировались мысли для нового поста.

Общался с одним из товарищей, на которого взвалили труд по ИБ в организации (товарищ сисадмин), и он просил рассказать с чего начать и куда двигаться. Немного привёл мысли и знания в порядок и выдал ему примерный план.
К сожалению, такая ситуация далеко не единична и встречается часто. Работадатели, как правило, хотят что бы был и швец и жнец и на дуде игрец и всё это за один прайс. К вопросу о том, почему ИБ не нужно относить к ИТ я вернусь позже, а сейчас всё-таки рассмотрим с чего вам начинать, если такое случилось и вы подписались на подобную авантюру, то есть создание системы управления информационной безопасностью (СУИБ).

Анализ рисков

Практически всё в ИБ начинается с анализа рисков, это основа и начало всех процессов в безопасности. Проведу краткий ликбез в этой области, так многие понятия не очевидны и чаще всего путаются.
Итак есть 3 основных понятия:
  • Вероятность реализации
  • Уязвимость

Риск - это возможность понести какие-либо потери (денежные, репутационные и тд), в связи с реализацией уязвимости.
Вероятность реализации - это насколько вероятно, что данная уязвимость будет эксплуатирована для реализации риска.
Уязвимость - непосредственно брешь в вашей системе безопасности, которая с некоей долей вероятности может нанести вред, то есть реализовать риск.

Есть множество методик, различных подходов к управлению рисками, расскажу об основах, остальное вам на первых порах в становлении СУИБ и не понадобится.
Итак вся работа по управлению рисками сводится либо к снижению вероятности реализации, либо к минимизации потерь от реализации. Соответственно риски могут быть приемлемыми и неприемлемыми для организации. Приемлемость риска лучше всего выражать в конкретных суммах потерь от его реализации (в любом случае даже, вроде бы, неосязаемые репутационные потери в итоге выливаются в упущенную прибыль). Необходимо решить с руководством какая сумма для них будет порогом приемлемости и сделать градацию (лучше 3-5 уровней для потерь). Далее сделать градацию по вероятности, так же как с потерями и потом оценивать риски по сумме этих показателей.
После проведения подготовительной работы, выделите реальные уязвимости вашей организации и проведите оценку рисков их реализации и потерь. В итоге вы получите 2 набора рисков - приемлемых и неприемлемых. С приемлемыми рисками вы просто смиритесь и не будете предпринимать активных действий по их минимизации (то есть мы принимаем, что минимизация этих рисков будет нам стоить дороже потерь от них), а с неприемлемыми есть 2 варианта развития событий.

Минимизировать - уменьшить вероятность возникновения, уменьшить возможные потери или вообще предпринять меры по устранению риска (закрытие уязвимости).
Передать - просто переложить заботы о риске на другое лицо, к примеру застраховать организацию от случаев наступления риска или передать актив, подверженный риску (к примеру перенести сервера в дата-центр, таким образом за бесперебойное питание и физическую сохранность серверов будет ответственнен дата-центр).

Масштабы

В первую очередь, конечно же, необходимо оценить масштабы бедствия. Я не буду касаться моментов по защите персданных, по этому поводу уже куча статей, есть описанные не раз практические рекомендации и алгоритмы действий.
Напомню также, что информационная безопасность - это в первую очередь люди, так что нужна нормативная документация. Что бы написать её, для начала нужно понять что туда вписывать.
Основных документов для ИБ в этом плане 3:
Политика информационной безопасности
Ваш основной документ, настольная книга, Библия и другие громкие названия. Именно в ней описаны все процедуры по ИБ, описан уровень безопасности, которому вы следуете в своей организации. Так сказать - идеальный срез безопасности, задокументированный и принятый по всем правилам.
Политика не должна быть мертвым грузом, документ должен жить, должен изменяться под влиянием новых угроз, веяний в ИБ или пожеланий. В связи с этим политика (как, в принципе, и любой процессный документ) должна регулярно пересматриваться на предмет актуальности. Лучше делать это не реже 1 раза в год.
Концепция информационной безопасности
Небольшая выжимка из политики, где описаны основы безопасности вашей организации, нет никаких конкретных процессов, но есть принципы построения СУИБ и принципы формирования безопасности.
Этот документ скорее имиджевый, он не должен содержать никакой «чувствительной» информации и должен быть открытым и доступным для всех. Разместите его на своём сайте, вложите в лоток на информационном стенде, что бы ваши клиенты и посетители могли с ним ознакомиться или просто видели, что вы заботитесь о безопасности готовы это продемонстрировать.
Положение о коммерческой тайне (конфиденциальной информации)
В скобках указал альтернативное наименование подобного документа. По большому счёту, ком. тайна - это частный случай конфиденциалки, но отличий крайне мало.
В этом документе необходимо указать следующее: как и где хранятся документы, составляющие ком. тайну, кто ответственнен за хранение этих документов, как должен выглядеть шаблон документа, содержащего подобную информацию, что будет за разглашение конфиденциальной информации (по законодательству и согласно внутренним договоренностям с руководством). Ну и конечно же перечень сведений, составляющих, для вашей организации, коммерческую тайну или являющиеся конфиденциальными.
По закону, без предпринятых мер по защите конфиденциалки, у вас её как бы и нет:-) То есть сама-то информация вроде бы и есть, а вот конфиденциальной она являться не может. И тут есть интересный момент, что соглашение о неразглашении конфиденциалки подписывают в 90% организации с новыми сотрудниками, а вот мер, положенных по закону, предпринято мало у кого. Максимум перечень информации.

Аудит

Что бы написать эти документы, точнее, что бы понять что должно быть в них, нужно провести аудит текущего состояния ИБ. Понятно, что в зависимости от деятельности организации, территориальной распределенности и тд очень много нюансов и факторов для каждой конкретной организации, но есть несколько основных моментов, которые являются общими для всех.
Политика доступа
Тут 2 ветки - это физический доступ в помещения и доступ в информационные системы.
Физический доступ
Опишите вашу систему контроля доступа. Как и когда выдаются карточки доступа, кто определяет кому в какое помещение есть доступ (при условии, что помещение оборудовано СКД). Так же здесь стоит упомянуть систему видеонаблюдения, принципы её построения (отсутствие слепых зон в наблюдаемых помещениях, обязательный контроль входов и выходов в/из здания, контроль входа в серверную и тп). Так же не забудьте про посетителей, если у вас нет общей приёмной (да и при наличии её) стоить указать каким образом посетители попадают в контролируемую зону (временные пропуска, сопровождающий).
Для серверной, так же, должен быть отдельный перечень доступа с журналом посещений (проще, если в серверной установлена СКД и всё ведется автоматически).
Доступ в информационные системы
Опишите процедуру выдачей доступов, если используется многофакторная аутентификация, то и выдача доп идентификаторов. Парольная политика (срок действия паролей, сложность, количество попыток входа, время блокирования УЗ после превышения количества попыток) для всех систем, в которые выдаётся доступ, если у вас не Single Log On повсюду.
Построение сети
Где находятся сервера, имеющие доступ снаружи (DMZ), как к ним обеспечивается доступ изнутри и снаружи. Сегментация сети, чем она обеспечивается. Межсетевые экраны, какие сегменты они защищают (если есть внутри сети между сегментами).
Удаленный доступ
Как он организован и кто имеет доступ. В идеале должно быть так: только VPN, доступ только по согласованию с высшим руководством и с обоснованием необходимости. Если нужен доступ третьим лицам (вендоры, обслуживающий персонал и тд), то доступ ограничен по времени, то есть учетка выдаётся на определенный срок, после которого автоматически блокируется. Естественно, при удаленном доступе, любом, права необходимо ограничивать по минимуму.
Инциденты
Как они обрабатываются, кто ответственный и как построен процесс инцидент менеджмента и проблем менеджмента (если есть, конечно). По работе с инцидентами у меня уже был пост: habrahabr.ru/post/154405 можете ознакомиться подробнее.
Так же необходимо определиться с трендами в вашей организации. То есть какие инциденты возникают чаще, какие несут больший вред (простой, прямые потери имущества или денег, репутационный вред). Это поможет в контроле рисков и проведении анализа рисков.
Активы
В данном случае под активами понимается всё, что требует защиты. То есть сервера, информация на бумаге или съёмных носителях, жесткие диски компьютеров и тд. Если какие-либо активы содержат «чувствительную» информацию, то они должны быть промаркированы соответствующим образом и должен быть перечень действия, разрешенных и запрещенных с данным активом, таких как передача третьим лицам, передача по электронной почте внутри организации, выкладывание в публичный доступ внутри организации и тд.

Обучение

Момент, о котором многие забывают. Сотрудникам нужно рассказать о мерах безопасности. Не достаточно ознакомления с инструкциями и политиками под роспись, 90% их не прочитают, а просто распишутся, дабы отвязались. Про обучение я тоже делал публикацию: habrahabr.ru/post/154031 Там приведены основные моменты, важные при обучении и про которые не стоит забывать. Помимо непосредственно самого обучения, такие мероприятия полезны в плане общения между сотрудниками и офицером безопасности (красивое название, мне очень оно нравится:-). Можно узнать о каких-то мелких происшествиях, пожеланиях, да даже проблемах, про которые в обычном рабочем ритме вы вряд ли бы узнали.

Заключение

Вот, наверное, и всё, о чём хотелось поведать начинающим на поприще ИБ. Я понимаю, что подобным постом я, возможно, лишу какого-то своего коллегу работы, так как потенциальный работодатель просто возложит на админа эти обязанности, но я и огорожу многие организации от интеграторов-бракоделов, любящих выкачивать деньги за аудиты и пишущие многостраничные памфлеты ни о чём, выдавая их за нормативку (http://habrahabr.ru/post/153581/).
В следующий раз постараюсь рассказать об организации службы информационной безопасности как таковой.

P.S. если ставите минус, прокомментируйте, пожалуйста, дабы в будущем мне не допускать подобных ошибок.

Теги: Добавить метки

СИСТЕМА ДОБРОВОЛЬНОЙ СЕРТИФИКАЦИИ

«СВЯЗЬ – ЭФФЕКТИВНОСТЬ»

РОСС RU.М821.04ФБГ0

Система управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи»

Требования, программа и методика сертификационных испытаний

1 Введение 1

2 Область применения 2

4.2.Требования к политикам оператора 5

4.3.Требования к функциональности 6

4.4. Требования к взаимодействию 7

5 Программа сертификационных испытаний 7

5.1. Объект испытаний 7

5.2. Цель испытаний 7

6 Методика проведения сертификационных испытаний 8

6.1. Условия проведения испытаний 8

6.2. Методика проверки 9

1 Введение

Требования к Системе управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи» (далее – Требования) определяют базовый уровень информационной безопасности, используя который, каждый оператор может оценить состояние сетевой и информационной безопасности, учитывая то, какие стандарты безопасности актуальны, какие из этих стандартов должны быть использованы, когда они должны быть использованы и как они должны применяться.Кроме того описывается готовность и способность оператора связи взаимодействовать с другими операторами, пользователями и правоохранительные органами с целью совместного противодействия угрозам информационной безопасности.

Требования представляют собой минимальный набор рекомендаций, реализация которых будет гарантировать достаточный уровень информационной безопасности коммуникационных услуг, позволяя при этом обеспечить баланс интересов операторов, пользователей и регулятора.

Программа и методика определяют все виды, условия, объем и методы сертификационных испытаний базового уровня информационной безопасности операторов связи.

Настоящий документ может быть использован для случаев, когда оператор связи:

    нуждается в демонстрации своей способности предоставлять услуги связи, отвечающие установленным требованиям;

    имеет цель демонстрировать взаимодействующим операторам связи способность и готовность совместно с ними противостоять угрозам информационной безопасности.

2 Область применения

      Настоящие Требования, программа и методика разработаны в соответствии с Положением о Системе добровольной сертификации «Связь – Эффективность» на базе Рекомендации сектора стандартизаций Международного Союза Электросвязи (МСЭ-Т) Серии X, Приложение 2, «Серии Х.800-Х849 МСЭ-Т – Приложение по базовому уровню информационной безопасности операторов связи».

      Настоящие Требования, программа и методика разработаны для системы добровольной сертификации и предназначены для операторов связи, сертификационных центров и лабораторий при проведении добровольной сертификации Системы управления информационной безопасностью «Базовый уровень информационной безопасности операторов связи» в Системе добровольной сертификации «Связь – Эффективность».

3 Нормативные ссылки, определения и сокращения

3.1. В настоящих Требованиях, программе и методике использованы ссылки на следующие нормативные документы:

    Федеральный закон от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и защите информации».

    Доктрина информационной безопасности Российской Федерации от 09 сентября 2000 г. № Пр-1895.

    Правила присоединения сетей электросвязи и их взаимодействия (утв. Постановлением Правительства РФ от 28 марта 2005 г., N 161).

    ГОСТ Р 50739-95 Средства вычислительной техники. Защита от НСД к информации. Общие технические требования.

    ГОСТ Р 52448-2005 Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения.

    ГОСТ Р ИСО/МЭК 15408-2002 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.

    ГОСТ Р ИСО/МЭК 27001-2006 Методы обеспечения информационной безопасности. Системы управления информационной безопасностью. Требования.

    ОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения.

    Рекомендация сектора стандартизаций Международного Союза Электросвязи (МСЭ-Т) Серии X, Приложение 2, «Серии Х.800-Х849 МСЭ-Т – Приложение по базовому уровню информационной безопасности операторов связи».

3.2. В настоящих Требованиях, программе и методике использованы термины соответствующие определениям Федерального закона «О связи», а также дополнительно определены следующие термины и сокращения:

Аккаунт – персональная учетная запись пользователя информационной системы, программного обеспечения оборудования, включающее имя пользователя (логин), его скрываемые индивидуальные признаки (пароль) и другие сведения, необходимые для получения доступа.

Антивирусное программное обеспечение – специальное программное обеспечение, предназначенное для выявления и деактивации (блокирования) вредоносного программного кода, специально созданного для нарушения целостности, доступности и конфиденциальности данных.

Атака типа «отказ в обслуживании» – преднамеренное воздействие на информационную систему или оборудование с целью создания условий, при которых правомерные пользователи не могут получить доступ к предоставляемым системой или оборудованием ресурсам или такой доступ будет затруднен.

Информационная безопасность оператора связи – состояние защищенности информационных ресурсов оператора связи и поддерживающей их инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба оператору связи, пользователям услуг связи, и характеризуемая способностью обеспечивать конфиденциальность, целостность и доступность информации при ее хранении, обработке и передаче.

Лицензионное соглашение – договор между владельцем программного обеспечения и пользователем ее копии

Оператор связи – юридическое лицо или индивидуальный предприниматель, оказывающие услуги связи на основании соответствующей лицензии.

Политика безопасности оператора связи – совокупность документированных правил, процедур, практических приемов или руководящих принципов в области обеспечения безопасности, которыми должен руководствоваться оператор связи.

Провайдер услуг – юридическое лицо, занимающееся предоставлением (доставкой) абоненту услуг связи определенного вида и обеспечивающее согласованное использование сетевых возможностей, связанных с данными услугами.

Спам – незапрашиваемая корреспонденция, передаваемая в электронном виде (как правила, средствами электронной почты).

Управление рисками – процесс определения, контроля, уменьшения или полного устранения (с приемлемыми затратами) рисков для информационной безопасности, которые могут повлиять на информационные системы оператора связи и поддерживающую их инфраструктуру.