Презентация на тему: ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы

ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы обеспечения информационной безопасности хозяйствующего субъекта
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
Структура правовых актов, ориентированных на правовое обеспечение СОИБ ХС
Структура правовых актов, ориентированных на правовую защиту информации
Комплекс внутренней нормативно-организационной документации предприятия
Функции нормативно-правовой базы СОИБ ХС
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
Содержание организационных мероприятий
Применение организационных средств при защите ПЭВМ и информационных сетей
Общие функции службы безопасности предприятия
Задачи службы безопасности предприятия
Специфика в организации СОИБ хозяйствующего субъекта
Перечень государственных стандартов в области ИБ
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы
1/25
Средняя оценка: 4.2/5 (всего оценок: 83)
Код скопирован в буфер обмена
Скачать (122 Кб)
1

Первый слайд презентации: ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы обеспечения информационной безопасности хозяйствующего субъекта

Учебные вопросы: Правовые основы функционирования СОИБ хозяйствующего субъекта Организационные основы функционирования СОИБ хозяйствующего субъекта Стандартизация в области информационной безопасности

Изображение слайда
2

Слайд 2

Литература: 1. Корнюшин Л.Н., Костерин С.С. Информационная безопасность, ДГУ-Владивосток, 2003 2. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. М.: Горячая линия – Телеком, 2004. 3. Белов Е. Б., Лось В. П., Мещериков Р. В., Шелупанов А. А. Основы информационной безопасности. М.: – Телеком, 2006 4. ГОСТ Р ИСО/МЭК 15408 -1 – 2002, Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России 2

Изображение слайда
3

Слайд 3

Организационно-правовое обеспечение информационной безопасности хозяйствующего субъекта (ХС) представляет собою совокупность законов, нормативов и управленческих решений, регламентирующих как общую организацию работ по обеспечению информационной безопасности ХС, так и создание и функционирование систем защиты информации на его конкретных объектах. 3

Изображение слайда
4

Слайд 4

Определяют правила, процедуры и мероприятия, обеспечивающие функционирование СОИБ ХС на правовой основе при использовании: 1. Международного права и стандартов; 2. Внутригосударственного права и стандартов: - Конституции РФ; - Федеральных законов; - Ведомственных нормативных актов; - Отраслевых нормативных актов; - Локальных нормативных актов. Организационно-правовое обеспечение СОИБ ХС Организационное обеспечение СОИБ ХС Правовое обеспечение СОИБ ХС Н А П Р А В Л Е Н И Я С И Л Ы 1. Руководство ХС 2. Служба безопасности предприятия 3. Весь персонал предприятия 1. Руководство ХС 2. Служба безопасности предприятия 3. IT – специалисты 4. Внешние эксперты 5. Весь персонал предприятия Разработка, регламентация и реализация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающая нанесение ущерба: - Концепции ИБ; - Политики ИБ; - Анализ угроз ИБ; - Организационно-режимных мероприятий (распорядков, регламентов, руководств, инструкций). С Р Е Д С Т В А 4

Изображение слайда
5

Слайд 5

Цели организационно-правового обеспечения защиты информации : - все правила защиты информации являются обязательными для соблюдения всеми лицами, имеющими отношение к конфиденциальной информации; - узакониваются меры ответственности за нарушения правил защиты информации; - узакониваются (приобретают юридическую силу) технико-математические решения вопросов организационно-правового обеспечения защиты информации; - узакониваются процессуальные процедуры разрешения ситуаций, складывающихся в процессе функционирования системы защиты. 5

Изображение слайда
6

Слайд 6: Структура правовых актов, ориентированных на правовое обеспечение СОИБ ХС

1. КОНСТИТУЦИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ 3. Кодекс об административных правонарушениях, гражданский и уголовный кодексы РФ 4. Нормативно-правовые акты и организационно-распорядительные документы 5. Положения, инструкции, нормативно-технические и методические документы 2. Законы Российской Федерации в области информационной безопасности «Об информации, информационных технологиях и о защите информации» «О государственной тайне» «О коммерческой тайне» «О персональных данных» «О правовой охране программ для ЭВМ и баз данных» «О федеральных органах государственной безопасности» «О связи» «Об информационном обеспечении экономического и социального развития» «Об органах федеральной » «Об авторском праве и смежных правах» «О безопасности» «Патентный закон РФ» 6

Изображение слайда
7

Слайд 7: Структура правовых актов, ориентированных на правовую защиту информации

1. Конституционное законодательство Правовое обеспечение СОИБ ХС 6. Подзаконные и нормативные акты по защите информации 2. Общие законы, кодексы 3. Законы об организации управления 5. Законодательство субъектов РФ 4. Специальные законы 7. Правоохранительное законодательство РФ 7

Изображение слайда
8

Слайд 8: Комплекс внутренней нормативно-организационной документации предприятия

- устав; - коллективный трудовой договор; - трудовые договоры с сотрудниками предприятия; - правила внутреннего распорядка служащих предприятия; - должностные обязанности руководителей и служащих предприятия; - инструкции пользователей информационно-вычислительных сетей и баз данных; - инструкции администраторов ИВС и БД; - положение о подразделении по защите информации; - концепция системы защиты информации на предприятии; - перечень сведений, составляющих коммерческую тайну предприятия; - инструкции о порядке обращения с информацией, составляющей коммерческую тайну; - инструкции сотрудников, допущенных к защищаемым сведениям; - инструкции сотрудников, ответственных за защиту информации; - распоряжение об организации работ по предотвращению записи, хранения и распространения информации и программных продуктов непроизводственного характера; - памятка сотрудника о сохранении коммерческой или иной тайны; - договорные обязательства. 8

Изображение слайда
9

Слайд 9: Функции нормативно-правовой базы СОИБ ХС

- разработка основных принципов отнесения сведений, имеющих конфиденциальный характер, к защищаемой информации; - определение системы органов и должностных лиц, ответственных за обеспечение информационной безопасности в стране и порядка регулирования деятельности предприятий и организаций в этой области; - создание полного комплекса нормативно-правовых руководящих и методических материалов (документов), регламентирующих вопросы обеспечения информационной безопасности как на предприятии в целом, так и на конкретном объекте; - определение мер ответственности за нарушение правил защиты; - определение порядка разрешения спорных и конфликтных ситуаций по вопросам защиты информации. 9

Изображение слайда
10

Слайд 10

Организационное обеспечение СОИБ ХС – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз 10

Изображение слайда
11

Слайд 11

Структура основных мероприятий организационного обеспечения СОИБ ХС Основные мероприятия организационного обеспечения СОИБ ХС 1. Организация охраны и режима на предприятии 2. Организация работы с сотрудниками 3. Организация работы с документами 4. Организация использования технических средств 5.Организация работы по анализу внутренних и внешних угроз 6. Организация контроля за работой персонала с конфиденциальной информацией 11

Изображение слайда
12

Слайд 12: Содержание организационных мероприятий

1. Организация режима и охраны : - исключения возможности тайного проникновения на территорию предприятия и в помещения посторонних лиц; - обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; - создания отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; - контроль и соблюдение временного режима труда и пребывания персонала на территории предприятия; - организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей. 2. Организация работы с сотрудниками. Мероприятие предусматривает: - ознакомления с сотрудниками и их изучением; - обучения сотрудников правилам работы с конфиденциальной информацией; - ознакомления с мерами ответственности за нарушения правил информационной безопасности. 3. Организация работы с документами, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение; 4. Организация использования технических средств сбора, обработки, накопления, хранения и передачи конфиденциальной информации; 5. Организация работ по анализу внутренних и внешних угроз конфиденциальной информации, выработке мер по обеспечению ее защиты; 6. Организация работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей. 12

Изображение слайда
13

Слайд 13: Применение организационных средств при защите ПЭВМ и информационных сетей

- при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы; - при подборе и подготовке персонала; - при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.); - при соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам; - при внесении изменений в программное обеспечение; - при подготовке и контроле работы пользователей. 13

Изображение слайда
14

Слайд 14: Общие функции службы безопасности предприятия

- организация и обеспечение охраны; обеспечение пропускного и внутриобъектового режима; руководство работами по правовому и организационному регулированию отношений по защите информации; участие в разработке основополагающих документов по защите информации; разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с конфиденциальными документами; организация и контроль выполнения требований "Инструкции по защите конфиденциальной информации"; постоянное изучение производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба; ведение учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентных организаций, о деятельности предприятия и его клиентов, партнеров, смежников; организация и проведение служебных расследований по фактам нарушений в области информационной безопасности предприятия; разработка, ведение, обновление и пополнение "Перечня сведений конфиденциального характера"; обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия; осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений по защите конфиденциальной информации; организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности; ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов; обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз; поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе и оказания взаимной помощи в кризисных ситуациях. 14

Изображение слайда
15

Слайд 15: Задачи службы безопасности предприятия

определение круга лиц, которые имеют доступ к сведениям конфиденциального характера; определение участков сосредоточения конфиденциальных сведений; определение круга сторонних предприятий, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера; выявление круга лиц, не допущенных к конфиденциальной информации, но проявляющих повышенный интерес к таким сведениям; выявление круга предприятий, в том числе и иностранных, заинтересованных в овладении охраняемыми сведениями; разработка системы защиты документов, содержащих сведения конфиденциального характера; определение на предприятии участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции; определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям; определение уязвимых мест в технологии производственного цикла, несанкционированное изменение, в которой может привести к утрате качества выпускаемой продукции и нанести ущерб предприятию; определение мест на предприятии, несанкционированное посещение которых может привести к краже продукции и организация их охраны; определение и обоснование мер правовой, организационной и инженерно-технической защиты предприятия, персонала, продукции и информации; разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности предприятия; внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности; организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями; изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для их совершенствования; разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалистов, разработку необходимой документации в целях совершенствования системы мер по обеспечению экономической и информационной безопасности. 15

Изображение слайда
16

Слайд 16: Специфика в организации СОИБ хозяйствующего субъекта

- приоритет экономических факторов (критерии эффективности СОИБ - снижение или исключение финансовых потерь, обеспечение получения прибыли в условиях рисков); - открытость проектирования СОИБ (создание системы из средств, широко доступных на рынке и работающих в открытых системах); - юридическая значимость коммерческой информации (ее можно определить в качестве свойства так называемой «безопасной информации»). 16

Изображение слайда
17

Слайд 17: Перечень государственных стандартов в области ИБ

№ п / п Шифр документа Описание документа 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. ГОСТ Р ИСО/МЭК 15408 -1 – 2002 ГОСТ Р ИСО/МЭК 15408 -2 – 2002 ГОСТ Р ИСО/МЭК 15408 -3 – 2002 ГОСТ Р 50739 - 95 ГОСТ Р 50922 - 96 ГОСТ Р 51188 - 98 ГОСТ Р 51275 - 99 ГОСТ Р ИСО 7498 - 1 - 99 ГОСТ Р ИСО 7498 - 1 – 99 ГОСТ Р ИСО/МЭК 27000 - 2009 Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. Госстандарт России Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. Госстандарт России Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности. Госстандарт России Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования. Госстандарт России Защита информации. Основные термины и определения. Госстандарт России Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство. Госстандарт России Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. Госстандарт России Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель. Госстандарт России Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации. Госстандарт России Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь. 17

Изображение слайда
18

Слайд 18

17 утвержденных и опубликованных стандартов группы ISO 27000 Виды групп стандартов: - стандарты для обзора и введения в терминологию; - стандарты, которые определяют обязательные требования к СУИБ (система управления информационной безопасностью); - стандарты, определяющие требования и рекомендации для аудита СУИБ; - стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ. 18

Изображение слайда
19

Слайд 19

Стандарты для обзора и введения в терминологию ISO/IEC 27000:2009 – Информационные технологии. Средства обеспечения безопасности. Системы менеджмента информационной безопасности. Обзор и словарь. Данный стандарт обеспечивает определение основной терминологии, которая используется в стандартах по информационной безопасности. В каждом стандарте есть и дополнительные термины. В данный момент разрабатывается новая версия стандарта ISO 27000 19

Изображение слайда
20

Слайд 20

Стандарты, которые определяют обязательные требования к СУИБ ISO/IEC 27001:2005 – Информационные технологии. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования. Это основной стандарт группы. Он определяет требования к разработке, внедрению, поддержке и улучшению систем менеджмента информационной безопасности В данный момент разрабатывается новая версия стандарта ISO 27001. 20

Изображение слайда
21

Слайд 21

Стандарты, определяющие требования и рекомендации для аудита СУИБ ISO/IEC 27006:2011 - Информационные технологии. Средства обеспечения безопасности. Требования для органов, выполняющих аудит и сертификацию систем менеджмента информационной безопасности. Этот стандарт расширяет требований стандарта ISO 17021 специально для органов, проводящих аудит и сертификацию СУИБ. ISO/IEC 27007:2011 - Информационные технологии. Средства обеспечения безопасности. Руководящие указания для аудита систем менеджмента информационной безопасности. Стандарт ISO 27007 предлагает рекомендации по проведению аудитов СУИБ со стороны сертификационных организаций. Он полезен для аудиторов этих организаций. ISO/IEC TR 27008:2011 - Информационные технологии. Методы обеспечения безопасности - Руководство для аудиторов по мерам и средствам обеспечения информационной безопасности Данный стандарт, как и ISO 27007 является дополнительным стандартом к ISO 19011:2011 специально для СУИБ. Он специализирован для аудита средств управления информационной безопасностью в организации. 21

Изображение слайда
22

Слайд 22

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ ISO/IEC 27002:2005 - Информационные технологии. Средства обеспечения. Свод практики для менеджмента информационной безопасности. Самый популярный стандарт группы после ISO 27001. Он дает отличные указания для разработки, внедрения, поддержки и совершенствовании СУИБ. Он является библией для консультантов. ISO/IEC 27003:2010 - Информационные технологии. Руководство по осуществлению системы менеджмента информационной безопасности Стандарт дает указания и методику для процессов разработки и внедрения СУИБ. ISO/IEC 27004:2009 - Информационные технологии. Средства обеспечения безопасности. Измерения менеджмента информационной безопасности Стандарт является руководством для выбора, проектирования, управления и улучшения средств и методов измерения эффективности и результативности системы. 22

Изображение слайда
23

Слайд 23

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ (продолжение) ISO/IEC 27005:2011 - Информационные технологии. Методы защиты. Менеджмент рисков информационной безопасности. Этот стандарт является одним из самых важных в группе. Несмотря на то, что он только указательный, а не обязательный стандарт, его назначение состоит в том, что управление рисками - один из самых важных процессов для информационной безопасности. ISO/IEC 27011:2010 - Информационные технологии. Средства обеспечения безопасности. Руководящие указания по менеджменту информационной безопасности для телекоммуникаций на основе ISO / IEC 27002. Это специализированное руководство по СУИБ в телекоммуникационных организациях. ISO/IEC 27031:2011 - Информационные технологии. Методы обеспечения защиты. Руководство для готовности информационных и коммуникационных технологий по обеспечению непрерывности бизнеса Новый, интересный стандарт - руководство по обеспечению непрерывности бизнеса в ИКТ. 23

Изображение слайда
24

Слайд 24

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ (продолжение) ISO/IEC 27033-1:2009 - Информационные технологии. Методы обеспечения защиты. Сетевая безопасность. Часть 1 – Обзор и понятия. Первый из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры. ISO/IEC 27033-3:2010 - Информационные технологии. Методы обеспечения защиты. Сетевая безопасность. Часть 3 – Сетевые сценарии. Угрозы, методы проектирования и управления вопросами. ISO/IEC 27034-1:2011 - Информационные технологии - Методы обеспечения защиты. Безопасность приложений. Часть 1 - Обзор и понятия. Стандарт из группы специализированных стандартов в области обеспечения информационной безопасности сетевой инфраструктуры с практическим значением. 24

Изображение слайда
25

Последний слайд презентации: ЛЕКЦИЯ 3 Организационно-правовое обеспечение функционирования системы

Стандарты, предлагающие лучшие практики внедрения, развития и совершенствования СУИБ (продолжение) ISO/IEC 27035:2011 - Информационные технологии. Методы обеспечения защиты. Управление инцидентами по информационной безопасности. Один из ценных стандартов в группе с практической стоимостью в области управления инцидентами по информационной безопасностью. ISO 27799:2008 - Информатика в здравоохранении. Менеджмент безопасности информации по стандарту ISO/IEC 27002. Это специализированное руководство по СУИБ в здравоохранении. ISO/IEC 24762:2008 - Информационные технологии. Методы обеспечения защиты. Рекомендации по услугами для аварийного восстановления информационных и коммуникационных технологий. Тоже интересный стандарт с точки зрения практических рекомендаций по обеспечению аварийного восстановления ИКТ. 25

Изображение слайда