Защита информационных активов организации реферат

Обновлено: 05.07.2024

Рекомендации в области стандартизации Банка России

РС БР ИББС-2.2-2009

Обеспечение информационной безопасности организаций банковской системы Российской Федерации

Методика оценки рисков нарушения информационной безопасности

Дата введения: 2010-01-01

Предисловие

1. Приняты и введены в действие распоряжением Банка России от 11 ноября 2009 года N Р-1190.

2. Введены впервые.

Настоящие рекомендации в области стандартизации не могут быть полностью или частично воспроизведены, тиражированы и распространены в качестве официального издания без разрешения Банка России.

Введение

Действующим стандартом Банка России "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (далее - СТО БР ИББС-1.0) с целью создания и поддержания на должном уровне системы обеспечения информационной безопасности (СОИБ) организаций банковской системы (БС) Российской Федерации (РФ) определено требование проведения оценки рисков нарушения информационной безопасности (ИБ).

Настоящая методика устанавливает рекомендуемые способы и порядок проведения оценки рисков нарушения ИБ организации БС РФ, являющейся составной частью системы менеджмента ИБ (СМИБ) организации БС РФ.

Положения настоящей методики могут быть использованы для целей внутреннего контроля организаций БС РФ.

Периодичность проведения оценки рисков нарушения ИБ, в том числе с использованием положений настоящей методики, определяется организацией БС РФ самостоятельно.

1. Область применения

Настоящая методика распространяется на организации БС РФ, проводящие оценку рисков нарушения ИБ в рамках построения/совершенствования системы обеспечения информационной безопасности (СОИБ) в соответствии с требованиями СТО БР ИББС-1.0.

Настоящая методика рекомендована для применения путем использования устанавливаемых в ней положений при проведении оценки рисков нарушения ИБ и использовании результатов оценки рисков нарушения ИБ, а также путем включения ссылок на нее и (или) прямого использования содержащихся в ней положений во внутренних документах организации БС РФ.

В конкретной организации БС РФ для проведения оценки рисков нарушения ИБ могут использоваться иные методики. Результаты использования настоящей методики и иных методик оценки рисков нарушения ИБ имеют равное значение при построении СОИБ организации БС РФ.

2. Нормативные ссылки

В настоящей методике использованы нормативные ссылки на стандарт СТО БР ИББС-1.0.

3. Термины и определения

В настоящей методике применены термины по СТО БР ИББС-1.0, в том числе следующие термины (в алфавитном порядке) с соответствующими определениями:

3.1. Априорные защитные меры: защитные меры, эксплуатация которых сокращает качественно или количественно существующие уязвимости объектов защиты информационных активов, тем самым снижая вероятность реализации соответствующих угроз ИБ (например, средства защиты от несанкционированного доступа).

3.2. Апостериорные защитные меры: защитные меры, эксплуатация которых сокращает степень тяжести последствий нарушения свойств ИБ информационных активов (например, средства резервного копирования и восстановления информации).

3.3. Допустимый риск нарушения информационной безопасности: риск нарушения ИБ, предполагаемый ущерб от которого организация БС РФ в данное время и в данной ситуации готова принять.

3.4. Информационный актив: информация с реквизитами, позволяющими ее идентифицировать; имеющая ценность для организации БС РФ; находящаяся в распоряжении организации БС РФ и представленная на любом материальном носителе в пригодной для ее обработки, хранения или передачи форме.

3.5. Источник угрозы информационной безопасности; источник угрозы ИБ: объект или субъект, реализующий угрозы ИБ путем воздействия на объекты среды информационных активов организации БС РФ.

3.6. Модель угроз информационной безопасности; модель угроз ИБ: описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба.

3.7. Обработка риска нарушения информационной безопасности: процесс выбора и осуществления защитных мер, снижающих риск нарушения ИБ, или мер по переносу, принятию или уходу от риска.

3.8. Объект среды информационного актива: материальный объект среды использования и (или) эксплуатации информационного актива (объект хранения, передачи, обработки, уничтожения и т.д.).

3.9. Остаточный риск нарушения информационной безопасности: риск, остающийся после обработки риска нарушения ИБ.

3.10. Оценка риска нарушения информационной безопасности: систематический и документированный процесс выявления, сбора, использования и анализа информации, позволяющей провести оценивание рисков нарушения ИБ, связанных с использованием информационных активов организации БС РФ на всех стадиях их жизненного цикла.

3.11. Риск: мера, учитывающая вероятность реализации угрозы и величину потерь (ущерба) от реализации этой угрозы.

3.12. Риск нарушения информационной безопасности; риск нарушения ИБ: риск, связанный с угрозой ИБ.

Риски нарушения ИБ заключаются в возможности утраты свойств ИБ информационных активов в результате реализации угроз ИБ, вследствие чего организации БС РФ может быть нанесен ущерб.

3.13. Угроза информационной безопасности; угроза ИБ: угроза нарушения свойств ИБ - доступности, целостности или конфиденциальности информационных активов организации БС РФ.

3.14. Ущерб: утрата активов, повреждение (утрата свойств) активов и (или) инфраструктуры организации или другой вред активам и (или) инфраструктуре организации БС РФ, наступивший в результате реализации угроз ИБ через уязвимости ИБ.

4. Общий подход к оценке рисков нарушения ИБ

4.1. Информационные активы организации БС РФ рассматриваются в совокупности с соответствующими им объектами среды. При этом обеспечение свойств ИБ для информационных активов выражается в создании необходимой защиты соответствующих им объектов среды.

4.2. Угрозы ИБ реализуются их источниками (источниками угроз ИБ), которые могут воздействовать на объекты среды информационных активов организации БС РФ. В случае успешной реализации угрозы ИБ информационные активы теряют часть или все свойства ИБ.

4.3. Оценка рисков нарушения ИБ проводится для типов информационных активов (типов информации), входящих в предварительно определенную область оценки. Для оценки рисков нарушения ИБ предварительно определяются и документально оформляются:

- полный перечень типов информационных активов, входящих в область оценки;

- полный перечень типов объектов среды, соответствующих каждому из типов информационных активов области оценки;

- модель угроз ИБ, описывающую угрозы ИБ для всех выделенных в организации БС РФ типов объектов среды на всех уровнях иерархии информационной инфраструктуры организации БС РФ.

Формирование перечня источников угроз и моделей угроз рекомендуется проводить с учетом положений СТО БР ИББС-1.0, а также перечня основных источников угроз ИБ, приведенных в приложении 1.

4.4. Перечень типов информационных активов формируется на основе результатов выполнения в организации БС РФ классификации информационных активов. Состав перечня типов информационных активов (классификация информации) не должен противоречить нормам законодательства РФ, в том числе нормативных актов Банка России.

В качестве примера используется следующий перечень типов информационных активов в организации БС РФ:

- информация ограниченного доступа:

- информация, содержащая сведения, составляющие банковскую тайну:

- платежная информация (информация, предназначенная для проведения расчетных, кассовых и других банковских операций и учетных операций);

- информация, содержащая сведения, составляющие коммерческую тайну;

- управляющая информация платежных, информационных и телекоммуникационных систем (информация, используемая для технической настройки программно-аппаратных комплексов обработки, хранения и передачи информации);

- открытая (общедоступная) информация.

В конкретной организации БС РФ указанный перечень может быть изменен в соответствии с принятыми в ней подходами к классификации информационных активов и уровнем детализации типов информационных активов при проведении оценки рисков нарушения ИБ.

4.5. Формирование перечней типов объектов среды выполняется в соответствии с иерархией уровней информационной инфраструктуры организации БС РФ, определенной в СТО БР ИББС-1.0. В частности, указанные перечни могут содержать следующие типы объектов среды:

- линии связи и сети передачи данных;

- сетевые программные и аппаратные средства, в том числе сетевые серверы;

- файлы данных, базы данных, хранилища данных;

- носители информации, в том числе бумажные носители;

- прикладные и общесистемные программные средства;

- программно-технические компоненты автоматизированных систем;

- помещения, здания, сооружения;

- платежные и информационные технологические процессы.

4.6. Риск нарушения ИБ определяется на основании качественных оценок:

- степени возможности реализации угроз ИБ (далее - СВР угроз ИБ) выявленными и (или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды рассматриваемых типов информационных активов;

- степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов (далее - СТП нарушения ИБ).

4.7. Оценка СВР угроз ИБ и СТП нарушения ИБ базируется на экспертной оценке, выполняемой сотрудниками службы ИБ организации БС РФ с привлечением сотрудников подразделений информатизации. Для оценки СТП нарушения ИБ дополнительно привлекаются сотрудники профильных подразделений, использующих рассматриваемые типы информационных активов. Взаимодействие сотрудников указанных подразделений осуществляется в рамках постоянно действующей или создаваемой на время проведения оценки рисков нарушения ИБ рабочей группы.

4.8. К экспертной оценке СВР угроз ИБ и СТП нарушения ИБ привлекаются сотрудники организации БС РФ, обладающие необходимыми знаниями, образованием и опытом работы.

4.8.1. Рекомендуется, чтобы эксперты, привлекаемые для оценки СВР угроз ИБ и СТП нарушения ИБ из числа сотрудников службы ИБ или подразделения информатизации организации БС РФ, имели:

знания законодательства РФ в области обеспечения информационной безопасности;

знания международных и национальных стандартов в области обеспечения информационной безопасности;

знания нормативных актов и предписаний регулирующих и надзорных органов в области обеспечения информационной безопасности;

знания внутренних документов организации БС РФ, регламентирующих деятельность в области обеспечения информационной безопасности;

знания о современных средствах вычислительной и телекоммуникационной техники, операционных системах, системах управления базами данных, а также о конкретных способах обеспечения информационной безопасности в них;

знания о возможных источниках угроз ИБ, способах реализации угроз ИБ, частоте реализации угроз ИБ в прошлом;

знания о способах обеспечения информационной безопасности в платежных, информационных и телекоммуникационных системах организации БС РФ;

понимание различных подходов к обеспечению информационной безопасности, знания защитных мер, свойственных им ограничений.

4.8.2. Рекомендуется, чтобы эксперты, привлекаемые для оценки СТП нарушения ИБ из числа сотрудников профильных подразделений, имели:

знания законодательства РФ в области своей профессиональной деятельности;

знания нормативных актов и предписаний регулирующих и надзорных органов в области своей профессиональной деятельности;

знания внутренних документов организации БС РФ, регламентирующих их профессиональную деятельность;

знания бизнес-процессов организации БС РФ, а также организации платежных и информационных технологических процессов в области своей профессиональной деятельности;

понимание степени влияния возможных инцидентов ИБ на функционирование бизнес-процессов организации БС РФ в области своей профессиональной деятельности;

знания о платежных, информационных и телекоммуникационных системах организации БС РФ в области своей профессиональной деятельности.

4.8.3. Рекомендуется, чтобы каждый эксперт, привлекаемый для оценки рисков нарушения ИБ, соответствовал следующим характеристикам:

Как работаем и отдыхаем в 2022 году ?

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Гончаров Андрей Михайлович

Защита конфиденциальной информации

Для любой организации, независимо от вида деятельности, одной из важнейших сфер бизнес интереса является защита конфиденциальной информации.

Для создания эффективной системы защиты информации, компании необходимо определить степень важности различных типов данных, знать, где они хранятся, каким образом и кем обрабатываются и как уничтожаются в конце жизненного цикла. Без этого будет сложно предотвратить утечку конфиденциальных данных и обосновать финансовые расходы на защиту информации.

Категории информации по степени конфиденциальности

Информация, используемая в предпринимательской и иной деятельности весьма разнообразна. Вся она представляет различную ценность для организации и ее разглашение может привести к угрозам экономической безопасности различной степени тяжести. Боязнь лишиться таких активов заставляет компании создавать иные формы системы защиты, в том числе и организационную, а главное — правовую.

В связи, с чем информация разделяется на три группы:

  • Первая — несекретная (или открытая), которая предназначена для использования как внутри Организации, так и вне нее.
  • Вторая — для служебного пользования (ДСП), которая предназначена только для использования внутри Организации. Она подразделяется, в свою очередь, на две подкатегории:
    • Доступная для всех сотрудников Организации;
    • Доступная для определенных категорий сотрудников Организации, но данная информация может быть передана в полном объеме другому сотруднику для исполнения трудовых обязанностей.

    Информация второй и третьей категории является конфиденциальной.

    Примерный перечень конфиденциальной информации:

    1. Информация, составляющая коммерческую тайну — сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам;
    2. Банковская тайна — сведения об операциях, о счетах и вкладах организаций — клиентов банков и корреспондентов;
    3. Иные виды тайн: адвокатская тайна, нотариальная тайна, тайна переписки и т.д.;
    4. Информация, имеющая интеллектуальную ценность для предпринимателя — техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, результаты испытаний опытных образцов, данные контроля качества и т.п. и деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т.п.

    Уровни защиты информации

    Для принятия правильных мер, следует точно определить уровень защиты информации.

    Можно выделить три уровня системы защиты конфиденциальной информации:

    Уровни защиты информации

      • Правовой уровень защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации;
      • Организационный защиты информации содержит меры управленческого, ограничительного и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы;
      • Технический, который состоит из:
        • Инженерно-технический элемент системы защиты информации
        • Программно-аппаратный элемент системы защиты информации
        • Криптографический элемент системы защиты информации

        Важным моментом также являются не только установление самого перечня конфиденциальной информации, но и порядка ее защиты, а также порядка её использования.

        Очень важно отразить в Политике информационной безопасности организации перечень конфиденциальной информации.

        В целях охраны конфиденциальности информации руководитель Организации обязан:

        • ознакомить под расписку работника, которому доступ к таким сведениям необходим для выполнения трудовых обязанностей, с перечнем информации, составляющей коммерческую тайну, обладателями которой являются работодатель и его контрагенты;
        • ознакомить сотрудника под расписку с установленным работодателем режимом коммерческой тайны и с мерами ответственности за его нарушение;
        • создать работнику необходимые условия для соблюдения установленного режима

        Методы обеспечения защиты конфиденциальных документов

        Обеспечение защиты конфиденциальных документов достигается следующими основными методами:

        1. Определение состава информации, которую целесообразно отнести к категории конфиденциальной;
        2. Определение круга сотрудников, которые должны иметь доступ к той или иной конфиденциальной информации, и оформление с ними соответствующих взаимоотношений;
        3. Организация эффективной системы делопроизводства с конфиденциальными документами.

        В соответствии с ГОСТ Р 50922-2006 можно выделить следующие (обобщенные) организационные и технические меры защиты конфиденциальной информации:

        Меры защиты конфиденциальной информации

        1. защита конфиденциальной информации от утечки — защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение получения защищаемой информации нарушителем;
        2. защита конфиденциальной информации от несанкционированного воздействия — защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к защищаемой информации;
        3. защита информации от непреднамеренного воздействия — защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к защищаемой информации;
        4. защита информации от разглашения — защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов, не имеющих права доступа к этой информации;
        5. защита информации от несанкционированного доступа — защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами или обладателями информации прав или правил разграничения доступа к защищаемой информации;
        6. защита информации от преднамеренного воздействия — защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного или воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

        В завершении стоит отметить важность и определяющую значимость эффективно выстроенной системы защиты конфиденциальной информации по причине высокой ценности такой информации.
        Такая система должна быть продуманной, прозрачной и комплексной.

        Система защиты конфиденциальной информации не должна иметь пробелов как в обеспечении ИБ элементов информационной инфраструктуры Организации, так и в её реализации на документарном уровне. Все уровни и элементы системы защиты конфиденциальной информации должны быть взаимосвязаны, оптимально выстроены и контролируемы.

        От эффективности этой системы зависит жизнеспособность организации т.к. информация, в условиях современности – самый ценный ресурс.

        Проблемы информационной безопасности: алгоритм построения системы ИБ с нуля

        Представим ситуацию, когда в компании создается подразделение информационной безопасности. Перед руководителем ИБ-отдела очерчен круг задач, выделен бюджет и дана отмашка на старт. Предлагаем рассмотреть алгоритм, который поможет в текучке неотложных дел сфокусироваться на главном.

        1. Заручиться поддержкой руководства.

        Если отдел информационной безопасности создан по инициативе руководства компании, то проблема решена. Однако в реальности часто ИБ-отдел создается стихийно, при этом существует служба безопасности, которая не очень понимает, что такое технические меры защиты, есть также ИТ-служба, которая воспринимает ИБ-отдел как помеху и т д.

        2. Определить состав рабочей группы.

        Важно определить, какие специалисты будут принимать активное участие в работах по информационной безопасности.

        Есть мнение, что можно отдать работы по ИБ на аутсорсинг и полностью сосредоточиться на текущих задачах. Это верно лишь отчасти, поскольку никакие внешние эксперты не смогут оценить реальную важность и ценность информационных ресурсов компании, они могут лишь привнести объективный взгляд со стороны. Поэтому в рабочей группе обязательно должен быть представитель владельца информационных ресурсов.

        3. Определить риски.

        После того как сформирована рабочая группа и получена поддержка действий от руководства, переходим к этапу управления рисками. На этом этапе необходимо:

        • идентифицировать информационные активы, представляющие ценность;
        • провести анализ информационных ресурсов, к защите которых предъявляются требования со стороны законодательства/отрасли;
        • провести анализ информационных ресурсов на существующие уязвимости с точки зрения информационной безопасности;
        • провести анализ источников угроз;
        • проанализировать сами угрозы;
        • оценить возможный ущерб;
        • подготовить отчет для презентации руководству.

        После проведения этапа должен быть составлен список определенных угроз и оценен ущерб, который может быть потенциально нанесен компании при реализации этих угроз. При расчете ущерба следует учитывать вероятность наступления тех или иных угроз.

        После оценки возможного ущерба необходимо проработать риски по каждой актуальной угрозе.

        4. Принять организационные меры.

        На данном этапе разрабатываются политики, стандарты, руководства и инструкции, направленные на поддержание системы ИБ. Фиксируется ответственность сотрудников за нарушение требований ИБ, разглашение и нарушение конфиденциальности информации. Важно понимать, что эффективная система ИБ не может существовать без регламентов, инструкций, документов, направленных на ее поддержание.

        5. Выбрать и внедрить меры и средства защиты информации.

        На этом этапе осуществляется выбор средств защиты информации и оценка их эффективности. Оценка эффективности нужна для понимания, окупятся ли затраты, потраченные на СЗИ. Прибыль здесь косвенная — минимизация рисков, которые были определены ранее.

        При выборе мер и средств защиты необходимо руководствоваться правилом: затраты на приобретение, внедрение, настройку, обучение специалистов, сопровождение средств защиты не должны превышать ущерба от реализации угрозы, на защиту от которой эти средства направлены.

        6. Довести информацию до заинтересованных лиц.

        Важно донести до пользователей необходимую информацию по ИБ доступными для них способами. Сотрудникам лучше всего показать на практике, как безопасно работать и взаимодействовать, провести презентацию или обучение. Руководству полезно будет показать убытки, которые может получить компания в случае невыполнения мер по информационной безопасности. Специалистам нужно показать, какими средствами можно пользоваться, а какими нет и почему, а также озвучить ответственность за нарушения этих мер.

        7. Провести мониторинг и оценку.

        После проведения всех этапов необходимо провести мониторинг и оценку результатов работ. Важно понять, насколько изменилось состояние ИБ.

        Например, хорошим показателем будет появление инцидентов или вопросов по ИБ после проведения обучения сотрудников. Если до обучения обращений по инцидентам не возникало, а после обучения стали появляться инциденты, значит, оно прошло не зря.

        Но на этом работа не заканчивается. Цикличность работ по ИБ связана с тем, что информационная среда очень изменчива. Происходят изменения внутри самих информационных активов, изменения в информационных технологиях, в способах обработки информации, а значит, нужно снова возвращаться к анализу рисков и актуализации системы ИБ.

        Не пропустите новые публикации

        Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.


        Информационная безопасность

        1. Перечень используемых определений, обозначений и сокращений

        АИБ – Администратор информационной безопасности.

        АРМ – Автоматизированное рабочее место.

        АС – Автоматизированная система.

        ИБ – Информационная безопасность.

        ИР – Информационные ресурсы.

        ИС – Информационная система.

        КИ — Конфиденциальная информация.

        МЭ – Межсетевой экран.

        ЛВС — Локальная вычислительная сеть.

        НСД – Несанкционированный доступ.

        ОС – Операционная система.

        ПБ – Политики безопасности.

        ПДн – Персональные данные.

        ПО – Программное обеспечение.

        СЗИ – Средство защиты информации.

        СУИБ — Система управления информационной безопасностью.

        ЭВМ – Электронная – вычислительная машина, персональный компьютер.

        Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

        Администратор информационной безопасности – специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

        Доступ к информации – возможность получения информации и ее использования.

        Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

        Информация – это актив, который, подобно другим активам, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

        Информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.

        Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

        Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

        Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.

        Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

        Конфиденциальность – доступ к информации только авторизованных пользователей.

        Локальная вычислительная сеть – группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.

        Несанкционированный доступ к информации – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

        Программное обеспечение – совокупность прикладных программ, установленных на сервере или ЭВМ.

        Рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.

        Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название подразделения, телефоны, E-mail и т.п.

        Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.

        Угрозы информации – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.

        Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности при реализации угроз в информационной сфере.

        Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

        Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

        2. Вводные положения

        Должностные обязанности АИБа и системного администратора закрепляются в соответствующих инструкциях.

        Политика ИБ направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

        Стратегия обеспечения ИБ заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.

        Задачами настоящей политики являются:

        - описание организации СУИБ;

        - определение Политики ИБ, а именно: политика реализации антивирусной защиты; политика учетных записей; политика предоставления доступа к ИР; политика использования паролей; политика защиты АРМ; политика конфиденциального делопроизводства;

        2.4. Область действия

        2.5. Период действия и порядок внесения изменений

        - администратор информационной безопасности.

        Плановая актуализация настоящей политики производится ежегодно и имеет целью приведение в соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к защите информации.

        Внеплановая актуализация политики ИБ и производится в обязательном порядке в следующих случаях:

        Ответственными за актуализацию политики ИБ (плановую и внеплановую) несет АИБ.

        Контроль за исполнением требований настоящей политики и поддержанием ее в актуальном состоянии возлагается на АИБа.

        3.1. Назначение политики информационной безопасности

        Политика ИБ регламентируют эффективную работу СЗИ. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Политика ИБ реализуются посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты.

        3.2. Основные принципы обеспечения информационной безопасности

        Основными принципами обеспечения ИБ являются следующие:

        - контроль эффективности принимаемых защитных мер;

        3.3. Соответствие Политики безопасности действующему законодательству

        Правовую основу политики составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.

        3.4. Ответственность за реализацию политики информационной безопасности

        Ответственность за разработку мер и контроль обеспечения защиты информации несёт АИБ.

        Ответственность за реализацию политики возлагается:

        - в части, касающейся разработки и актуализации правил внешнего доступа и управления доступом, антивирусной защиты – на АИБа;

        3.5. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

        4. Политика информационной безопасности

        4.1. Политика предоставления доступа к информационному ресурсу

        4.2. Политика учетных записей

        4.2.1. Наз н ачение

        4.2.2. Положение политики

        Регистрационные учетные записи подразделяются на:

        - системные – используемые для нужд операционной системы;

        - служебные – предназначенные для обеспечения функционирования отдельных процессов или приложений.

        В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале учета машинного времени, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено.

        Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.

        Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.

        Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.

        4.3. Политика использования паролей

        4.3.2. Положения политики

        4.4. Политика реализации антивирусной защиты

        4.4.2. Положения политики

        4.5. Политика защиты автоматизированного рабочего места

        4.5.2. Положения политики

        Положения данной политики определяются в соответствии с используемым техническим решением.

        5. Профилактика нарушений политик информационной безопасности

        5.1. Ликвидация последствий нарушения политик информационной безопасности

        АИБ, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения ИБ, факты осуществления НСД к защищаемым ИР и предпринимать меры по их локализации и устранению.

        В случае обнаружения подсистемой защиты информации факта нарушения ИБ или осуществления НСД к защищаемым ИР ИС рекомендуется уведомить АИБа, и далее следовать их указаниям.

        Действия АИБа и администратора информационной системы при признаках нарушения политик информационной безопасности регламентируются следующими внутренними документами:

        - политикой информационной безопасности;

        - регламентом администратора информационной безопасности;

        - регламентом системного администратора.

        После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.

        5.2. Ответственность за наруш ение Политик безопасности

        Читайте также: