SlideShare une entreprise Scribd logo

Жизненный цикл СЗИ или с чего начать?

Télécharger en tant que PPTX, PDF
А
Александр Лысяк

В четвёртой лекции определено понятие жизненной цикли системы защиты информации, описана его значимость на примерах из практики. Проведено сравнение жизненного цикла ИС с жизненным циклом СЗИ. Далее идёт подробное описание каждого из этапов. В частности, подробн описан процесс обследование объекта защиты: исследование его IT-инфраструктуры и бизнес-структуры. Приведены конкретные бизнес-факторы, влияющие на эффективность работы предприятия и их связи с задачами и методами ИБ. Приведено множество реальных примеров. Далее идёт процесс выбора приоритетной задачи защиты и принципы принятия таких решений. Дано понятие политики информационной безопасности, а также цели и задачи, решаемые данными документами. Описаны административный, процедрный и програмно-технический уровни политики ИБ. Далее идёт описание базовых принципов этапа выбора элементов СЗИ. Подробнее читайте на моём блоке inforsec.ru

Technologie
1  sur  28
Урок 4. Жизненный цикл СЗИ или с чего нам начать? Информационная безопасность организации Лысяк Александр http://inforsec.ru Лаборатория информационной безопасности
Цели и задачи. Общая схема.  Обследование объекта и определение приоритетной задачи защиты.  Обеспечение уровня безопасности, соответствующего бизнес-целям и нормативным документам предприятия.  Следование экономической целесообразности и выбранной приоритетной задаче при выборе защитных мер.  Выработка организационных (прямая подчинённость ответственных за ИБ руководству) и технических мер обеспечения ИБ.  Построение СОИБ.  Выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы ИС.  Регулярный аудит СОИБ. Лаборатория информационной безопасности http://inforsec.ru
Общие принципы Стратегия Тактика  Доступность  Защититься и продолжить,  Целостность  Восстановить и продолжить  Конфиденциальность  Не допустить  Выследить и осудить  что явно не запрещено, то разрешено;  что явно не разрешено, то запрещено. Лаборатория информационной безопасности http://inforsec.ru
Жизненный цикл ИС СЗИ  Формирование требований к ИС  Разработка концепции ИС  Техническое задание  Эскизный проект  Технический проект  Реализация  Ввод в эксплуатацию  Сопровождение ИС  Обследование объекта защиты. Выявление приоритетной задачи защиты.  Построение политики безопасности  Выбор элементов системы защиты информации.  Инсталляция.  Сопровождение. Лаборатория информационной безопасности http://inforsec.ru
Жизненный цикл СЗИ  Обследование объекта защиты, выявление приоритетной задачи защиты.  Построение политики безопасности.  Выбор элементов системы защиты информации.  Инсталляция.  Сопровождение. Проектиро- вание Лаборатория информационной безопасности http://inforsec.ru
Обследование объекта защиты  Определение структуры объекта защиты.  Выявление приоритетной задачи защиты. Лаборатория информационной безопасности http://inforsec.ru
Исследование бизнес-структуры объекта защиты  Определение и исследование бизнес-модели объекта защиты.  Определение факторов влияния на бизнес, задание метрик для измеримых факторов.  Определение целей IT-инфраструктуры (!!!).  Определение эталонной модели IT-потоков.  Определение необходимого списка ресурсов общего доступа в зависимости от подразделения. Лаборатория информационной безопасности http://inforsec.ru
Исследование бизнес-структуры объекта защиты Лаборатория информационной безопасности http://inforsec.ru
Исследование бизнес-структуры объекта защиты Методология MRPII. Лаборатория информационной безопасности http://inforsec.ru
Бизнес-факторы, влияющие на эффективность  Величина внутренних издержек (конфликт стоимости СЗИ).  Качество управления собственным активом (конфликт интересов).  Качество работы коллектива (конфликт с персоналом).  Скорость реакции на внешние факторы.  Стратегия и качество ведения самого бизнеса.  Выбранная стратеги управления рисками. Лаборатория информационной безопасности http://inforsec.ru
Безопасность  Затраты на безопасность  Внедрение новых элементов СЗИ  Управление жизненным циклом ИС  Разграничение доступа Эффективность  Увеличение прибыли  Сокращение расходов  Накопление знаний  Повышение осведомленности Проблема установления рационального баланса Лаборатория информационной безопасности http://inforsec.ru
Бизнес-факторы, влияющие на эффективность  Величина внутренних издержек (конфликт стоимости СЗИ).  Качество управления собственным активом (конфликт интересов).  Качество работы коллектива (конфликт с персоналом).  Скорость реакции на внешние факторы.  Стратегия и качество ведения самого бизнеса.  Выбранная стратеги управления рисками. Лаборатория информационной безопасности http://inforsec.ru
Исследование физической защиты объекта  Наличие свободного доступа на территорию.  Наличие видеонаблюдения.  Наличие записей видеонаблюдения и сроки её хранения.  Наличие свободного доступа к кабельному хозяйству.  Наличие доступа к серверам и рабочим станциям. Лаборатория информационной безопасности http://inforsec.ru
Исследование IT-инфраструктуры объекта защиты  Обследование аппаратного обеспечения:  Маршрутизаторы / точки доступа / файерволы.  Сервера, рабочие станции (рабочие, служебные).  Прочее оборудование (ИБП, …).  Обследование программного обеспечения:  Выявление приложений, работающих с интранетом.  Выявление приложений, работающих с Интернетом.  Обследование кабельного хозяйства.  Исследование IT-потоков.  Обследование точек межсетевого взаимодействия:  С дружественными (известными) сетями.  С недружественными сетями. Лаборатория информационной безопасности http://inforsec.ru
 Наглядная схема, показывающая все принципы взаимодействия. Лаборатория информационной безопасности http://inforsec.ru Пример сетевой инфраструктуры
 Наглядная схема, показывающая все принципы взаимодействия. Лаборатория информационной безопасности http://inforsec.ru Пример сетевой инфраструктуры
Пример сетевой инфраструктуры Лаборатория информационной безопасности http://inforsec.ru
Разработка политики безопасности. Уровни процессов ИБ.  Административный уровень защиты информации.  Базовый уровень безопасности.  Процедурный уровень защиты информации.  Стандарты и спецификации в области безопасности информационных технологий.  Критерии оценки безопасности информационных технологий. Лаборатория информационной безопасности http://inforsec.ru
Уровни разработки политики безопасности Программно- технический Процедурный Административный Общая концепция защиты Структура ИС, классификация Реализация методов Настройка политик и правил Новые технологии Анализ и варианты решения Лаборатория информационной безопасности http://inforsec.ru
Разработка политики безопасности. Уровни абстракции.  Законодательный.  Административный.  Процедурный.  Программно-технический. Лаборатория информационной безопасности http://inforsec.ru
Политика безопасности  формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации (RFC 2196).  совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов (Галатенко В.А.)  набор документов описывающих состояние информационной безопасности и определяющий приоритетные задачи СЗИ. Лаборатория информационной безопасности http://inforsec.ru
Структура политики безопасности  Концепция информационной безопасности.  Организационный уровень: описание отделов и групп, связанных с обеспечением ИБ, их функции.  Утверждённые модели:  Модель актуальных угроз.  Модель нарушителя.  Анализ и управление рисками.  Перечень и классификация защищаемых объектов, уровень их защиты.  Организационные меры:  Регламенты доступа, инструкции.  Обучение персонала.  Порядок реагирования на инциденты.  … Лаборатория информационной безопасности http://inforsec.ru
Концепция информационной безопасности  Цели и задачи СЗИ.  Определение объекта защиты и приоритетной задачи защиты.  Подчиненность отдела защиты информации.  Принципы финансирования.  Метрики ИБ и схема контроля состояния ИС.  Создание и схема работы CSIRT-группы.  … Лаборатория информационной безопасности http://inforsec.ru
Структура политики безопасности  Вопросы физической защиты.  Технические вопросы:  Перечень лиц, имеющих доступ к защищаемым объектам, и границы сетевых зон.  Перечень используемого ПО и его конфигураций.  Набор инструкций, корпоративные приказы и распоряжения.  Структура и схема активного сетевого оборудования. Лаборатория информационной безопасности http://inforsec.ru
Выбор элементов СЗИ. Принципы.  Производится на этапе построения политики безопасности.  Основывается на анализе рисков.  Требует проведения технических тестов и серьёзной аналитической работы.  Требует наличия технических специалистов. Лаборатория информационной безопасности http://inforsec.ru
Выбор элементов СЗИ. Подсистемы.  Физической защиты  Криптографической защиты  Авторизации и аутентификации  Управления  Пользователями  Сетью  Резервирования  Антивирусная  Мониторинга событий и обнаружения атак Лаборатория информационной безопасности http://inforsec.ru
Подсистема физической защиты  Физическое управление доступом.  Противопожарные меры.  Защита поддерживающей инфраструктуры.  Защита информации от перехвата по тех. каналам.  Защита мобильных систем. Лаборатория информационной безопасности http://inforsec.ru
Спасибо за внимание! Лаборатория информационной безопасности http://inforsec.ru

Recommandé

Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рискамиАлександр Лысяк
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяАлександр Лысяк
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 

Recommandé

Анализ и управление рисками
Анализ и управление рискамиАнализ и управление рисками
Анализ и управление рискамиАлександр Лысяк
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБАлександр Лысяк
 
Метрики информационной безопасности
Метрики информационной безопасностиМетрики информационной безопасности
Метрики информационной безопасностиАлександр Лысяк
 
Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Что такое и почему важна информационная безопасность?
Что такое и почему важна информационная безопасность?Александр Лысяк
 
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...Positive Hack Days
 
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяПостроение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителяАлександр Лысяк
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.Александр Лысяк
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...Expolink
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПКомпания УЦСБ
 
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...Expolink
 
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТПКомпания УЦСБ
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPKКомпания УЦСБ
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...Expolink
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБAlexander Dorofeev
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRCКомпания УЦСБ
 
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!Компания УЦСБ
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLPAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"Aleksey Lukatskiy
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Aleksey Lukatskiy
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый DozorAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...Компания УЦСБ
 
Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systemsВячеслав Аксёнов
 
Правила аудита
Правила аудитаПравила аудита
Правила аудитаОтшельник
 

Contenu connexe

Tendances

Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOCSolar Security
 
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...Expolink
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПКомпания УЦСБ
 
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...Expolink
 
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТПКомпания УЦСБ
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPKКомпания УЦСБ
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...Expolink
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC processSergey Soldatov
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!Компания УЦСБ
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"Aleksey Lukatskiy
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Aleksey Lukatskiy
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...Компания УЦСБ
 

Tendances (20)

Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
Лаборатория Касперского. Павел Александров. ГК Умные решения. "Kaspersky Anti...
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
 
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
ITD Group. Владимир Емышев. "Внедрение системы предиктивного анализа и визуал...
 
2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП2. От аудита ИБ к защите АСУ ТП
2. От аудита ИБ к защите АСУ ТП
 
3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK3. Первый. Сертифицированный. DATAPK
3. Первый. Сертифицированный. DATAPK
 
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
ЭЛВИС-ПЛЮС. Вячеслав Мухортов. "Внедрение системы предиктивного анализа и виз...
 
Threat hunting as SOC process
Threat hunting as SOC processThreat hunting as SOC process
Threat hunting as SOC process
 
Аудит СУИБ
Аудит СУИБАудит СУИБ
Аудит СУИБ
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 
4. ePlat4m Security GRC
4. ePlat4m Security GRC4. ePlat4m Security GRC
4. ePlat4m Security GRC
 
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
1. УЦСБ и ИБ АСУ ТП. Всё только начинается!
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"
 
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по иб
 
пр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистовпр Что ожидают работодатели от молодых специалистов
пр Что ожидают работодатели от молодых специалистов
 
пр Что такое новый Dozor
пр Что такое новый Dozorпр Что такое новый Dozor
пр Что такое новый Dozor
 
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
5. Автоматизация процессов по обеспечению целостности объектов ИТ-инфраструкт...
 

Similaire à Жизненный цикл СЗИ или с чего начать?

КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен..."CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...HackIT Ukraine
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПAlexander Dorofeev
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииSQALab
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиExpolink
 
организационно правовая-защита-11
организационно правовая-защита-11организационно правовая-защита-11
организационно правовая-защита-11trenders
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
 
КСИБ
КСИБКСИБ
КСИБpesrox
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9UISGCON
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...Expolink
 
Cisco Active Threat Analytics
Cisco Active Threat AnalyticsCisco Active Threat Analytics
Cisco Active Threat AnalyticsCisco Russia
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibExpolink
 

Similaire à Жизненный цикл СЗИ или с чего начать? (20)

Attestation of personal data protection systems
Attestation of personal data protection systemsAttestation of personal data protection systems
Attestation of personal data protection systems
 
Правила аудита
Правила аудитаПравила аудита
Правила аудита
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен..."CyberGuard — проект государственно-частного партнерства по созданию киберцен...
"CyberGuard — проект государственно-частного партнерства по созданию киберцен...
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
Современные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТПСовременные средства обеспечения кибербезопасности АСУ ТП
Современные средства обеспечения кибербезопасности АСУ ТП
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компанииВнедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
 
организационно правовая-защита-11
организационно правовая-защита-11организационно правовая-защита-11
организационно правовая-защита-11
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forumYalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
КСИБ
КСИБКСИБ
КСИБ
 
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
Vladimir Bezmaly - Расследование инцидентов в ОС Windows #uisgcon9
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
 
Cisco Active Threat Analytics
Cisco Active Threat AnalyticsCisco Active Threat Analytics
Cisco Active Threat Analytics
 
эффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ibэффективные меры борьбы с киберпреступностью Group ib
эффективные меры борьбы с киберпреступностью Group ib
 

Plus de Александр Лысяк

Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.Александр Лысяк
 
Как создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 деньКак создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 деньАлександр Лысяк
 
Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Александр Лысяк
 
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Александр Лысяк
 
Информационная безопасность. Лекция 6.
Информационная безопасность. Лекция 6.Информационная безопасность. Лекция 6.
Информационная безопасность. Лекция 6.Александр Лысяк
 
Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.Александр Лысяк
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Александр Лысяк
 
Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.Александр Лысяк
 
Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Александр Лысяк
 

Plus de Александр Лысяк (9)

Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.Создание сайтов: как всё устроено и первые шаги.
Создание сайтов: как всё устроено и первые шаги.
 
Как создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 деньКак создать сайт с нуля за 1 день
Как создать сайт с нуля за 1 день
 
Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.Что такое SEO: полноценный план продвижения сайта.
Что такое SEO: полноценный план продвижения сайта.
 
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
Информационная безопасность. Лекция 1. Основы ИБ и принципы построения СОИБ.
 
Информационная безопасность. Лекция 6.
Информационная безопасность. Лекция 6.Информационная безопасность. Лекция 6.
Информационная безопасность. Лекция 6.
 
Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.Информационная безопасность. Лекция 4.
Информационная безопасность. Лекция 4.
 
Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.Информационная безопасность. Лекция 5.
Информационная безопасность. Лекция 5.
 
Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.
 
Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.Информационная безопасность. Лекция 2.
Информационная безопасность. Лекция 2.
 

Жизненный цикл СЗИ или с чего начать?

  • 1. Урок 4. Жизненный цикл СЗИ или с чего нам начать? Информационная безопасность организации Лысяк Александр http://inforsec.ru Лаборатория информационной безопасности
  • 2. Цели и задачи. Общая схема.  Обследование объекта и определение приоритетной задачи защиты.  Обеспечение уровня безопасности, соответствующего бизнес-целям и нормативным документам предприятия.  Следование экономической целесообразности и выбранной приоритетной задаче при выборе защитных мер.  Выработка организационных (прямая подчинённость ответственных за ИБ руководству) и технических мер обеспечения ИБ.  Построение СОИБ.  Выработка планов восстановления после критических ситуаций и обеспечения непрерывности работы ИС.  Регулярный аудит СОИБ. Лаборатория информационной безопасности http://inforsec.ru
  • 3. Общие принципы Стратегия Тактика  Доступность  Защититься и продолжить,  Целостность  Восстановить и продолжить  Конфиденциальность  Не допустить  Выследить и осудить  что явно не запрещено, то разрешено;  что явно не разрешено, то запрещено. Лаборатория информационной безопасности http://inforsec.ru
  • 4. Жизненный цикл ИС СЗИ  Формирование требований к ИС  Разработка концепции ИС  Техническое задание  Эскизный проект  Технический проект  Реализация  Ввод в эксплуатацию  Сопровождение ИС  Обследование объекта защиты. Выявление приоритетной задачи защиты.  Построение политики безопасности  Выбор элементов системы защиты информации.  Инсталляция.  Сопровождение. Лаборатория информационной безопасности http://inforsec.ru
  • 5. Жизненный цикл СЗИ  Обследование объекта защиты, выявление приоритетной задачи защиты.  Построение политики безопасности.  Выбор элементов системы защиты информации.  Инсталляция.  Сопровождение. Проектиро- вание Лаборатория информационной безопасности http://inforsec.ru
  • 6. Обследование объекта защиты  Определение структуры объекта защиты.  Выявление приоритетной задачи защиты. Лаборатория информационной безопасности http://inforsec.ru
  • 7. Исследование бизнес-структуры объекта защиты  Определение и исследование бизнес-модели объекта защиты.  Определение факторов влияния на бизнес, задание метрик для измеримых факторов.  Определение целей IT-инфраструктуры (!!!).  Определение эталонной модели IT-потоков.  Определение необходимого списка ресурсов общего доступа в зависимости от подразделения. Лаборатория информационной безопасности http://inforsec.ru
  • 8. Исследование бизнес-структуры объекта защиты Лаборатория информационной безопасности http://inforsec.ru
  • 9. Исследование бизнес-структуры объекта защиты Методология MRPII. Лаборатория информационной безопасности http://inforsec.ru
  • 10. Бизнес-факторы, влияющие на эффективность  Величина внутренних издержек (конфликт стоимости СЗИ).  Качество управления собственным активом (конфликт интересов).  Качество работы коллектива (конфликт с персоналом).  Скорость реакции на внешние факторы.  Стратегия и качество ведения самого бизнеса.  Выбранная стратеги управления рисками. Лаборатория информационной безопасности http://inforsec.ru
  • 11. Безопасность  Затраты на безопасность  Внедрение новых элементов СЗИ  Управление жизненным циклом ИС  Разграничение доступа Эффективность  Увеличение прибыли  Сокращение расходов  Накопление знаний  Повышение осведомленности Проблема установления рационального баланса Лаборатория информационной безопасности http://inforsec.ru
  • 12. Бизнес-факторы, влияющие на эффективность  Величина внутренних издержек (конфликт стоимости СЗИ).  Качество управления собственным активом (конфликт интересов).  Качество работы коллектива (конфликт с персоналом).  Скорость реакции на внешние факторы.  Стратегия и качество ведения самого бизнеса.  Выбранная стратеги управления рисками. Лаборатория информационной безопасности http://inforsec.ru
  • 13. Исследование физической защиты объекта  Наличие свободного доступа на территорию.  Наличие видеонаблюдения.  Наличие записей видеонаблюдения и сроки её хранения.  Наличие свободного доступа к кабельному хозяйству.  Наличие доступа к серверам и рабочим станциям. Лаборатория информационной безопасности http://inforsec.ru
  • 14. Исследование IT-инфраструктуры объекта защиты  Обследование аппаратного обеспечения:  Маршрутизаторы / точки доступа / файерволы.  Сервера, рабочие станции (рабочие, служебные).  Прочее оборудование (ИБП, …).  Обследование программного обеспечения:  Выявление приложений, работающих с интранетом.  Выявление приложений, работающих с Интернетом.  Обследование кабельного хозяйства.  Исследование IT-потоков.  Обследование точек межсетевого взаимодействия:  С дружественными (известными) сетями.  С недружественными сетями. Лаборатория информационной безопасности http://inforsec.ru
  • 15.  Наглядная схема, показывающая все принципы взаимодействия. Лаборатория информационной безопасности http://inforsec.ru Пример сетевой инфраструктуры
  • 16.  Наглядная схема, показывающая все принципы взаимодействия. Лаборатория информационной безопасности http://inforsec.ru Пример сетевой инфраструктуры
  • 17. Пример сетевой инфраструктуры Лаборатория информационной безопасности http://inforsec.ru
  • 18. Разработка политики безопасности. Уровни процессов ИБ.  Административный уровень защиты информации.  Базовый уровень безопасности.  Процедурный уровень защиты информации.  Стандарты и спецификации в области безопасности информационных технологий.  Критерии оценки безопасности информационных технологий. Лаборатория информационной безопасности http://inforsec.ru
  • 19. Уровни разработки политики безопасности Программно- технический Процедурный Административный Общая концепция защиты Структура ИС, классификация Реализация методов Настройка политик и правил Новые технологии Анализ и варианты решения Лаборатория информационной безопасности http://inforsec.ru
  • 20. Разработка политики безопасности. Уровни абстракции.  Законодательный.  Административный.  Процедурный.  Программно-технический. Лаборатория информационной безопасности http://inforsec.ru
  • 21. Политика безопасности  формальное изложение правил, которым должны подчиняться лица, получающие доступ к корпоративной технологии и информации (RFC 2196).  совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов (Галатенко В.А.)  набор документов описывающих состояние информационной безопасности и определяющий приоритетные задачи СЗИ. Лаборатория информационной безопасности http://inforsec.ru
  • 22. Структура политики безопасности  Концепция информационной безопасности.  Организационный уровень: описание отделов и групп, связанных с обеспечением ИБ, их функции.  Утверждённые модели:  Модель актуальных угроз.  Модель нарушителя.  Анализ и управление рисками.  Перечень и классификация защищаемых объектов, уровень их защиты.  Организационные меры:  Регламенты доступа, инструкции.  Обучение персонала.  Порядок реагирования на инциденты.  … Лаборатория информационной безопасности http://inforsec.ru
  • 23. Концепция информационной безопасности  Цели и задачи СЗИ.  Определение объекта защиты и приоритетной задачи защиты.  Подчиненность отдела защиты информации.  Принципы финансирования.  Метрики ИБ и схема контроля состояния ИС.  Создание и схема работы CSIRT-группы.  … Лаборатория информационной безопасности http://inforsec.ru
  • 24. Структура политики безопасности  Вопросы физической защиты.  Технические вопросы:  Перечень лиц, имеющих доступ к защищаемым объектам, и границы сетевых зон.  Перечень используемого ПО и его конфигураций.  Набор инструкций, корпоративные приказы и распоряжения.  Структура и схема активного сетевого оборудования. Лаборатория информационной безопасности http://inforsec.ru
  • 25. Выбор элементов СЗИ. Принципы.  Производится на этапе построения политики безопасности.  Основывается на анализе рисков.  Требует проведения технических тестов и серьёзной аналитической работы.  Требует наличия технических специалистов. Лаборатория информационной безопасности http://inforsec.ru
  • 26. Выбор элементов СЗИ. Подсистемы.  Физической защиты  Криптографической защиты  Авторизации и аутентификации  Управления  Пользователями  Сетью  Резервирования  Антивирусная  Мониторинга событий и обнаружения атак Лаборатория информационной безопасности http://inforsec.ru
  • 27. Подсистема физической защиты  Физическое управление доступом.  Противопожарные меры.  Защита поддерживающей инфраструктуры.  Защита информации от перехвата по тех. каналам.  Защита мобильных систем. Лаборатория информационной безопасности http://inforsec.ru
  • 28. Спасибо за внимание! Лаборатория информационной безопасности http://inforsec.ru

Notes de l'éditeur

  1. Административный уровень защиты информации. Понятие политики ИБ, уровни разработки политики, цели и задачи IT-инфраструктуры. На этом же уровне описывается программа по развитию ИБ организации и ее связь с жизненным циклом информационных систем. Тут же происходит управление рисками на стратегическом уровне: общие понятия, действия по отношению к рискам (риск НСД в банке: обрабатывать самостоятельно или отдать процессинг на аутсорсинг; провайдер каких-либо услуг: риск потери доступности из-за (D)DoS-атак: застраховаться, отдать на аутсорсинг, защищаться). Этапы управления рисками. Базовый уровень безопасности. Модели и методики анализа угроз и оценки рисков на детальном и техническом уровнях (данные аспекты будем рассматривать в следующем уроке). Разработка регламентов. Автоматизированные технологии управления ИБ (на примере COBRA, CRAMM, Digital Office и др.). Процедурный уровень защиты информации. Уровень реализации и управления техническими мерами ЗИ. Управление персоналом с учетом требований защиты информации в ИС. Направления физической защиты. Обеспечение работоспособности ИС. Реагирование на инциденты и планирование восстановительных работ: основные задачи и принципы организации процессов. Стандарты и спецификации в области безопасности информационных технологий. Система руководящих документов ФСТЭК России по ЗИ от НСД, ФСБ России по криптографической ЗИ. Международная и отечественная системы стандартов и спецификаций по ИБ. Серия стандартов по защите БТ: СТО БР и PCI DSS. Стандарты серии ISO 17799 (Best practice). Критерии оценки безопасности информационных технологий. ISO15408 (ГОСТ Р ИСО/МЭК 15408): назначение и суть методологии, основные понятия, профиль защиты и задание по безопасности, структура требований, принципы оценки. Примеры разработанных профилей защиты. Обзор стандартных требований и рекомендаций по защите информационных систем. Защита ИСПДн.
  2. Верхний уровень носит общий характер и определяет политику организации в целом. Здесь основное внимание уделяется: порядку создания и пересмотра политики безопасности; целям, преследуемым организацией в области ИБ (задачи ЗИ, исходя из обследования объекта защиты, проведённом на предыдущем этапе); вопросам выделения и распределения ресурсов (сколько нужно р.с., сервером, маршрутизаторов, админов и т.д.); принципам технической политики в области выбора методов и средств защиты информации (кто выбирает СЗИ и тех.меры, чем руководствуется); координированию мер безопасности; общему стратегическому планированию и контролю. Сюда же относятся вопросы внешнего взаимодействия и другие общеорганизационные вещи. На Административном уровне также формулируются главные цели в области информационной безопасности (определяются сферой деятельности предприятия): обеспечение конфиденциальности, целостности или доступности. Происходит синхронизация всего этого дела с ЖЦ Вашей ИС. Средний уровень политики безопасности выделяют в случае структурной сложности организации либо при необходимости обозначить специфичные подсистемы организации. Это касается отношения к перспективным, еще не достаточно апробированным технологиям. Например, использование новых Интернет-сервисов (к примеру, он-лайн поддержка, внедрение IPS-систем, систем удалённого доступа к критичным ресурсам), организация связи и обработка информации на домашних и портативных компьютерах, степень соблюдения положений компьютерного права и др. Кроме того, на среднем уровне политики безопасности могут быть выделены особо значимые контуры ИС организации. Например, обрабатывающие секретную или критически важную информацию. За разработку и реализацию политики безопасности верхнего и среднего уровней отвечают руководитель службы безопасности, администраторы безопасности ИС. Сюда не входят системные или прикладные администраторы. Нижний уровень политики безопасности относится к конкретным службам или подразделениям организации и детализирует верхние уровни политики безопасности. Данный уровень необходим, когда вопросы безопасности конкретных подсистем требуют решения на управленческом, а не только на техническом уровне. Понятно, что на данном уровне определяются конкретные настройки / конфигурации всей ИС, какие-то частные критерии и показатели информационной безопасности (метрики), определяются права конкретных групп пользователей, формулируются соответствующие условия доступа к информации и т. п. Здесь из конкретных целей выводятся правила безопасности, описывающие, кто, что и при каких условиях может делать или не может. Более детальные и формальные правила упростят внедрение системы и настройку средств обеспечения ИБ. На этом уровне описываются механизмы защиты информации и используемые программно-технические средства для их реализации (обычно в рамках управленческого уровня). За политику безопасности нижнего уровня отвечают системные и прикладные администраторы.