Please enable JavaScript.
Coggle requires JavaScript to display documents.
Лекція 2 Управління Інформаційною Безпекою НОРМАТИВНО-ПРАВОВЕ…
Лекція 2 Управління Інформаційною Безпекою
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Нормативно-правове забезпечення інформаційної безпеки
Нормативна база інформаційної безпеки повинна виконувати в першу
чергу три основні функції
Нормативно забезпечувати дії суб'єктів інформаційної безпеки на всіх
рівнях, а саме - людини, суспільства, держави
Встановлювати порядок застосування різних сил і засобів забезпечення
інформаційної безпеки
Регулювати взаємовідносини між суб'єктами інформаційної безпеки,
визначати їх права, обов'язки та відповідальність
Актуальним завданням у сфері забезпечення інформаційної
безпеки держави на сьогодні є формування відповідних положень національного інформаційного законодавства щодо правового забезпечення діяльності в інформаційній сфері відповідних суб'єктів
Перелік базових НД ТЗІ в частині захисту від НСД
НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в
комп‘ютерних системах від несанкціонованого доступу
НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в
комп‘ютерних системах від несанкціонованого доступу
НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в
комп'ютерних системах від несанкціонованого доступу
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу
НД ТЗІ 2.7-009-09 Методичні вказівки з оцінювання функціональних
послуг безпеки в засобах захисту інформації від несанкціонованого доступу
НД ТЗІ 2.7-010-09 Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу
НД ТЗІ 1.1-002-99 - нормативний документ технічного захисту інформації визначає методологічні основи (концепцію) вирішення завдань захисту інформації в в комп'ютерних системах і створення нормативних і методологічних документів, регламентуючих питання
Створення захищених комп'ютерних систем і засобів їх захисту від
несанкціонованого доступу
Оцінки захищеності комп'ютерних систем і їх придатностi для
вирішення завдань споживача
Визначення вимог щодо захисту комп'ютерних систем від
несанкціонованого доступу
Проблемі захисту інформації від НСД слід
виділити два напрями
Забезпечення і оцінка захищеності інформації в АС, що функціонують
Реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується обчислювальна система АС поза конкретним середовищем експлуатації
Основні загрози інформації
Загрози оброблюваної в АС інформації залежать від характеристик ОС,фізичного середовища, персоналу і оброблюваної інформації
Політика безпеки інформації
Політика безпеки повинна визначати ресурси АС, що потребують
захисту, зокрема установлювати категорії інформації, оброблюваної в АС
Комплекс засобів захисту і об’єкти комп’ютерної системи КЗЗ — це сукупність всіх програмно-апаратних засобів, в тому числі програм постійного запам‘ятовуючого пристрою, задіяних під час реалізації
політики безпеки
Визначення несанкціонованого доступу
Під НСД слід розуміти доступ до інформації з використанням засобів включених до складу КС, що порушує встановлені правила розмежування
доступу
Модель порушника
Як порушник розглядається особа, яка може одержати доступ до роботи з
включеними до складу КС засобами
Основні принципи забезпечення захисту інформації.
Розглядається планування захисту і керування системою захисту, основні
принципи керування доступом, послуги безпеки та гарантії
1 more item...
Термінологію згідно НД ТЗІ 1.1-003-99
Обчислювальна система (ОС) (computer system) - сукупність
програмних-апаратних засобів, призначених для обробки інформації
Автоматизована система (АС) (automated system) - організаційнотехнічна система, що реалізує інформаційну технологію і об‘єднує ОС, фізичне
середовище, персонал і інформацію, яка обробляється
Комп’ютерна система (КС) (computer system, target of evaluation) -
сукупність програмно-апаратних засобів, яка подана для оцінки
Політика безпеки інформації (information security policy) - сукупністьінструкцій тощо, які регламентують
порядок обробки інформації
законів, правил, обмежень, рекомендацій,
Загроза (threat) - будь-які обставини або події, що можуть бути
причиною порушення політики безпеки інформації і/або нанесення збитків АС
Технічний захист інформації (ТЗІ) - діяльність, спрямована на
забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації
Комплекс засобів захисту (КЗЗ) (trusted computing base; TCB) — сукупність програмно-апаратних засобів,які забезпечують реалізацію політики безпеки інформації
Комплексна система захисту інформації (КСЗІ) — сукупність
організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС
Не можуть бути комерційною таємницею
Установчі документи, документи, що дозволяють займатися
підприємницькою діяльністю та її окремими видами
Інформація за всіма встановленими формами державної звітності
Дані, необхідні для перевірки, обчислення і сплати податків та інших обов'язкових платежів;
Інформація про участь посадових осіб підприємства в кооперативах, малих підприємствах,спілках, об'єднаннях та інших організаціях, що є суб'єктами підприємництва;
Документи про платоспроможність;
Інформація про забруднення навколишнього природного середовища,
невиконання умов безпеки праці, реалізацію продукції,яка завдала шкоди
здоров'ю, а також інші порушення законодавства України України і розміри завданих
при цьому збитків;
Інформація про забруднення навколишнього природного середовища, невиконання умов безпеки праці, реалізацію продукції,яка завдала шкоди здоров'ю, а також інші порушення законодавства України і розміри завданих при цьому збитків.
«Положення про організацію роботи з інформацією,
що становить комерційну таємницю та є конфіденційною».
Права співробітників підприємства та інших осіб щодо отримання інформації з обмеженим доступом
Обов'язки посадових осіб і службовців підприємства щодо роботи з грифованими документами, виробами та засобами
Правила ведення конфіденційних переговорів за допомогою засобів зв'язку, спілкування з клієнтами та відвідувачами
Правила оформлення доступу до інформації з обмеженим доступом
Порядок розроблення, зберігання, пересилання та руху грифованих документів в установах підприємства
Загальні обов'язки персоналу підприємства щодо зберігання його таємниць
Порядок доступу на засідання і наради, де обговорюються питання, в яких присутня інформація з обмеженим доступом
Інші питання, що регулюють правила доступу до інформації з
обмеженим доступом.
Комплект документів,для впровадження СУІБ має чотирьохрівневу структуру
Документи верхнього рівня
Документи середнього рівня
Адміністративні документи
Документи нижнього рівня
Адміністративні документи включають:
Наказ про створення спеціального керівного органу з питань
інформаційної безпеки.
Положення про спеціальний керівний орган з питань інформаційної безпеки (за його наявністю).
В разі відсутності спеціального керівного органу з питань
інформаційної безпеки наказ про покладення обов'язків цього органу на існуючий керівний орган.
Наказ про впровадження та функціонування СУІБ.
Наказ про призначення керівника проекту впровадження та функціонування СУІБ.
Положення про службу захисту інформації (підрозділ інформаційної безпеки).
Положення про службу безпеки (охорона, пропускний режим тощо).
Посадові інструкції відповідальних за впровадження та
функціонування СУІБ осіб.
Організаційну структуру підприємства.
Нормативно-правові документи верхнього рівня
Документи верхнього рівня є фактично основою СУІБ.
Опис методології оцінки ризиків.
Звіт щодо оцінки ризиків.
Політика управління інформаційною безпекою.
Організаційна структура підприємства, яка охоплюється СУІБ.
Опис методології оброблення ризиків з визначенням критеріїв
прийняття залишкових ризиків.
Сфера застосування СУІБ.
План оброблення ризиків.
Цілі СУІБ.
Положення щодо застосовності.
За бажанням підприємства можуть бути створені такі окремі документи
Перелік законодавчих, регуляторних, нормативних вимог з
інформаційної безпеки.
Перелік відомостей, що містять інформацію з обмеженим доступом.
Перелік критичних бізнес-процесів, банківських продуктів, програмно-технічних комплексів.
Політика визначення критичних бізнес-процесів, банківських
продуктів.
Політика антивірусного захисту.
Політика надання доступу до інформації.
Політика віддаленого доступу до ресурсів мережі.
Політика контролю доступу.
Політика захисту мережі підприємства.
Політика парольного захисту.
Політика ідентифікації та автентифікації ресурсів СУІБ.
Політика криптографічного захисту інформації.
Політика «чистого столу».
Інші політики (положення) відповідно до технології організації
операційної роботи підприємства.
Нормативно-правові документи середнього рівня.
Організація інформаційної безпеки:
Опис процедури управління санкціонуванням використання нових засобів оброблення інформації.
Опис вимог щодо угод з третіми сторонами щодо доступу,
оброблення, передавання або управління інформацією організації або засобами оброблення інформації, або щодо додавання продуктів чи послуг до засобів оброблення інформації.
Зобов'язання працівників підприємства щодо збереження інформації з обмеженим доступом.
Управління ресурсами СУІБ:
Опис процедури поводження із інформацією з обмеженим доступом.
Реєстр ресурсів СУІБ.
Безпека людських ресурсів:
Процедура управління персоналом.
Критерії прийому персоналу.
Опис процедури перевірки кандидатів на прийом на роботу
Опис процедури навчання прийнятих на роботу працівників вимогам щодо інформаційної безпеки.
Опис процедури підготовки посадових інструкцій.
Опис дисциплінарного процесу щодо персоналу, який здійснив порушення безпеки.
Опис процедури звільнення персоналу з точки зору припинення від- повідальності, скасування прав доступу та повернення ресурсів СУІБ.
Програма навчання персоналу.
Фізична безпека та безпека інфраструктури:
Опис процедури фізичної безпеки підприємства, схема периметру фізичної безпеки.
Опис процедури та правил пропускного режиму.
Опис процедури захисту від зовнішніх та інфраструктурних загроз.
Опис процедури захисту обладнання від аварій засобів
життєзабезпечення.
Опис процедури обслуговування обладнання.
Опис процедури санкціонування переміщення майна за межі
підприємства.
Управління комунікаціями та функціонуванням:
Опис процедур управління змінами у засобах оброблення інформації
та телекомунікаційних мережах.
Опис процедур розроблення, тестування, впровадження та
експлуатації програмно-технічних комплексів/ресурсів СУІБ.
Опис процедур моніторингу, перегляду та внесення змін у послугах
третіх сторін.
Опис процедур захисту від зловмисного та мобільного коду.
Опис процедур резервного копіювання інформації.
Опис процедур забезпечення безпеки мережі.
Опис процедур поводження зі змінними носіями.
Опис процедур забезпечення безпеки інформації і програмного забезпечення, якими обмінюються в організації та з третіми сторонами.
Опис процедур виявлення несанкціонованої діяльності з оброблення
інформації.
Опис процедури синхронізації часу.
Контроль доступу:
Опис процедури управління доступом користувачів (реєстрація,
надання повноважень, перегляд та скасування доступу).
Опис процедури управління паролем користувача.
Опис процедури контролю доступу до мережі та автентифікації
користувача.
Опис процедури захисту підключень до мережі (в тому числі
зовнішніх та віддалених підключень).
Опис заходів безпеки щодо маршрутизації в мережі.
Опис заходів контролю доступу до операційної системи.
Опис заходів контролю доступу до програмно-технічних комплексів.
Опис процедури дистанційної роботи.
Придбання, розроблення та підтримка інформаційних систем:
Опис процедур управління ключової інформацією.
Опис процедур криптографічного захисту інформації.
Опис процедур внутрішньої безпеки під час обробки інформації в
програмно-технічних комплексах
Опис процедури забезпечення цілісності програмного забезпечення та
системних файлів.
Опис процедури запобігання можливості витоку інформації.
Опис вимог щодо аутсорсінгового розроблення програмного
забезпечення.
Управління інцидентами інформаційної безпеки:
Опис процедури управління інцидентами інформаційної безпеки (звітування, аналіз, вжиття коригувальних дій).
Управління безперервністю бізнесу:
Опис дій в разі виникнення нестандартних ситуацій.
Опис процедури тестування, підтримування та коригування планів
безперервності бізнесу.
Відповідність:
Опис процедури моніторингу законодавства та нормативних
документів з питань інформаційної безпеки.
Опис процедури внесення змін до документів.
Опис процедури захисту організаційних записів від втрати, знищення та фальсифікації.
Опис процедури перевірки програмно-технічних комплексів на
відповідність впровадженим заходам безпеки.
Нормативно-правові документи нижнього рівня.
Перша група включає записи різного типу, які вимагаються стандартами.
Друга група документів нижнього рівня містить інструкції (пам'ятки) з виконання тих чи інших операцій щодо інформаційної безпеки і призначена для
кінцевих користувачів.
Нормативні документи щодо захисту інформації з обмеженим доступом:
Інструкція про порядок виконання документів, що надходять у банк від правоохоронних органів, судів та інших державних установ.
Положення про забезпечення безпеки при наданні послуг за
міжнародними банківськими платіжними картками.
Інструкція про порядок підготовки, обліку, обігу, зберігання та
знищення документів, справ, видань і матеріалів, що містять банківську та комерційну таємницю підприємства.
Інструкція про порядок надання доступу користувачам до
автоматизованих банківських систем.
Положення про комерційну таємницю і конфіденційну інформацію підприємства та правила їх збереження.
Положення про порядок підготовки, надсилання, обробки та зберігання електронних документів при використанні електронної пошти.
Інструкція про проведення службових розслідувань в установах підприємства.
Інструкція щодо дій у разі компрометації криптографічних ключів в установах підприємства.
Інструкція зі знищення на електронних носіях документів, які містять ключові дані,конфіденційну інформацію, банківську або комерційну таємницю.
Положення про технічний захист інформації у підприємства.
Технологічна інструкція служби фінансової безпеки.
Положення про порядок одержання доступу до локальної
обчислювальної мережі та ресурсів систем електронної обробки інформації.
Положення про режимні приміщення підприємства.