Лекция 20. Организационно-правовые аспекты защиты информации Критерии оценки безопасности

Технологии и продукты Microsoft в обеспечении ИБ

• Лекция 20. Организационно-правовые аспекты защиты информации

Критерии оценки безопасности

• Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности

• Требования действующего российского законодательства (РД ФСТЭК, СТР-К, ГОСТы)

• Требования отраслевых стандартов (СТО БР ИББС 1.0, базовый уровень информационной безопасности операторов связи)

• Рекомендации международных стандартов (ISO 17799, OCTAVE)

• Рекомендации компаний-производителей программного и аппаратного обеспечения (Microsoft, Oracle, Cisco и т.д.)

Нормативно-правовое обеспечение информационной безопасности

Что такое Политика ИБ?

Цели Политики ИБ

Основные разделы Политики

Особенности создания Политики

Нормативно-правовая основа Политики

Аттестация АС на требования ФСТЭК

• «Аттестат соответствия» подтверждает, что объект соответствует требованиям стандартов, утвержденных ФСТЭК России. Дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия»

• Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от НСД, в том числе от компьютерных вирусов, от утечки за счет побочных электpомагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электpомагнитное и pадиационное воздействие), от утечки или воздействия на нее за счет специальных устpойств, встpоенных в объекты инфоpматизации.
• Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.

Актуальность создания политики безопасности

Комплексная защита информации

Комплексная защита информации

Организационная политика обеспечения ИБ

• меры организационного характера, регламентирующие:

• процессы функционирования системы обработки данных,

• использование ее ресурсов,

• обучение сотрудников,

• деятельность обслуживающего персонала,

• а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации

Регламенты в области ИБ

• Регламент резервного копирования информации

• Регламент расследования инцидентов в области информационной безопасности

• Регламент проведения аудита информационной безопасности

• Регламент управления документами в области ИБ

Инструкции по безопасности

• Инструкция администратору безопасности

• Инструкция пользователю по обеспечению информационной безопасности

Документационное обеспечение

• Уровень предприятия

• Политика безопасности
• Положение о конфиденциальности
• Перечень конфиденциальной информации

• Уровень подразделения

• Трудовые соглашения, определяющие ответственность сотрудников
• Должностные инструкции

• Уровень информационной системы

• Регламенты использования корпоративной информационной системы
• Регламенты предоставления доступа к конфиденциальной информации

Меры по реализации политики ИБ

• Организационные меры – создание и изменение

• Регламентов
• Правил
• Инструкций и пр.

• Программно-технические меры - внедрение

• Антивирусной защиты
• Системы контроля доступа
• Подсистемы анализа уязвимостей и пр.

• Мероприятия по кадровому обеспечению

• Специализированные программы обучения
• Интранет-порталы
• Рассылка новостей

Пример: нормативная основа создания защищённого документооборота

Government Security Program (GSP)

• Программа , в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт.

Предоставление исходных кодов

• Россия - первая страна в мире, подписавшая с Microsoft Соглашение GSP ( в 2002 г. - между Майкрософт и ФГУП НТЦ «Атлас», действует по н.вр.)

• Доступ к исходным кодам продуктов Microsoft

• ФСБ
• ФСТЭК
• Министерству обороны
• Министерству атомной промышленности
• другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.

Сертифицированный в ФСБ продукт

• Обычный лицензионный продукт Microsoft

• Дополнительный «Service Pack Rus» для этого продукта

• Содержит криптопровайдеры компании Крипто-Про, позволяющие зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.

Текущие результаты сертификации

• Windows XP Professional / Vista

• Windows Server 2003 /R2

• Office 2003/2007 Professional

• ISA Server 2006

• линейка антивирусных продуктов Forefront

• Forefront для Exchange Server,
• Forefront для SharePoint Server
• Forefront Client

• Exchange Server 2007

• Office SharePoint Server 2007

• BizTalk Server 2006 R2

Использованные источники

• Сердюк В.А. Комплексный подход к защите компании от угроз информационной безопасности // Презентация, ДиалогНаука, 2008

• Сердюк В.А. Система управления информационной безопасностью // Презентация, ДиалогНаука, 2008

• Сердюк В.А. Политика информационной безопасности // Презентация, ДиалогНаука, 2008

• Сердюк В.А. Новое в защите от взлома корпоративных систем. М.: Техносфера, 2007.

• http://www.microsoft.com/Rus/Security/Certificate/Default.mspx

• Спасибо за внимание!