Политика информационной Политика информационной безопасности организациибезопасности организации

Пол

итик

а бе

зопа

снос

тиП

олит

ика

безо

пасн

ости

Политика безопасностиПолитика безопасности

Анализ угрозАнализ угроз

Управление рискамиУправление рисками

ТехнологияТехнология ПроцедурыПроцедуры СтраховкаСтраховка

КонфиденциальностьКонфиденциальность ЦелостностьЦелостность ДоступностьДоступность

Защита Обнаружение КорректировкаЗащита Обнаружение Корректировка

Операции и поддержкаОперации и поддержкаПриобретениеПриобретение

•Исследования•Дизайн и внедрение•Интеграция•Тестирование•Сертификация

•Анализ уязвимостей•Обнаружение «вредного»кода и вторжений•Аудит и мониторинг

•Реакция•Сортировка•Редизайн•Повторная сертификация

Обучение и тренировка

Обучение и тренировка

Нормативная базаНормативная база

СТБ 34.101.1 - СТБ 34.101.3СТБ 34.101.1 - СТБ 34.101.3 Информационная Информационная технология. Методы и средства обеспечения технология. Методы и средства обеспечения безопасности. Критерии оценкибезопасности. Критерии оценки безопасности безопасности информационных технологийинформационных технологий. Части 1-3. Части 1-3

СТБ П ИСО/МЭК 17799-2000/2004СТБ П ИСО/МЭК 17799-2000/2004

Информационная технология. СводИнформационная технология. Свод правил по правил по управлению информационной безопасностьюуправлению информационной безопасностью

Структура ИСО 17799Структура ИСО 17799

1.1. Введение, термины и определенияВведение, термины и определения2.2. Политика безопасностиПолитика безопасности3.3. Организация защитыОрганизация защиты4.4. Классификация активов и контроль за нимиКлассификация активов и контроль за ними5.5. Безопасность персоналаБезопасность персонала6.6. Физическая безопасность и безопасность Физическая безопасность и безопасность

окружающей средыокружающей среды7.7. Управление коммуникациями и процессамиУправление коммуникациями и процессами8.8. Управление доступом к системам Управление доступом к системам 9.9. Разработка и сопровождение системРазработка и сопровождение систем10.10. Организация непрерывной работы организацииОрганизация непрерывной работы организации11.11. Обеспечение соответствия законодательству и Обеспечение соответствия законодательству и

нормам безопасностинормам безопасности

2.Политика безопасности2.Политика безопасностиВ этот документВ этот документ должны быть включены следующие положения: должны быть включены следующие положения:

а) определение информационной безопасности, ее основные цели и область ееа) определение информационной безопасности, ее основные цели и область ее применения, а также значение безопасности как механизма позволяющего применения, а также значение безопасности как механизма позволяющего коллективно использовать информациюколлективно использовать информацию;;

б) изложение позиции руководства по вопросам реализации целей и принципов б) изложение позиции руководства по вопросам реализации целей и принципов информационной безопасности;информационной безопасности;

в) разъяснение конкретных вариантов политики безопасности, принципов, в) разъяснение конкретных вариантов политики безопасности, принципов, стандартов и требований к ее соблюдению, включая, например:стандартов и требований к ее соблюдению, включая, например:- - выполнение правовых и договорных требований;выполнение правовых и договорных требований;- - требования к обучению персонала правилам безопасности;требования к обучению персонала правилам безопасности;- - политика предупреждения и обнаружения вирусов, а также другогополитика предупреждения и обнаружения вирусов, а также другогозлонамеренного программного обеспечения;злонамеренного программного обеспечения;- - политика обеспечения бесперебойной работы организации;политика обеспечения бесперебойной работы организации;- - последствия нарушения политики безопасности;последствия нарушения политики безопасности;

г) определение общих и конкретных обязанностей по обеспечению режима г) определение общих и конкретных обязанностей по обеспечению режима информационной безопасности;информационной безопасности;

д) разъяснение процесса уведомления о событиях, таящих угрозу безопасностид) разъяснение процесса уведомления о событиях, таящих угрозу безопасности

3.Организация защиты3.Организация защиты

3.1 Инфраструктура информационной безопасности3.1 Инфраструктура информационной безопасностиСовещаниСовещанияя руководства по проблемам информационной безопасности руководства по проблемам информационной безопасности Координация действий по защите информацииКоординация действий по защите информации Распределение обязанностей по обеспечению информационнойРаспределение обязанностей по обеспечению информационной

безопасностибезопасностиПроцесс утверждения средств обработки информацииПроцесс утверждения средств обработки информации Рекомендации специалистов по информационной безопасности Рекомендации специалистов по информационной безопасности Сотрудничество между организациями Сотрудничество между организациями Независимый анализ информационной безопасностиНезависимый анализ информационной безопасности Безопасность доступа сторонних организацийБезопасность доступа сторонних организаций Безопасность при разработке программного обеспечения стороннейБезопасность при разработке программного обеспечения сторонней

организациейорганизацией

3.2 Безопасность доступа сторонних организаций Идентификация рисков, связанных с подключениями сторонних организаций• Типы доступа (физический, логический)• Причины предоставления доступа• Контракты со сторонними организациями• Условия безопасности в контрактах, заключенных со сторонними организациями Требования безопасности в контрактах

3.3 Заключение договора на выполнение работ сторонними организациями

4.Классификация активов и контроль за ними

4.1 Ответственность за активы Инвентаризация активова) информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, операционные процедуры и процедуры поддержки, планы обеспечения бесперебойной работы организации, процедуры перехода на аварийный режим, архивная информация; б) программные активы: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты; в) физические активы: компьютерное оборудование (процессоры, мониторы, лэптопы, модемы), коммуникационное оборудование (маршрутизаторы, УАТС, факсы, автоответчики) магнитные носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения; г) сервисы: вычислительные и коммуникационные сервисы, другие технические сервисы (отопление, освещение, энергоснабжение, кондиционирование воздуха).

4.2 Классификация (категорирование) информации

5.Безопасность персонала5.Безопасность персонала

5.1 Безопасность в должностных инструкциях и при выделении ресурсов • Безопасность в должностных инструкциях • Проверка персонала • Соглашение о конфиденциальности (о неразглашении)• Договор и условия найма

5.2 Обучение пользователей • Обучение правилам информационной безопасности

5.3 Реагирование на связанные с безопасностью инциденты и злонамеренную деятельности • Уведомление об инцидентах в системе безопасности • Уведомление о слабых местах в системе безопасности • Уведомление об отказах программного обеспечения • Использование накапливаемого в процессе инцидентов опыта• Процедура наложения дисциплинарных взысканий

6.Физическая безопасность и 6.Физическая безопасность и безопасность окружающей средыбезопасность окружающей среды

6.1 Защищенные области

6.1.1Физический периметр безопасностиа) периметр безопасности должен быть четко определен;б) периметр безопасности, представляющий собой строение или участок, на территории которого находятся средства обработки информации, должны быть физически прочным. Внешние стены объекта должны представлять собой прочные конструкции и все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа, например, механизмами контроля, барьеры, сигналы тревоги, замки и т.д.;в) должен быть установлен контролируемый приемный пункт (проходная) или другие средства контроля физического доступа к месторасположению объекта или в помещение. Доступ к месторасположению объекта и в помещения должен устанавливаться только уполномоченным персоналом;г) физические барьеры должны по необходимости простираться от пола до потолка, чтобы предотвратить несанкционированный доступ в помещение и загрязнение окружающей среды такие, как последствия пожара или наводнения;д) на все воспламеняющиеся двери периметра безопасности должна быть поставлена сигнализация и они должны закрываться со стуком для привлечения внимания.

6.1.2 Физический контроль за доступом 6.1.3 Защита офисов, комнат и средств 6.1.4 Работа в защищенной области 6.1.5 Изолированные области разгрузки и загрузки оборудования и материалов

6.2 Защита оборудования

6.2.1 Размещение и защита оборудования 6.2.2 Источники электропитания 6.2.3 Защита кабельной разводки 6.2.4 Техническое обслуживание оборудования 6.2.5 Защита оборудования, используемого за пределами организации 6.2.6 Надежная утилизация или повторное использование оборудования

6.3 Общий контроль 6.3.1 Политика чистого рабочего стола и чистого экрана 6.3.2 Вынос имущества за пределы организации

7.Управление средствами и 7.Управление средствами и процессамипроцессами

7.1 Рабочие процедуры и ответственность 7.1.1 Документированные операционные процедуры 7.1.2 Контроль текущих изменений в информационной системе 7.1.3 Процедуры управления в случае инцидентов 7.1.4 Разделение обязанностей 7.1.5 Разделение процессов разработки и использования рабочих программ 7.1.6 Внешнее (стороннее) управление средствами обработки информации

7.2 Планирование систем и их приемка

7.2.1 Планирование производительности 7.2.2 Приемка систем Следует специально контролировать: а) требования к производительности и загрузке компьютеров; б) подготовку процедур восстановления и перезапуска систем после сбоев, а также планов действий в экстремальных ситуациях; в) подготовку и тестирование повседневных операционных процедур в соответствии с заданными стандартами; г) эффективности процедур ручного управления; д) производственные соглашения; е) указания на то, что установка новой системы не будет иметь пагубных последствий для функционирующих систем, особенно в моменты пиковой нагрузки на систему обработки (например, в конце месяца); ж) эффект, который новая система оказывает на общую безопасность организации;

д) подготовку персонала к использованию новых систем.

7.3 Защита от вредоносного программного обеспечения 7.4 Обслуживание систем 7.4.1 Резервное копирование данных 7.4.2 Журналы регистрации событий

7.4.3 Регистрация сбоев 7.5 Сетевое администрирование Средства управления безопасностью сетей 7.6 Работа с носителями информации и их защита 7.6.1 Управление съемными компьютерными носителями информации 7.6.2 Удаление носителей данных 7.6.3 Процедуры работы c данными 7.6.4 Защита системной документации

7.7 Обмен данными и программами 7.7.1 Соглашения об обмене данными и программами 7.7.2 Защита носителей информации во время транспортировки 7.7.3 Защита электронной торговли (электронных документов) 7.7.4 Защита электронной почты 7.7.5 Защита систем электронного офиса Системы общего доступа (Интернент)

7.7.6 Другие виды информационного обмена

8.Управление доступом к системам

8.1 Требования к управлению доступом 8.1.1 Документированная политика управления доступом к информации

Производственные требования Правила управления доступом 8.2 Управление доступом пользователей

8.2.1 Регистрация пользователей 8.2.2 Управление привилегиями 8.2.3 Управление пользовательскими паролями

8.2.4 Пересмотр прав доступа пользователей 8.3 Обязанности пользователей

8.3.1 Использование паролей 8.3.2 Пользовательское оборудование, оставленное без присмотра

8.4 Управление доступом к сети8.4 Управление доступом к сети 8.4.1 Политика использования сетевых сервисов 8.4.2 Принудительная маршрутизация 8.4.3 Аутентификация пользователей для внешних подключений 8.4.4 Аутентификация узлов сети 8.4.5 Защита удаленного диагностического порта 8.4.6 Сегментация сетей 8.4.7 Контроль сетевых подключений 8.4.8 Управление сетевой маршрутизацией 8.4.9 Защита сетевых сервисов

8.5 Управление доступом к операционной системе 8.5.1 Автоматическая идентификация терминалов 8.5.2 Процедуры входа в систему с терминала 8.5.3 Идентификация и аутентификация пользователей 8.5.4 Система управления паролями 8.5.5 Использование системных утилит 8.5.6 Сигнал тревоги, предупреждающий о принуждении, для защиты пользователей 8.5.7 Время простоя терминалов 8.5.8 Ограничение времени подключения

8.6 Управление доступом к приложениям 8.6.1 Ограничение доступа к информации 8.6.2 Изоляция уязвимых систем

8.7 Слежение за доступом к системам и их использованием 8.7.1 Регистрация событий 8.7.2 Слежение за использованием систем 8.7.3 Синхронизация системных часов

8.8 Мобильные вычисления и телеобработка8.8.1 Мобильные вычисления8.8.2 Телеобработка

9.Разработка и сопровождение систем (Область регулирования ОК)

9.1 Требования к безопасности систем 9.2 Безопасность в прикладных системах 9.3 Криптографические средства контроля9.4 Безопасность системных файлов9.5 Безопасность процессов разработки и поддержки

10.Управление бесперебойной работой организации

11.Соответствие законодательству и нормам безопасности

11.1 Соответствие правовым нормам11.2 Анализ политики безопасности и технической согласованности11.3 Положения, касающиеся аудита систем

УП «Научно-исследовательский институт УП «Научно-исследовательский институт технической защиты информации»технической защиты информации»г. Минск, ул. Первомайская, 26, к.2г. Минск, ул. Первомайская, 26, к.2Тел. 2Тел. 29494 00 11, 2 00 11, 29494 22 54, 2 22 54, 29494 01 71 01 71

Директор – Чурко Олег Василевич тел. 2Директор – Чурко Олег Василевич тел. 29494 16 84 16 84

Центр испытаний средств защиты информации Центр испытаний средств защиты информации и аттестации информационных объектови аттестации информационных объектов

info@niitzi.byinfo@niitzi.by

Зам. начальника Центра испытанийЗам. начальника Центра испытаний -- Мельник Александр Филиппович тел. 294 30 85 Мельник Александр Филиппович тел. 294 30 85Нач. испытательной лабораторииНач. испытательной лаборатории - - Кондрахин Олег ЮрьевичКондрахин Олег ЮрьевичИнженер Инженер II категории испытательной лаборатории категории испытательной лаборатории - Андрухович Мария Константиновна- Андрухович Мария Константиновна