Презентация, доклад Политика информационной безопасности

руководящих принципов в области ИБ, используемых организацией в своей деятельности.

Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия как минимум включала:

управление непрерывностью бизнеса;
предотвращение появления и обнаружение вирусов и другого вредоносного программного обеспечения;
определение общих и конкретных обязанностей сотрудников в рамках управления информационной безопасностью, включая информирование об инцидентах нарушения информационной безопасности.
ответственность за нарушения политики безопасности.
ссылки на документы, дополняющие политику ИБ, например, более детальные политики и процедуры для конкретных информационных систем, а также правила безопасности, которым должны следовать пользователи.

до сведения всех сотрудников в доступной и понятной форме.

Для того чтобы политика информационной безопасности не оставалась только «на бумаге» необходимо, чтобы она была:
- непротиворечивой – разные документы не должны по разному описывать подходы к одному и тому же процессу обработки информации
- не запрещала необходимые действия – в таком случае неизбежные массовые нарушения приведут к дискредитации политики информационной безопасности среди пользователей
- не налагала невыполнимых обязанностей и требований.
В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр.

и норм работы, процедур обеспечения ИБ, формируемую на основе аудита состояния информационной системы компании, анализа действующих рисков безопасности в соответствии с требованиями нормативно-руководящих документов РФ и положениями стандартов в области защиты информации ( ISO/IEC 27001-2005, ISO/IEC 17799-2005, ISO/IEC TR 13335, ГОСТ Р ИСО/МЭК 15408 и т.п.), что особенно важно для организаций и компаний, активно взаимодействующих с отечественными и иностранными партнерами.

наличия на предприятии политики ИБ.
В противном случае разрозненные попытки различных служб по противодействию современным угрозам только создают иллюзию безопасности.

следующих этапов:
- проведение аудита информационной безопасности предприятия;
- анализ возможных рисков безопасности предприятия и сценариев защиты;
- выработка вариантов требований к системе информационной безопасности;
- выбор основных решений по обеспечению режима информационной безопасности;
- разработка нормативных документов, включая политику информационной безопасности предприятия;

обеспечения бесперебойной работы компании;
- сопровождение созданных систем, включая доработку принятых нормативных документов.

нормативно-методических руководящих документов и включает:

данных;
- описание создания системы защиты и путей достижения принятых целей;
- перечень действующих угроз информационной безопасности, оценку риска их реализации, модель вероятных нарушителей;
описание принятых принципов и подходов к построению системы обеспечения информационной безопасности.

обеспечению норм безопасности;
программно-технические меры - описание системы управления доступом к информационным ресурсам компании, включая доступ к данным, программам и аппаратным средствам; описание политики антивирусной защиты; описание системы  резервного копирования;

всех уже работающих сотрудников;
разработать положения, процедуры, инструкции и прочие документы, дополняющие политику (инструкция по предоставлению доступа к сети интернет, инструкция по предоставлению доступа в помещения с ограниченным доступом, инструкции по работе с информационными системами компании и т.п.);
не реже, чем раз в квартал пересматривать политику ИБ и прочие документы по ИБ с целью их актуализации.

с тем, чтобы выработанная политика, обеспечивая высокий уровень безопасности, оказывала минимальное влияние на производительность труда сотрудников и не требовала высоких затрат на свое создание.

Политика безопасности зависит:
от конкретной технологии обработки информации;
от используемых технических и программных средств;
от расположения организации;

безопасности на предприятии: «исследование снизу вверх» и «исследование сверху вниз».

"исследование снизу вверх"
метод достаточно прост, требует намного меньших капитальных вложений, но и обладает меньшими возможностями. Он основан на известной схеме : "Вы – злоумышленник. Ваши действия ?". То есть служба информационной безопасности, основываясь на данных о всех известных видах атак, пытается применить их на практике с целью проверки, а возможно ли такая атака со стороны реального злоумышленника.

существующей схемы хранения и обработки информации. Первым этапом этого метода является, как и всегда, определение, какие информационные объекты и потоки необходимо защищать. Далее следует изучение текущего состояния системы информационной безопасности с целью определения, что из классических методик защиты информации уже реализовано, в каком объеме и на каком уровне. На третьем этапе производится классификация всех информационных объектов на классы в соответствии с ее конфиденциальностью, требованиями к доступности и целостности (неизменности).

информацией персонал. Оценку же вероятности атаки выполняют соответствующие технические сотрудники.