Политики, процедуры, инструкции – пыль для глаз проверяющих илиполезный инструмент управления?                        Алек...
План1. Почему не работают политики и   процедуры по информационной   безопасности?2. Как сделать документы по ИБ   работаю...
Во многих компанияхполитики ИБ не работают
Современные цели ИБ       1. Защита от «внешних угроз»       2. Защита имиджа компании       3. Минимизация финансовых пот...
Результат
Современная ситуация1. Желание сделать «бумажку для отмашки»2. Ответственность за разработку политик, процедур и   стандар...
Case: Политика из 40 страниц
Решение: продуманная документация                        Политика ИБ                Детальные                     Положени...
Кратко• Политика определяет куда движемся• Процедура определяет действия• Стандарт фиксирует целевое состояниеи еще нюанс:...
Нормативный документ – совокупностьописаний контрмер информационнойбезопасности
Политика ИБ• Цели обеспечения информационной  безопасности• Признание важности обеспечения  информационной безопасности• З...
Политика ИБ• Краткое объяснение принципов информационной  безопасности, требования информационной  безопасности• Определен...
Стандарт• Стандарт представляет собой  зафиксированную практику использования  того или иного решения. Например,  корпорат...
Процедура• Процедура содержит описание шагов и четко определяет  кто, когда и что делает.• Например, процедура предоставле...
Не забываем в процедурах:   диаграмма процесса
Свод правил для сотрудников• использование электронной почты• использование Интернет;• выбора паролей• политика чистого ст...
Критический взгляд аудитора• Действительно ли контрмера  минимизирует риски информационной  безопасности?• Кто отвечает за...
Разработка документов• Ориентированность на пользователей  документации• Продуманная структура документа, включающая  поми...
Структура документа• Реквизиты (название, коды, утверждение, место  хранения, гриф и т.п.)• Контроль изменений• Введение/О...
Разрабатываем сами или нанимаем             консультантов?• Разработчик документа должен иметь  управленческий опыт• Докум...
Что можно почитать:
А теперь вопросы!Александр Дорофеев, CISA, CISSPДиректор по развитиюa.dorofeev@npo-echelon.ru
Upcoming SlideShare
Loading in …5
×

Politics

1,167 views
1,115 views

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,167
On SlideShare
0
From Embeds
0
Number of Embeds
817
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Politics

  1. 1. Политики, процедуры, инструкции – пыль для глаз проверяющих илиполезный инструмент управления? Александр Дорофеев CISSP, CISA
  2. 2. План1. Почему не работают политики и процедуры по информационной безопасности?2. Как сделать документы по ИБ работающими?
  3. 3. Во многих компанияхполитики ИБ не работают
  4. 4. Современные цели ИБ 1. Защита от «внешних угроз» 2. Защита имиджа компании 3. Минимизация финансовых потерь«Внешние угрозы» - внешние организации,предъявляющие требования по ИБ:головной офис, аудиторы, регуляторы.
  5. 5. Результат
  6. 6. Современная ситуация1. Желание сделать «бумажку для отмашки»2. Ответственность за разработку политик, процедур и стандартов в области ИБ возложена на сотрудников отделов ИТ, которые не всегда умеют писать документы.3. Низкий уровень формализации процессов управления ИБ4. Отсутствие четкой логической структуры регламентирующей документации5. Нечеткие границы ответственности
  7. 7. Case: Политика из 40 страниц
  8. 8. Решение: продуманная документация Политика ИБ Детальные Положения об политики ИБ отделах Внутренние Свод правилПроцедуры Должностные стандарты для ИБ инструкции ИБ сотрудников для всех сотрудников для конкретных специалистов
  9. 9. Кратко• Политика определяет куда движемся• Процедура определяет действия• Стандарт фиксирует целевое состояниеи еще нюанс:• Политика подойдет и для редких событий• Процедура нужна для регулярных событий
  10. 10. Нормативный документ – совокупностьописаний контрмер информационнойбезопасности
  11. 11. Политика ИБ• Цели обеспечения информационной безопасности• Признание важности обеспечения информационной безопасности• Заявление о намерении руководства компании поддерживать цели и принципы обеспечения информационной безопасности, соответствующим целям бизнеса
  12. 12. Политика ИБ• Краткое объяснение принципов информационной безопасности, требования информационной безопасности• Определение общих и специфических обязанностей по обеспечению информационной безопасности• Ссылки на более детальные политики и процедуры поддерживающие политику информационной безопасности
  13. 13. Стандарт• Стандарт представляет собой зафиксированную практику использования того или иного решения. Например, корпоративный стандарт конфигурации серверов под управлением Windows 2003 Server будет включать описание всех критичных настроек, в том числе влияющих и на уровень защищенности системы.
  14. 14. Процедура• Процедура содержит описание шагов и четко определяет кто, когда и что делает.• Например, процедура предоставления доступа к системе 1С:Бухгалтерия должна содержать описание ролей инициатора запроса на предоставление доступа, владельца информационной системы со стороны бизнеса, администратора системы. В приложении, как правило, приводится шаблон запроса.
  15. 15. Не забываем в процедурах: диаграмма процесса
  16. 16. Свод правил для сотрудников• использование электронной почты• использование Интернет;• выбора паролей• политика чистого стола и чистого экрана• обеспечение физической безопасности мобильных устройств• и т.д.
  17. 17. Критический взгляд аудитора• Действительно ли контрмера минимизирует риски информационной безопасности?• Кто отвечает за функционирование контрмеры?• Какие остаются свидетельства функционирования контрмеры?• Какая периодичность функционирования меры?
  18. 18. Разработка документов• Ориентированность на пользователей документации• Продуманная структура документа, включающая помимо содержательной части историю согласований и изменений, границы применимости• Ясность - использование оборотов, исключающих свободную трактовку исполнителями. Понятно, кто что делает и за что отвечает• Краткость• Взаимосвязь со смежными политиками и процедурами
  19. 19. Структура документа• Реквизиты (название, коды, утверждение, место хранения, гриф и т.п.)• Контроль изменений• Введение/Общие положения• Границы применимости• Распределение ответственности• Основное содержание (положения политики, процессы и т.п.)• Контрмеры (controls)• Записи
  20. 20. Разрабатываем сами или нанимаем консультантов?• Разработчик документа должен иметь управленческий опыт• Документы, сильно завязанные на бизнес- процессы компании, консультанты качественно разработать не смогут.
  21. 21. Что можно почитать:
  22. 22. А теперь вопросы!Александр Дорофеев, CISA, CISSPДиректор по развитиюa.dorofeev@npo-echelon.ru

×