Презентация на тему: ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ

ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
Государственная регистрация нормативных правовых актов осуществляется Министерством юстиции РФ и включает в себя: юридическую экспертизу соответствия этого
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ
ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ
ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ
НОРМАТИВНЫЕ АКТЫ ФНС РОССИИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИМЕНЕНИЕ ТИПОВОГО ПОРЯДКА ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И УПРАВЛЕНИЯ КЛЮЧЕВОЙ ИНФОРМАЦИЕЙ С УЧЕТОМ СОБСТВЕННОЙ СПЕЦИФИКИ ДЛЯ
ОСОБЕННОСТИ УЧЕТА ИНФОРМАЦИОННОГО РЕСУРСА ( ключевой информации–КИ ) В НАЛОГОВОМ ОРГАНЕ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ПЕРЕЧНИ ПОЛЬЗОВАТЕЛЕЙ И ПОДГОТОВКА РАБОЧИХ МЕСТ НАЛОГОВОГО ОРГАНА К РАБОТЕ С КЛЮЧЕВОЙ ИНФОРМАЦИЕЙ
УЧЕТ КЛЮЧЕВОЙ ИНФОРМАЦИИ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ТРЕБОВАНИЯ К ХРАНЕНИЮ И ПЕРЕДАЧЕ КЛЮЧЕВОЙ ИНФОРМАЦИИ
НОРМАТИВНО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
ВЕДОМСТВЕННАЯ СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРАВОВЫЕ АКТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СТРУКТУРНЫХ ПОДРАЗДЕЛЕНИЯХ ФТС РОССИИ
ПРАВОВЫЕ АКТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ ФТС РОССИИ
ПОЛОЖЕНИЕ ОБ УПРАВЛЕНИИ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ МИНИСТЕРСТВА ФИНАНСОВ СУБЪЕКТА РОССИЙСКОЙ ФЕДЕРАЦИИ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
Политика безопасности информации в организации (англ. Organizational security policy) – совокупность документированных технических, организационных,
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ
ПОЛОЖЕНИЕ ОБ ИНФОРМАЦИОННОЙ ПОЛИТИКЕ ДЛЯ ПОДРАЗДЕЛЕНИЙ ОРГАНИЗАЦИИ
ПЕРЕЧЕНЬ ВОПРОСОВ ПОЛИТИКИ БЕЗОПАСНОСТИ ИТТ
1/33
Средняя оценка: 4.7/5 (всего оценок: 92)
Код скопирован в буфер обмена
Скачать (309 Кб)
1

Первый слайд презентации

ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЛЕКЦИЯ

Изображение слайда
2

Слайд 2

Учебные вопросы: 1. Особенности ведомственного нормативного регулирования обеспечения информационной безопасности 2. Особенности корпоративного нормативного регулирования обеспечения информационной безопасности 2 Литература: 1. Международный стандарт ИСО/МЭК 27001. Первое издание 2005-10-15. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. 2. ГОСТ Р ИСО/МЭК 15408-2002. Методы и средства обеспечения безопасности критерии оценки безопасности информационных технологий (КОБИТ). Части 1, 3-5. 3. ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью. 4. «Концепция информационной безопасности ФНС России»: Пр. ФНС России от 13.01.2012 № ММВ-7-4/6; 5. «Об утверждении квалификационных требований к профессиональ-ным знаниям и навыкам, необходимым для исполнения должностных обязанностей федеральными государственными гражданскими служащими Минфина РФ»: Пр. Минфина России от 25.06.2012 г. № 88н). 6. «Об утверждении Типовой инструкции по делопроизводству в ФОИВ»: Пр. Федеральной архивной службы России от 27.11.2000 г. № 68.

Изображение слайда
3

Слайд 3

3 1. ОСОБЕННОСТИ ВЕДОМСТВЕННОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Изображение слайда
4

Слайд 4

« Ведомство » - федеральный орган исполнительной власти (ФОИВ), структура которого утверждается Президентом РФ, а также иные органы и организации (ЦБ РФ, ПФ РФ и др.), правовые акты которых по своему статусу, целевой направленности, порядку регистрации и опубликования аналогичны актам ФОИВ Подготовка и выпуск правовых актов ФОИВ регулируются следующими нормативными документами: 1. «Об утверждении Правил подготовки нормативных правовых актов ФОИВ и их государственной регистрации»: Пост. Правительства РФ от 13.08.1997 г. № 1009. 2. «О внесении изменений и дополнений в постановление Правительства РФ от 13 августа 1997 г. № 1009»: Пост. Правительства РФ от 11.02.1999 г. № 154. 3. «Об утверждении разъяснений о применении правил подготовки нормативных правовых актов ФОИВ и их государственной регистрации»: Пр. Министерства юстиции РФ от 14.07.1999 г. № 217. 4. «Об утверждении разъяснений о применении правил подготовки нормативных правовых актов ФОИВ и их государственной регистрации»: Пр. Министерства юстиции РФ от 17.04.1998 г. № 42. 5. «Об утверждении Типовой инструкции по делопроизводству в ФОИВ»: Пр. Федеральной архивной службы России от 27.11.2000 г. № 68. 6. Распоряжение Правительства РФ от 31.10. 2000 г. № 1547-р. 7. «Об утверждении Правил подготовки ведомственных нормативных актов»: Пост. Правительства РФ от 23.07. 1993 г. № 722. СУЩНОСТЬ ВЕДОМСТВЕННОГО ПРАВОВОГО АКТА 4

Изображение слайда
5

Слайд 5: Государственная регистрация нормативных правовых актов осуществляется Министерством юстиции РФ и включает в себя: юридическую экспертизу соответствия этого акта законодательству РФ; принятие решения о необходимости государственной регистрации данного акта; присвоение регистрационного номера; занесение в Государственный реестр нормативных правовых актов ФОИВ. Государственной регистрации подлежат нормативные правовые акты: а) содержащие правовые нормы, затрагивающие: гражданские, политические, социально-экономи-ческие и иные права, свободы и обязанности граждан РФ, иностранных граждан и лиц без гражданства; гарантии их осуществления, закрепленные в законодательных актах РФ; а также механизм реализации прав, свобод и обязанностей; б) устанавливающие правовой статус организаций типовые, примерные положения (уставы) об орга-нах (например, территориальных) и организациях, подведомственных соответствующим ФОИВ, выпол-няющих в соответствии с законодательством отдельные наиболее важные государственные функции; в) имеющие межведомственный характер, то есть содержащие правовые нормы, обязательные для других ФОИВ и (или) организаций, не входящих в систему ФОИВ, утвердившего акт

Постановления Приказы и распоряжения Правила и инструкции Положения ГОСРЕГИСТРАЦИЯ ВЕДОМСТВЕННЫХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ 5 Указания Приказами и распоряжениями (постановлениями) оформляются решения нормативного характера, а также по оперативным, организационным, кадровым и другим вопросам внутренней работы ФОИВ Положение принимается в том случае, если в нем устанавливаются системно связанные между собой правила по вопросам, отнесен-ным к компетенции ФОИВ. В правилах устанавливаются нормы и требования, обязательные для выполнения. В инструкции излагается порядок осущест-вления какой-либо деятельности или порядок применения положений законодательных и иных нормативных актов Структурные подразделения и территориальные органы ФОИВ не вправе издавать нормативные правовые акты Нормативные правовые акты, издаваемые ФОИВ

Изображение слайда
6

Слайд 6

«ОБ УТВЕРЖДЕНИИ КВАЛИФИКАЦИОННЫХ ТРЕБОВАНИЙ К ПРОФЕССИОНАЛЬНЫМ ЗНАНИЯМ И НАВЫКАМ, НЕОБХОДИМЫМ ДЛЯ ИСПОЛНЕНИЯ ДОЛЖНОСТНЫХ ОБЯЗАННОСТЕЙ ФЕДЕРАЛЬНЫМИ ГОСУДАРСТВЕННЫМИ ГРАЖДАНСКИМИ СЛУЖАЩИМИ МИНФИНА РФ» ( Пр. Минфина России от 25.06.2012 г. № 88на) …Приложение 1. Квалификационные требования к профессиональным знаниям и навыкам, необходимым для исполнения должностных обязанностей федеральными государственными гражданскими служащими... …Категории "руководители" высшей и главной групп должностей, "помощники (советники)" высшей группы должностей, "специалисты", "обеспечивающие специалисты" главной, а также старшей и младшей групп должностей Профессиональные знания: … порядка работы со служебной и секретной информацией; … правовых аспектов в области информационно-коммуникационных технологий; программных документов и приоритетов государственной политики в области информационно-коммуникационных технологий; аппаратного и программного обеспечения; возможностей и особенностей применения современных информационно-коммуникационных технологий в Минфине РФ, включая использование возможностей межведомственного документооборота; общих вопросов в области обеспечения информационной безопасности... Профессиональные навыки: … стратегического планирования и управления групповой деятельностью с учетом возможностей и особенностей применения современных информационно-коммуникационных технологий в Минфине РФ, работы с внутренними и периферийными устройствами компьютера, работы с информационно-телекоммуникационными сетями, в том числе сетью Интернет, работы в операционной системе, управления электронной почтой, работы в текстовом редакторе, работы с электронными таблицами, работы с базами данных, работы с системами управления проектами 6

Изображение слайда
7

Слайд 7

«ОБ УТВЕРЖДЕНИИ КВАЛИФИКАЦИОННЫХ ТРЕБОВАНИЙ К ПРОФЕССИОНАЛЬНЫМ ЗНАНИЯМ И НАВЫКАМ, НЕОБХОДИМЫМ ДЛЯ ИСПОЛНЕНИЯ ДОЛЖНОСТНЫХ ОБЯЗАННОСТЕЙ ФЕДЕРАЛЬНЫМИ ГОСУДАРСТВЕННЫМИ ГРАЖДАНСКИМИ СЛУЖАЩИМИ МИНФИНА РФ» (Пр. Минфина России от 25.06.2012 г. № 88на) …Приложение 2. Квалификационные требования к профессиональным знаниям и навыкам, в области информационно-коммуникационных технологий, необходимым для исполнения должностных обязанностей федеральными государственными гражданскими служащими... Категория "руководители" высшей группы должностей, курирующие вопросы внедрения информационно-коммуникационных технологий в деятельность МФ РФ, а также "помощники (советники)" высшей группы должностей, "специалисты" главной, ведущей и старшей групп должностей, "обеспечивающие специалисты" ведущей, старшей и младшей групп должностей, в чьи должностные обязанности входят функции по созданию, развитию и администрированию информационных систем… Профессиональные знания: систем взаимодействия с гражданами и организациями; учетных систем, обеспечивающих поддержку выполнения Министерством финансов Российской Федерации основных задач и функций; систем межведомственного взаимодействия; систем управления государственными информационными ресурсами; информационно-аналитических систем, обеспечивающих сбор, обработку, хранение и анализ данных; систем управления электронными архивами; систем информационной безопасности; систем управления эксплуатацией. Профессиональные навыки: работы с информационно-аналитическими системами, обеспечивающими сбор, обработку, хранение и анализ данных, с системами взаимодействия с гражданами и организациями, с системами межведомственного взаимодействия, с системами управления государственными информационными ресурсами, с системами управления электронными архивами, с системами информационной безопасности, с системами управления эксплуатацией 7

Изображение слайда
8

Слайд 8: ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ

5. 5.1. Любая целенаправленная деятельность (бизнес) порождает риски, сущность которых - естественная неопределенность будущего. Это - объективная реальность, и понизить эти риски можно лишь до уровня неопределенности сущностей, характеризующих природу бизнеса. Оставша-яся часть риска, определяемого факторами среды деятельности организации БС РФ, на которые организация не в силах влиять, должна быть неизбежно принята. При этом степень необходимой защищенности информационной сферы организации определяется анализом и оценкой рисков ИБ, которые должны быть согласованы с рисками основной (бизнес) деятельности организации БС РФ. 5.2. Деятельность организации БС РФ осуществляется через реализацию трех групп высокоуров-невых процессов: основные процессы (процессы основной деятельности), вспомогательные процессы (процессы по видам обеспечения), процессы менеджмента (управления) организацией. Процессы по обеспечению ИБ организации БС РФ составляют один из видов вспомогательных процессов, реализующих поддержку (обеспечение) процессов основной деятельности организации в целях достижения ею максимально возможного результата. 5.3. В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника и злоумышленника за контроль над информационными акти-вами. Однако другие, незлоумышленные, действия также лежат в сфере данного стандарта. В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, может быть нанесен ущерб. 5.4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собствен-ный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщ-ника(ов) внутри организации. 5.5. Собственник практически никогда не знает о готовящемся нападении, оно всегда бывает неожи-данным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер. 5.6. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем эксперимента, подбора «отмычек» к системе менеджмента ИБ (СМИБ) организации. Таким образом, он отрабатывает наиболее эффективный метод нападе-ния. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности. В том числе и для этой цели собственник создает уполномоченный орган - свою службу ИБ (подразде-ления (лица) в организации, ответственные за обеспечение ИБ). 8

Изображение слайда
9

Слайд 9: ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ

5.7. Сложно и ресурсоемко, а значит, малоэффективно искать следы такой активности и по факту на-страивать СМИБ. Поэтому главный инструмент собственника - основанный на опыте прогноз (сос-тавление модели угроз и модели нарушителя), а также работа с персоналом организации по повы-шению его бдительности в возможных критических условиях, готовности и способности к адекват-ным действиям в условиях потенциальной злоумышленной активности. Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ в организации БС РФ при минимальных ресурсных затратах. 5.8. Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника - разработать на основе точного прогноза, базирующегося в том числе и на анализе и оценке рисков ИБ, политику ИБ организации и в соответствии с ней реализовать, эксплуатировать и совершенствовать СМИБ организации. 5.9. Политика ИБ организаций БС РФ разрабатывается на основе принципов обеспечения ИБ, моде-лей угроз и нарушителей, идентификации активов, подлежащих защите, оценки рисков с учетом особенностей бизнеса и технологий, а также интересов конкретного собственника. Собственник должен знать, что он должен защищать, и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс). При этом собственник принимает решение относительно принятия конкретного риска или же вне-дрения мер контроля и процедур по обработке существующих рисков. При принятии решений о внедрении защитных мер (мер контроля) для противодействия иденти-фицированным угрозам (рискам) собственник должен учитывать, что тем самым он увеличивает сложность своей системы управления ИБ, а повышение сложности управления ИБ порождает но-вые уязвимости. Поэтому при выборе решения о внедрении защитных мер для обработки существу-ющих рисков, а не принятия или переноса рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на структуру рисков организации. 5.10. Далеко не каждый собственник располагает потенциалом для составления точного прогноза (модели угроз и модели нарушителя). Такой прогноз может и должен составляться с учетом опыта ведущих специалистов банковской системы, а также с учетом международного опыта в этой сфере. Аналогично должны разрабатываться и основные требования ИБ организаций БС РФ. При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сложив-шейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управления безопас-ностью организации. Поэтому все точки в банковских технологических процессах, где осуществля-ется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться 9

Изображение слайда
10

Слайд 10: ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ

5.11. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ в организации серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим инте-ресы собственника. Поэтому этими отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности организации является ее персонал, собственник должен все-мерно поощрять решение проблемы ИБ. 5.12. Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаб-лению своей эффективности, в результате чего общий уровень ИБ может снижаться. Это неминуемо ведет к возрастанию рисков нарушения ИБ. Для того чтобы этого не допустить, необходимо определить процессы, обеспечивающие контроль (мониторинг и аудит ИБ организаций БС РФ), а также оценку эффективности СМИБ органи-заций БС РФ («процессный подход»), что должно стать основой для дальнейшего планирования ИБ. Указанные процессы должны реализовываться в рамках циклической модели менеджмента ИБ: «планирование - реализация - проверка - совершенствование - планирование», отвечающей прин-ципам и моделям корпоративного менеджмента в организациях, включая менеджмент в банковском деле. При этом эффективность и результативность обеспечения ИБ, включая соответствующие процессы ИБ, должны оцениваться с позиции пользы в достижении целей деятельности. 5.13. Обеспечение ИБ организаций БС РФ основывается на «процессном подходе» для установления, реализации, эксплуатации, мониторинга, обслуживания и повышения эффективности СМИБ. Любое действие, использующее ресурсы и управляемое для обеспечения преобразования неких входных ресурсов, информации и иных сущностей в выходы, определяется как “процесс”. Выход одного процесса может быть входом для другого процесса. Представление деятельностей по обеспечению ИБ в виде системы процессов в пределах организации вместе с идентификацией, взаимодействиями и их координацией и управлением определяется как “процессный подход”. Данный подход требует, чтобы персонал организации, клиенты, пользователи, контрагенты и иные заинтересованные стороны придавали особое значение: а) пониманию требований информационной безопасности бизнеса и потребности устанавливать политику и цели для информационной безопасности; б) реализации и надлежащей эксплуатации средств управления ИБ (защитных мер) в контексте управления общим риском деятельности (бизнеса) организации; в) мониторингу и анализу работы и эффективности СМИБ; г) непрерывному усовершенствованию СМИБ на основе объективного измерения. 10

Изображение слайда
11

Слайд 11: НОРМАТИВНЫЕ АКТЫ ФНС РОССИИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

«Концепция информационной безопасности ФНС России» утв. приказом ФНС России от 13.01.2012 № ММВ-7-4/6; «Концепция построения системы управления информационной безопасностью Федеральной налоговой службы», утв. приказом ФНС России от 10.06.2008 № ВЕ-4-6/24дсп; «Руководство по организации ИБ на объектах информатизации Федеральной налоговой службы», утв. приказом ФНС России от 23.10.2007 № ММ-4-27/29дсп. Требования по специфике организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации: «Техническая политика применения средств криптографической защиты в системах обмена данными ФНС России», утв. приказом ФНС России от 12.03.2012 № ММВ-8-4/17дсп; «Типовой порядок использования средств криптографической защиты информации и управления ключевой информацией в территориальном налоговом органе», утв. приказом ФНС России от 30.10.2008 № ММ-3-6/546; «Регламент управления ключевой информацией», утв. приказом ФНС России от 31.12.2009 № ММ-7-6/731. 11

Изображение слайда
12

Слайд 12: ПРИМЕНЕНИЕ ТИПОВОГО ПОРЯДКА ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И УПРАВЛЕНИЯ КЛЮЧЕВОЙ ИНФОРМАЦИЕЙ С УЧЕТОМ СОБСТВЕННОЙ СПЕЦИФИКИ ДЛЯ ПОДВЕДОМСТВЕННЫХ НАЛОГОВЫХ ОРГАНОВ

Согласно Порядку в Управлениях по субъектам Российской Федерации должен быть разработан Типовой порядок для подведомственных налоговых органов, и в каждом налоговом органе, а также Межрегиональных инспекциях ФНС России должен быть разработан свой Порядок использования средств криптографической защиты информации и управления ключевой информацией с учетом собственной специфики и обеспечено его выполнение. В период с 30.10.2008 до 31.12.2009 в налоговых органах при эксплуатации КИ в основном использовался Порядок и Инструкция (не считая регламентаций использования встроенного СКЗ в ПО DiPost Cripto). Основными требованиями Порядка, помимо подтверждения норм Инструкции, стали нормы возложения обязанностей в налоговых органах по контролю соблюдения Порядка, управлению КИ и взаимодействию по вопросам эксплуатации КИ на отделы информационной безопасности территориального налогового органа (лиц, ответственных за обеспечение информационной безопасности). При этом должен быть выделен сотрудник, за которым (в должностном регламенте) закрепляется роль администратора средств криптографической защиты информации (далее – СКЗИ). Возложение данной роли на сотрудников иных отделов территориального налогового органа (за исключением случая, когда функции по обеспечению ИБ закрепле-ны за отделом информатизации) не допускается. При этом к выполнению обязанностей администратора СКЗИ допускаются только лица, имеющие необходимый уровень квалификации для обеспечения защиты конфиденциаль-ной информации с использованием конкретного вида (типа) КИ, т.е. этот работник должен иметь профильное образование или он должен пройти соответствующую профессиональную переподготовку, что должны подтверждать документы в личном деле работника. На администратора СКЗИ возлагаются обязанности ознакомления пользовате-ля КИ с положениями Порядка и прохождения обучения работе с КИ. Порядком определены обязанности пользователей КИ, администраторов КИ, с учетом специфики налоговой службы. После 31.12.2009 в налоговых органах действует Регламент, который не отменяет Порядок. Регламент содержит в ряде случаях видоизмененные формы документов, журналов, изменены некоторые названия. Часть норм повторяется, однако имеются и новые требования, связанные с вводом в эксплуатацию Удостоверяющего Центра ФНС России, работа которого основана на технологии ПО КриптоПро. 12

Изображение слайда
13

Слайд 13: ОСОБЕННОСТИ УЧЕТА ИНФОРМАЦИОННОГО РЕСУРСА ( ключевой информации–КИ ) В НАЛОГОВОМ ОРГАНЕ

В целях обеспечения доступа пользователей, КИ имеется в перечне информационных, программных и аппаратных ресурсов, который ведется в соответствие с Типовым порядком доступа к информационным, программным и аппаратным ресурсам объекта информатизации ФНС России, утвержденного приказом ФНС России от 30.07.2008 № ММ-3-6/336@. Данный Типовой порядок разработан, в первую очередь, в целях выполнения требований: Нормативного документа ГТК России «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), введенного в действие приказом МНС России от 27.03.2003 № БГ-4-28/8дсп, Концепции информационной безопасности ФНС России, Концепции построения системы управления информационной безопасностью ФНС, утвержденной приказом ФНС России от 10.06.2008 № ВЕ-4-6/24дсп. Согласно этому порядку, все ресурсы налогового органа должны быть учтены и систематизированы, а различные уровни доступа к каждому ресурсу установлены на основе ролевого принципа в виде перечня. Порядком введены нормы об актуализации сведений о новом ресурсе (изменения в имеющимся ресурсе) и внесение изменений в перечень информационных, программных и аппаратных ресурсов налогового органа в течение 3-х дней с момента появления нового ресурса или изменения в имеющемся. Согласно этому порядку, для обеспечения доступа к ресурсам оформляется заявка на предоставление доступа, которая утверждается должностным лицом, упомянутым в перечне информационных, программных и аппаратных ресурсов налогового органа. Как правило, это Руководитель или курирующий заинтересованный отдел Заместитель руководителя налогового органа. ОСОБЕННОСТИ УЧЕТА ИНФОРМАЦИОННОГО РЕСУРСА ( ключевой информации–КИ ) В НАЛОГОВОМ ОРГАНЕ 13

Изображение слайда
14

Слайд 14

№ п/п Наименование ресурса Программный комплекс (справочно) Роли Утверждение заявки Период действия* 1. СЭД-Регион Lotus Notes/Domino Администратор Пользователь Делопроизводитель … Руководитель 01.01.2010 – н/в Зам. руководителя 2. Бухгалтерия 1С Администратор Бухгалтер Расчетчик зарплаты … Руководитель 21.06.2010 - н/в 3. Интернет Internet Explorer Пользователь Заместитель руководителя 19.03.2010 – н/в 4. Электронная почта Lotus Notes Ограничения (адреса, вложения, объем) на отправку/прием Заместитель руководителя 29.09.2010 – н/в 5. Защищенная эл. почта Dipost CA Оператор ДСП Администратор СКЗИ Руководитель 29.09.2010 – н/в 6. Подключение внешних устройств - CD / DVD -привод (чтение / запись) Заместитель руководителя 13.05.2010 – н/в Flash - USB 28.11.2010 – н/в Локальный принтер 13.05.2010 – н/в eToken 28.11.2010 – н/в Сканер 13.05.2010 – н/в … … … … … … … ФОРМА ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ, ПРОГРАММНЫХ И АППАРАТНЫХ РЕСУРСОВ НАЛОГОВОГО ОРГАНА 14

Изображение слайда
15

Слайд 15: ПЕРЕЧНИ ПОЛЬЗОВАТЕЛЕЙ И ПОДГОТОВКА РАБОЧИХ МЕСТ НАЛОГОВОГО ОРГАНА К РАБОТЕ С КЛЮЧЕВОЙ ИНФОРМАЦИЕЙ

Согласно установленным требованиям физические лица допускаются к работе с КИ по перечню пользователей СКЗИ, который утверждается руководите-лем налогового органа. Нормативными документами не регламентировано, каким образом утверждается этот перечень. Применяются несколько способов: 1. В связи с постоянными изменениями, самый трудоемкий – издание отдельными приказами налогового органа. 2. Издание приказа о подаче руководителю налогового органа на утверждение по мере необходимости перечня лиц, допущенных к работе к КИ. 3. Утверждение руководителем налогового органа перечня с регистрацией по делопроизводству этого документа 15

Изображение слайда
16

Слайд 16: УЧЕТ КЛЮЧЕВОЙ ИНФОРМАЦИИ

Все КИ (ЭП, СКЗИ, их носители, документация к ним, дистрибутивы КИ и т.д.) должны быть полностью учтены, а также организован контроль их использования. Следует учитывать, что обязанности между работниками, использующими КИ должны быть распределены с учетом персональной ответственности за сохранность КИ, ключевой документации и документов, а также за порученные участки работы. Например, в случае обнаружения «постороннего» (не разрешенного к использованию) программного обеспечения, нарушения целостности контролируемого программного обеспечения, либо выявления факта повреждения печатей на системных блоках, работа на АРМ с КИ должна быть прекращена. По данным фактам должно быть проведено служебное расследование комиссией и т.д. Учет КИ, получение/сдача КИ фиксируются в установленных журналах, которые прилагаются к Инструкции, Порядку, и Регламенту: поэкземплярного учета ключевых документов для органов криптографической защиты; поэкземплярного учета средств ЭЦП и шифрования, эксплуатационной и технической документации к ним, ключевых документов (для используемых СКЗИ); технический (аппаратный). Журнал поэкземплярного учета средств ЭЦП и шифрования ведется (обладателем конфиденциальной информацией) т.е. теми организациями, которые используют собственноручно изготовленные или другими центрами регистрации КИ для защиты информации. Технический (аппаратный) журнал ведется в случаях, предусмотренных эксплуатационной или технической документацией к КИ, если ее вводят и хранят (на весь срок их действия) непосредственно в средстве криптографической защиты информации (в частности, это КИ Dionis, серверные части ГНИВЦ ПРИЕМ Регион, ИОН online и т.д.). Детальная регламентация использования КИ, как правило, определяется отдельными нормативными актами ФНС России (письмо ФНС России от 25.03.2011 №6-8-04/0029@ и т.д.). 16

Изображение слайда
17

Слайд 17

Пример: в качестве маршрутизатора, почтового сервера и межсетевого экрана в Инспекции используются программно-аппаратные комплексы «Dionis» с установленной на них криптозащитой транспортного туннеля ОБРАЗЕЦ ТЕХНИЧЕСКОГО (АППАРАТНОГО) ЖУРНАЛА Исходя из записи: произведена установка КИ Dipost на АРМ MS DOS на все время действия КИ. 1 экземпляр КИ (серийный № 3360802) размещен на промаркированной дискете NJ321112063L06. Имеется и дата снятия с эксплуатации. Эту графу следует заполнять после снятия КИ с эксплуатации. В примечании обычно ставится номер акта уничтожения или номер сопроводительного письма изготовителю 17

Изображение слайда
18

Слайд 18: ТРЕБОВАНИЯ К ХРАНЕНИЮ И ПЕРЕДАЧЕ КЛЮЧЕВОЙ ИНФОРМАЦИИ

1. Хранение КИ должно быть обеспечено в хранилищах индивидуального пользования, оборудованных приспособлениями для опечатывания, в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение; в обычных условиях, хранилища КИ должны вскрываются только пользователями КИ. В налоговых органах во время отсутствия пользователей КИ, оборудование КИ должно выключаться, отключаться от линии связи и убираться в опечатываемые хранилища, должны быть предусмотрены организационно-технические меры, исключающие возможность использования КИ посторонними лицами. 3. Запрещается: оставлять без контроля АРМ, на которых используются СКЗИ, при инициализированном программном обеспечении СКЗИ; подключать к АРМ дополнительные устройства и соединители, не предусмотренные в комплектации, записывать на ключевые носители постороннюю информацию; использовать ключевые носители в режимах, не предусмотренных правилами пользования КИ, либо использовать ключевые носители на посторонних АРМ; осуществлять несанкционированное администратором КИ копирование ключевых носителей. 4. При кратковременном перерыве в работе необходимо блокировать рабочее место с помощью установки пароля доступа на вход в операционную систему. Один экземпляр ключа от хранилища находится у пользователя КИ (владельца ключевых документов). Дубликаты ключей от хранилищ хранятся у администратора СКЗИ в опечатанном хранилище. 5. ФНС рекомендует завести в структурных подразделениях, в которых используется КИ, журналы учета приема/выдачи КИ пользователям, в которых начальник отдела (администратор КИ) под роспись в журнале, выдает КИ для работы, по окончании работ принимает под роспись. Он же помещает КИ в хранилище (сейф), доступ к которому имеется только у него, опечатывает это хранилище и помещение, в котором оно размещено, во внерабочее время, а так же сдает/принимает это помещение под охрану. 6. Все работники, которым выдается КИ, должны быть допущены к работе с КИ, а их АРМ подготовлены установленным образом и т.д. 18

Изображение слайда
19

Слайд 19: НОРМАТИВНО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ РОССИЙСКОЙ ФЕДЕРАЦИИ

- законодательство Российской Федерации в сфере обеспечения информационной безопасности; - нормативно-методические и руководящие документы федерального органа исполнительной власти в области обеспечения безопасности, федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, и федерального органа исполнительной власти, уполномоченного по защите прав субъектов персональных данных; - государственные стандарты и технические регламенты в сфере обеспечения информационной безопасности; - правовые акты ФТС России по обеспечению информационной безопасности таможенных органов Российской Федерации; - правовые акты по обеспечению информационной безопасности в структурных подразделениях ФТС России; - правовые акты по обеспечению информационной безопасности в региональных таможенных управлениях; - правовые акты по обеспечению информационной безопасности в специализированных региональных таможенных управлениях; - правовые акты по обеспечению информационной безопасности в иных таможенных органах и учреждениях, находящихся в ведении ФТС России. 19

Изображение слайда
20

Слайд 20: ВЕДОМСТВЕННАЯ СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ РОССИЙСКОЙ ФЕДЕРАЦИИ

Ведомственная система обеспечения информационной безопасности таможенных органов РФ (ВС ОИБ ТО РФ) предназначена для реализации государственной политики в данной сфере в повседневной деятельности ФТС России. Взаимодействие ВС ОИБ ТО РФ с СБ РФ, федеральным органом исполнительной власти в области ОБ, ФОИВ, уполномоченными в области ПДТР и ЗИ, а также защиты персональных данных с другими элементами системы ОИБ РФ, осуществляется в соответствии с правовыми актами Президента и Правительства РФ и иными правовыми актами. ВС ОИБ ТО РФ представляет собой совокупность организационной структуры, норматив-но-правового, материально-технического и финансового обеспечения, организационно-технических методов и программно-аппаратных средств, оперативно-розыскных мер и персональной ответственности всех должностных лиц ТО РФ за выполнение требований ИБ. ВС ОИБ ТО РФ характеризуется: созданной организационной структурой штатных подразделений, отвечающих за ОИБ; разработанным ведомственным нормативно-правовым обеспечением, учитывающим специфику деятельности таможенных органов РФ, функционирования их АИС и использования их ИР; выполнением полного комплекса специальных работ на объектах информатизации, предназначенных для работ со сведениями, составляющими государственную тайну; разработкой и реализацией ИТ в защищенном исполнении, включая представление сведений в электронной форме для целей таможенного оформления с использованием ИТС международного информационного обмена, в том числе при использовании Интернет; выполнением требований по ОБИ ограниченного доступа и персональных данных в критически важных информационных системах персональных данных; созданной системой ведомственных удостоверяющих центров таможенных органов и поэтапным переходом на использование электронных документов с электронной цифровой подписью; созданной телекоммуникационной и программно-аппаратной инфраструктурой Единой автоматизированной информационной системы (далее - ЕАИС) ТО, включая ведомственную интегрированную ТКС ТО с использованием сертифицированных средств криптографической защиты передаваемой информации; централизованным (и, по согласованию с ФТС России, децентрализованным) оснащением ТО РФ необходимыми сертифицированными СЗИ их вводом в эксплуатацию; ежегодным проведением обучения и повышения квалификации по вопросам ОИБ; плановым контролем состояния ОИБ ТО РФ. 20

Изображение слайда
21

Слайд 21: ПРАВОВЫЕ АКТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СТРУКТУРНЫХ ПОДРАЗДЕЛЕНИЯХ ФТС РОССИИ

Положения о структурных подразделениях, отвечающих за обеспечение информационной безопасности (или за отдельные направления и задачи по обеспечению информационной безопасности) в структурных подразделениях ФТС России или в таможенных органах РФ в целом. Положение о должностном лице, ответственном за защиту информации в структурном подразделении ФТС России. Положения, руководства, инструкции по организации работ в структурных подраз-делениях ФТС России по ОИБ по отдельным направлениям деятельности. Правовые акты по обеспечению информационной безопасности в региональных таможенных управлениях (РТУ): Положение о Совете по обеспечению информационной безопасности РТУ. Положения о структурных подразделениях, отвечающих за ОИБ в РТУ или в таможенных органах региона в целом. Положения, руководства, инструкции по организации работ в РТУ по ОИБ по отдельным направлениям деятельности. Правовые акты по обеспечению информационной безопасности в специализированных региональных таможенных управлениях (СРТУ) и в таможенных органах (учреждениях), находящихся в ведении ФТС России: Положение о постоянно действующей технической комиссии по ЗГТ; Положения о структурных подразделениях (должностных лицах), отвечающих за ОИБ; Положения, руководства, инструкции по организации работ в СРТУ (ТО) по ОИБ по отдельным направлениям деятельности http://www.deklarant74.ru/zakonodatelstvo/prikaz-fts-rossii/prikaz-fts-rossii-2401-ot-13-12-2010-ob-utverzhdenii-kontseptsii-obespecheniya-informatsionnoj-bezopasnosti-tamozhennykh-organov-rossijskoj-federatsii-na-period-do-2020-goda 21

Изображение слайда
22

Слайд 22: ПРАВОВЫЕ АКТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ ФТС РОССИИ

«Концепция информационной безопасности ТО РФ». «Положение о разграничении полномочий и установлении ответственности подразделений ФТС России при ОИБ таможенных органов РФ», утверждено приказом ФТС России от 22 августа 2007 г. № 1011дсп. «Положение о Совете по обеспечению информационной безопасности таможенных органов Российской Федерации», утверждено приказом ФТС России от 29 июля 2008 г. № 924. «Перечень сведений, подлежащих засекречиванию в ФТС России», утвержден приказом ФТС России от 29 января 2009 г. № 77дсп. «Перечень сведений ограниченного распространения в ФТС России», утвержден приказом ФТС России от 11 сентября 2007 г. № 1117дсп. «Положение по проведению функциональных проверок таможенных органов РФ по вопросам организации и состояния ОИБ и технической ЗИ», утверждено приказом ФТС России от 19 января 2009 г. № 19. Правовые акты, регламентирующие порядок ОИБ таможенных органов РФ по отдельным направлениям или задачам. Типовые положения о подразделениях, отвечающих за ОИБ ТО РФ. Программа проведения обучения должностных лиц структурных подразделений ФТС России, ТО РФ и работников учреждений, находящихся в ведении ФТС России, по вопросам ОИБ 22

Изображение слайда
23

Слайд 23: ПОЛОЖЕНИЕ ОБ УПРАВЛЕНИИ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ МИНИСТЕРСТВА ФИНАНСОВ СУБЪЕКТА РОССИЙСКОЙ ФЕДЕРАЦИИ

1. Общие положения 1. Управление информационного обеспечения (УИО) является управлением Министерства финансов… (МФ), подчиняется непосредственно министру финансов и руководителю аппарата МФ. 2. УИО возглавляет начальник, который назначается на должность и освобождается от должности министром финансов по представлению начальника УИО. 3. Должностные обязанности сотрудников УИО устанавливаются начальником управления по согласованию с министром финансов. Распределение обязанностей в УИО производится начальником управления в соответствии с должностными инструкциями. 4. В своей деятельности УИО руководствуется действующим законодательством, распорядительными документами МФ и настоящим положением. 2. Основные задачи 5. Разработка и обслуживание сетевого обеспечения МФ. 6. Разработка, установка и обслуживание программного обеспечения МФ. 7. Осуществление мероприятий по обеспечению информационной безопасности МФ. 8. Обобщение практики применения новых информационных технологий и разработка предложений по дальнейшему их использованию в МФ. 9. Оказание консультационной помощи всем структурным подразделениям МФ. 10. Осуществление мероприятий по техническому обеспечению подразделений МФ. 11. УИО в пределах своей компетенции и возложенных на него министром финансов полномочий взаимодействует со всеми структурными подразделениями МФ. 3. Права 12. Сотрудники УИО имеют право: а) вносить предложения руководству МФ по улучшению технического обеспечения; б) проверять исполнение решений по вопросам технического и программного обеспечения; в) требовать от структурных подразделений МФ устранения нарушений и недостатков при использовании оргтехники, цифровых устройств, спецтехники. 4. Ответственность 13. Ответственность за качество, своевременность выполнения возложенных на УИО задач несет начальник управления. 14. Степень ответственности других работников устанавливается должностными инструкциями. Приложение № _____ к приказу … от "__" ______ 200 _ г. № _____ 23

Изображение слайда
24

Слайд 24

24 2. ОСОБЕННОСТИ КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Изображение слайда
25

Слайд 25

ГОСТ Р ИСО/МЭК 15408-1-2008 ПОНЯТИЯ БЕЗОПАСНОСТИ И ИХ ВЗАИМОСВЯЗЬ ПРИМЕНИТЕЛЬНО К КОРПОРАТИВНЫМ НОРМАТИВНЫМ ДОКУМЕНТАМ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 25

Изображение слайда
26

Слайд 26

ГОСТ Р ИСО/МЭК 15408-1-2008 ФОРМИРОВАНИЕ ТРЕБОВАНИЙ И СПЕЦИФИКАЦИЙ БЕЗОПАСНОСТИ ОО – объект оценки 26

Изображение слайда
27

Слайд 27: Политика безопасности информации в организации (англ. Organizational security policy) – совокупность документированных технических, организационных, администра-тивных, юридических, физических правил, процедур, практических приёмов или руководящих принципов, регламентирующих все вопросы обеспечения безопасности информации, которыми руководствуется организация в своей деятельности. Политика безопасности информационно-телекоммуникационных технологий (ИТТ) (англ. ІСТ security policy) – правила и сложившаяся практика, которые определя-ют, как управлять активами организации, в том числе критичной информацией, защищать их и распределять в пределах информационно-телекоммуникационных технологий

Основы безопасности информационно-телекоммуникационных технологий (ИТТ) ГОСТ Р ИСО/МЭК 13335-1 - 2006 уточняются в детальных и специфических целях, политике и процедурах во всех сферах интереса организации (управление финансами, персоналом и безопасностью) Общие цели Стратегии (способы достижения цели) Политика безопасности организации (правила, которые следует соблюдать при реализации стратегий) Процедуры (методы осуществления политики ) СУЩНОСТЬ, РОЛЬ И МЕСТО ПОЛИТИК БЕЗОПАСНОСТИ 27

Изображение слайда
28

Слайд 28

Политика обеспечения информационной безопасности в рамках характеристик бизнеса, особенностей данной организации, ее расположения, ресурсов, технологий и эффективности процесса управления рисками: включает в себя основу для определения ее целей и осознание необходимости безопасности и повышение квалификации в области безопасности; устанавливает общее направление и принципы деятельности по отношению к информационной безопасности; учитывает требования бизнеса и законодательной или нормативной базы, а также контрактные обязательства в области безопасности; объединяется со стратегическим контекстом управления рисками в организации, в котором будет происходить создание и сопровождение системы ОИБ; устанавливает критерии для оценивания рисков; утверждается руководством; позволяет оценивать, в какой мере бизнес организации зависит от ИТТ, учитывая: задачи бизнеса и их связь с безопасностью; какие важные составляющие бизнеса не могут осуществляться без ИТТ; какие задачи могут быть решены только при помощи ИТТ; какие важные решения зависят от конфиденциальности, целостности, доступности, подот- четности, аутентичности и актуальности хранимой или обрабатываемой информации; стратегию оценки риска и методы, адаптируемые в рамках организации; комплексную политику безопасности ИТТ для каждой системы; организационные методы безопасности для каждой системы; схему классификации ИТТ систем; стандартные схемы управления инцидентами информационной безопасности в рам- ках всей организации ГОСТ Р ИСО/МЭК 13335-1 - 2006 СТРАТЕГИИ И ПОЛИТИКА БЕЗОПАСНОСТИ ISO/IEC 27001:2005 28

Изображение слайда
29

Слайд 29

ГОСТ Р ИСО/МЭК 17799-2005 СТРУКТУРА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Цель: обеспечение решения вопросов ИБ и вовлечение высшего руководства организа-ции в данный процесс. Политика ИБ должна быть утверждена, издана и доведена до сведения всех сотрудников 29

Изображение слайда
30

Слайд 30

общая характеристика и специализация организации (наименование, специализация, род деятельности, решаемые задачи, характер и объем работ), сведения о распределении обязанностей и инструкциях по обработке и защите информации) ; описание административной структуры и категорий зарегистрированных пользователей, технологии обработки информации, потенциальных субъектов и объектов доступа; общее описание рабочего процесса, технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполняется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации; информация которая подлежит защите, сведения конфиденциального характера, органи-зация и структура информационных потоков и их взаимодействие; организация хранения данных ; угрозы информационной безопасности, модель нарушителя и уязвимости ; анализ рисков ; общая характеристика автоматизированных систем организации, топология и расположение ЛВС, схема коммуникационных связей, структура и состав потоков данных (перечень входных и выходных информационных объектов, их источники и получатели, перечень внутренних информационных объектов); технические и программные средства ЛВС и доступа к ней из сетей общего доступа (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации); принадлежность и типы каналов связи; общее и специальное ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение); применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты) ИСХОДНЫЕ ДАННЫЕ ДЛЯ ФОРМИРОВАНИЯ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 30

Изображение слайда
31

Слайд 31

Документы верхнего уровня отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам. Согласно ГОСТ Р ИСО/МЭК 17799-2005, на верхнем уровне должны быть оформлены: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов инфор-мационной системы», «План обеспечения непрерывности бизнеса». На практике могут создаваться «Регламент управления ИБ», «Технический стандарт ИБ» и др. в двух редакциях – для внешнего и внутреннего использования УРОВНИ ДОКУМЕНТИРОВАНИЯ ТРЕБОВАНИЙ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Документированная политика должна содержать следующие заявления: определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации; заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса; основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками; краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая: соответствие требованиям законодательства, нормативной базы и договоров; требования к повышению осведомленности, обучению и тренингам в области безопасности; управление непрерывностью бизнеса; последствия нарушений политики информационной безопасности; определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности; ссылки на документы, которые могут поддерживать политику (более детализированные политики и процедуры безо-пасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи) К среднему уровню относят документы, касающиеся отдель-ных аспектов ИБ: требования на создание и эксплуатацию СЗИ, организацию информационных и бизнес-процессов по конкрет-ному направлению ЗИ («Безопас-ности данных», «Безопасности коммуникаций», «Использования средств криптографической защиты», «Контентная фильтрация» и т. п.) в виде внутренних технических и организационных конфиденци-альных политик (стандартов) организации В политику ИБ нижнего уровня входят: регламенты ра-бот, руковод-ства по адми-нистрированию, инструкции по эксплуатации отдельных сервисов информацион-ной безопасности 31

Изображение слайда
32

Слайд 32: ПОЛОЖЕНИЕ ОБ ИНФОРМАЦИОННОЙ ПОЛИТИКЕ ДЛЯ ПОДРАЗДЕЛЕНИЙ ОРГАНИЗАЦИИ

Высшее руководство должно издать в письменной форме положение об информационной политике для всех подразделений организации. Принципы Положения об информационной политике: определение информационной безопасности, ее целей и сферы применения, а также ее значимости как механизма, обеспечивающего совместное использование информации; заверение руководства о его намерении поддерживать цели и задачи информационной безопасности; разъяснение специфических направлений политики безопасности, принципов, стандартов и соответствия требованиям, включая: соответствие нормативно-правовым и договорным, контрактным требованиям; требования по обучению в области обеспечения безопасности; предотвращение воздействия деструктивных программ и мероприятия по их обнаружению; политику планирования бесперебойной работы. определение общей и особой ответственности для всех аспектов информационной безопасности; разъяснение процедуры сообщения о подозрительных инцидентах, затрагивающих проблемы безопасности 32

Изображение слайда
33

Последний слайд презентации: ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ: ПЕРЕЧЕНЬ ВОПРОСОВ ПОЛИТИКИ БЕЗОПАСНОСТИ ИТТ

1. Введение 1.1 Общий обзор 1.2 Область применения и цель политики обеспечения безопасности ИТ 2. Цели и принципы обеспечения безопасности 2.1 Цели 2.2 Принципы 3. Организация и инфраструктура безопасности 3.1 Ответственность 3.2 Основные направления политики обеспечения безопасности 3.3 Регистрация инцидентов нарушения безопасности 4. Анализ риска и стратегия менеджмента в области обеспечения безопасности ИТ 4.1 Введение 4.2 Менеджмент и анализ риска 4.3 Проверка соответствия мер обеспечения безопасности предъявляемым требованиям 5. Чувствительность информации и риски 5.1 Введение 5.2 Схема маркировки информации 5.3 Общий обзор информации в организации 5.4 Уровни ценности и чувствительности информации в организации 5.5 Общий обзор угроз, уязвимых мест и рисков 6. Безопасность аппаратно-программного обеспечения 6.1 Идентификация и аутентификация 6.2 Контроль доступа 6.3 Журнал учета использования ресурсов и аудит 6.4 Полное стирание 6.5 Программное обеспечение, нарушающее нормальную работу системы 6.6 Безопасность ПК 6.7 Безопасность компактных портативных компьютеров 7. Безопасность связи 7.1 Введение 7.2 Инфраструктура сетей 7.3 Интернет 7.4 Криптографическая аутентификация и аутентификация сообщений 8. Физическая безопасность 8.1 Введение ПЕРЕЧЕНЬ ВОПРОСОВ ПОЛИТИКИ БЕЗОПАСНОСТИ ИТТ 8.2 Размещение оборудования 8.3 Безопасность и защита зданий 8.4 Защита коммуникаций и систем обеспечения энергоносителями в зданиях 8.5 Защита вспомогательных служб 8.6 Несанкционированное проникновение в помещения 8.7 Доступность ПК и рабочих станций 8.8 Доступ к магнитным носителям информации 8.9 Защита персонала 8.10 Противопожарная защита 8.11 Защита от воды (жидкой среды) 8.12 Обнаружение опасностей и сообщение о них 8.13 Защита системы освещения 8.14 Защита оборудования от кражи 8.15 Защита окружающей среды 8.16 Управление услугами и ТО 9. Безопасность персонала 9.1 Введение 9.2 Условия найма персонала 9.3 Осведомленность и обучение персонала 9.4 Служащие 9.5 Контракты с лицами, проводящими самост.работу 9.6 Привлечение третьих сторон 10. Безопасность документов и носителей информации 10.1 Введение 10.2 Безопасность документов 10.3 Хранение носителей информации 10.4 Ликвидация носителей информации 11. Обеспечение непрерывности деловой деятельнос-ти, включая ЧС и восстановлении после аварий 11.1 Введение 11.2 Запасные варианты 11.3 Стратегия обеспечения бесперебойной работы 11.4 План (планы) обеспечения бесперебойной работы 12. Надомная работа 13. Политика аутсортинга 13.1 Введение 13.2 Требования безопасности 14. Управление изменениями 14.1 Обратная связь 14.2 Изменения в политике обеспечения безопасности 14.3 Статус документа ГОСТ Р ИСО/МЭК 13335-3 - 2006 33

Изображение слайда