Тема лекции:«Политика информационной безопасности организации»

Стандарт СТБ П ИСО/МЭК 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью» »

Лектор - Мария Константиновна Андрухович,инженер I категории испытательной лабораторииЦентра испытаний средств защиты информации и аттестации информационных объектовУП «Научно-исследовательский институт технической защиты информации»

Поли

тика

без

опас

ност

иПо

лити

ка б

езоп

асно

сти

Политика безопасности

Анализ угрозАнализ угрозУправление рискамиУправление рисками

ТехнологияТехнология ПроцедурыПроцедуры СтраховкаСтраховка

КонфиденциальностьКонфиденциальность ЦелостностьЦелостность ДоступностьДоступность

Защита Обнаружение КорректировкаЗащита Обнаружение КорректировкаОперации и поддержкаОперации и поддержкаПриобретениеПриобретение

•Исследования•Дизайн и внедрение•Интеграция•Тестирование•Сертификация

•Анализ уязвимостей•Обнаружение «вредного»кода и вторжений•Аудит и мониторинг

•Реакция•Сортировка•Редизайн•Повторная сертификация

Обучение и тренировкаОбучение и тренировка

Нормативная база

СТБ 34.101.1 - СТБ 34.101.3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Части 1-3

СТБ П ИСО/МЭК 17799-2000/2004 Информационная технология. Свод правил по

управлению информационной безопасностью

Структура ИСО 177991. Введение, термины и определения2. Политика безопасности3. Организация защиты4. Классификация активов и контроль за ними5. Безопасность персонала6. Физическая безопасность и безопасность

окружающей среды7. Управление коммуникациями и процессами8. Управление доступом к системам 9. Разработка и сопровождение систем10. Организация непрерывной работы организации11. Обеспечение соответствия законодательству и

нормам безопасности

2.Политика безопасностиВ этот документ должны быть включены следующие положения:

а) определение информационной безопасности, ее основные цели и область ее применения, а также значение безопасности как механизма позволяющего коллективно использовать информацию;

б) изложение позиции руководства по вопросам реализации целей и принципов информационной безопасности;

в) разъяснение конкретных вариантов политики безопасности, принципов, стандартов и требований к ее соблюдению, включая, например:- выполнение правовых и договорных требований;- требования к обучению персонала правилам безопасности;- политика предупреждения и обнаружения вирусов, а также другогозлонамеренного программного обеспечения;- политика обеспечения бесперебойной работы организации;- последствия нарушения политики безопасности;

г) определение общих и конкретных обязанностей по обеспечению режима информационной безопасности;

д) разъяснение процесса уведомления о событиях, таящих угрозу безопасности

3.Организация защиты3.1 Инфраструктура информационной безопасности Совещания руководства по проблемам информационной

безопасности Координация действий по защите информации Распределение обязанностей по обеспечению

информационной безопасности Процесс утверждения средств обработки информации Рекомендации специалистов по информационной

безопасности Сотрудничество между организациями Независимый анализ информационной безопасности Безопасность доступа сторонних организаций Безопасность при разработке программного обеспечения

сторонней организацией

3.2 Безопасность доступа сторонних организаций Идентификация рисков, связанных с подключениями сторонних организаций• Типы доступа (физический, логический)• Причины предоставления доступа• Контракты со сторонними организациями• Условия безопасности в контрактах, заключенных со сторонними организациями • Требования безопасности в контрактах3.3 Заключение договора на выполнение работ сторонними организациями

4.Классификация активов и контроль за ними

4.1 Ответственность за активы Инвентаризация активова) информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, операционные процедуры и процедуры поддержки, планы обеспечения бесперебойной работы организации, процедуры перехода на аварийный режим, архивная информация; б) программные активы: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты; в) физические активы: компьютерное оборудование (процессоры, мониторы, лэптопы, модемы), коммуникационное оборудование (маршрутизаторы, УАТС, факсы, автоответчики) магнитные носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения; г) сервисы: вычислительные и коммуникационные сервисы, другие технические сервисы (отопление, освещение, энергоснабжение, кондиционирование воздуха).4.2 Классификация (категорирование) информации

5.Безопасность персонала

5.1 Безопасность в должностных инструкциях и при выделении ресурсов • Безопасность в должностных инструкциях • Проверка персонала • Соглашение о конфиденциальности (о неразглашении)• Договор и условия найма 5.2 Обучение пользователей • Обучение правилам информационной безопасности 5.3 Реагирование на связанные с безопасностью инциденты и злонамеренную деятельности • Уведомление об инцидентах в системе безопасности • Уведомление о слабых местах в системе безопасности • Уведомление об отказах программного обеспечения • Использование накапливаемого в процессе инцидентов опыта• Процедура наложения дисциплинарных взысканий

6.Физическая безопасность и безопасность окружающей среды 6.1 Защищенные области

6.1.1Физический периметр безопасностиа) периметр безопасности должен быть четко определен;б) периметр безопасности, представляющий собой строение или участок, на территории которого находятся средства обработки информации, должны быть физически прочным. Внешние стены объекта должны представлять собой прочные конструкции и все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа, например, механизмами контроля, барьеры, сигналы тревоги, замки и т.д.;в) должен быть установлен контролируемый приемный пункт (проходная) или другие средства контроля физического доступа к месторасположению объекта или в помещение. Доступ к месторасположению объекта и в помещения должен устанавливаться только уполномоченным персоналом;г) физические барьеры должны по необходимости простираться от пола до потолка, чтобы предотвратить несанкционированный доступ в помещение и загрязнение окружающей среды такие, как последствия пожара или наводнения;д) на все воспламеняющиеся двери периметра безопасности должна быть поставлена сигнализация и они должны закрываться со стуком для привлечения внимания.

6.1.2 Физический контроль за доступом 6.1.3 Защита офисов, комнат и средств 6.1.4 Работа в защищенной области 6.1.5 Изолированные области разгрузки и загрузки оборудования и материалов 6.2 Защита оборудования 6.2.1 Размещение и защита оборудования 6.2.2 Источники электропитания 6.2.3 Защита кабельной разводки 6.2.4 Техническое обслуживание оборудования 6.2.5 Защита оборудования, используемого за пределами организации 6.2.6 Надежная утилизация или повторное использование оборудования 6.3 Общий контроль 6.3.1 Политика чистого рабочего стола и чистого экрана 6.3.2 Вынос имущества за пределы организации

7.Управление средствами и процессами

7.1 Рабочие процедуры и ответственность 7.1.1 Документированные операционные процедуры 7.1.2 Контроль текущих изменений в информационной системе 7.1.3 Процедуры управления в случае инцидентов 7.1.4 Разделение обязанностей 7.1.5 Разделение процессов разработки и использования рабочих программ 7.1.6 Внешнее (стороннее) управление средствами обработки информации

7.2 Планирование систем и их приемка 7.2.1 Планирование производительности 7.2.2 Приемка систем Следует специально контролировать: а) требования к производительности и загрузке компьютеров; б) подготовку процедур восстановления и перезапуска систем после сбоев, а также планов действий в экстремальных ситуациях; в) подготовку и тестирование повседневных операционных процедур в соответствии с заданными стандартами; г) эффективности процедур ручного управления; д) производственные соглашения; е) указания на то, что установка новой системы не будет иметь пагубных последствий для функционирующих систем, особенно в моменты пиковой нагрузки на систему обработки (например, в конце месяца); ж) эффект, который новая система оказывает на общую безопасность организации;

д) подготовку персонала к использованию новых систем.

7.3 Защита от вредоносного программного обеспечения 7.4 Обслуживание систем 7.4.1 Резервное копирование данных 7.4.2 Журналы регистрации событий 7.4.3 Регистрация сбоев 7.5 Сетевое администрирование Средства управления безопасностью сетей 7.6 Работа с носителями информации и их защита 7.6.1 Управление съемными компьютерными носителями информации 7.6.2 Удаление носителей данных 7.6.3 Процедуры работы c данными 7.6.4 Защита системной документации 7.7 Обмен данными и программами 7.7.1 Соглашения об обмене данными и программами 7.7.2 Защита носителей информации во время транспортировки 7.7.3 Защита электронной торговли (электронных документов) 7.7.4 Защита электронной почты 7.7.5 Защита систем электронного офиса Системы общего доступа (Интернент) 7.7.6 Другие виды информационного обмена

8.Управление доступом к системам

8.1 Требования к управлению доступом 8.1.1 Документированная политика управления доступом к информации Производственные требования Правила управления доступом 8.2 Управление доступом пользователей

8.2.1 Регистрация пользователей 8.2.2 Управление привилегиями 8.2.3 Управление пользовательскими паролями 8.2.4 Пересмотр прав доступа пользователей 8.3 Обязанности пользователей

8.3.1 Использование паролей 8.3.2 Пользовательское оборудование, оставленное без присмотра

8.4 Управление доступом к сети 8.4.1 Политика использования сетевых сервисов 8.4.2 Принудительная маршрутизация 8.4.3 Аутентификация пользователей для внешних подключений 8.4.4 Аутентификация узлов сети 8.4.5 Защита удаленного диагностического порта 8.4.6 Сегментация сетей 8.4.7 Контроль сетевых подключений 8.4.8 Управление сетевой маршрутизацией 8.4.9 Защита сетевых сервисов 8.5 Управление доступом к операционной системе 8.5.1 Автоматическая идентификация терминалов 8.5.2 Процедуры входа в систему с терминала 8.5.3 Идентификация и аутентификация пользователей 8.5.4 Система управления паролями 8.5.5 Использование системных утилит 8.5.6 Сигнал тревоги, предупреждающий о принуждении, для защиты пользователей 8.5.7 Время простоя терминалов 8.5.8 Ограничение времени подключения

8.6 Управление доступом к приложениям 8.6.1 Ограничение доступа к информации 8.6.2 Изоляция уязвимых систем

8.7 Слежение за доступом к системам и их использованием

8.7.1 Регистрация событий 8.7.2 Слежение за использованием систем 8.7.3 Синхронизация системных часов

8.8 Мобильные вычисления и телеобработка

8.8.1 Мобильные вычисления8.8.2 Телеобработка

9.Разработка и сопровождение систем (Область регулирования ОК)

9.1 Требования к безопасности систем 9.2 Безопасность в прикладных системах 9.3 Криптографические средства контроля9.4 Безопасность системных файлов9.5 Безопасность процессов разработки и поддержки

10.Управление бесперебойной работой организации

11.Соответствие законодательству и нормам безопасности

11.1 Соответствие правовым нормам11.2 Анализ политики безопасности и технической согласованности11.3 Положения, касающиеся аудита систем

Виды работ НИИТЗИ: проведение сертификационных испытаний аппаратных,

аппаратно-программных и программных средств защиты информации от несанкционированного доступа (НСД) и от утечки по техническим каналам;

проектирование и строительство локальных вычислительных сетей (ЛВС);

экспериментальное производство образцов новых видов техники и технологий для обеспечения технической защиты информации и средств ее обработки, а также СВТ и связи в защищенном исполнении;

разработку профилей защиты и заданий по обеспечению безопасности объектов,

организацию обучения и повышения квалификации специалистов по проблемам технической защиты информации и др.;

разработку проектов СТБ, ТУ, спец. требований, методических документов, пособий по технической защите информации;

Виды работ НИИТЗИ: проведение специальных исследований технических

средств обработки информации; специальные исследования объектов на наличие

технических средств негласного съема информации; инструментальную оценку защищенности объектов и

их аттестацию; НИР и ОКР по технической защите информации,

создание защищенных информационных систем, средств защиты информации (специальных и общего применения) и средств контроля ее защищенности;

разработку, производство, реализацию, монтаж, наладку, сервисное обслуживание технических и программных средств защиты информации и контроля ее защищенности, специальных материалов и оборудования для производства этих средств, программно- аппаратных средств защиты от НСД, в т.ч. с применением криптографии.

УП «Научно-исследовательский институт технической защиты информации»г. Минск, ул. Первомайская, 26, к.2

Тел. 294 00 11, 294 22 54, 294 01 71Директор – Чурко Олег Василевич тел. 294 16 84Центр испытаний средств защиты информации и аттестации информационных объектовinfo@niitzi.by

Зам.начальника Центра испытаний - Мельник Александр Филиппович тел. 294 30 85Начальник испытательной лаборатории - Кондрахин Олег ЮрьевичИнженер 1 категории испытательной лаборатории - Андрухович Мария Константиновна