Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности
скачать (2145 kb.)
Доступные файлы (1):
1.doc | 2145kb. | 06.12.2011 11:19 | ![]() |
содержание
- Смотрите также:
- по информационной безопасности [ лекция ]
- Белова Н.Е., Бражников С.А. Основы информационной безопасности. Методическое пособие [ документ ]
- Теория информационной безопасности и методология защиты информации [ документ ]
- Ответы для экзамена - Информационная безопасность [ документ ]
- Проблемы информационной безопасности банков [ документ ]
- Ответы на билеты - Информационная безопасность [ документ ]
- Обеспечение безопасности персональных данных. Лекция №01. Основы информационной безопасности [ документ ]
- Кудрявцева Р.Т. Теория информационной безопасности и методология защиты информации. Лекции [ документ ]
- Аудит информационной безопасности [ документ ]
- Взаимодействие с правоохранительными органами в сфере информационной безопасности [ документ ]
- Шпаргалка - основы информационной безопасности [ документ ]
- Информационная безопасность. Вариант 3 за 1курс [ документ ]
1.doc
11.2. Разработка Концепции безопасности информации
Формирование стратегических целей обеспечения безопасности информации охватывает следующие направления:
11.2.1. Определение общих положений Концепции
Определение назначения и правовой основы Концепции (назначение Концепции, ее правовой статус, ответственность за ее выполнение, правовая основа, установление прав собственности на информацию, деление информации по категориям, определение объектов защиты и субъектов отношений);
Уточнение основных целей и задач обеспечения безопасности информации (определение возможного ущерба, целей и задач обеспечения безопасности информации, угроз безопасности информации);
Определение принципов обеспечения безопасности информации (законности, максимальной дружественности и прозрачности, превентивности, оптимальности и разумной разнородности, адекватности и непрерывности, системного подхода и рациональной этапности, адаптивности, доказательности и обязательности контроля, самозащиты и конфиденциальности СОБИ, многоуровневости и равнопрочности, простоты применения и апробированности защиты, преемственности и совершенствования, персональной ответственности и минимизации привилегий, разделения обязанностей и т.д.);
Описание состояния безопасности информации в КИС (оценка общей структуры КИС, основных подходов к оценке состояния безопасности информации, источников угроз безопасности информации, уязвимостей объектов информатизации, методов реализации угроз, прогнозирование возможных атак на объекты защиты).
11.2.2. Уяснение основных направлений обеспечения безопасности
информации и описание требований к безопасности информации
Основные направления обеспечения безопасности информации (определение технической политики и приоритетов целей обеспечения безопасности информации);
Основные методы противодействия угрозам безопасности информации (правовые, экономические, организационные, инженерно-технические, технические, программно-аппаратные);
Выбор уровня защиты объектов информатизации (определение категории защиты объекта информатизации и класса защищенности КИС);
Основные требования к СОБИ (общие, к физическому, технологическому, пользовательскому, локальному и сетевому уровням защиты);
Основные требования к системе защиты информации (общие, общие требования по сегментированию и сопряжению сегментов, к физическому, технологическому, пользовательскому, локальному, сетевому уровням защиты, а также к подсистемам управления доступом, аудита и мониторинга, защиты пери метра, распределения ключей и сертификатов, хранения данных и резервного копирования, к аттестации объектов информатизации);
Основные требования к системе управления безопасностью информации (определение принципов управления безопасностью информации, структуры системы управления безопасностью информации, требований к специалистам системы управления обеспечением безопасности и комплексному администрированию КИС, а также общих требований по организации допуска пользователей КИС);
Основные требования к инженерному и техническому оборудованию помещений (по построению защищенных помещений, размещению технических средств, использованию вспомогательных технических средств, оборудованию рабочего места администратора безопасности)
11.2.3. Разработка специальных глав Концепции
Обеспечение безопасности информации на стадии проектирования и создания СОБИ;
Обеспечение безопасности информации на стадии эксплуатации КИС;
Контроль обеспечения безопасности информации при проектировании СОБИ;
Страхование информационных рисков;
Ответственность должностных лиц за исполнение положений Концепции;
Подготовка приложений и иллюстрационных материалов.
11.3. Разработка Регламента обеспечения безопасности информации
Разработка Регламента включает в себя следующие работы:
11.3.1. Подготовка к разработке Регламента
Изучение Концепции обеспечения безопасности информации и других руководящих документов;
Сбор дополнительной исходной информации;
11.3.2. Определение общих положений Регламента
Соответствие принятой политики безопасности действующему законодательству;
Информационные ресурсы и необходимый уровень их защиты;
Описание общих правил разграничения доступа к информации;
Порядок разработки и сопровождения информационных систем;
Организация обучения и переподготовки персонала.
11.3.3. Определение обязанностей
персонала по обеспечению безопасности информации
Определение подразделений, отвечающих за обеспечение безопасности информации (организационная структура подразделений обеспечивающих режим безопасности информации и задачи подразделений по обеспечению безопасности информации);
Определение ответственности за обеспечение режима безопасности информации (обязанностей руководства, службы защиты информации, службы комплексного администрирования КИС, службы безопасности, службы эксплуатации (жизнеобеспечения) технических средств, кадровой службы, руководителей подразделений, пользователей, а также ответственность должностных лиц за выполнение требований безопасности информации);
Определение порядка взаимодействия с другими организациями (по обмену информацией со сторонними организациями, предоставлению информации государственным и муниципальным организациям, следственным и надзорным органам, взаимодействию со средствами массовой информации;
Определение порядка использования паролей пользователей (генерации паролей и ключевой информации, смены паролей плановой и в случае компрометации, прекращения действия паролей);
Определение порядка регистрации пользователей и назначения им прав доступа (наделения пользователей полномочиями доступа к информационным ресурсам организации, внесения изменений в списки пользователей, исключения из списков сотрудников, выбывших из организации, учета временно выбывших сотрудников и блокирования их полномочий).
11.3.4. Определение правил
использования компьютеров и информационных систем
Для обеспечения безопасности при использовании программного обеспечения (определение порядка введение новых программных продуктов в эксплуатацию, использования приложений, баз данных, систем электронного документооборота, защиты от вредоносных программ и вирусов, разработки программного обеспечения по заявкам подразделений организации, проведения обслуживания программного обеспечения, обеспечения резервного копирования);
Для обеспечения безопасности при использовании оборудования КИС (определение порядка ввода в эксплуатацию новых технических средств, учета, хранения и обращения со съемными носителями информации и твердыми копиями, проведения регламентного обслуживания аппаратных средств, обеспечения бесперебойной работы, а также обеспечения безопасности на серверах ЛВС, рабочих станциях пользователей, при работе с переносными компьютерами, средствах связи и телекоммуникаций) ;
Для обеспечения безопасности при работе пользователей в сети Интернет (определение порядка сегментирования информационной системы, подключения рабочих мест пользователей к сети Интернет, работы с удаленными пользователями);
Определение порядка аттестации объектов информатизации;
Определение порядка внутреннего периодического контроля соблюдения режима безопасности информации;
Определение порядка проведения аудита безопасности информации с привлечением сторонних организаций;
Определение порядка и процедуры реагирования на нарушения режима безопасности (разбор инцидентов);
Определение порядка ликвидации последствий при возникновении нештатных ситуаций и нарушении установленного режима обеспечения безопасности информации.
Скачать файл (2145 kb.)