Стандарты информационной безопасности. Лекция-4

Содержание

Слайд 2

Лекция-4. Стандарт BS 7799

Лекция-4. Стандарт BS 7799

Слайд 3

Стандарт BS 7799 Стандарт BS 7799 был разработаны BSI (British Standards

Стандарт BS 7799

Стандарт BS 7799 был разработаны BSI (British Standards Institution).


Они включают следующие три части:
1) BS 7799-1 «Практические правила управления информационной безопасностью» (1995, 2005 гг.).
2) BS 7799-2 «Системы управления информационной безопасностью. Спецификация и руководство по применению» (1998, 2002, 2005 гг.).
3) BS 7799-3 «Руководство по управлению рисками информационной безопасности» (2005 г.).

© Luxoft Training 2012 All rights reserved.

Слайд 4

Стандарты BS 7799 Стандарты являются базовыми для международных стандартов управления информационной

Стандарты BS 7799

Стандарты являются базовыми для международных стандартов управления информационной безопасностью

(СУИБ).

© Luxoft Training 2012 All rights reserved.

Таблица соответствия стандартов

Слайд 5

Стандарт BS 7799-1 Стандарт BS 7799-1 ««Системы управления информационной безопасностью. Спецификация

Стандарт BS 7799-1

Стандарт BS 7799-1 ««Системы управления информационной безопасностью. Спецификация и

руководство по применению».
Он описывает 10 областей и 127 механизмов контроля, необходимых для построения системы управления информационной безопасностью (СУИБ) организации, определенных на основе лучших примеров мирового опыта в данной области.
Стандарт является руководством по созданию СУИБ.
Стандарт в большинстве своем предназначается для определения норм безопасности при ведении коммерческой деятельности.

© Luxoft Training 2012 All rights reserved.

Слайд 6

Стандарт BS 7799-1 Цель ИБ – обеспечение бесперебойной работы организации, предотвращение/минимизация

Стандарт BS 7799-1

Цель ИБ – обеспечение бесперебойной работы организации, предотвращение/минимизация ущерба

от нарушений безопасности.
Факторы, значимые для успешной реализации системы информационной безопасности в организации: – цели безопасности и ее обеспечение должны основываться на производственных задачах и требованиях. Функции управления безопасностью должно взять на себя руководство организации; – необходима явная поддержка и приверженность к соблюдению режима безопасности со стороны высшего руководства; – требуется хорошее понимание рисков (как угроз, так и уязвимостей), которым подвергаются активы организации, и адекватное представление о ценности этих активов; – необходимо ознакомление с системой безопасности всех руководителей и рядовых сотрудников организации.

© Luxoft Training 2012 All rights reserved.

Слайд 7

Стандарт BS 7799-1 Выделяются следующие регуляторы безопасности: – политика безопасности; –

Стандарт BS 7799-1

Выделяются следующие регуляторы безопасности:
– политика безопасности;
– общеорганизационные аспекты защиты;

классификация активов и управление ими;
– безопасность персонала;
– физическая безопасность и безопасность окружающей среды;
– администрирование систем и сетей;
– управление доступом к системам и сетям;
– разработка и сопровождение информационных систем;
– управление бесперебойной работой организации;
– контроль соответствия требованиям.

© Luxoft Training 2012 All rights reserved.

Слайд 8

Стандарт BS 7799-2 Стандарт BS 7799-2 «Системы управления информационной безопасностью. Спецификация

Стандарт BS 7799-2

Стандарт BS 7799-2 «Системы управления информационной безопасностью. Спецификация и

руководство по применению».
Предметом рассмотрения стандарта является СУИБ.
СУИБ должна включать следующие процессы:
– планирование;
– реализация;
– оценка;
– корректировка.
Во второй части стандарта подробно раскрываются регуляторы безопасности, представленные в первой части.

© Luxoft Training 2012 All rights reserved.

Слайд 9

Стандарт BS 7799-2 1. Политика безопасности включает следующие компоненты: – документально

Стандарт BS 7799-2

1. Политика безопасности включает следующие компоненты:
– документально оформленная политика;

процесс ревизии политики.

© Luxoft Training 2012 All rights reserved.

Слайд 10

Стандарт BS 7799-2 2. Общеорганизационные аспекты включают три подгруппы: 1) инфраструктура

Стандарт BS 7799-2

2. Общеорганизационные аспекты включают три подгруппы:
1) инфраструктура ИБ:
– создание

сообщества по управлению ИБ;
– меры по координации действий в области информационной безопасности;
– распределение обязанностей в области информационной безопасности;
– утверждение руководством новых средств обработки информации;
– получение рекомендаций специалистов по информационной безопасности;
– сотрудничество с другими организациями (правоохранительными органами, поставщиками информационных услуг и т. д.);
– проведение независимого анализа информационной безопасности.

© Luxoft Training 2012 All rights reserved.

Слайд 11

Стандарт BS 7799-2 2. Общеорганизационные аспекты включают три подгруппы: 2) безопасность

Стандарт BS 7799-2

2. Общеорганизационные аспекты включают три подгруппы:
2) безопасность доступа сторонних

организаций:
– идентификация рисков, связанных с подключениями сторонних организаций, и реализация соответствующих защитных мер;
– выработка требований безопасности для включения в контракты со сторонними организациями.

© Luxoft Training 2012 All rights reserved.

Слайд 12

Стандарт BS 7799-2 2. Общеорганизационные аспекты включают три подгруппы: 3) обеспечение

Стандарт BS 7799-2

2. Общеорганизационные аспекты включают три подгруппы:
3) обеспечение ИБ при

использовании услуг внешних организаций.
Необходимо выработать требования безопасности для включения в контракты с поставщиками информационных услуг.

© Luxoft Training 2012 All rights reserved.

Слайд 13

Стандарт BS 7799-2 3. Классификация активов и управление ими Необходимым условием

Стандарт BS 7799-2

3. Классификация активов и управление ими
Необходимым условием обеспечения надлежащей

защиты активов является их идентификация и классификация.
Должны быть выработаны критерии классификации, в соответствии с которыми активы тем или иным способом получают метки безопасности.

© Luxoft Training 2012 All rights reserved.

Слайд 14

Стандарт BS 7799-2 4. Безопасность персонала Превентивные меры: документирование ролей и

Стандарт BS 7799-2

4. Безопасность персонала
Превентивные меры: документирование ролей и обязанностей в

области информационной безопасности при определении требований ко всем должностям, тщательный отбор новых сотрудников.
Меры реагирования:
– уведомления об инцидентах, замеченных уязвимостях, нештатной работе программного обеспечения;
– механизм оценки ущерба от инцидентов и сбоев,
– дисциплинарные наказания виновных сотрудников.

© Luxoft Training 2012 All rights reserved.

Слайд 15

Стандарт BS 7799-2 5. Физическая безопасность и безопасность окружающей среды 1)

Стандарт BS 7799-2

5. Физическая безопасность и безопасность окружающей среды
1) организация защищенных

областей;
2) защита оборудования:
– размещать оборудование в защищенных областях;
– наладить бесперебойное электропитание;
– защитить кабельную разводку;
– организовать обслуживание оборудования;
– перемещать устройства (в том числе за пределы организации) только с разрешения руководства;
– удалять информацию перед выведением из эксплуатации или изменением характера использования оборудования.
3) меры общего характера.

© Luxoft Training 2012 All rights reserved.

Слайд 16

Стандарт BS 7799-2 6. Администрирование систем и сетей 1) операционные процедуры

Стандарт BS 7799-2

6. Администрирование систем и сетей
1) операционные процедуры и обязанности;
2)

планирование и приемка систем;
3) защита от вредоносного программного обеспечения;
4) повседневное обслуживание;
5) администрирование сетей;
6) безопасное управление носителями;
7) обмен данными и программами с другими организациями.

© Luxoft Training 2012 All rights reserved.

Слайд 17

Стандарт BS 7799-2 7. Управление доступом к системам и сетям 1)

Стандарт BS 7799-2

7. Управление доступом к системам и сетям
1) производственные требования

к управлению доступом;
2) управление доступом пользователей:
– авторизация, выделение и контроль прав в соответствии с политикой безопасности;
– процедуры регистрации пользователей и ликвидации их системных счетов;
– управление привилегиями в соответствии с принципом их минимизации;
– управление паролями пользователей;
– регулярная ревизия прав доступа.
3) обязанности пользователей;

© Luxoft Training 2012 All rights reserved.

Слайд 18

Стандарт BS 7799-2 7. Управление доступом к системам и сетям 4)

Стандарт BS 7799-2

7. Управление доступом к системам и сетям
4) управление доступом

к сетям:
– политика использования сетевых услуг;
– задание маршрута от пользовательской системы до используемых систем (предоставление выделенных линий, недопущение неограниченного перемещения по сети и т. д.);
– аутентификация удаленных пользователей и удаленных систем;
– контроль доступа (особенно удаленного) к диагностическим портам;
– сегментация сетей (выделение групп пользователей, информационных сервисов и систем);
– контроль сетевых подключений (услуг и/или времени);
– управление маршрутизацией;
– защита сетевых сервисов (должны быть описаны атрибуты безопасности всех сетевых сервисов, используемых организацией).

© Luxoft Training 2012 All rights reserved.

Слайд 19

Стандарт BS 7799-2 7. Управление доступом к системам и сетям 5)

Стандарт BS 7799-2

7. Управление доступом к системам и сетям
5) управление доступом

средствами операционных систем:
– автоматическая идентификация терминалов;
– безопасные процедуры входа в систему (следует выдавать как можно меньше информации о системе, ограничить разрешаемое количество неудачных попыток, контролировать минимальную и максимальную продолжительность входа и т. и.);
– идентификация и аутентификация пользователей;
– управление паролями, контроль их качества;
– разграничение доступа к системным средствам;
– уведомление пользователей об опасных ситуациях;
– контроль времени простоя терминалов (с автоматическим отключением по истечении заданного периода);
– ограничение времени подключения к критичным приложениям.

© Luxoft Training 2012 All rights reserved.

Слайд 20

Стандарт BS 7799-2 7. Управление доступом к системам и сетям 6)

Стандарт BS 7799-2

7. Управление доступом к системам и сетям
6) управление доступом

к приложениям;
7) контроль за доступом и использованием систем:
– протоколирование событий, относящихся к безопасности;
– отслеживание и регулярный анализ использования средств обработки информации.
8) контроль мобильных пользователей и удаленного доступа.

© Luxoft Training 2012 All rights reserved.

Слайд 21

Стандарт BS 7799-2 8. Разработка и сопровождение информационных систем анализ и

Стандарт BS 7799-2

8. Разработка и сопровождение информационных систем
анализ и задание требований

безопасности:
– управление доступом к информации и сервисам;
– протоколирование для повседневного контроля или специальных расследований;
– контроль и поддержание целостности данных на всех или избранных стадиях обработки;
– обеспечение конфиденциальности данных, возможно, с использованием криптографических средств;
– выполнение требований действующего законодательства, договорных требований и т. п.;
– резервное копирование производственных данных;
– восстановление систем после отказов;
– защита систем от несанкционированных модификаций;
– безопасное управление системами и их использование сотрудниками, не являющимися специалистами.

© Luxoft Training 2012 All rights reserved.

Слайд 22

Стандарт BS 7799-2 8. Разработка и сопровождение информационных систем 2) безопасность

Стандарт BS 7799-2

8. Разработка и сопровождение информационных систем
2) безопасность прикладных систем:


– проверка входных данных;
– встроенные проверки корректности данных в процессе их обработки;
– аутентификация сообщений как элемент контроля их целостности;
– проверка выходных данных.

© Luxoft Training 2012 All rights reserved.

Слайд 23

Стандарт BS 7799-2 8. Разработка и сопровождение информационных систем 3) криптографические

Стандарт BS 7799-2

8. Разработка и сопровождение информационных систем
3) криптографические регуляторы
Их основой

служит документированная политика использования средств криптографии.
Стандартом предусматривается применение шифрования, электронных цифровых подписей, средств управления ключами.

© Luxoft Training 2012 All rights reserved.

Слайд 24

Стандарт BS 7799-2 8. Разработка и сопровождение информационных систем 4) защита

Стандарт BS 7799-2

8. Разработка и сопровождение информационных систем
4) защита системных файлов:

управление программным обеспечением, находящимся в эксплуатации;
– защита данных систем;
– управление доступом к библиотекам исходных текстов.

© Luxoft Training 2012 All rights reserved.

Слайд 25

Стандарт BS 7799-2 8. Разработка и сопровождение информационных систем 5) безопасность

Стандарт BS 7799-2

8. Разработка и сопровождение информационных систем
5) безопасность процесса разработки

и вспомогательных процессов:
– процедуры управления внесением изменений;
– анализ и тестирование систем после внесения изменений;
– ограничение на внесение изменений в программные пакеты;
– проверка наличия скрытых каналов и троянских программ;
– контроль за разработкой ПО, выполняемой внешними организациями.

© Luxoft Training 2012 All rights reserved.

Слайд 26

Стандарт BS 7799-2 9. Управление бесперебойной работой организации 1) формирование процесса

Стандарт BS 7799-2

9. Управление бесперебойной работой организации
1) формирование процесса управления бесперебойной

работой организации;
2) выработка стратегии обеспечения бесперебойной работы организации;
3) документирование и реализация планов обеспечения бесперебойной работы организации;
4) поддержание единого каркаса для планов обеспечения бесперебойной работы организации, чтобы гарантировать их согласованность и определить приоритетные направления тестирования и сопровождения;
5) тестирование, сопровождение и регулярный пересмотр планов обеспечения бесперебойной работы организации на предмет их эффективности и соответствия текущему состоянию.

© Luxoft Training 2012 All rights reserved.

Слайд 27

Стандарт BS 7799-2 10. Контроль соответствия требованиям 1) регуляторы соответствия законодательству:

Стандарт BS 7799-2

10. Контроль соответствия требованиям
1) регуляторы соответствия законодательству:
– идентификация применимых

законов, нормативных актов и т. п.;
– обеспечение соблюдения законодательства по защите интеллектуальной собственности;
– защита деловой документации от утери, уничтожения или фальсификации;
– обеспечение защиты персональных данных;
– предотвращение незаконного использование средств обработки информации;
– обеспечение выполнения законов, касающихся криптографических средств;
– обеспечение сбора свидетельств на случай взаимодействия с правоохранительными органами.

© Luxoft Training 2012 All rights reserved.

Слайд 28

Стандарт BS 7799-2 10. Контроль соответствия требованиям 2) контроль соответствия политике

Стандарт BS 7799-2

10. Контроль соответствия требованиям
2) контроль соответствия политике безопасности и

техническим требованиям
Руководители всех уровней должны убедиться, что все защитные процедуры, входящие в их зону ответственности, выполняются должным образом и что все такие зоны регулярно анализируются на предмет соответствия политике и стандартам безопасности.
Информационные системы нуждаются в регулярной проверке соответствия стандартам реализации защитных функций.

© Luxoft Training 2012 All rights reserved.

Слайд 29

Стандарт BS 7799-2 10. Контроль соответствия требованиям 3) аудит информационных систем

Стандарт BS 7799-2

10. Контроль соответствия требованиям
3) аудит информационных систем
Цель – максимизация

эффективности аудита и минимизация помех, создаваемые процессом аудита.
Ход аудита должен тщательно планироваться, а используемый инструментарий защищаться от несанкционированного доступа.

© Luxoft Training 2012 All rights reserved.

- Предыдущая
Звук - это интересно
Следующая -
Пресс-служба Росимущество

Похожие презентации

Авторегрессионная модель
Моделирование, формализация визуализация
Стартап-ринг. Весна 2021 (Окончание 3 этапа)
Базовые и расширенные машины
Медиапаспорт радио Эхо Москвы
Основы HTML. Разработка web-сайта
Презентация реферата на тему Блоги выполнила: Вероника Эртель 192/2
3_Введение в CSS
Презентация "Передача информации презентация 5 класс." - скачать презентации по Информатике
Разработка и защита базы данных автоматизированной информационной
Uploading documents
Environment requirements. The 3DEXPERIENCE R2015x platform
Аттестационная работа. Образовательная программа элективного курса. Программирование
Тема: Создание Web- страниц.
Модернизация системы контроля оплаты проезда Казанского Метрополитена
Современные системы противоаварийной автоматики
Міжпрограмний інтерфейс САПР Allplan
Презентация "Электронная почта E - mail" - скачать презентации по Информатике
Файлы и файловая система
Функции, файлы, консоль, связь с C++ в MASM
Создание рамок в Photoshop с использованием инструмента Liquify (часть 1)
Компьютерное конструирование. Исходные данные для проектирования модели упорного подшипника скольжения в Компас-3D
Разработка АСОИ учёта основных средств завода Электродвигатель
Особенности психологического он-лайн консультирования родителей и педагогов в условиях дистанционного обучения
Технологии во благо людей. Тренинг. Социальные сети
Sampling and Reconstruction
Коммуникационные технологии
Активность Вормил Фито
Вы можете прислать нам Вашу презентацию и мы опубликуем ее на сайте.
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть