• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Politics
 

Politics

on

  • 1,040 views

 

Statistics

Views

Total Views
1,040
Views on SlideShare
272
Embed Views
768

Actions

Likes
0
Downloads
2
Comments
0

1 Embed 768

http://s3r.ru 768

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Politics Politics Presentation Transcript

    • Политики, процедуры, инструкции – пыль для глаз проверяющих илиполезный инструмент управления? Александр Дорофеев CISSP, CISA
    • План1. Почему не работают политики и процедуры по информационной безопасности?2. Как сделать документы по ИБ работающими?
    • Во многих компанияхполитики ИБ не работают
    • Современные цели ИБ 1. Защита от «внешних угроз» 2. Защита имиджа компании 3. Минимизация финансовых потерь«Внешние угрозы» - внешние организации,предъявляющие требования по ИБ:головной офис, аудиторы, регуляторы.
    • Результат
    • Современная ситуация1. Желание сделать «бумажку для отмашки»2. Ответственность за разработку политик, процедур и стандартов в области ИБ возложена на сотрудников отделов ИТ, которые не всегда умеют писать документы.3. Низкий уровень формализации процессов управления ИБ4. Отсутствие четкой логической структуры регламентирующей документации5. Нечеткие границы ответственности
    • Case: Политика из 40 страниц
    • Решение: продуманная документация Политика ИБ Детальные Положения об политики ИБ отделах Внутренние Свод правилПроцедуры Должностные стандарты для ИБ инструкции ИБ сотрудников для всех сотрудников для конкретных специалистов
    • Кратко• Политика определяет куда движемся• Процедура определяет действия• Стандарт фиксирует целевое состояниеи еще нюанс:• Политика подойдет и для редких событий• Процедура нужна для регулярных событий
    • Нормативный документ – совокупностьописаний контрмер информационнойбезопасности
    • Политика ИБ• Цели обеспечения информационной безопасности• Признание важности обеспечения информационной безопасности• Заявление о намерении руководства компании поддерживать цели и принципы обеспечения информационной безопасности, соответствующим целям бизнеса
    • Политика ИБ• Краткое объяснение принципов информационной безопасности, требования информационной безопасности• Определение общих и специфических обязанностей по обеспечению информационной безопасности• Ссылки на более детальные политики и процедуры поддерживающие политику информационной безопасности
    • Стандарт• Стандарт представляет собой зафиксированную практику использования того или иного решения. Например, корпоративный стандарт конфигурации серверов под управлением Windows 2003 Server будет включать описание всех критичных настроек, в том числе влияющих и на уровень защищенности системы.
    • Процедура• Процедура содержит описание шагов и четко определяет кто, когда и что делает.• Например, процедура предоставления доступа к системе 1С:Бухгалтерия должна содержать описание ролей инициатора запроса на предоставление доступа, владельца информационной системы со стороны бизнеса, администратора системы. В приложении, как правило, приводится шаблон запроса.
    • Не забываем в процедурах: диаграмма процесса
    • Свод правил для сотрудников• использование электронной почты• использование Интернет;• выбора паролей• политика чистого стола и чистого экрана• обеспечение физической безопасности мобильных устройств• и т.д.
    • Критический взгляд аудитора• Действительно ли контрмера минимизирует риски информационной безопасности?• Кто отвечает за функционирование контрмеры?• Какие остаются свидетельства функционирования контрмеры?• Какая периодичность функционирования меры?
    • Разработка документов• Ориентированность на пользователей документации• Продуманная структура документа, включающая помимо содержательной части историю согласований и изменений, границы применимости• Ясность - использование оборотов, исключающих свободную трактовку исполнителями. Понятно, кто что делает и за что отвечает• Краткость• Взаимосвязь со смежными политиками и процедурами
    • Структура документа• Реквизиты (название, коды, утверждение, место хранения, гриф и т.п.)• Контроль изменений• Введение/Общие положения• Границы применимости• Распределение ответственности• Основное содержание (положения политики, процессы и т.п.)• Контрмеры (controls)• Записи
    • Разрабатываем сами или нанимаем консультантов?• Разработчик документа должен иметь управленческий опыт• Документы, сильно завязанные на бизнес- процессы компании, консультанты качественно разработать не смогут.
    • Что можно почитать:
    • А теперь вопросы!Александр Дорофеев, CISA, CISSPДиректор по развитиюa.dorofeev@npo-echelon.ru