КОНЦЕПЦИЯ ИБ ГОССЕКТОРА

ЦЕЛИ И ЗАДАЧИ ИБ ГОССЕКТОРА Первоочередная задача - обеспечивать соответствие требованиям Федерального законодательства… ФЗ 152 «О персональных данных» ФЗ 149 «Об информации…» ФЗ 63 «Об электронной подписи» …и др… …ФОИВ (регуляторов) ПП 211 о перечне мер по выполнению требований ФЗ 152 Приказ 17 ФСТЭК о мерах по защите ГИС; …и др… …и отраслевого регулирования (в т.ч. безопасность КВО)

Достаточно ли соответствия для эффективного обеспечения ИБ в современных условиях? Органы государственной власти (ОГВ) и госкомпании также должны учитывать: Внедрение ИТ в процессы госуправления: массовое развитие ГИС, перевод госуслуг в электронный вид и т.д.; Курс на партнерство и сотрудничество в области обеспечения безопасности, а также широкое использование современных технологий (в т.ч WEB)*; Основные направления государственной политики в области обеспечения ИБ и ход целевых государственных программ («Информационное общество» и др.). * Из обращения Президента РФ к Федеральному собранию, декабрь 2013 ИБ ГОССЕКТОРА: СОВРЕМЕННЫЙ ВЗГЛЯД

Современные цели, стоящие перед ОГВ и госкомпаниями : Повышение эффективности власти и совершенствование функций госуправления; Повышение качества госуслуг; Повышение прозрачности деятельности; Сокращение издержек и экономическая эффективность; Обеспечение соответствия требованиям; Готовность к появлению новых ИТ-технологий и трендов. СОВРЕМЕННЫЕ ЦЕЛИ ИБ ГОССЕКТОРА

Основные проблемы ОГВ и госкомпаний в части ИБ и причины их возникновения: Низкая фактическая защищенность (несмотря на формальное соответствие), в т.ч из-за недостаточности организационных мер*; Отсутствие выделенных должностей и/или нехватка квалифицированных кадров; Отсутствует единая информационная политика и архитектура: разобщенность ИС, «зоопарк» технических решений; Единые требования, которые должны предъявляться к аутсорсеру в части ИБ, отсутствуют; Не унифицирована нормативная база. * По результатам независимых анализов защищенности ГОТОВ ЛИ ГОССЕКТОР?

Основные задачи ИБ госорганов и госкомпаний на современном этапе: Выстраивание СОИБ; Техническая защита и аттестация Стандартизация и унификация, в т.ч. разработка типовой документации; Повышение квалификации и подготовка квалифицированных кадров; Разработка системы показателей эффективности мер ИБ, внутренний контроль и оценка защищенности; Сертификация ПО; Обеспечение безопасности в условиях широкого использования мобильных и WEB-технологий. Как ничего не забыть и наоборот – не расходовать средства на избыточную защиту? ЗАДАЧИ ГОССЕКТОРА В ОБЛАСТИ ИБ

Концепция ИБ – комплексное и цельное отражение видения, подходов и методов обеспечения ИБ в конкретном ОГВ или госкомпании: Укрупненный план действий на период 5 (иногда больше) лет; Описывает комплексный долгосрочный взгляд на ИБ; Учитывает изменения ландшафта угроз и новые тренды; Не бывает типового документа – разрабатывается под нужны конкретного ОГВ или компании. Основная задача Концепции ИБ – повышение эффективности деятельности и целевого расходования средств госоргана или госкомпании КОНЦЕПЦИЯ ИБ ГОССЕКТОРА

Хорошая Концепция ИБ должна учитывать: Требования Федерального законодательства, ФОИВ и отраслевых регуляторов; Курс, принятый в национальных Федеральных и целевых программах; Угрозы ИБ, актуальные для данного ОГВ или госкомпании; Современные и перспективные тренды: Перевод услуг в электронный вид, Мобилизация; Облачные технологии, виртуализация. BigData; Социальные сети; Интернет вещей. КАКОЙ ДОЛЖНА БЫТЬ КОНЦЕПЦИЯ ИБ?

Концепция ИБ – документ, направленный на получение планируемого результата в долгосрочном периоде. В общем случае Концепция ИБ содержит: Терминологический аппарат; Описание основных целей и задач ИБ в конкретном ОГВ или госкомпании; Описание общих принципов обеспечения ИБ; Описание объектов защиты: Информация и информационные ресурсы; Информационные системы; Каналы связи; другие информационные активы… Модели угроз безопасности; СТРУКТУРА КОНЦЕПЦИИ

Описание общих методов обеспечения ИБ; Принципы управления ИБ и документационное обеспечение; Описание состава мероприятий по защите: Формирование требований к системе защиты; Проектирование; Разработка орг.мероприятий; Разработка документации; Аттестация и др… СТРУКТУРА КОНЦЕПЦИИ (ПРОДОЛЖЕНИЕ) Описание конкретных мер по защите: Управление доступом; Регистрация событий и мониторинг; Резервное копирование и др… Принципы оценки и контроля; Нормативно-методическое обеспечение Концепции.

Что получает госсектор в результате реализации положений Концепции: Обеспечение соответствия требованиям; Защищенность информации и инфраструктуры; Непрерывность деятельности и контролируемое качество услуг; Актуальность защитных мер с учетом прогрессивных технологий; Согласованность стратегии развития ИБ со стратегией ИТ и основными функциями ОГВ; Целесообразное и эффективное планирование и расходование средств; Прозрачность деятельности ОГВ, доверие общества. НУЖНА ЛИ КОНЦЕПЦИЯ ГОССЕКТОРУ?

Для разработки действительно хорошей и актуальной Концепции нужны широкие знания, практический опыт и разумное время; Разработка Концепции требует временных и финансовых затрат; Разработка Концепции сопряжена с типовыми проектными рисками: работа в режиме проекта в составе рабочей группы, нарушение сроков, несоблюдение бюджета. Адекватная Концепция ИБ способна выполнить свою основную миссию – повысить уровень зрелости ОГВ или госкомпании, перейти от формального соответствия к реальной эффективности защиты Что требуется для разработки Концепции ИБ?

ЗАКЛЮЧЕНИЕ И ВЫВОДЫ

18 лет лидерства на рынке информационной безопасности в России Группа компаний «Информзащита»

Андрей Воробьев Директор Департамента по работе с государственными организациями +7 (495) (926)