АЛ
Uploaded byАлександр Лысяк
PPTX, PDF316 views

Жизненный цикл СЗИ или с чего начать?

Документ описывает жизненный цикл систем защиты информации (СЗИ) и основные задачи, такие как обследование объектов, выработка политики безопасности и выбор защитных мер. Основное внимание уделяется принципам информационной безопасности, включая доступность, целостность и конфиденциальность, а также разработке организационных и технических мер. Ключевые аспекты включают анализ бизнес-структуры и факторов, влияющих на эффективность защиты информации.

Embed presentation

Downloaded 13 times
Урок 4. Жизненный цикл СЗИ или с чего нам начать? Информационная безопасность организации Лысяк Александр http://inforsec.ru Лаборатория информационной безопасности
Цели и задачи. Общая схема.  Обследование объекта и определение приоритетной задачи защиты.  Обеспечение уровня безопасности, соответствующего бизнес-целям и нормативным документам предприятия.  Следование экономической целесообразности и выбранной приоритетной задаче при выборе защитных мер.  Выработка организационных (прямая подчинённость ответственных за ИБ руководству) и технических мер обеспечения ИБ.  Построение СОИБ.  Выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы ИС.  Регулярный аудит СОИБ. Лаборатория информационной безопасности http://inforsec.ru
Общие принципы Стратегия Тактика  Доступность  Защититься и продолжить,  Целостность  Восстановить и продолжить  Конфиденциальность  Не допустить  Выследить и осудить  что явно не запрещено, то разрешено;  что явно не разрешено, то запрещено. Лаборатория информационной безопасности http://inforsec.ru
Жизненный цикл ИС СЗИ  Формирование требований к ИС  Разработка концепции ИС  Техническое задание  Эскизный проект  Технический проект  Реализация  Ввод в эксплуатацию  Сопровождение ИС  Обследование объекта защиты. Выявление приоритетной задачи защиты.  Построение политики безопасности  Выбор элементов системы защиты информации.  Инсталляция.  Сопровождение. Лаборатория информационной безопасности http://inforsec.ru
Жизненный цикл СЗИ  Обследование объекта защиты, выявление приоритетной задачи защиты.  Построение политики безопасности.  Выбор элементов системы защиты информации.  Инсталляция.  Сопровождение. Проектиро- вание Лаборатория информационной безопасности http://inforsec.ru
Обследование объекта защиты  Определение структуры объекта защиты.  Выявление приоритетной задачи защиты. Лаборатория информационной безопасности http://inforsec.ru
Исследование бизнес-структуры объекта защиты  Определение и исследование бизнес-модели объекта защиты.  Определение факторов влияния на бизнес, задание метрик для измеримых факторов.  Определение целей IT-инфраструктуры (!!!).  Определение эталонной модели IT-потоков.  Определение необходимого списка ресурсов общего доступа в зависимости от подразделения. Лаборатория информационной безопасности http://inforsec.ru
Исследование бизнес-структуры объекта защиты Лаборатория информационной безопасности http://inforsec.ru
Исследование бизнес-структуры объекта защиты Методология MRPII. Лаборатория информационной безопасности http://inforsec.ru
Бизнес-факторы, влияющие на эффективность  Величина внутренних издержек (конфликт стоимости СЗИ).  Качество управления собственным активом (конфликт интересов).  Качество работы коллектива (конфликт с персоналом).  Скорость реакции на внешние факторы.  Стратегия и качество ведения самого бизнеса.  Выбранная стратеги управления рисками. Лаборатория информационной безопасности http://inforsec.ru
Безопасность  Затраты на безопасность  Внедрение новых элементов СЗИ  Управление жизненным циклом ИС  Разграничение доступа Эффективность  Увеличение прибыли  Сокращение расходов  Накопление знаний  Повышение осведомленности Проблема установления рационального баланса Лаборатория информационной безопасности http://inforsec.ru
Бизнес-факторы, влияющие на эффективность  Величина внутренних издержек (конфликт стоимости СЗИ).  Качество управления собственным активом (конфликт интересов).  Качество работы коллектива (конфликт с персоналом).  Скорость реакции на внешние факторы.  Стратегия и качество ведения самого бизнеса.  Выбранная стратеги управления рисками. Лаборатория информационной безопасности http://inforsec.ru
Исследование физической защиты объекта  Наличие свободного доступа на территорию.  Наличие видеонаблюдения.  Наличие записей видеонаблюдения и сроки её хранения.  Наличие свободного доступа к кабельному хозяйству.  Наличие доступа к серверам и рабочим станциям. Лаборатория информационной безопасности http://inforsec.ru
Исследование IT-инфраструктуры объекта защиты  Обследование аппаратного обеспечения:  Маршрутизаторы / точки доступа / файерволы.  Сервера, рабочие станции (рабочие, служебные).  Прочее оборудование (ИБП, …).  Обследование программного обеспечения:  Выявление приложений, работающих с интранетом.  Выявление приложений, работающих с Интернетом.  Обследование кабельного хозяйства.  Исследование IT-потоков.  Обследование точек межсетевого взаимодействия:  С дружественными (известными) сетями.  С недружественными сетями. Лаборатория информационной безопасности http://inforsec.ru
 Наглядная схема, показывающая все принципы взаимодействия. Лаборатория информационной безопасности http://inforsec.ru Пример сетевой инфраструктуры
 Наглядная схема, показывающая все принципы взаимодействия. Лаборатория информационной безопасности http://inforsec.ru Пример сетевой инфраструктуры
Пример сетевой инфраструктуры Лаборатория информационной безопасности http://inforsec.ru
Разработка политики безопасности. Уровни процессов ИБ.  Административный уровень защиты информации.  Базовый уровень безопасности.  Процедурный уровень защиты информации.  Стандарты и спецификации в области безопасности информационных технологий.  Критерии оценки безопасности информационных технологий. Лаборатория информационной безопасности http://inforsec.ru
Уровни разработки политики безопасности Программно- технический Процедурный Административный Общая концепция защиты Структура ИС, классификация Реализация методов Настройка политик и правил Новые технологии Анализ и варианты решения Лаборатория информационной безопасности http://inforsec.ru
Разработка политики безопасности. Уровни абстракции.  Законодательный.  Административный.  Процедурный.  Программно-технический. Лаборатория информационной безопасности http://inforsec.ru
Политика безопасности  формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации (RFC 2196).  совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов (Галатенко В.А.)  набор документов описывающих состояние информационной безопасности и определяющий приоритетные задачи СЗИ. Лаборатория информационной безопасности http://inforsec.ru
Структура политики безопасности  Концепция информационной безопасности.  Организационный уровень: описание отделов и групп, связанных с обеспечением ИБ, их функции.  Утверждённые модели:  Модель актуальных угроз.  Модель нарушителя.  Анализ и управление рисками.  Перечень и классификация защищаемых объектов, уровень их защиты.  Организационные меры:  Регламенты доступа, инструкции.  Обучение персонала.  Порядок реагирования на инциденты.  … Лаборатория информационной безопасности http://inforsec.ru
Концепция информационной безопасности  Цели и задачи СЗИ.  Определение объекта защиты и приоритетной задачи защиты.  Подчиненность отдела защиты информации.  Принципы финансирования.  Метрики ИБ и схема контроля состояния ИС.  Создание и схема работы CSIRT-группы.  … Лаборатория информационной безопасности http://inforsec.ru
Структура политики безопасности  Вопросы физической защиты.  Технические вопросы:  Перечень лиц, имеющих доступ к защищаемым объектам, и границы сетевых зон.  Перечень используемого ПО и его конфигураций.  Набор инструкций, корпоративные приказы и распоряжения.  Структура и схема активного сетевого оборудования. Лаборатория информационной безопасности http://inforsec.ru
Выбор элементов СЗИ. Принципы.  Производится на этапе построения политики безопасности.  Основывается на анализе рисков.  Требует проведения технических тестов и серьёзной аналитической работы.  Требует наличия технических специалистов. Лаборатория информационной безопасности http://inforsec.ru
Выбор элементов СЗИ. Подсистемы.  Физической защиты  Криптографической защиты  Авторизации и аутентификации  Управления  Пользователями  Сетью  Резервирования  Антивирусная  Мониторинга событий и обнаружения атак Лаборатория информационной безопасности http://inforsec.ru
Подсистема физической защиты  Физическое управление доступом.  Противопожарные меры.  Защита поддерживающей инфраструктуры.  Защита информации от перехвата по тех. каналам.  Защита мобильных систем. Лаборатория информационной безопасности http://inforsec.ru
Спасибо за внимание! Лаборатория информационной безопасности http://inforsec.ru

More Related Content

PPTX
Анализ и управление рисками
byАлександр Лысяк
 
PPTX
Принципы защиты информации и метрики ИБ
byАлександр Лысяк
 
PPTX
Метрики информационной безопасности
byАлександр Лысяк
 
PPTX
Что такое и почему важна информационная безопасность?
byАлександр Лысяк
 
PDF
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
byPositive Hack Days
 
PPTX
Построение модели угроз и модели нарушителя
byАлександр Лысяк
 
PDF
UEBA – поведенческий анализ, а не то, что Вы подумали
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Модель угроз и модель нарушителя. Основы.
byАлександр Лысяк
 
Анализ и управление рисками
byАлександр Лысяк
 
Принципы защиты информации и метрики ИБ
byАлександр Лысяк
 
Метрики информационной безопасности
byАлександр Лысяк
 
Что такое и почему важна информационная безопасность?
byАлександр Лысяк
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
byPositive Hack Days
 
Построение модели угроз и модели нарушителя
byАлександр Лысяк
 
UEBA – поведенческий анализ, а не то, что Вы подумали
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель угроз и модель нарушителя. Основы.
byАлександр Лысяк
 

What's hot

PDF
Security as a Service = JSOC
bySolar Security
 
PPS
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
byExpolink
 
PDF
Нюансы проведения аудита ИБ АСУ ТП
byКомпания УЦСБ
 
PPS
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
byExpolink
 
PDF
2. От аудита ИБ к защите АСУ ТП
byКомпания УЦСБ
 
PDF
3. Первый. Сертифицированный. DATAPK
byКомпания УЦСБ
 
PPS
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
byExpolink
 
PDF
Threat hunting as SOC process
bySergey Soldatov
 
PPT
Аудит СУИБ
byAlexander Dorofeev
 
PDF
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
4. ePlat4m Security GRC
byКомпания УЦСБ
 
PDF
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
byКомпания УЦСБ
 
PDF
пр Спроси эксперта DLP
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
3. Типовые задачи и решения по ИБ
byКомпания УЦСБ
 
DOCX
Программа курса "Стратегия ИБ АСУ ТП"
byAleksey Lukatskiy
 
PDF
Программа курса "Моделирование угроз"
byAleksey Lukatskiy
 
PDF
Кто такой специалист по иб
byTeymur Kheirkhabarov
 
PDF
пр Что ожидают работодатели от молодых специалистов
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
пр Что такое новый Dozor
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
byКомпания УЦСБ
 
Security as a Service = JSOC
bySolar Security
 
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
byExpolink
 
Нюансы проведения аудита ИБ АСУ ТП
byКомпания УЦСБ
 
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
byExpolink
 
2. От аудита ИБ к защите АСУ ТП
byКомпания УЦСБ
 
3. Первый. Сертифицированный. DATAPK
byКомпания УЦСБ
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
byExpolink
 
Threat hunting as SOC process
bySergey Soldatov
 
Аудит СУИБ
byAlexander Dorofeev
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
4. ePlat4m Security GRC
byКомпания УЦСБ
 
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
byКомпания УЦСБ
 
пр Спроси эксперта DLP
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
3. Типовые задачи и решения по ИБ
byКомпания УЦСБ
 
Программа курса "Стратегия ИБ АСУ ТП"
byAleksey Lukatskiy
 
Программа курса "Моделирование угроз"
byAleksey Lukatskiy
 
Кто такой специалист по иб
byTeymur Kheirkhabarov
 
пр Что ожидают работодатели от молодых специалистов
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
byAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
byКомпания УЦСБ
 

Similar to Жизненный цикл СЗИ или с чего начать?

PPT
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
byАлександр Лысяк
 
PPT
Информационная безопасность. Лекция 2.
byАлександр Лысяк
 
PPTX
Стадии жизненного цикла информационных систем и выполнение требований законод...
byActiveCloud
 
PPTX
Семинар ИБ ФНС-2013
byAlexey Kachalin
 
PDF
Создание автоматизированных систем в защищенном исполнении
byВячеслав Аксёнов
 
PDF
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
byВячеслав Аксёнов
 
PDF
Attestation of personal data protection systems
byВячеслав Аксёнов
 
PDF
Курс: Основы информационной безопасности.
byВячеслав Аксёнов
 
PPT
защита информации 9
byaepetelin
 
PPT
Оценка защищенности информационных систем, использующих средства криптографич...
bySQALab
 
PDF
Обеспечение защиты информации на стадиях жизненного цикла ИС
bySelectedPresentations
 
PPT
иб
bymitta21
 
PPT
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
bySQALab
 
PPTX
КСИБ
bypesrox
 
PDF
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
byjournalrubezh
 
PPTX
Астерит: ИБ это не продукт, а процесс
byExpolink
 
PDF
10 лучших практик иб для гос
bySergey Borisov
 
DOCX
Dokument microsoft office_word_2
bymkyf
 
PPTX
лекция 1 основные понятия кб
bynikolaeva-tatiana
 
PDF
астерит хазиев рыба
byExpolink
 
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
byАлександр Лысяк
 
Информационная безопасность. Лекция 2.
byАлександр Лысяк
 
Стадии жизненного цикла информационных систем и выполнение требований законод...
byActiveCloud
 
Семинар ИБ ФНС-2013
byAlexey Kachalin
 
Создание автоматизированных систем в защищенном исполнении
byВячеслав Аксёнов
 
Краткий обзор курса: Создание автоматизированных систем в защищенном исполнении.
byВячеслав Аксёнов
 
Attestation of personal data protection systems
byВячеслав Аксёнов
 
Курс: Основы информационной безопасности.
byВячеслав Аксёнов
 
защита информации 9
byaepetelin
 
Оценка защищенности информационных систем, использующих средства криптографич...
bySQALab
 
Обеспечение защиты информации на стадиях жизненного цикла ИС
bySelectedPresentations
 
иб
bymitta21
 
Вопросы обеспечения соответствия разрабатываемых систем требованиям информаци...
bySQALab
 
КСИБ
bypesrox
 
Развитие нормативно-правовых актов и методических документов ФСТЭК России в о...
byjournalrubezh
 
Астерит: ИБ это не продукт, а процесс
byExpolink
 
10 лучших практик иб для гос
bySergey Borisov
 
Dokument microsoft office_word_2
bymkyf
 
лекция 1 основные понятия кб
bynikolaeva-tatiana
 
астерит хазиев рыба
byExpolink
 

More from Александр Лысяк

PPTX
Создание сайтов: как всё устроено и первые шаги.
byАлександр Лысяк
 
PPTX
Как создать сайт с нуля за 1 день
byАлександр Лысяк
 
PPTX
Что такое SEO: полноценный план продвижения сайта.
byАлександр Лысяк
 
PPTX
Информационная безопасность. Лекция 6.
byАлександр Лысяк
 
PPT
Информационная безопасность. Лекция 4.
byАлександр Лысяк
 
PPTX
Информационная безопасность. Лекция 5.
byАлександр Лысяк
 
PPTX
Информационная безопасность. Лекция 3.
byАлександр Лысяк
 
Создание сайтов: как всё устроено и первые шаги.
byАлександр Лысяк
 
Как создать сайт с нуля за 1 день
byАлександр Лысяк
 
Что такое SEO: полноценный план продвижения сайта.
byАлександр Лысяк
 
Информационная безопасность. Лекция 6.
byАлександр Лысяк
 
Информационная безопасность. Лекция 4.
byАлександр Лысяк
 
Информационная безопасность. Лекция 5.
byАлександр Лысяк
 
Информационная безопасность. Лекция 3.
byАлександр Лысяк
 

Жизненный цикл СЗИ или с чего начать?

  • 1.
    Урок 4. Жизненный циклСЗИ или с чего нам начать? Информационная безопасность организации Лысяк Александр http://inforsec.ru Лаборатория информационной безопасности
  • 2.
    Цели и задачи.Общая схема.  Обследование объекта и определение приоритетной задачи защиты.  Обеспечение уровня безопасности, соответствующего бизнес-целям и нормативным документам предприятия.  Следование экономической целесообразности и выбранной приоритетной задаче при выборе защитных мер.  Выработка организационных (прямая подчинённость ответственных за ИБ руководству) и технических мер обеспечения ИБ.  Построение СОИБ.  Выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы ИС.  Регулярный аудит СОИБ. Лаборатория информационной безопасности http://inforsec.ru
  • 3.
    Общие принципы Стратегия Тактика Доступность  Защититься и продолжить,  Целостность  Восстановить и продолжить  Конфиденциальность  Не допустить  Выследить и осудить  что явно не запрещено, то разрешено;  что явно не разрешено, то запрещено. Лаборатория информационной безопасности http://inforsec.ru
  • 4.
    Жизненный цикл ИС СЗИ Формирование требований к ИС  Разработка концепции ИС  Техническое задание  Эскизный проект  Технический проект  Реализация  Ввод в эксплуатацию  Сопровождение ИС  Обследование объекта защиты. Выявление приоритетной задачи защиты.  Построение политики безопасности  Выбор элементов системы защиты информации.  Инсталляция.  Сопровождение. Лаборатория информационной безопасности http://inforsec.ru
  • 5.
    Жизненный цикл СЗИ Обследование объекта защиты, выявление приоритетной задачи защиты.  Построение политики безопасности.  Выбор элементов системы защиты информации.  Инсталляция.  Сопровождение. Проектиро- вание Лаборатория информационной безопасности http://inforsec.ru
  • 6.
    Обследование объекта защиты Определение структуры объекта защиты.  Выявление приоритетной задачи защиты. Лаборатория информационной безопасности http://inforsec.ru
  • 7.
    Исследование бизнес-структуры объекта защиты Определение и исследование бизнес-модели объекта защиты.  Определение факторов влияния на бизнес, задание метрик для измеримых факторов.  Определение целей IT-инфраструктуры (!!!).  Определение эталонной модели IT-потоков.  Определение необходимого списка ресурсов общего доступа в зависимости от подразделения. Лаборатория информационной безопасности http://inforsec.ru
  • 8.
    Исследование бизнес-структуры объектазащиты Лаборатория информационной безопасности http://inforsec.ru
  • 9.
    Исследование бизнес-структуры объектазащиты Методология MRPII. Лаборатория информационной безопасности http://inforsec.ru
  • 10.
    Бизнес-факторы, влияющие на эффективность Величина внутренних издержек (конфликт стоимости СЗИ).  Качество управления собственным активом (конфликт интересов).  Качество работы коллектива (конфликт с персоналом).  Скорость реакции на внешние факторы.  Стратегия и качество ведения самого бизнеса.  Выбранная стратеги управления рисками. Лаборатория информационной безопасности http://inforsec.ru
  • 11.
    Безопасность  Затраты набезопасность  Внедрение новых элементов СЗИ  Управление жизненным циклом ИС  Разграничение доступа Эффективность  Увеличение прибыли  Сокращение расходов  Накопление знаний  Повышение осведомленности Проблема установления рационального баланса Лаборатория информационной безопасности http://inforsec.ru
  • 12.
    Бизнес-факторы, влияющие на эффективность Величина внутренних издержек (конфликт стоимости СЗИ).  Качество управления собственным активом (конфликт интересов).  Качество работы коллектива (конфликт с персоналом).  Скорость реакции на внешние факторы.  Стратегия и качество ведения самого бизнеса.  Выбранная стратеги управления рисками. Лаборатория информационной безопасности http://inforsec.ru
  • 13.
    Исследование физической защиты объекта Наличие свободного доступа на территорию.  Наличие видеонаблюдения.  Наличие записей видеонаблюдения и сроки её хранения.  Наличие свободного доступа к кабельному хозяйству.  Наличие доступа к серверам и рабочим станциям. Лаборатория информационной безопасности http://inforsec.ru
  • 14.
    Исследование IT-инфраструктуры объекта защиты Обследование аппаратного обеспечения:  Маршрутизаторы / точки доступа / файерволы.  Сервера, рабочие станции (рабочие, служебные).  Прочее оборудование (ИБП, …).  Обследование программного обеспечения:  Выявление приложений, работающих с интранетом.  Выявление приложений, работающих с Интернетом.  Обследование кабельного хозяйства.  Исследование IT-потоков.  Обследование точек межсетевого взаимодействия:  С дружественными (известными) сетями.  С недружественными сетями. Лаборатория информационной безопасности http://inforsec.ru
  • 15.
     Наглядная схема, показывающая всепринципы взаимодействия. Лаборатория информационной безопасности http://inforsec.ru Пример сетевой инфраструктуры
  • 16.
     Наглядная схема, показывающая всепринципы взаимодействия. Лаборатория информационной безопасности http://inforsec.ru Пример сетевой инфраструктуры
  • 17.
    Пример сетевой инфраструктуры Лабораторияинформационной безопасности http://inforsec.ru
  • 18.
    Разработка политики безопасности. Уровнипроцессов ИБ.  Административный уровень защиты информации.  Базовый уровень безопасности.  Процедурный уровень защиты информации.  Стандарты и спецификации в области безопасности информационных технологий.  Критерии оценки безопасности информационных технологий. Лаборатория информационной безопасности http://inforsec.ru
  • 19.
    Уровни разработки политики безопасности Программно- технический Процедурный Административный Общаяконцепция защиты Структура ИС, классификация Реализация методов Настройка политик и правил Новые технологии Анализ и варианты решения Лаборатория информационной безопасности http://inforsec.ru
  • 20.
    Разработка политики безопасности. Уровниабстракции.  Законодательный.  Административный.  Процедурный.  Программно-технический. Лаборатория информационной безопасности http://inforsec.ru
  • 21.
    Политика безопасности  формальноеизложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации (RFC 2196).  совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов (Галатенко В.А.)  набор документов описывающих состояние информационной безопасности и определяющий приоритетные задачи СЗИ. Лаборатория информационной безопасности http://inforsec.ru
  • 22.
    Структура политики безопасности Концепция информационной безопасности.  Организационный уровень: описание отделов и групп, связанных с обеспечением ИБ, их функции.  Утверждённые модели:  Модель актуальных угроз.  Модель нарушителя.  Анализ и управление рисками.  Перечень и классификация защищаемых объектов, уровень их защиты.  Организационные меры:  Регламенты доступа, инструкции.  Обучение персонала.  Порядок реагирования на инциденты.  … Лаборатория информационной безопасности http://inforsec.ru
  • 23.
    Концепция информационной безопасности  Целии задачи СЗИ.  Определение объекта защиты и приоритетной задачи защиты.  Подчиненность отдела защиты информации.  Принципы финансирования.  Метрики ИБ и схема контроля состояния ИС.  Создание и схема работы CSIRT-группы.  … Лаборатория информационной безопасности http://inforsec.ru
  • 24.
    Структура политики безопасности Вопросы физической защиты.  Технические вопросы:  Перечень лиц, имеющих доступ к защищаемым объектам, и границы сетевых зон.  Перечень используемого ПО и его конфигураций.  Набор инструкций, корпоративные приказы и распоряжения.  Структура и схема активного сетевого оборудования. Лаборатория информационной безопасности http://inforsec.ru
  • 25.
    Выбор элементов СЗИ.Принципы.  Производится на этапе построения политики безопасности.  Основывается на анализе рисков.  Требует проведения технических тестов и серьёзной аналитической работы.  Требует наличия технических специалистов. Лаборатория информационной безопасности http://inforsec.ru
  • 26.
    Выбор элементов СЗИ.Подсистемы.  Физической защиты  Криптографической защиты  Авторизации и аутентификации  Управления  Пользователями  Сетью  Резервирования  Антивирусная  Мониторинга событий и обнаружения атак Лаборатория информационной безопасности http://inforsec.ru
  • 27.
    Подсистема физической защиты Физическое управление доступом.  Противопожарные меры.  Защита поддерживающей инфраструктуры.  Защита информации от перехвата по тех. каналам.  Защита мобильных систем. Лаборатория информационной безопасности http://inforsec.ru
  • 28.
    Спасибо за внимание! Лабораторияинформационной безопасности http://inforsec.ru

Editor's Notes

  • #19 Административный уровень защиты информации. Понятие политики ИБ, уровни разработки политики, цели и задачи IT-инфраструктуры. На этом же уровне описывается программа по развитию ИБ организации и ее связь с жизненным циклом информационных систем. Тут же происходит управление рисками на стратегическом уровне: общие понятия, действия по отношению к рискам (риск НСД в банке: обрабатывать самостоятельно или отдать процессинг на аутсорсинг; провайдер каких-либо услуг: риск потери доступности из-за (D)DoS-атак: застраховаться, отдать на аутсорсинг, защищаться). Этапы управления рисками. Базовый уровень безопасности. Модели и методики анализа угроз и оценки рисков на детальном и техническом уровнях (данные аспекты будем рассматривать в следующем уроке). Разработка регламентов. Автоматизированные технологии управления ИБ (на примере COBRA, CRAMM, Digital Office и др.). Процедурный уровень защиты информации. Уровень реализации и управления техническими мерами ЗИ. Управление персоналом с учетом требований защиты информации в ИС. Направления физической защиты. Обеспечение работоспособности ИС. Реагирование на инциденты и планирование восстановительных работ: основные задачи и принципы организации процессов. Стандарты и спецификации в области безопасности информационных технологий. Система руководящих документов ФСТЭК России по ЗИ от НСД, ФСБ России по криптографической ЗИ. Международная и отечественная системы стандартов и спецификаций по ИБ. Серия стандартов по защите БТ: СТО БР и PCI DSS. Стандарты серии ISO 17799 (Best practice). Критерии оценки безопасности информационных технологий. ISO15408 (ГОСТ Р ИСО/МЭК 15408): назначение и суть методологии, основные понятия, профиль защиты и задание по безопасности, структура требований, принципы оценки. Примеры разработанных профилей защиты. Обзор стандартных требований и рекомендаций по защите информационных систем. Защита ИСПДн.
  • #20 Верхний уровень носит общий характер и определяет политику организации в целом. Здесь основное внимание уделяется: порядку создания и пересмотра политики безопасности; целям, преследуемым организацией в области ИБ (задачи ЗИ, исходя из обследования объекта защиты, проведённом на предыдущем этапе); вопросам выделения и распределения ресурсов (сколько нужно р.с., сервером, маршрутизаторов, админов и т.д.); принципам технической политики в области выбора методов и средств защиты информации (кто выбирает СЗИ и тех.меры, чем руководствуется); координированию мер безопасности; общему стратегическому планированию и контролю. Сюда же относятся вопросы внешнего взаимодействия и другие общеорганизационные вещи. На Административном уровне также формулируются главные цели в области информационной безопасности (определяются сферой деятельности предприятия): обеспечение конфиденциальности, целостности или доступности. Происходит синхронизация всего этого дела с ЖЦ Вашей ИС. Средний уровень политики безопасности выделяют в случае структурной сложности организации либо при необходимости обозначить специфичные подсистемы организации. Это касается отношения к перспективным, еще не достаточно апробированным технологиям. Например, использование новых Интернет-сервисов (к примеру, он-лайн поддержка, внедрение IPS-систем, систем удалённого доступа к критичным ресурсам), организация связи и обработка информации на домашних и портативных компьютерах, степень соблюдения положений компьютерного права и др. Кроме того, на среднем уровне политики безопасности могут быть выделены особо значимые контуры ИС организации. Например, обрабатывающие секретную или критически важную информацию. За разработку и реализацию политики безопасности верхнего и среднего уровней отвечают руководитель службы безопасности, администраторы безопасности ИС. Сюда не входят системные или прикладные администраторы. Нижний уровень политики безопасности относится к конкретным службам или подразделениям организации и детализирует верхние уровни политики безопасности. Данный уровень необходим, когда вопросы безопасности конкретных подсистем требуют решения на управленческом, а не только на техническом уровне. Понятно, что на данном уровне определяются конкретные настройки / конфигурации всей ИС, какие-то частные критерии и показатели информационной безопасности (метрики), определяются права конкретных групп пользователей, формулируются соответствующие условия доступа к информации и т. п. Здесь из конкретных целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать или не может. Более детальные и формальные правила упростят внедрение системы и настройку средств обеспечения ИБ. На этом уровне описываются механизмы защиты информации и используемые программно-технические средства для их реализации (обычно в рамках управленческого уровня). За политику безопасности нижнего уровня отвечают системные и прикладные администраторы.