Your SlideShare is downloading. ×
0
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Politics
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Politics

990

Published on

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
990
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Политики, процедуры, инструкции – пыль для глаз проверяющих илиполезный инструмент управления? Александр Дорофеев CISSP, CISA
  • 2. План1. Почему не работают политики и процедуры по информационной безопасности?2. Как сделать документы по ИБ работающими?
  • 3. Во многих компанияхполитики ИБ не работают
  • 4. Современные цели ИБ 1. Защита от «внешних угроз» 2. Защита имиджа компании 3. Минимизация финансовых потерь«Внешние угрозы» - внешние организации,предъявляющие требования по ИБ:головной офис, аудиторы, регуляторы.
  • 5. Результат
  • 6. Современная ситуация1. Желание сделать «бумажку для отмашки»2. Ответственность за разработку политик, процедур и стандартов в области ИБ возложена на сотрудников отделов ИТ, которые не всегда умеют писать документы.3. Низкий уровень формализации процессов управления ИБ4. Отсутствие четкой логической структуры регламентирующей документации5. Нечеткие границы ответственности
  • 7. Case: Политика из 40 страниц
  • 8. Решение: продуманная документация Политика ИБ Детальные Положения об политики ИБ отделах Внутренние Свод правилПроцедуры Должностные стандарты для ИБ инструкции ИБ сотрудников для всех сотрудников для конкретных специалистов
  • 9. Кратко• Политика определяет куда движемся• Процедура определяет действия• Стандарт фиксирует целевое состояниеи еще нюанс:• Политика подойдет и для редких событий• Процедура нужна для регулярных событий
  • 10. Нормативный документ – совокупностьописаний контрмер информационнойбезопасности
  • 11. Политика ИБ• Цели обеспечения информационной безопасности• Признание важности обеспечения информационной безопасности• Заявление о намерении руководства компании поддерживать цели и принципы обеспечения информационной безопасности, соответствующим целям бизнеса
  • 12. Политика ИБ• Краткое объяснение принципов информационной безопасности, требования информационной безопасности• Определение общих и специфических обязанностей по обеспечению информационной безопасности• Ссылки на более детальные политики и процедуры поддерживающие политику информационной безопасности
  • 13. Стандарт• Стандарт представляет собой зафиксированную практику использования того или иного решения. Например, корпоративный стандарт конфигурации серверов под управлением Windows 2003 Server будет включать описание всех критичных настроек, в том числе влияющих и на уровень защищенности системы.
  • 14. Процедура• Процедура содержит описание шагов и четко определяет кто, когда и что делает.• Например, процедура предоставления доступа к системе 1С:Бухгалтерия должна содержать описание ролей инициатора запроса на предоставление доступа, владельца информационной системы со стороны бизнеса, администратора системы. В приложении, как правило, приводится шаблон запроса.
  • 15. Не забываем в процедурах: диаграмма процесса
  • 16. Свод правил для сотрудников• использование электронной почты• использование Интернет;• выбора паролей• политика чистого стола и чистого экрана• обеспечение физической безопасности мобильных устройств• и т.д.
  • 17. Критический взгляд аудитора• Действительно ли контрмера минимизирует риски информационной безопасности?• Кто отвечает за функционирование контрмеры?• Какие остаются свидетельства функционирования контрмеры?• Какая периодичность функционирования меры?
  • 18. Разработка документов• Ориентированность на пользователей документации• Продуманная структура документа, включающая помимо содержательной части историю согласований и изменений, границы применимости• Ясность - использование оборотов, исключающих свободную трактовку исполнителями. Понятно, кто что делает и за что отвечает• Краткость• Взаимосвязь со смежными политиками и процедурами
  • 19. Структура документа• Реквизиты (название, коды, утверждение, место хранения, гриф и т.п.)• Контроль изменений• Введение/Общие положения• Границы применимости• Распределение ответственности• Основное содержание (положения политики, процессы и т.п.)• Контрмеры (controls)• Записи
  • 20. Разрабатываем сами или нанимаем консультантов?• Разработчик документа должен иметь управленческий опыт• Документы, сильно завязанные на бизнес- процессы компании, консультанты качественно разработать не смогут.
  • 21. Что можно почитать:
  • 22. А теперь вопросы!Александр Дорофеев, CISA, CISSPДиректор по развитиюa.dorofeev@npo-echelon.ru

×