Upload
-
View
304
Download
0
Embed Size (px)
Citation preview
ПРЕДМЕТ:
Основы защиты информации и
управление интеллектуальной
собственностью
ЛЕКЦИЯ № 3:
Политика информационной
безопасности
Высшая школа экономики - 20095
Нормативно-правовое обеспечение
информационной безопасности
ПолитикаИБ
Частные политикиинформационной
безопасности
Регламенты информационной
безопасности
Инструкции информационной безопасности
Высшая школа экономики - 20096
Что такое Политика ИБ?
Политика информационной безопасности –
официально принятая система взглядов на цели, задачи,
основные принципы и направления деятельности в
области защиты от возможных угроз
одно или несколько правил, процедур, практических
приемов и руководящих принципов в области
информационной безопасности, которыми руководствуется
организация банковской системы Российской Федерации в
своей деятельности
Высшая школа экономики - 20097
Цели Политики ИБ
определение и ввод в операционное
управление основных принципов, политик,
стандартов, директив Политики
безопасности
определение приоритетов развития
Компании в области обеспечения ИБ
обеспечение осведомленности
и координация деятельности сотрудников
Компании в областях, имеющих влияние
на ИБ
Высшая школа экономики - 20098
Основные разделы Политики
цели и задачи Политики безопасности
общие сведения об активах
модели угроз и нарушителей
высокоуровневые требования ИБ
санкции и последствия нарушений политики
определение общих ролей и обязанностей, связанных с
обеспечением ИБ
перечень частных политик ИБ
положения по контролю реализации политики ИБ
ответственность за реализацию и поддержку документа
условия пересмотра документа.
Высшая школа экономики - 200910
Особенности создания Политики
учитывается текущее состояние
и ближайшие перспективы развития АС
учитываются цели, задачи и правовые
основы создания и эксплуатации АС
учитываются режимы функционирования
данной системы
производится анализ рисков
информационной безопасности для
ресурсов АС Компании
Высшая школа экономики - 200911
Актуальность создания политики
безопасности
Разработка Политики безопасности
является необходимым шагом на пути
внедрения полноценной системы
управления информационной
безопасности компании
© Siemens AG 2011. All Rights Reserved.
Industry SectorPage 15 2011-11-11 v1.1 Минск, 30.05.2012
Концепция промышленной безопасности от
Siemens К
онц
епц
ия п
ром
ыш
ленной
безо
пасности
от
Sie
mens
Интерфейсы к офисной IT и Интернет/Интранет
подчиняются четко определенным предписаниям – и
контролируются соответственно.
Уровень управления защищен различными
интегрированными функциями безопасности.
ПК-базированные системы (HMI, инжиниринг и ПК-
контроллеры) должны быть защищены антивирусным ПО,
вайтлистингом (позитивные списки) и интегрированными
механизмами безопасности.
Коммуникации должны контролироваться и быть разумно
сегментированы с помощью шлюзов.
Внедрение практического и комплексного управления
безопасностью в понятиях используемой технологии, также
как и процессов инжиниринга и производства.
Концепция промышленной безопасности от Siemens базируется на
пяти ключевых пунктах, которые покрывают главные аспекты
защиты.
Высшая школа экономики - 200916
Документационное обеспечение
Уровень предприятия Политика безопасности
Положение о конфиденциальности
Перечень конфиденциальной информации
Уровень подразделения Трудовые соглашения, определяющие
ответственность сотрудников
Должностные инструкции
Уровень информационной системы Регламенты использования корпоративной
информационной системы
Регламенты предоставления доступа к конфиденциальной информации
Политики информационной безопасности
Руководители служб безопасности дочерних предприятий должны реагировать на все уведомления о нарушениях политик безопасности, разработанных головной компанией.
Эти политики (1,2,3) не могут быть удалены или изменены в дочернем предприятии.
Высшая школа экономики - 200932
Предоставление исходных кодов
Россия - первая страна в мире, подписавшая с Microsoft Соглашение GSP ( в 2002 г. -между Майкрософт и ФГУП НТЦ «Атлас», действует по н.вр.)
Доступ к исходным кодам продуктов Microsoft ФСБ
ФСТЭК
Министерству обороны
Министерству атомной промышленности
другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.
Использование COBIT для повышения эффекта от внедрения ИТСтраница 33
COBIT - Методология управления информационными технологиями
Использование COBIT для повышения эффекта от внедрения ИТСтраница 34
Методология COBIT предоставляет инструменты, для совершенствования в указанных областях
COBIT 5
Взаимодействие с бизнесом
Связь бизнес-целей с деятельностью ИТ
подразделений
Эффективные коммуникации
Продвижение инноваций
Оценка рентабельности инвестиций в ИТ
Эффективное управление ИТ бюджетом
Использование COBIT для повышения эффекта от внедрения ИТСтраница 35
Применимость COBIT как методологии управления ИТ
Внедрение
Управление
Организация
Архитектура ипроектирование
Аудит
Использование COBIT для повышения эффекта от внедрения ИТСтраница 36
Цели бизнеса
• 17 типовых целей
• Определяются бизнес-стратегией
Цели ИТ
• 17 типовых целей
• Соответствуют целям бизнеса
ИТ процессы
• 37 типовых ИТ процесса
• Соответствуют целям ИТ
Практики управления ИТ процессами
• 210 практик
• Сгруппированы по ИТ процессам
Система внутренних контролей
Цели бизнеса, а также цели, процессы и практики ИТ могут быть стандартизованы
Использование COBIT для повышения эффекта от внедрения ИТСтраница 37
Процессы ИТ в COBIT 5
EDM Оценка, выбор направления и наблюдение
EDM01 Обеспечение
создания и обновление
подхода к руководству
EDM02 Обеспечение
создания выгоды
EDM03 Обеспечение
оптимизации рисков
EDM04 Обеспечение
оптимизации ресурсов
EDM05 Обеспечение
прозрачности для
заинтересованных
сторон
APO01
Управление
подходом к
управлению ИТ
APO02
Управление
стратегией
APO03
Управление
архитектурой
предприятия
APO04
Управление
инновациями
APO05
Управление
портфелем
APO06
Управление
бюджетом и
затратами
APO07
Управление
персоналом
APO08
Управление
отношениями
APO Обеспечение соответствия, планирование и организация
APO09
Управление
соглашениям
и об услугах
APO10
Управление
подрядчиками
APO11
Управление
качеством
APO12
Управление
рисками
APO13
Управление
безопасностью
BAI01
Управление
программами
и проектами
BAI02
Управление
выявлением
требований
BAI03
Управление
выбором и
внедрением
решений
BAI04
Управление
доступностью
и мощностью
BAI05
Управление
поддержкой
организационных
изменений
BAI06
Управление
изменениями
BAI07
Управление
передачей и
приемкой
изменений
BAI08
Управление
знаниями
BAI Создание, приобретение и внедрение
BAI09
Управление
активами
BAI10
Управление
конфигурациями
DSS02
Управление
запросами на
обслуживание
и инцидентами
DSS03
Управление
проблемами
DSS04
Управление
непрерывностью
DSS05
Управление
услугами
безопасности
DSS06
Управление
контролями
бизнес-
процессов
DSS Обслуживание, эксплуатация и сопровождение DSS01
Управление
эксплуатацией
MEA
Отслеживание,
измерение и
оценка
MEA01 Отслеживание,
подсчет и оценка
производительности и
соответствия
MEA02 Отслеживание,
подсчет и оценка
системы внутреннего
контроля
MEA03 Отслеживание,
подсчет и оценка
соответствия внешним
требованиями
Использование COBIT для повышения эффекта от внедрения ИТСтраница 38
Оптимизация
затрат бизнес-
процессов
Пример взаимосвязи ИТ процесса с целями бизнеса по COBIT 5
Соответствие между
ИТ- и бизнес-
стратегиямиКлиенто-
ориентированная
культура
Извлечение выгоды из
программ и проектов,
выполняемых в
рамках сроков,
бюджета и
соответствующих
требований к качеству
Рост рыночной
доли компании
Рост чистых
активов
компании
Цели ИТ
COBIT
Бизнес-цели
COBIT
Бизнес-цели
компании
ИТ процессы
COBIT
EDM01
EDM02
EDM03
EDM04
EDM05
APO01
APO02
APO03
APO04
APO05
APO06
APO07
APO08
APO09
APO10
APO11
APO12
APO13
BAI01
BAI02
BAI03
BAI04
BAI05
BAI06
BAI07
BAI08
BAI09
BAI10
DSS01
DSS02
DSS03
DSS04
DSS05
DSS06
MEA01
MEA02
MEA03
Получение выгод от
инвестиций с
использованием ИТ
и портфеля услуг
Развитие
дистанционного
обслуживания
клиентов Портфель
конкурентоспособ-
ных товаров и услуг
Управление
программами
бизнес-изменений
Использование COBIT для повышения эффекта от внедрения ИТСтраница 39
0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
5
PO1. Разработка стратегического плана развития ИТ
PO3. Определение направления технологического развития
PO4. Определение ИТ процессов, организационной структуры и
взаимосвязей
PO7. Управление персоналом
PO9. Оценка и управление ИТ рисками
AI2. Приобретение и поддержка программных приложений
AI4. Обеспечение выполнения операций
AI5. Поставки ИТ ресурсов
DS1. Определение и управление уровнем обслуживания
DS2. Управление услугами сторонних организаций
DS3. Управление производительностью и мощностями
DS4. Обеспечение непрерывности ИТ сервисов
DS5. Обеспечение безопасности систем
DS7. Обучение и подготовка пользователей
DS10. Управление проблемами
DS11. Управление данными
DS13. Управление операциями по эксплуатации систем
M1. Мониторинг и оценка эффективности ИТ
M4. Обеспечение корпоративного управления ИТ
Оценка зрелости Рекомендуемое значение
Пример оценки процессов по COBIT 4.1
Использование COBIT для повышения эффекта от внедрения ИТСтраница 40
Структура описания ИТ процесса в COBIT 5
► Описание ИТ процесса
► Назначение ИТ процесса
► Связанные типовые цели ИТ по COBIT (несколько)
► Цели ИТ процесса (несколько)
► Матрица распределения ролей в рамках процесса
► Практики управления ИТ процессом (несколько)
► Описание
► Входные и выходные данные
► Действия в рамках практики управления ИТ процессом
► Дополнительные источники информации по ИТ
процессу
Использование COBIT для повышения эффекта от внедрения ИТСтраница 41
APO05. Управление портфелем инвестиций Матрица распределения ролей (часть)
Совет
Ди
ре
кти
ор
ов
Пр
ед
сед
ате
ль
пр
авл
ени
я
Фи
нансо
вы
й
ди
ре
кто
р
Опер
ац
ио
нны
й
ди
ре
кто
р
Испол
ни
тел
ьны
е
ди
ре
кто
ра
Вл
ад
ел
ец
би
знес
пр
оц
есса
Стр
ате
гиче
ски
й
испол
ни
тел
ьны
й
ком
ите
т
Пр
ое
ктны
й о
фи
с
Ауд
ит
Ди
ре
кто
рпо И
Т
APO05.01 Разработка целевой
структуры инвестицийУ О О К К К
APO05.02 Определение источников
финансирования и их доступности К У О О
AP005.03 Оценка и выбор
направлений для финансирования К У О О О О
APO05.04 Мониторинг, оптимизация
и отчётность об эффективности
инвестиционного портфеляИ К К К К К О К К
APO05.05 Актуализация портфеля И И О К У О О
APO05.06 Управление полученными
выгодамиК К К У О И К О
О – ответственный, У – утверждающий, К – консультирующий, И - информированный
СПАСИБО ЗА ВНИМАНИЕ