ОЗИ_лекция_03_Политика безопасности

ПРЕДМЕТ:

Основы защиты информации и

управление интеллектуальной

собственностью

ЛЕКЦИЯ № 3:

Политика информационной

безопасности

Высшая школа экономики - 20095

Нормативно-правовое обеспечение

информационной безопасности

ПолитикаИБ

Частные политикиинформационной


Регламенты информационной


Инструкции информационной безопасности


Что такое Политика ИБ?

Политика информационной безопасности –

официально принятая система взглядов на цели, задачи,

основные принципы и направления деятельности в

области защиты от возможных угроз

одно или несколько правил, процедур, практических

приемов и руководящих принципов в области

информационной безопасности, которыми руководствуется

организация банковской системы Российской Федерации в

своей деятельности


Цели Политики ИБ

определение и ввод в операционное

управление основных принципов, политик,

стандартов, директив Политики


определение приоритетов развития

Компании в области обеспечения ИБ

обеспечение осведомленности

и координация деятельности сотрудников

Компании в областях, имеющих влияние

на ИБ


Основные разделы Политики

цели и задачи Политики безопасности

общие сведения об активах

модели угроз и нарушителей

высокоуровневые требования ИБ

санкции и последствия нарушений политики

определение общих ролей и обязанностей, связанных с

обеспечением ИБ

перечень частных политик ИБ

положения по контролю реализации политики ИБ

ответственность за реализацию и поддержку документа

условия пересмотра документа.


Особенности создания Политики

учитывается текущее состояние

и ближайшие перспективы развития АС

учитываются цели, задачи и правовые

основы создания и эксплуатации АС

учитываются режимы функционирования

данной системы

производится анализ рисков

информационной безопасности для

ресурсов АС Компании


Актуальность создания политики


Разработка Политики безопасности

является необходимым шагом на пути

внедрения полноценной системы

управления информационной

безопасности компании

© Siemens AG 2011. All Rights Reserved.

Industry SectorPage 15 2011-11-11 v1.1 Минск, 30.05.2012

Концепция промышленной безопасности от

Siemens К

онц

епц

ия п

ром

ыш

ленной

безо

пасности

от

Sie

mens

Интерфейсы к офисной IT и Интернет/Интранет

подчиняются четко определенным предписаниям – и

контролируются соответственно.

Уровень управления защищен различными

интегрированными функциями безопасности.

ПК-базированные системы (HMI, инжиниринг и ПК-

контроллеры) должны быть защищены антивирусным ПО,

вайтлистингом (позитивные списки) и интегрированными

механизмами безопасности.

Коммуникации должны контролироваться и быть разумно

сегментированы с помощью шлюзов.

Внедрение практического и комплексного управления

безопасностью в понятиях используемой технологии, также

как и процессов инжиниринга и производства.

Концепция промышленной безопасности от Siemens базируется на

пяти ключевых пунктах, которые покрывают главные аспекты

защиты.


Документационное обеспечение

Уровень предприятия Политика безопасности

Положение о конфиденциальности

Перечень конфиденциальной информации

Уровень подразделения Трудовые соглашения, определяющие

ответственность сотрудников

Должностные инструкции

Уровень информационной системы Регламенты использования корпоративной

информационной системы

Регламенты предоставления доступа к конфиденциальной информации

Политики информационной безопасности

Руководители служб безопасности дочерних предприятий должны реагировать на все уведомления о нарушениях политик безопасности, разработанных головной компанией.

Эти политики (1,2,3) не могут быть удалены или изменены в дочернем предприятии.


Предоставление исходных кодов

Россия - первая страна в мире, подписавшая с Microsoft Соглашение GSP ( в 2002 г. -между Майкрософт и ФГУП НТЦ «Атлас», действует по н.вр.)

Доступ к исходным кодам продуктов Microsoft ФСБ

ФСТЭК

Министерству обороны

Министерству атомной промышленности

другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.

Использование COBIT для повышения эффекта от внедрения ИТСтраница 33

COBIT - Методология управления информационными технологиями


Методология COBIT предоставляет инструменты, для совершенствования в указанных областях

COBIT 5

Взаимодействие с бизнесом

Связь бизнес-целей с деятельностью ИТ

подразделений

Эффективные коммуникации

Продвижение инноваций

Оценка рентабельности инвестиций в ИТ

Эффективное управление ИТ бюджетом


Применимость COBIT как методологии управления ИТ

Внедрение

Управление

Организация

Архитектура ипроектирование

Аудит


Цели бизнеса

• 17 типовых целей

• Определяются бизнес-стратегией

Цели ИТ

• 17 типовых целей

• Соответствуют целям бизнеса

ИТ процессы

• 37 типовых ИТ процесса

• Соответствуют целям ИТ

Практики управления ИТ процессами

• 210 практик

• Сгруппированы по ИТ процессам

Система внутренних контролей

Цели бизнеса, а также цели, процессы и практики ИТ могут быть стандартизованы


Процессы ИТ в COBIT 5

EDM Оценка, выбор направления и наблюдение

EDM01 Обеспечение

создания и обновление

подхода к руководству


создания выгоды


оптимизации рисков


оптимизации ресурсов


прозрачности для

заинтересованных

сторон

APO01


подходом к

управлению ИТ

APO02


стратегией

APO03


архитектурой

предприятия

APO04


инновациями

APO05


портфелем

APO06


бюджетом и

затратами

APO07


персоналом

APO08


отношениями

APO Обеспечение соответствия, планирование и организация

APO09


соглашениям

и об услугах

APO10


подрядчиками

APO11


качеством

APO12


рисками

APO13


безопасностью

BAI01


программами

и проектами

BAI02


выявлением

требований

BAI03


выбором и

внедрением

решений

BAI04


доступностью

и мощностью

BAI05


поддержкой

организационных

изменений

BAI06


изменениями

BAI07


передачей и

приемкой

изменений

BAI08


знаниями

BAI Создание, приобретение и внедрение

BAI09


активами

BAI10


конфигурациями

DSS02


запросами на

обслуживание

и инцидентами

DSS03


проблемами

DSS04


непрерывностью

DSS05


услугами


DSS06


контролями

бизнес-

процессов

DSS Обслуживание, эксплуатация и сопровождение DSS01


эксплуатацией

MEA

Отслеживание,

измерение и

оценка

MEA01 Отслеживание,

подсчет и оценка

производительности и

соответствия



системы внутреннего

контроля



соответствия внешним

требованиями


Оптимизация

затрат бизнес-

процессов

Пример взаимосвязи ИТ процесса с целями бизнеса по COBIT 5

Соответствие между

ИТ- и бизнес-

стратегиямиКлиенто-

ориентированная

культура

Извлечение выгоды из

программ и проектов,

выполняемых в

рамках сроков,

бюджета и

соответствующих

требований к качеству

Рост рыночной

доли компании

Рост чистых

активов

компании

Цели ИТ

COBIT

Бизнес-цели

COBIT

Бизнес-цели

компании

ИТ процессы

COBIT

EDM01

EDM02

EDM03

EDM04

EDM05

APO01

APO02

APO03

APO04

APO05

APO06

APO07

APO08

APO09

APO10

APO11

APO12

APO13

BAI01

BAI02

BAI03

BAI04

BAI05

BAI06

BAI07

BAI08

BAI09

BAI10

DSS01

DSS02

DSS03

DSS04

DSS05

DSS06

MEA01

MEA02

MEA03

Получение выгод от

инвестиций с

использованием ИТ

и портфеля услуг

Развитие

дистанционного

обслуживания

клиентов Портфель

конкурентоспособ-

ных товаров и услуг


программами

бизнес-изменений


0

0,5

1

1,5

2

2,5

3

3,5

4

4,5

5

PO1. Разработка стратегического плана развития ИТ

PO3. Определение направления технологического развития

PO4. Определение ИТ процессов, организационной структуры и

взаимосвязей

PO7. Управление персоналом

PO9. Оценка и управление ИТ рисками

AI2. Приобретение и поддержка программных приложений

AI4. Обеспечение выполнения операций

AI5. Поставки ИТ ресурсов

DS1. Определение и управление уровнем обслуживания

DS2. Управление услугами сторонних организаций

DS3. Управление производительностью и мощностями

DS4. Обеспечение непрерывности ИТ сервисов

DS5. Обеспечение безопасности систем

DS7. Обучение и подготовка пользователей

DS10. Управление проблемами

DS11. Управление данными

DS13. Управление операциями по эксплуатации систем

M1. Мониторинг и оценка эффективности ИТ

M4. Обеспечение корпоративного управления ИТ

Оценка зрелости Рекомендуемое значение

Пример оценки процессов по COBIT 4.1


Структура описания ИТ процесса в COBIT 5

► Описание ИТ процесса

► Назначение ИТ процесса

► Связанные типовые цели ИТ по COBIT (несколько)

► Цели ИТ процесса (несколько)

► Матрица распределения ролей в рамках процесса

► Практики управления ИТ процессом (несколько)

► Описание

► Входные и выходные данные

► Действия в рамках практики управления ИТ процессом

► Дополнительные источники информации по ИТ

процессу


APO05. Управление портфелем инвестиций Матрица распределения ролей (часть)

Совет

Ди

ре

кти

ор

ов

Пр

ед

сед

ате

ль

пр

авл

ени

я

Фи

нансо

вы

й

ди

ре

кто

р

Опер

ац

ио

нны

й

ди

ре

кто

р

Испол

ни

тел

ьны

е

ди

ре

кто

ра

Вл

ад

ел

ец

би

знес

пр

оц

есса

Стр

ате

гиче

ски

й

испол

ни

тел

ьны

й

ком

ите

т

Пр

ое

ктны

й о

фи

с

Ауд

ит

Ди

ре

кто

рпо И

Т

APO05.01 Разработка целевой

структуры инвестицийУ О О К К К

APO05.02 Определение источников

финансирования и их доступности К У О О

AP005.03 Оценка и выбор

направлений для финансирования К У О О О О

APO05.04 Мониторинг, оптимизация

и отчётность об эффективности

инвестиционного портфеляИ К К К К К О К К

APO05.05 Актуализация портфеля И И О К У О О

APO05.06 Управление полученными

выгодамиК К К У О И К О

О – ответственный, У – утверждающий, К – консультирующий, И - информированный

СПАСИБО ЗА ВНИМАНИЕ

Documents

ОЗИ_лекция_03_Политика безопасности