Upload
natasha-khramtsovsky
View
397
Download
1
Embed Size (px)
DESCRIPTION
Выступление Натальи Храмцовской о новых стандартах информационной безопасности и о том, как их можно использовать в интересах управления документацией организации, на третьей международной практической конференции «Эффективный документооборот в управлении бизнес-процессами», декабрь 2005 Dr Natasha Khramtsovsky's presentation "New information security standards & records management" at the Records Managers Guild' conference, Moscow, December 2006.
Citation preview
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 11
НовыеНовые стандартыстандарты попоинформационнойинформационной безопасностибезопасностиии управлениеуправление документациейдокументацией
организацииорганизации
ХрамцовскаяХрамцовская НатальяНаталья АлександровнаАлександровнаведущийведущий экспертэксперт попо управлениюуправлению документациейдокументацией
компаниикомпании ««ЭлектронныеЭлектронные ОфисныеОфисные СистемыСистемы»», , членчлен ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией ии ARMA InternationalARMA International
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 22
ЗачемЗачем ISO 17799ISO 17799нуженнужен специалистамспециалистам ДОУДОУ
�� ДляДля эффективногоэффективного общенияобщения сс руководствомруководством ииспециалистамиспециалистами ИТИТ ии ИБИБ, , повышенияповышения своегосвоегостатусастатуса вв организацииорганизации
�� ДляДля ««выбиваниявыбивания»» своейсвоей долидоли ресурсовресурсов иифинансированияфинансирования, , выделяемыхвыделяемых нана обеспечениеобеспечение ИБИБ
�� КакКак основаоснова длядля созданиясоздания внутреннихвнутренних нормативныхнормативныхдокументовдокументов
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 33
СтандартСтандарт ISO/IEC 17799:2005 ISO/IEC 17799:2005 попоинформационнойинформационной безопасностибезопасности
�� ПерваяПервая версияверсия стандартастандарта2001 2001 годгод, , втораявторая –– июньиюнь 2005 2005 годагода
�� РазработанныйРазработанныйспециалистамиспециалистами вв областиобласти ИТИТ--технологийтехнологий длядля собственныхсобственныхнужднужд, , впервыевпервые зафиксировалзафиксировалтребованиятребования кк работеработе ссдокументациейдокументацией организацииорганизации
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 44
ОсновныеОсновные информационныеинформационныересурсыресурсы, , требующиетребующие защитызащиты
�� ЭлектронныеЭлектронные документыдокументы ии информацияинформация хранятсяхранятся ввкомпьютерныхкомпьютерных системахсистемах ии сетяхсетях
�� БумажныеБумажные документыдокументы, , хранениехранение которыхкоторыхорганизованоорганизовано вв защищенныхзащищенных помещенияхпомещениях илиили ввзакрытыхзакрытых шкафахшкафах, , ведётсяведётся регистрациярегистрация ии учётучёт
�� ЦеннаяЦенная ии важнаяважная информацияинформация, , хранящаясяхранящаяся ввголовахголовах сотрудниковсотрудников
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 55
СодержаниеСодержание стандартастандарта
1.1. ОбластьОбласть примененияприменения
2.2. ТерминыТермины ии определенияопределения
3.3. СтруктураСтруктура данногоданного стандартастандарта
4.4. ОценкаОценка рисковрисков
5.5. ПолитикаПолитика вв областиобласти безопасностибезопасности
6.6. ОрганизацияОрганизация системысистемы информационнойинформационной безопасностибезопасности
7.7. УправлениеУправление ресурсамиресурсами ((классификацияклассификация ии контрольконтроль))
8.8. КадроваяКадровая безопасностьбезопасность
9.9. ФизическаяФизическая безопасностьбезопасность ии защитазащита отот природныхприродных явленийявлений
10.10. УправлениеУправление операциямиоперациями ии средствамисредствами коммуникациикоммуникации
11.11. УправлениеУправление доступомдоступом
12.12. ЗакупкаЗакупка, , развитиеразвитие ии сопровождениесопровождение информационныхинформационных системсистем
13.13. УправлениеУправление реагированиемреагированием нана инцидентыинциденты вв областиобласти информационнойинформационнойбезопасностибезопасности
14.14. ОбеспечениеОбеспечение непрерывностинепрерывности деловойделовой деятельностидеятельности
15.15. ВыполнениеВыполнение законодательнозаконодательно--нормативныхнормативных требованийтребований
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 66
15. 15. ««ВыполнениеВыполнение законодательнозаконодательно--нормативныхнормативных требованийтребований»»
15.1 15.1 ВыполнениеВыполнение требованийтребований законодательствазаконодательства
–– 15.1.1 15.1.1 ВыявлениеВыявление соответствующихсоответствующих требованийтребованийзаконодательствазаконодательства
–– 15.1.2 15.1.2 ПраваПрава интеллектуальнойинтеллектуальной собственностисобственности
–– 15.1.3 15.1.3 ЗащитаЗащита документовдокументов организацииорганизации
–– 15.1.4 15.1.4 ЗащитаЗащита данныхданных ии персональнойперсональной информацииинформации
–– 15.1.5 15.1.5 ПредотвращениеПредотвращение несанкционированногонесанкционированногоиспользованияиспользования системсистем ии средствсредств обработкиобработки информацииинформации
–– 15.1.6 15.1.6 РегулированиеРегулирование примененияприменения криптографическихкриптографическихсредствсредств
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 77
15. 15. ««ВыполнениеВыполнение законодательнозаконодательно--нормативныхнормативных требованийтребований»»
((продолжениепродолжение))
15.2 15.2 ВыполнениеВыполнение требованийтребований регламентоврегламентов, , стандартовстандартов
попо безопасностибезопасности ии техническихтехнических требованийтребований
–– 15.2.1 15.2.1 ВыполнениеВыполнение требованийтребований регламентарегламента ии стандартовстандартов попобезопасностибезопасности
–– 15.2.2 15.2.2 ПроверкаПроверка соответствиясоответствия техническимтехническим требованиямтребованиям
15.3 15.3 ВопросыВопросы аудитааудита информационныхинформационных системсистем
–– 15.3.1 15.3.1 СредстваСредства аудитааудита информационныхинформационных системсистем
–– 15.3.2 15.3.2 ЗащитаЗащита средствсредств аудитааудита вв информационныхинформационных системахсистемах
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 88
СтандартСтандарт ISO 17799:2005ISO 17799:2005
�� ГлавнаяГлавная идеяидея стандартастандарта вв отношенииотношениидокументациидокументации: : обеспечитьобеспечить надлежащуюнадлежащуюинформационнуюинформационную безопасностьбезопасность можноможно толькотолько приприусловииусловии, , чточто управлениеуправление документамидокументами нана всехвсехвидахвидах носителейносителей ведётсяведётся единообразноединообразно, , ии чточтосоответствующиесоответствующие требованиятребования распространяютсяраспространяются нанавсевсе информационныеинформационные ресурсыресурсы организацииорганизации..
�� СтандартСтандарт рассматриваетрассматривает вопросывопросы защитызащиты всехвсехвидоввидов информационныхинформационных ресурсовресурсов
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 99
ISO 17799ISO 17799 оо сохранениисохранениидокументовдокументов организацииорганизации
�� СущественныеСущественные документыдокументы организацииорганизации должныдолжныбытьбыть защищенызащищены отот утериутери, , уничтоженияуничтожения иифальсификациифальсификации. . МожетМожет оказатьсяоказаться необходимымнеобходимымсохранятьсохранять вв безопасностибезопасности определённыеопределённыедокументыдокументы, , -- каккак длядля исполненияисполнения законодательнозаконодательно--нормативныхнормативных требованийтребований, , тактак ии длядля поддержанияподдержанияосновнойосновной деловойделовой деятельностидеятельности. .
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 1010
ISO 17799ISO 17799 обоб уничтоженииуничтожениидокументовдокументов организацииорганизации
�� СистемаСистема храненияхранения ии обработкиобработки должнадолжна обеспечитьобеспечитьяснуюясную идентификациюидентификацию документовдокументов ии установленногоустановленногодлядля нихних срокасрока храненияхранения
�� ОнаОна должнадолжна обеспечиватьобеспечивать соответствующеесоответствующееуничтожениеуничтожение документовдокументов попо истеченииистечении срокасрокахраненияхранения, , еслиесли ониони ужеуже большебольше нене нужнынужныорганизацииорганизации. . ……
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 1111
ТребованияТребования ISO 17ISO 17799 799 кк применениюприменению вв организацияхорганизациях
ISO 15489ISO 15489
�� ВВ стандартестандарте зафиксированозафиксировано требованиетребование, , чточтоуправлениеуправление документамидокументами организацииорганизации должнадолжнаосуществлятьосуществлять вв соответствиисоответствии сосо стандартомстандартом ISO ISO 1548915489--1, 1, которыйкоторый теперьтеперь ужеуже ««официальноофициально»» будетбудетиспользоватьсяиспользоваться припри сертификациисертификации попо стандартамстандартаминформационнойинформационной безопасностибезопасности..
�� ЭтоЭто требованиетребование фактическифактически обязываетобязываетспециалистовспециалистов вв областиобласти информационныхинформационныхтехнологийтехнологий ии информационнойинформационной безопасностибезопасностииспользоватьиспользовать требованиятребования ISO 15489ISO 15489--1 1 вв своейсвоейработеработе..
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 1212
15.1.4. 15.1.4. ЗащитаЗащита данныхданных ииперсональнойперсональной информацииинформации
ТребованиеТребование
�� ЗащитуЗащиту данныхданных ии защитузащиту персональныхперсональных данныхданныхследуетследует обеспечитьобеспечить вв соответствиисоответствии ссзаконодательствомзаконодательством, , нормативаминормативами ии контрактнымиконтрактнымиобязательствамиобязательствами..
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 1313
15.1.4. 15.1.4. ЗащитаЗащита данныхданных ииперсональнойперсональной информацииинформации
РекомендацииРекомендации
�� РазработатьРазработать ии реализоватьреализовать политикуполитику организацииорганизациизащитызащиты данныхданных ии персональныхперсональных данныхданных. . ЭтаЭтаполитикаполитика должнадолжна бытьбыть сообщенасообщена всемвсем лицамлицам, , вовлеченнымвовлеченным вв обработкуобработку персональнойперсональнойинформацииинформации..
�� РассмотретьРассмотреть вопросвопрос оо соответствующихсоответствующихорганизационнойорганизационной структуреструктуре ии мерахмерах защитызащиты..
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 1414
15.1.4. 15.1.4. ЗащитаЗащита данныхданных ииперсональнойперсональной информацииинформации
РекомендацииРекомендации
�� НазначитьНазначить сотрудникасотрудника, , ответственногоответственного заза защитузащитуданныхданных, , вв обязанностиобязанности которогокоторого входитвходит передачапередачауказанийуказаний менеджерамменеджерам, , пользователямпользователям иипоставщикампоставщикам услугуслуг обоб ихих персональнойперсональнойответственностиответственности ии информированиеинформирование оо необходимыхнеобходимыхпроцедурахпроцедурах
�� ДолжныДолжны бытьбыть реализованыреализованы соответствующиесоответствующиетехническиетехнические ии организационныеорганизационные мерымеры попо защитезащитеперсональнойперсональной информацииинформации
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 1515
СтандартСтандарт ISO 27001ISO 27001
�� ВВ октябреоктябре 2005 2005 годагодаопубликованопубликован окончательныйокончательный
вариантвариант
�� ОписываетОписывает системусистемууправленияуправления информационнойинформационнойбезопасностьюбезопасностью, , вв рамкахрамкахкоторойкоторой можноможно выбиратьвыбирать иииспользоватьиспользовать отдельныеотдельные мерымеры
�� ПоПо требованиямтребованиям ISO 27001 ISO 27001 планируетсяпланируется организоватьорганизоватьпроведениепроведение международноймеждународнойсертификациисертификации
�� ISO 17799 ISO 17799 ии ISO 27001ISO 27001 --
взаимосвязанывзаимосвязаны
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 1616
МеждународнаяМеждународная сертификациясертификация попостандартустандарту BS 7799BS 7799--2 (ISO 27001)2 (ISO 27001)
�� ФормулируетФормулирует требованиятребования кксистемесистеме управленияуправленияинформационнойинформационной безопасностьюбезопасностью
�� ОписываетОписывает системусистему управленияуправленияинформационнойинформационной безопасностьюбезопасностью, , вв рамкахрамках которойкоторой можноможновыбиратьвыбирать ии использоватьиспользоватьотдельныеотдельные мерымеры изиз ISO 17799ISO 17799
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 1717
ОбеспечениеОбеспечение информационнойинформационнойбезопасностибезопасности –– общаяобщая задачазадача
�� ОбеспечениеОбеспечение информационнойинформационной безопасностибезопасноститребуеттребует решениярешения многочисленныхмногочисленных проблемпроблем, , ии ихих, , безусловнобезусловно, , нене подпод силусилу вв одиночкуодиночку решитьрешить нинислужбеслужбе ДОУДОУ, , нини службеслужбе персоналаперсонала, , нана службеслужбе ИТИТ, , нини какойкакой--либолибо другойдругой
�� ТолькоТолько координированнаякоординированная работаработа всехвсех службслужб подподединымединым руководствомруководством, , припри пониманиипонимании ии поддержкеподдержке, , каккак сосо стороныстороны высшеговысшего руководстваруководства, , тактак ииперсоналаперсонала организацииорганизации можетможет привестипривести кк успехууспеху. .
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 1818
ВместоВместо выводоввыводов: : ещёещё разраз оозначениизначении стандартастандарта
�� НашеНаше ««информационноеинформационное оружиеоружие»» вв общенииобщении ссдругимидругими заинтересованнымизаинтересованными подразделениямиподразделениями ии ссруководствомруководством
�� ОсноваОснова длядля налаживанияналаживания совместнойсовместной работыработы, , длядлявыработкивыработки общейобщей технологиитехнологии
�� ВозможностьВозможность привлечьпривлечь вниманиевнимание кк своемусвоему участкуучасткуработыработы вв случаеслучае сертификациисертификации
�� ВесомыйВесомый аргументаргумент припри вопросахвопросах выделениявыделенияфинансированияфинансирования ии ресурсовресурсов
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 1919
Вопросы?
88--9 9 декабрядекабря 2005 2005 гг. . КонференцияКонференция ГильдииГильдии УправляющихУправляющих ДокументациейДокументацией 2020
ЭЛЕКТРОННЫЕЭЛЕКТРОННЫЕ ОФИСНЫЕОФИСНЫЕ СИСТЕМЫСИСТЕМЫ
WWW.EOS.RUWWW.EOS.RUEE--mail: mail: hramhram@@eos.rueos.ru
107023 107023 гг. . МоскваМосква, , улул. . ЭлектрозаводскаяЭлектрозаводская, 52 , 52
ТелефонТелефон//факсфакс: 580: 580--7575--1515
ЭлектроннаяЭлектронная почтапочта::
ОтделОтдел консультационныхконсультационных услугуслуг: : [email protected]@EOS.RU
СПАСИБО ЗА ВНИМАНИЕ