2015-08-21
2175
Пожалуй, на сегодня это самые востребованные стандарты в области ИБ.
ISO 27002 (прежде ISO 17799) содержит свод рекомендаций по эффективной организации систем управления ИБ на предприятии, затрагивая все ключевые области, в частности:
· формирование политики ИБ;
· безопасность, связанная с персоналом;
· безопасность коммуникаций;
· физическая безопасность;
· управление доступом;
· обработка инцидентов;
· обеспечение соответствия требованиям законодательства.
Стандарт ISO 27001 является сборником критериев при проведении сертификации системы менеджмента, по результатам которой аккредитованным органом по сертификации выдается международный сертификат соответствия, включаемый в реестр.
Согласно реестру, в России в настоящее время зарегистрировано около полутора десятка компаний, имеющих такой сертификат, при общем числе сертификаций в мире более 5000. Подготовка к сертификации может осуществляться либо силами самой организации, либо консалтинговыми компаниями, причем практика показывает, что намного проще получить сертификат ISO 27001 компаниям, уже имеющим сертифицированную систему управления (например, качеством).
Стандарты ISO 27001/27002 являются представителями новой серии стандартов, окончательное формирование которой еще не закончено: в разработке находятся стандарты 27000 (основные принципы и терминология), 27003 (руководство по внедрению системы управления ИБ), 27004 (измерение эффективности системы управления ИБ) и другие - всего в серии 27000 предполагается более 30 стандартов. Подробнее о составе серии и текущем состоянии ее разработки можно узнать на официальном сайте ISO (www.iso.org)
|
|
|
Международные стандарты ISO13335 и ISO15408
Стандарт ISO 13335 является семейством стандартов безопасности информационных технологий, охватывающих вопросы управления ИТ-безопасностью, предлагая конкретные защитные меры и способы. В настоящее время происходит постепенное замещение серии 13335 более новой серией 27000. Стандарт ISO 15408 содержит единые критерии оценки безопасности ИТ-систем на программно-аппаратном уровне (подобно знаменитой Оранжевой книге, которая также известна как критерии оценки TCSEC, или европейские критерии ITSEC), которые позволяют сравнивать результаты, полученные в разных странах.
В целом данные стандарты, хотя и содержат лишь технологическую часть, могут использоваться как независимо, так и при построении систем управления ИБ в рамках, например, подготовки к сертификации на соответствие ISO 27001.
Международный стандарт ISO 20000 (касательно эволюции)
Стандарт ISO 20000 заменил собой британский стандарт BS 15000. Он описывает сервисную модель ИТ, реализуя положения специализированной библиотеки ITIL (IT Infrastructure Library – библиотека инфраструктуры ИТ) и концепцию ITSM (IT Service Management – управление ИТ-услугами). Стандарт предъявляет требования к процессам управления ИТ-сервисами и устанавливает критерии оценки, пригодные для проведения сертификация соответствия. Так же, как и в случае сертификации по ISO 27001, наличие у организациисертификата на какую-либо систему менеджмента упрощает процедуру подготовки к сертификации на соответствие ISO 20000. На сегодняшний день в России всего 6 организаций имеют сертификат ISO 20000.
|
|
|
9.Концепция и политикиинформационной безопасности хозяйствующего субъекта
До начала создания систем информационной безопасности ряд отечественных нормативных документов (ГОСТ Р ИСО/МЭК 15408 ГОСТ Р ИСО/МЭК 27000 ГОСТ Р ИСО/МЭК 17799) и международных стандартов (ISO 27001/17799) прямо требуют разработки основополагающих документов – Концепции и Политики информационной безопасности.
Однако, несмотря на это, многие системы информационной безопасности (как, впрочем, и информационные системы в целом) возникали в результате ряда нескоординированных между собой действий. Закупался антивирус, затем межсетевой экран, затем система резервного копирования. Никто не определял целей и задач защиты, принципов и способов достижения требуемого уровня безопасности информации, и самого этого уровня. Так получалась «лоскутная» система, не пригодная к планомерному развитию и сопровождению, к эффективной интеграции в ИТ-инфраструктуру предприятия, и, главное, не решающая задач обеспечения безопасности информации.
В результате, рано или поздно, владелец информационной системы сталкивается с необходимостью ответить на некоторые внешние вопросы, срочно разобраться в текущей ситуации и выработать основные положения о порядке защиты информации, выбрать базовые компоненты системы информационной безопасности, определить способы защиты. Иначе говоря, разработать Концепцию информационной безопасности.
В дальнейшем Концепция информационной безопасности используется для:
· принятия обоснованных управленческих решений по разработке мер защиты информации;
· выработки комплекса организационно-технических и технологических мероприятий по выявлению угроз информационной безопасности и предотвращению последствий их реализации;
· координации деятельности подразделений по созданию, развитию и эксплуатации информационной системы с соблюдением требований обеспечения безопасности информации;
· и, наконец, для формирования и реализации единой политики в области обеспечения информационной безопасности.
Если Концепция ИБ в общих чертах определяет, ЧТО необходимо сделать для защиты информации, то Политика детализирует положения Концепции, и говорит КАК, какими средствами и способами они должны быть реализованы.
Политика определяет также набор правил по работе с информационными ресурсами, и порядок контроля их выполнения. Она содержит перечень законодательных актов, ведомственных стандартов и организационно-распорядительных документов, на основании которых должна быть построена система обеспечения безопасности информации.
· Разработка концепции и политики информационной безопасности
· Расчет финансово-экономических показателей СОБИ, подготовка ТЭО СОБИ
· Разработка ТЗ (ЧТЗ) на создание СОБИ и ее компонентов
И ещё выдержки, взятые с одного форума:
1) Концепция "столбит" основные направления деятельности по защите и объясняет, как эти направления деятельности между собой взаимосвязаны. Каждая политика предметно описывает реализацию одного или нескольких из этих направлений деятельности.
2) Стандарты на разработку политик/концепций - Самый близкий по духу - ISO 13335-1. Он описывает пирамидальную структуру политик, самая верхнеуровневая из которых похожа на то, что у нас называется концепцией.
|
|
|
10.Назначение и структура кадрового обеспечения СОИБ. Существующая система подготовка кадров в области информационной безопасности
Важнейшая составная часть стратегически ориентированной политики организации – ее кадровая политика, представляющая собой в широком смысле систему осознанных и определенным образом сформулированных и закрепленных правил и норм, приводящих человеческий ресурс в соответствие с долговременной стратегией организации.
Цель кадровой политики – обеспечение оптимального баланса процессов обновления и сохранения численного и качественного состава кадров в соответствии с потребностями самой организации, требованиями действующего законодательства и состоянием рынка труда.
Частью кадровой политики является политика кадрового обеспечения задач, решаемых в организации. В ней формулируются нормы и правила формирования и поддержания на определенном уровне кадрового состава соответствующих подразделений организации. Причем в организации может существовать несколько политик кадрового обеспечения в зависимости от специфики и разнообразия решаемых задач.
// Касательно подготовки кадров – тут я хз. На парах он говорил, что это просто обучение в колледжах/универах, прохождение спец.курсов, получение аттестатов от тех же CISCO и всё в таком духе.
11.Подбор кадров и перечень требований к персоналу
//Тут, в принципе, вопрос на логику. Я к тому, что смотрят на наличие знаний/умений/etc., предпочтение отдаётся людям, у которых есть реальный опыт работы, выпускникам академии ФСБ (нашего направления офк), отслуживших в схожих войсках и всё такое прочее.
Требования – смотрят на приводы в полицию/судимости/проблемы с законом в целом, аттестаты, сертификаты с курсов (к примеру, опять же, CISCO) и т.п.
12. Особенности работы с персоналом СОИБ ХС
Работа с персоналом подразумевает целенаправленную деятельность руководства фирмы и трудового коллектива, направленную на наиболее полное использование трудовых и творческих способностей каждого члена коллектива, воспитание в нем фирменной гордости, препятствующей возникновению желания нанести вред организации, стать соучастником в недобросовестной конкуренции или криминальных действиях.
Человеческий фактор должен постоянно учитываться в долговременной стратегии фирмы и ее текущей деятельности, являться основным элементом построения действенной и эффективной системы защиты информационных ресурсов.
Организационные мероприятия по работе с персоналом, получающим доступ к конфиденциальной информации, можно разделить на несколько групп:
- проведение усложненных аналитических процедур при приеме и увольнении сотрудников;
- документирование добровольного согласия лица не разглашать конфиденциальные сведения и соблюдать правила обеспечения безопасности информации;
- инструктирование и обучение сотрудников практическим действиям по защите информации.
А контроль за выполнением персоналом требований по защите информации, стимулирование ответственного отношения к сохранению конфиденциальных сведений. Сложности в работе с персоналом определяются:
- большой ценой решения о допуске лица к тайне предприятия;
- наличием в фирме, как правило, небольшого контингента сотрудников, служебные обязанности которых связаны с использованием конфиденциальных сведений (руководители, ответственные исполнители, сотрудники службы конфиденциальной документации);
- разбиением тайны на отдельные элементы, каждый из которых известен определенным сотрудникам в соответствии с направлением их деятельности.
Персонал является основным и самым трудно-контролируемым источником ценной и конфиденциальной информации.
Источник, который мы именуем «Персонал и окружающие фирму люди», включает в себя:
- всех сотрудников данной фирмы, ее персонал;
- сотрудников других фирм;
- сотрудников государственных учреждений муниципальных органов, правоохранительных органов и т.д;
- журналистов средств массовой информации, сотрудничающих с фирмой,
- посетителей фирмы, работников коммунальных служб, почтовых служащих, работников служб экстремальной помощи и т.д.;
- посторонних лиц, работающих или проживающих рядом со зданием или помещениями фирмы, уличных прохожих;
- родственников, знакомых и друзей всех указанных выше лиц.
Перечисленные лица в той или иной мере являются или могут стать в силу обстоятельств источниками конфиденциальных сведений. Каждый из источников, особенно ставший им случайно, может стать опасным для фирмы в результате несанкционированного разглашения (оглашения) защищаемых сведений.
|
|
|
