Большая библиотека по информационной безопасности и защите ИТ-систем

«Большая библиотека по информационной безопасности и защите ИТ-систем» (далее Библиотека) включает документы и материалы, требующиеся многим сотрудникам и руководителям, которые работают в следующих областях. 

• Информационная безопасность и кибербезопасность (как подраздел)
• Риски информационных систем (ИТ-риски)
• Операционные риски (в широком определении)
• Обеспечение непрерывности деятельности (business continuity management), операционная надёжность (киберустойчивость)
• Управление персональными данными (хранение, обработка, защита)
• Внутренний аудит, внутренний контроль
• Библиотека предназначена для решения следующих практических задач
• Разработка и развитие системы управления информационной безопасностью, включая всю необходимую документацию. 
• Защита информационных активов и ИТ-систем организации, а также обрабатываемых персональных данных. 
• Проектирование и оптимизация бизнес-архитектуры, ИТ-архитектуры, бизнес-процессов организации с точки зрения информационной безопасности.
• Обеспечение исполнения внутренних регламентов в области информационной безопасности, выполнение процедур аудита и контроля.
• Систематизация и распространение знаний в организации, обучение и вовлечение сотрудников.
• Исполнение государственных и международных стандартов и требований в области информационной безопасности, киберустойчивости и защиты информации. 
• Применение лучших профессиональных практик и инноваций в данной области. 
• Организация эффективной работы подразделения (управления) информационной безопасности. 

Внедрение и использование Библиотеки имеет следующие экономические эффекты и выгоды для организации

• Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике. 
• Возможность выполнить большой объём задач собственными силами без привлечения внешних консультантов, т.е. без дополнительных расходов. 
• Минимизация рисков и ошибок за счёт готовых проверенных на практике материалов и решений. 
• Улучшение показателей KPI бизнес-процессов и ИТ-систем, безопасности и надёжности работы организации в целом. Снижение операционных убытков (потерь). 

Пользователи

Библиотека будет полезна для всех подразделений организации, в первую очередь для следующих: управление информационной безопасности, управление экономической безопасности, управление операционных рисков, управление информационных технологий, управление внутреннего контроля / внутреннего аудита.

Структура и материалы Библиотеки

1. Нормативные документы (55 файлов)

Общие документы (код IB)

• Инструкция категорирования информационных ресурсов (конфиденциальность, целостность)
• Методика проведения анализа рисков информационной безопасности
• Памятка сотруднику по правилам обеспечения информационной безопасности
• Политика информационной безопасности
• Политика тестирования информационной безопасности
• Положение о бесперебойной и безопасной работе информационно-вычислительной сети
• Положение о ролях по обеспечению информационной безопасности
• Положение о системе менеджмента информационной безопасности
• Положение о технических средствах защиты информации
• Положение об анализе и улучшениях системы обеспечения информационной безопасности
• Положение об информационной безопасности
• Положение об информационной безопасности при обеспечении непрерывности бизнеса
• Положение об обучении и проверке знаний сотрудников по информационной безопасности
• Положение об оценке рисков нарушения информационной безопасности
• Порядок проведения аудитов и самооценок информационной безопасности
• Порядок проведения интервью при самооценке информационной безопасности
• Регламент тестирования информационной безопасности

Защита ИТ-систем (код IS)

• Модель угроз безопасности и ИТ-рисков для устройств удаленного доступа
• Модель угроз и нарушителей безопасности информации в ИТ-системах
• Политика по внесению изменений в ИТ-системы в части информационной безопасности
• Политика по обеспечению информационной безопасности технологических процессов и систем
• Политика по управлению доступом к информационным ресурсам и системам
• Положение о защите информации в информационных системах
• Положение о категорировании ИТ-систем и ресурсов в целях защиты
• Положение о механизмах идентификации, аутентификации и авторизации в ИТ-системах и ресурсах
• Положение о проведении контроля защищённости ИТ-систем
• Положение о распределении доступа к ИТ-системам и базам данных
• Положение об обеспечении информационной безопасности процессов в ИТ-системах
• Порядок осуществления контроля за состоянием ИТ-системы и её безопасности
• Порядок предоставления прав доступа к конфиденциальной информации и ИТ-системам
• Порядок проведения тестирования защищенности ИТ-систем
• Порядок разработки систем защиты информации в ИТ-системах
• Порядок эксплуатации систем защиты информации в ИТ-системах
• Типовая детальная модель защиты информационной системы

Антивирусная защита, кибератаки (код AV)

• Методика обнаружения и противодействия атакам на ИТ-системы организации
• Политика антивирусной защиты
• Положение об антивирусной защите
• Положение об организации антивирусной защиты локальной вычислительной сети
• Положение об управлении уязвимостями информационных ресурсов и систем
• Порядок контроля уязвимостей программного обеспечения в организации

Криптографическая защита и ЭЦП (код CR)

• Инструкция по администрированию средств криптографической защиты информации (СКЗИ)
• Политика использования средств криптографической защиты информации
• Положение об организации криптографической защиты информации
• Положение по работе со средствами криптографической защиты информации и ключевой информацией
• Положение по учету, хранению и использованию носителей ключевой информации (ЭЦП)
• Регламент использования электронной цифровой подписи (ЭЦП) в организации

Защита персональных данных (код PD)

• Классификация информационных систем для обеспечения безопасности персональных данных
• Методы и способы защиты персональных данных от несанкционированного доступа
• Модель угроз информационной системы персональных данных
• Положение о защите персональных данных работников
• Положение о персональных данных
• Порядок доступа к персональным данным, обрабатываемым в ИТ-системах
• Регламент тестирования информационной системы персональных данных
• Система защиты персональных данных - техническое задание 1
• Система защиты персональных данных - техническое задание 2

2. Положения о подразделениях и должностные инструкции (7 файлов)

• Должностная инструкция Начальника отдела по защите информации
• Должностная инструкция Специалиста отдела по защите информации
• Положение о Комитете по информационной безопасности
• Положение об Органе криптографической защиты
• Положение об Отделе безопасности информационных технологий
• Положение об Отделе информационной безопасности
• Положение об Управлении информационной безопасности

3. Формы документов (12 файлов)

• Акт проверки безопасности информационной инфраструктуры
• Анализ соответствия ИТ-системы требованиям безопасности и рекомендации
• Информационная безопасность и операционная надёжность ИТ-оборудования
• Информационная безопасность и операционная надёжность ИТ-систем
• Отчёт о проверке безопасности информационной системы (ИС)
• Отчёт о результатах обследования процессов обработки персональных данных
• Отчёт о результатах проверки обеспечения защиты персональных данных в ИС
• Отчёт об уровне зрелости системы информационной безопасности
• План действий при возникновении внештатных ситуаций в ИТ-инфраструктуре
• План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам
• Программа оценки системы информационной безопасности
• Техническое задание - разработка комплексной системы обеспечения безопасности в ИТ-системе

4. Разные материалы (3 файла)

• Модель процесса «Управление информационной безопасностью» (Information Security Management)
• Показатели KPI процесса «Обеспечение безопасности»
• Статья «Операционная надёжность и операционные риски»