ОРГАНИЗАЦИОННОЕ И ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Вопрос 1: «Модели организационного управления ИБ»
Основы организационного управления
Различие вариантов управления
Модель организационного управления ИБ
Централизованное руководство/ централизованное администрирование ИБ
Централизованное руководство/ децентрализованное администрирование ИБ
Децентрализованное руководство/ централизованное администрирование ИБ
Децентрализованное руководство/ децентрализованное администрирование ИБ
Вопрос 2: «Организационная инфраструктура управления ИБ»
Ключевые участники процесса управления ИБ
Функции участников процесса управления ИБ
Функции участников процесса управления ИБ
Все участники процессов управления и обеспечения ИБ должны иметь:
Вопрос 3: «Организационные мероприятия по управлению ИБ»
Разовые мероприятия
Постоянно проводимые мероприятия
Проводимые периодически
Проводимые по мере необходимости
Сотрудничество между организациями и консультации со специалистами в области ИБ
Вопрос 4: «Основы организации службы защиты информации»
Нормативно-правовая база деятельности службы ИБ
Основные функции службы ИБ
Варианты создания службы ИБ
Состав службы ИБ
Должности по обеспечению ИБ
Исполнительные должности
Функциональные должности
Дополнительные должности
Замещение должностей по ЗИ может подразумевать следующие виды профессиональной деятельности:
1.31M
Category: managementmanagement

Организационные основы управления информационной безопасностью

1. ОРГАНИЗАЦИОННОЕ И ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Лекция 10(Организационное обеспечение
информационной безопасности):
«Организационные основы
управления
информационной
безопасностью»

2.

Вопросы:
1. Модели организационного
управления ИБ.
2. Организационная инфраструктура
управления ИБ.
3. Организационные мероприятия по
управлению ИБ.
4. Основы
организации
службы
защиты информации.

3. Вопрос 1: «Модели организационного управления ИБ»

Главная
цель
организационного управления
ИБ - наиболее продуктивным
способом объединить
существующие в организации
структуры и культуру с новой
деятельностью по разработке и
внедрению СОИБ.

4. Основы организационного управления

Организационное
управления
ИБ
определяет
способ,
которым
ИБ
передается под контроль, реализуется и
управляется во всей организации.
Управление
Централизованное
Децентрализованное

5. Различие вариантов управления

Централизация указывает на наличие
единого органа, который может быть
отдельным лицом, комитетом или
другой структурной единицей.
Децентрализация
подразумевает
наличие
нескольких
органов
с
одинаковым уровнем полномочий.

6. Модель организационного управления ИБ

Определить
тип
управления ИБ
Неприемлемая
Реструктуризация
структура
для улучшения
администрирования
администрирования
ИБ
Пересмотр
ИБ
стратегии
обеспечения ИБ
Неприемлемая
структура
руководства ИБ
Реструктуризация
для улучшения
руководства ИБ
Почему
нет?
Стратегия
обеспечения ИБ
Неприемлемая
структура
обеспечения ИБ
НЕТ
Неприемлемая структура
руководства и
администрирования ИБ
Реструктуризация для
улучшения
администрирования и
руководства ИБ
Потребности
бизнеса в
обеспечении ИБ
Стратегия
реализуема при
данном типе
управления ИБ
Да
Разработка программы
обеспечения ИБ в рамках
организационной
структуры управления ИБ

7. Централизованное руководство/ централизованное администрирование ИБ

Исполнительный
директор
Другие директора: по
кадрам, правовым
вопросам и т.д.
Управляющий
директор (CEO)
Финансовый директор
(CFO)
Управляющий совет
по вопросам ИБ
Директор службы
информатизации (CIO)
Директор службы
ИБ (CISO)
Локальное
обслуживание ИТ
Локальное
обслуживание ИБ
Удаленное
обслуживание ИТ
Удаленное
обслуживание ИБ

8. Централизованное руководство/ децентрализованное администрирование ИБ

Исполнительный
директор
Другие директора: по
кадрам, правовым
вопросам и т.д.
Управляющий
директор
Финансовый
директор
Управляющий совет
по вопросам ИБ
Директор службы
информатизации
Удаленный
администратор
Удаленное
обслуживание ИТ и ИБ
Локальное
обслуживание ИТ
Директор
службы ИБ
Удаленный
администратор
Удаленное
обслуживание ИТ и ИБ
Глобальное
обслуживание ИБ
Локальное
обслуживание ИБ

9. Децентрализованное руководство/ централизованное администрирование ИБ

Исполнительный
директор
Другие директора: по
кадрам, правовым
вопросам и т.д.
Управляющий
директор
Локальные
администраторы ИТ
Финансовый
директор
Локальный(ые)
администратор(ы) ИТ
Локальное
обслуживание ИТ
Удаленное
обслуживание ИТ
Локальное
обслуживание ИБ
Удаленное
обслуживание ИБ

10. Децентрализованное руководство/ децентрализованное администрирование ИБ

Исполнительный
директор
Другие директора: по
кадрам, правовым
вопросам и т.д.
Управляющий
директор
Внешние
организации
Локальные
администраторы ИТ
Финансовый
директор
Внешние
финансисты
Локальный(ые)
администратор(ы) ИТ
Локальное
обслуживание ИТ
Удаленное
обслуживание ИТ
Локальное
обслуживание ИБ
Удаленное
обслуживание ИБ

11. Вопрос 2: «Организационная инфраструктура управления ИБ»

Организационная
инфраструктура
управления ИБ строится так, чтобы она
способствовала контроля за внедрением
организации ИБ.
Для этого:
Назначается
ответственный за все
вопросы, связанные с ИБ.
Создаются комитеты по управлению
вопросами ИБ с участием высшего
руководства.

12. Ключевые участники процесса управления ИБ

Комитет по
управлению
вопросами
ИБ
РУКОВОДСТВО
Служба ИТ
Служба
управления
рисками ИБ
Служба
внутреннего
аудита
Служба ИБ

13. Функции участников процесса управления ИБ

Руководство: поддержка и анализ СУИБ,
утверждение Политики ИБ, распределение
ключевых ролей и ответственности, общий
контроль за управлением ИБ;
Комитет по управлению вопросами ИБ:
стратегическое управление, утверждение
ключевых документов и бюджета ИБ;
Служба ИБ: оперативное управление,
реализация мероприятий по обеспечению
ИБ и уменьшению соответствующих рисков;

14. Функции участников процесса управления ИБ

Служба
управления
рисками
ИБ:
оценка рисков ИБ, подготовка и контроль
реализации
решений
руководства
по
обработке рисков ИБ;
Служба
внутреннего
аудита:
независимый
контроль
и
оценка
эффективности
деятельности
всех
подразделений (риск-менеджмент);
Служба ИТ: реализация ПТС управления
ИБ в зоне ответственности совместно или
под контролем службы ИБ.

15. Все участники процессов управления и обеспечения ИБ должны иметь:

механизмы взаимодействия с
другими лицами;
обязанности, одобренные
надлежащими лицами и в надлежащем
порядке;
определенные и достаточные
полномочия для обеспечения
выполнения Политики ИБ организации.

16. Вопрос 3: «Организационные мероприятия по управлению ИБ»

Организационные
мероприятия
по
управлению
ИБ
создают
основу,
объединяющую различные защитные
меры в единую СОИБ.
Мероприятия
Разовые
Проводимые
постоянно
Проводимые по мере
необходимости
Проводимые
периодически

17. Разовые мероприятия

Однократно проводимые и повторяемые
только при полном пересмотре принятых
решений в области управления ИБ:
Создание
организационной
инфраструктуры управления ИБ;
Построение моделей нарушителей ИБ для
всех активов организации;
Разработка
требований по основным
направлениям ОИБ в организации;
Разработка правил разграничения доступа
к активам, организация охраны и режима.

18. Постоянно проводимые мероприятия

Мероприятия,
проводимые
непрерывно
или
дискретно
в
случайные моменты времени:
обеспечение
достаточного
уровня
физической защиты всех активов;
постоянный
мониторинг
функционирования всех активов для
выявления проблем с ИБ;
организацию
явного
и
скрытого
контроля за работой пользователей и
персонала систем, сетей и сервисов;
анализ
состояния,
осуществляемый
службы ИБ и т. д.

19. Проводимые периодически

Мероприятия,
проводимые
через
определенные промежутки времени:
распределение реквизитов разграничения
доступа (паролей, ключей шифрования и
т. п.);
пересмотр моделей угроз ИБ и
нарушителей ИБ;
анализ состояния и оценки
эффективности мер ЗИ,
совершенствование СОИБ, проведение
учений и обучения в области ИБ и т. д.

20. Проводимые по мере необходимости

Мероприятия,
проводимые
при
осуществлении
или
возникновении
определенных изменений в защищаемых
активах организации или ее внешней
среде:
кадровые
изменения
в
составе
сотрудников организации, вовлеченных в
процесс управления ИБ;
ремонт и модификация АО и ПО;
расследование инцидентов ИБ;
восстановление работы активов после
инцидентов ИБ;
Консультации специалистов в области ИБ
и т. д.

21. Сотрудничество между организациями и консультации со специалистами в области ИБ

Организации
могут
получать
консультации
специалистов
по
вопросам ИБ.
Консультанты/администраторы по ИБ
должны
иметь
возможность
сами
получать
консультации
по
всем
аспектам
ИБ,
в
том
числе
и
с
привлечением внешних специалистов.
При обменах информацией по вопросам
ИБ
между
организациями
должна
обеспечиваться ЗИ от НСД.

22. Вопрос 4: «Основы организации службы защиты информации»

Основные цели службы ИБ:
предотвращение
возможности
завладения злоумышленником правами
на чужой актив или самим активом;
предотвращение
возможности
нанесения ущерба организации за счет
получения злоумышленником дохода от
неправомерного
использования
им
чужого актива;
минимизация рисков ИБ.

23. Нормативно-правовая база деятельности службы ИБ

законы
и подзаконные акты,
действующие на территории РФ;
«Положение
о
службе
безопасности организации;
должностные инструкции.

24. Основные функции службы ИБ

Функции
разработки
методологии и
проведения
анализа ИБ
Функции
аудита и
контроля
Функции
развития и
взаимодействия
Функции
эксплуатации
СЗИ
Функции,
выходящие
за рамки
службы ИБ

25. Варианты создания службы ИБ

Системные администраторы и
администраторы прикладных систем,
фактически выполняющие функции ИБ
Выделенные в организации работники или
отдельное подразделение, основной
задачей которого является организация
обеспечения ИБ

26. Состав службы ИБ

руководитель/начальник или директор;
заместитель начальника службы ИБ;
аналитики по вопросам ИБ;
риск-менеджер;
криптоаналитик;
ответственные за работу с ПДн;
администраторы СКЗИ;
администратор ИБ;
Сотрудник по расследованию инцидентов.

27. Должности по обеспечению ИБ

Исполнительные
Функциональные
Дополнительные

28. Исполнительные должности

Главный
специалист по ИБ
Специалист по
ИБ
Специалист по
проверке
соответствия ОИБ

29. Функциональные должности

Специалист по
компьютерной
форензике
Специалист по
защите
информации
Инженер по
защите
информации
Специалист по
защищенному
функционированию
и эксплуатации
компьютерных
систем

30. Дополнительные должности

Специалист по
физической
защите
Специалист
режимносекретного отдела
Специалист по
снабжению

31. Замещение должностей по ЗИ может подразумевать следующие виды профессиональной деятельности:

организационно-управленческая
(управление);
проектная (разработка);
эксплуатационная (реализация, внедрение);
контрольно-аналитическая (оценка);
научно-исследовательская (теория и
методология, проведение научных
исследований, защита диссертации);
педагогическая (преподавательская
деятельность).
English     Русский Rules