1 Безопасность информации в компании. Ключевые точки защиты. Организация собственной Службы информационной безопасности Широков Александр, заместитель. - презентация

1 1 Безопасность информации в компании. Ключевые точки защиты. Организация собственной Службы информационной безопасности Широков Александр, заместитель начальника Службы информационной безопасности – начальник отдела информационной безопасности АБС 06 октября 2011

2 2 «Кто владеет информацией, тот владеет миром. Кто управляет информацией, тот управляет миром» Уинстон Черчилль

3 3 Нормативно-правовое обеспечение защиты информации в компании Федеральные законы: Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006г. 149-ФЗ Федеральный закон «О коммерческой тайне» от 29 июля 2004г. 98-ФЗ Федеральный закон «О банках и банковской деятельности» от Отраслевой стандарт кредитных организаций: Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации» СТО БР ИББС

4 4 Нормативно-правовое обеспечение защиты информации в компании Федеральный закон «О коммерческой тайне» от 29 июля 2004г. 98-ФЗ: коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду

5 5 Нормативно-правовое обеспечение защиты информации в компании Федеральный закон «О коммерческой тайне» от 29 июля 2004г. 98-ФЗ: информация, составляющая коммерческую тайну (секрет производства), - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны

6 6 Ключевые точки защиты информации Руководство организации должно знать, что защищать. Для этого необходимо определить и защитить все информационные активы (ресурсы), реализация угроз в отношении которых может нанести ущерб организации. Наибольшими возможностями для нанесения ущерба организации обладает её собственный персонал Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы РФ»

7 7 Ключевые точки защиты информации Внешние подключаемые устройства (флешки, USB-диски и т.д.) Почтовая переписка (с внешними адресатами) Использование сети Интернет (социальные сети, ICQ и т.д.) Доступ к информации в автоматизированных системах Мобильные устройства, корпоративные ноутбуки Рабочие станции, серверы (антивирусная защита)

8 8 Основные моменты организации Службы информационной безопасности Должны быть утверждены цели и задачи её деятельности Куратор из числа топ-менеджмента (руководства) организации Управление информатизации (IT) и Служба информационной безопасности не должны иметь общего куратора У Службы информационной безопасности должен быть свой бюджет В филиалах или региональных представительствах компании рекомендуется выделить уполномоченных лиц на местах

9 9 Система обеспечения информационной безопасности компании Комплекс мероприятий ПравовыхОрганизационныхТехнических

10 10 Служба информационной безопасности Удостоверяющий Центр Корпоративной информационной системы Отдел внедрения и сопровождения систем обеспечения информационной безопасности Отдел криптографической защиты информацииОтдел администраторов безопасности Отдел информационной безопасности автоматизированных банковских систем Отдел безопасности платежных системОтдел оценки соответствия и аттестации

11 11 Система обеспечения информационной безопасности Основа модели менеджмента стандартов качества ГОСТ Р ИСО 9001 и ИБ ISO/IEC IS Планирование СОИБ Реализация СОИБПроверка СОИБ Совершенствование СОИБ

12 12 Ответственность за нарушения в области защиты информации Трудовой кодекс Российской Федерации от г. 197-ФЗ Статья 81. Расторжение трудового договора по инициативе работодателя Трудовой договор может быть расторгнут работодателем в случаях: 6) однократного грубого нарушения работником трудовых обязанностей: в) разглашения охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашения персональных данных другого работника;

13 13 Ответственность за нарушения в области защиты информации Уголовный кодекс Российской Федерации от г. 63-ФЗ Статья 272. Неправомерный доступ к компьютерной информации 2. То же деяние, совершенное группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

14 14 Спасибо за внимание! Широков Александр, заместитель начальника Службы информационной безопасности – начальник отдела информационной безопасности АБС 06 октября 2011