19 сентября, среда 17:23
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Документ Политика ИБ - каким он должен быть?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Документ Политика ИБ - каким он должен быть?

    По поводу "рыб докментов" - пока не будет желающих поделиться этими "рыбами", то и "рыб" не будет. Прислал бы кто-нибудь рыбу политики ИБ. Хотя бы оглавление и общие фразы - чтобы было понятно что стоит включать, а что нет. Лично я уже закопалась.
    Чем больше связей, тем меньше степеней свободы.

  • #2
    to Чернушка
    на учебе этот момент (политика) разве не разбирался?

    Комментарий


    • #3
      box_roller,разница между 27001 и Стандартом ЦБ все-таки есть. Но это не беда, я справлюсь Меня больше интересует реакция на вторую посылку моего сообщения - откуда возьмутся "рыбы", если ими никто не хочет делиться?
      Чем больше связей, тем меньше степеней свободы.

      Комментарий


      • #4
        2box_roller тут очень странные правила на форуме.. пока вы 100 ответов не наберете, не сможете еще и аватарку поставить и опросы создавать. Вам не много осталось

        По поводу политики - политика должна быть не более 10 страниц, основные положения политики указаны в ИББС. Думаю не составит труда из этого собрать реальную политику. Кстати, советую составить сокращенную версию политики на 1 лист. Что бы каждый сотрудник мог с ней ознакомиться в короткий срок.

        Комментарий


        • #5
          Сообщение от barmalei Посмотреть сообщение
          2box_roller тут очень странные правила на форуме.. пока вы 100 ответов не наберете, не сможете еще и аватарку поставить и опросы создавать. Вам не много осталось

          По поводу политики - политика должна быть не более 10 страниц, основные положения политики указаны в ИББС. Думаю не составит труда из этого собрать реальную политику. Кстати, советую составить сокращенную версию политики на 1 лист. Что бы каждый сотрудник мог с ней ознакомиться в короткий срок.
          Знал бы - наспамил бы давно Спасибо.

          10 страниц????
          2-3 страницы. О чем там писать-то на 10 страниц?
          Если только размером шрифта и межстрочными интервалами поиграться

          Кстати, barmalei, а почему лично Вы, не выкладываете рыбу Политики?

          Комментарий


          • #6
            2box_roller Вы в курсе какие политики у Cisco? По 2-3 страницы и это нормально. Коротко и ясно. Стандарт ЦБ - 27 страниц.
            Вам интересна именно моя рыба?

            Комментарий


            • #7
              Из открытых источников. Не фонтан, но из этих документов + ИББС можно состряпать что-то похожее на политику

              Комментарий


              • #8
                Сообщение от barmalei Посмотреть сообщение
                2box_roller Вы в курсе какие политики у Cisco? По 2-3 страницы и это нормально. Коротко и ясно. Стандарт ЦБ - 27 страниц.
                Вам интересна именно моя рыба?
                Не только мне и не только Ваша
                Видение решение одного и того же вопроса, глазами разных людей - мне интересно.

                27 страниц - это всё выдумки. Можно конечно и так, но для общего уровня слишком много, а для более детализированного слишком мало. Детали в положениях, на которые ссылается Политика.

                Нет Политики самой по себе. Есть совокупность взаимосвязанных документов, на верхнем уровне которой находится Политика.
                2-3 страницы - мой выбор

                Комментарий


                • #9
                  Не фонтан
                  Да, далеко не фонтан. Причем не самый полный список Ссылка на этот архивчик уже пробегала пару раз по форуму.

                  Согласна с box_roller - страниц в Политике должно быть не более 2-3.
                  Чем больше связей, тем меньше степеней свободы.

                  Комментарий


                  • #10
                    Про 10 страниц - это вы жжоте.

                    У нас политика ИБ - это комплекс из 30 документов, каждый из которых содержит 6-8 страниц содержательного текста. Да, политика первого уровня - 10 страниц, но она просто задает общую концепцию, не являясь, собственно, руководством к действию.

                    По поводу рыбы - рыбой является ISO 17799. Что касается выкладывания типовых документов... Одно дело давать ссылки на уже опубликованные вещи, и совсем другое - пыбликовать выдержки из внутренних документов или из собственных разработок. Последнее - это все-таки интеллектуальная собственность автора, он на ней деньги зарабатывает Так что я бы не рассчитывал на появление подобных рыб

                    P.S. Себестоимость разработки политики безопасности для оганизации средних размеров (500-600 сотрудников) - около $75000 (исходя из занятости трех консультантов в течение 6 месяцев, включает в сепя ФОП, налоги и накладные расходы).

                    Комментарий


                    • #11
                      to malotavr
                      P.S. Себестоимость разработки политики безопасности для оганизации средних размеров (500-600 сотрудников) - около $75000 (исходя из занятости трех консультантов в течение 6 месяцев, включает в сепя ФОП, налоги и накладные расходы).

                      Речь идет о полном комплекте организационных документов ИБ, а не только о Политике?

                      Комментарий


                      • #12
                        Что написано в стандартах о политике ИБ:

                        надеюсь меня поправят если что-то упущено

                        ISO 17799:2005
                        2.8
                        политика
                        общее определение цели и направления деятельности, официально заявленное руководством
                        5 Политика безопасности
                        5.1 Политика информационной безопасности
                        Цель: Обеспечение направления и поддержки информационной безопасности со стороны руководства согласно требованиям деловой деятельности и соответствующих законов и директив.
                        Руководство организации должно четко определить направление политики, согласованное с целями деловой деятельности, а также демонстрировать поддержку и вносить вклад в обеспечение информационной безопасности путем распространения и поддержания политики информационной безопасности в рамках всей организации.
                        5.1.1 Документ, определяющий политику информационной безопасности
                        Рекомендуемые меры
                        Документ, определяющий политику информационной безопасности, должен быть утвержден руководством, опубликован и доведен до сведения всех служащих и соответствующих внешних участников.
                        Указания по реализации
                        В документе, определяющем политику информационной безопасности, должна быть выражена поддержка со стороны руководства и сформулирован принятый в организации подход к управлению информационной безопасностью. Документ, определяющий политику, должен содержать следующие положения:
                        a) определение информационной безопасности, ее общие цели и область применения, а также сведения о значении безопасности как механизма, позволяющего совместно использовать информацию (см. введение);
                        b) заявление о намерениях руководства, подтверждающее задачи и принципы информационной безопасности в соответствии со стратегией и целями деловой деятельности;
                        c) структурная схема определения целей управления и средств контроля, включая структуру оценки риска и управления риском;
                        d) краткое пояснение политик безопасности, принципов, стандартов и требований о соответствии, имеющих особое значение для организации, в том числе:
                        - соответствие законодательным, нормативным и договорным требованиям;
                        - требования к обучению, подготовке и обеспечению необходимой осведомленности в плане безопасности;
                        - управление непрерывностью бизнес-деятельности;
                        - последствия нарушений политики информационной безопасности;
                        - определение общих и частных обязанностей по управлению информационной безопасностью, в том числе предоставление отчетов по инцидентам информационной безопасности;
                        f) ссылки на документацию, которая может поддерживать политику, например, более подробные описания политик и процедур для конкретных информационных систем или правила безопасности, которые должны соблюдать пользователи.
                        Эту политику информационной безопасности следует довести до сведения пользователей по всей организации в уместной, доступной и понятной для предполагаемого читателя форме.
                        Прочие сведения: Политика информационной безопасности может составлять часть документа, определяющего общую политику. Если политики информационной безопасности распространяется за пределами данной организации, то следует принять меры по неразглашению конфиденциальной информации. Дополнительные сведения можно найти в документе ISO/IEC 13335-1:2004.

                        ГОСТ 27001:2005
                        A.5.1 Политика защиты информации
                        Цель: Обеспечить направление и поддержку со стороны руководства для защиты
                        информации в соответствии с деловыми требованиями, а также законами
                        и нормами, имеющими отношение к делу.
                        A.5.1.1Документ политики в области защиты информации
                        Управление:
                        Документ политики в области защиты информации
                        должен быть утвержден руководством, а также
                        опубликован и доведен до сведения всех
                        сотрудников и имеющих отношение к делу
                        заинтересованных сторон
                        A.5.1.2 Анализ политики в области защиты информации
                        Управление:
                        Политика в области защиты информации должна
                        анализироваться через запланированные
                        интервалы или в случае возникновения
                        значительных изменений, с целью гарантировать
                        ее непрерывную пригодность, адекватность и
                        результативность.

                        BS 7799-3:2006
                        4.1 Область действия и политика системы управления информационной безопасностью
                        4.1.1 Деловая аргументация
                        Поскольку внедрение СУИБ требует привлечения значительных ресурсов, все организации должны ясно осознавать причины для внедрения такой системы. Различные организации будут иметь разные деловые стимулы для внедрения СУИБ. Эти стимулы будут воздействовать на организацию со стороны нормативной базы или законодательства, ее статуса как крупного или малого бизнеса, публичной или правительственной организации, ее географического расположения, вида ее бизнеса или предлагаемых ей услуг. Деловая аргументация для внедрения СУИБ должна быть четко документирована и должна подробно излагать ожидаемые затраты в сравнении с выгодами, которые могут быть получены от увеличения возможностей управления информационными рисками.
                        СУИБ не должна создаваться в изоляции. Она должна учитывать риски и общие бизнес стратегии организации. Приложение В объясняет взаимосвязи между различными типами риска.
                        4.1.2 Область действия СУИБ
                        Определение области действия СУИБ является одним из наиболее важных решений во всем процессе, поскольку определение области действия описывает, какие элементы будет включать в себя СУИБ. Определение области действия СУИБ полностью зависит от организации. Областью действия СУИБ может являться вся организация в целом, либо конкретный бизнес процесс или информационная система. Область действия СУИБ должна определяться в терминах характеристик бизнеса, его расположения, ресурсов и технологий (см. BS ISO/IEC 27001:2005,4.2.1 а)), она должна быть четко определенной и завершенной и охватывать различные элементы, упомянутые в BS ISO/IEC 27001:2005.
                        Решение относительно области действия СУИБ должно учитывать интерфейсы и взаимозависимости этой СУИБ с другими частями организации (находящимися вне области действия СУИБ), другими организациями, поставщиками третьей стороны или любыми другими субъектами, не входящими в СУИБ. Примером является СУИБ, состоящая только из одного конкретного бизнес процесса. В этом случае, другие части организации, которые необходимы СУИБ для повседневного функционирования (например, кадровые ресурсы, финансы, продажи и маркетинг или коммунальные службы), являются интерфейсами и зависимостями, в дополнение к любым другим интерфейсам и зависимостям, которые могут существовать.
                        Область действия СУ И Б должна быть подходящей и соответствовать как возможностям организации, так и ее ответственности за обеспечение информационной безопасности в соответствии с требованиями, определяемыми оценкой рисков и применимыми законодательными и нормативными механизмами контроля. В действительности, такая область действия абсолютно необходима организациям, стремящимся заявить о соответствии BS ISO/IEC 27001:2005 (см. 1.2 в BS ISO/IEC 27001:2005). Также, для того, чтобы заявить об этом соответствии, из области действия СУ И Б не должно быть исключено ничего, что оказывает влияние на способность и/или ответственность организации за обеспечение информационной безопасности в соответствии с требованиями, определяемыми оценкой рисков и применимыми нормативными требованиями.
                        4.1.3 Политика СУИБ
                        Определив область действия СУИБ, организация должна установить понятную и краткую политику информационной безопасности для поддержки внедрения информационной безопасности. BS ISO/IEC 17799:2005 определяет, что целью такой политики является: «Обеспечение управления и поддержки информационной безопасности со стороны руководства». Политика должна быть утверждена руководством, а также должно быть гарантировано, что все сотрудники получили данную политику и понимают, какое влияние она оказывает на их работу. Эта политика должна включать в себя основные положения для определения целей, выдачи указаний и принятия мер руководством, а также установки контекста управления рисками и критериев, в соответствии с которыми будут оцениваться риски. Управление и поддержка со стороны руководства являются существенными, потому что для эффективного управления рисками информационной безопасности требуется привлечение значительных ресурсов.


                        В стандартах ЦБ политике посвящены следующие разделы:

                        СТО БР ИББС-1.0-2006
                        Раздел: 8. Политика информационной безопасности организаций БС РФ

                        РС БР ИББС-2.0-2007
                        Раздел: 4.2. Документы второго уровня

                        Комментарий


                        • #13
                          box_roller, все так. Но именно в этом я и "плаваю".
                          Давйте по-порядку, отталкиваясь в первую очередь от РС БР ИББС-2.0-2007, Раздел 4.1.4

                          1. Определение ИБ в терминах деятельности Банка, области действия политики, целей, задач и принципов обеспечения ИБ Банка
                          В качестве определения предлагаю взять не в терминах деятельности, а прямо из Стандарта Под информационной безопасностью (далее ИБ) в Банке понимается состояние защищенности интересов Банка в условиях угроз в информационной сфере.
                          Разумеется, с расшифровкой информационной сферы и состояния защищенности.

                          Область действия политики - Политика распространяется на всю (любую) деятельность Банка, связанную с ИА,

                          Цель ИБ - обеспечение бесперебойной работы Банка и сведение к минимуму ущерба от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

                          Задачи -
                          Идентификация информационных активов, определение их ценностей.
                          Разработка моделей угроз и нарушителей ИБ
                          Оценка рисков ИБ
                          Управление рисками ИБ, сведение их к допустимому уровню.
                          Обучение персонала Банка в области ИБ
                          Обеспечение непрерывности бизнес-процессов Банка
                          Обеспечение соответствия законодательным актам, нормативным документам Российской Федерации в области обеспечения ИБ и нормативным актам Банка России

                          Ну, достаточно для обсуждения? Чтобы мне хотелось - замечаний по поводу Области деятельности и Задачам.
                          Чем больше связей, тем меньше степеней свободы.

                          Комментарий


                          • #14
                            Может кому поможет в этом деле книга "Разработка правил информационной безопасности", С.Бармен. Достаточно неплохо написана. Разбил файл на три части, т.к. одним "вес" не дает.

                            Комментарий


                            • #15
                              Разрабатывая Политику ИБ стоит взять в расчет групповые показатели.
                              Что касается Области деятельности СМИБ - 9.
                              Отсюда с одной стороны ясно, что лучше бы, если ОД не была ничем ограничена.
                              Но, с другой стороны - она должна пересматриваться в зависимости от перечная ИА и их ценностей для бизнеса.
                              Как бы это все воедино увязать?
                              Чем больше связей, тем меньше степеней свободы.

                              Комментарий


                              • #16
                                to Чернушка
                                Область действия политики - Политика распространяется на всю (любую) деятельность Банка, связанную с ИА, - не конкретно. Область действия (Scope) - это защищаемый нами периметр, граница которого четко проведена. Все что внутри, мы можем контролировать и защищать, все что снаружи - нас уже не касается.
                                Например: Все ИА находящиеся к конкретном здании; если касательно сети , то до какого канала/маршрутизатора реально доходит граница наших интересов. Окончательный Scope вырисовывается после инвентаризации и оценки ИА.

                                При написании документов, неплохо представлять себя на месте внешнего аудитора.
                                Прочтя "Политика распространяется на всю (любую) деятельность Банка, связанную с ИА" и задав вопрос - Как вы это себе представляете? Послушает ответ... и приведет пример , когда ИА в результате какой-то деятельности (любой) покидает вашу зону влияния...

                                Комментарий


                                • #17
                                  Сообщение от box_roller Посмотреть сообщение
                                  to malotavr
                                  P.S. Себестоимость разработки политики безопасности для оганизации средних размеров (500-600 сотрудников) - около $75000 (исходя из занятости трех консультантов в течение 6 месяцев, включает в сепя ФОП, налоги и накладные расходы).

                                  Речь идет о полном комплекте организационных документов ИБ, а не только о Политике?
                                  Ну, если точнее, то я имел в виду комплект документов, который в ISO 13335-1 называется Corporate ICT security policy. Он много чего в себя должен включать, поэтому представлен в виде иерархии документов.

                                  Документы более низкого уровня требуют хорошего знания внутренней специфики, я бы такое консультанту не доверил.

                                  Комментарий


                                  • #18
                                    Сообщение от Чернушка Посмотреть сообщение
                                    box_roller, все так. Но именно в этом я и "плаваю".
                                    Давйте по-порядку, отталкиваясь в первую очередь от РС БР ИББС-2.0-2007, Раздел 4.1.4[
                                    Я бы вам посоветовал на первое премя забыть про СТО ИББС и отталкиваться от ISO 17799 и ISO 13335. Эти документы более логичны и имеют громадную практику применения. Если вы включите в политику то, что впредусмотрено ими, можете оценить ее по групповым показателям и увидите, что вам практически ничего добавлять не нужно.

                                    СТЛ ИББС - это, все-таки, компиляция из разнородных документов, которая делалась в большой спешке. Не усложняйте себе жизнь, решайте проблемы постепенно.

                                    Комментарий


                                    • #19
                                      Если вы включите в политику то, что впредусмотрено ими, можете оценить ее по групповым показателям и увидите, что вам практически ничего добавлять не нужно.
                                      +1

                                      Как бы то ни было, стоит с самого начала определиться с ориентирами.

                                      Это либо делать всё по СТО ИББС , либо по 17799/27001 .
                                      В первом случае много вопросов и мало ответов на них.
                                      Во втором огромная практическая база.

                                      Комментарий


                                      • #20
                                        Сообщение от box_roller Посмотреть сообщение
                                        Это либо делать всё по СТО ИББС , либо по 17799/27001.
                                        Мы этот вопрос уже обсуждали. СУИБ, построенная по ISO 13335/ISO 17799 на 90% отображается на групповые показатели СТО ИББС.

                                        Комментарий


                                        • #21
                                          Ключевым для понимания Что же такое политика? стало определение - Политика - правила, которые следует соблюдать при реализации стратегии. Сразу стало легче
                                          Чем больше связей, тем меньше степеней свободы.

                                          Комментарий


                                          • #22
                                            Сообщение от Чернушка Посмотреть сообщение
                                            По поводу "рыб докментов" - пока не будет желающих поделиться этими "рыбами", то и "рыб" не будет. Прислал бы кто-нибудь рыбу политики ИБ. Хотя бы оглавление и общие фразы - чтобы было понятно что стоит включать, а что нет. Лично я уже закопалась.
                                            Как пример (но не рекламный), могу привести такой бесплатный тул как Cisco Security Policy Builder. Заходите, отвечаете на десяток вопросов и получате РЫБУ политики безопасности (правда, на английском).

                                            Но надо понимать, что понятия "политика" в России и на Западе отличаются. Также как и "концепции ИБ" и т.д.

                                            Комментарий


                                            • #23
                                              Алексей Лукацкий, спасибо! Попробую, а потом сравню с тем, что у меня получилось.

                                              Попутно вопрос - Политика ИБ - публичный документ? Выкладывая сюда рыбу своей политики (какая, правда, она при этом рыба?) не нарушаем ли мы ту самую ИБ или еще какие-нибудь нормативы?
                                              Чем больше связей, тем меньше степеней свободы.

                                              Комментарий


                                              • #24
                                                Сообщение от Чернушка Посмотреть сообщение
                                                Алексей Лукацкий, спасибо! Попробую, а потом сравню с тем, что у меня получилось.

                                                Попутно вопрос - Политика ИБ - публичный документ? Выкладывая сюда рыбу своей политики (какая, правда, она при этом рыба?) не нарушаем ли мы ту самую ИБ или еще какие-нибудь нормативы?
                                                Документ верхенего уровня достаточно общий для того, чтобы не не конфиденциальным. Но, поскольку вы не являетесь владельцем этого документа, публикация его без согласия работодателя - нарушение законодательства.

                                                Как правило политика безопасности классифицируется все-таки как внутренний документ, и третьим лицам передается на условиях соглашения о конфиденциальности. Из прагматичных соображений - разработка политики связана с затратами и совершенно незачем облегчать жизнь сотрудникам конкурирующих организаций

                                                Комментарий


                                                • #25
                                                  malotavr, да, вы, как обычно, правы. Тогда откуда возьмутся "рыбы", которыми народ хотел заполнять ресурс по ИБ?
                                                  Чем больше связей, тем меньше степеней свободы.

                                                  Комментарий


                                                  • #26
                                                    Действительно...

                                                    Согласно проекту стандарта ГОСТ Р ИСО/МЭК 13569-200х
                                                    Документ Политики должен быть открытым по своему характеру, широко распространенным и доступным всем заинтересованным сторонам организации.
                                                    Документы практики обеспечения безопасности получены из содержания документации Политики. Эти документы определяют общие стандарты безопасности, которым должна следовать организация. Они отражают намерения и цели, установленные руководством самого высокого уровня при создании программы информационной безопасности, и документируют намерение реализовать политику независимым от технологии образом.
                                                    Документ практики не является общественным. Но возможны обстоятельства представления документа практики регулятивным органам.
                                                    Документы операционных процедур обеспечения безопасности являются производным одного или более документов практики обеспечения безопасности.
                                                    Следовательно не только политика, как уже подчеркнул г-н malotavr, но и любые другие документы по ИБ относятся ко внутренним...

                                                    откуда возьмутся "рыбы", которыми народ хотел заполнять ресурс по ИБ?
                                                    +1

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Чернушка Посмотреть сообщение
                                                      malotavr, да, вы, как обычно, правы. Тогда откуда возьмутся "рыбы", которыми народ хотел заполнять ресурс по ИБ?
                                                      Ну тут как посмотреть
                                                      Для одних "рыба" - это халява, где надо только изменить авторство и вписать название своей организации.
                                                      Для других, "рыба" - это удобное пособие для самостоятельного написания документа. Заголовки разделов + краткое пояснение содержания раздела... пустые таблицы и т.д.. Такая "рыба" на пару страниц, может описывать документ объема 20-30 страниц.

                                                      Нет ни халявы, ни разглашения секретов. Она будет представлять интерес только для специалистов.
                                                      to Чернушка , timset А Вы какую "рыбу" имели ввиду?

                                                      Комментарий


                                                      • #28
                                                        box_roller, честно говоря, я уже начинаю терять интерес к затее с "рыбами" любого формата. Т.к. никто кроме меня ничего не предлагает, все только критикуют
                                                        Чем больше связей, тем меньше степеней свободы.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от box_roller Посмотреть сообщение
                                                          Нет ни халявы, ни разглашения секретов.
                                                          Объективно - вы правы. Но я не думаю, что, например, мое руководство придерживается той же точки зрения

                                                          Комментарий


                                                          • #30
                                                            Сообщение от malotavr Посмотреть сообщение
                                                            Объективно - вы правы. Но я не думаю, что, например, мое руководство придерживается той же точки зрения
                                                            Окончательный выбор (публиковать или нет) в любом случае остается за автором.
                                                            Ну а если кто-то пожелает разгласить внутренние документы полностью, думается никто на форуме против не будет

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X