Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности - файл 1.doc

Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности
скачать (2145 kb.)

Доступные файлы (1):

1.doc

2145kb.

06.12.2011 11:19

скачать

содержание

---

Смотрите также:
• по информационной безопасности [ лекция ]
• Белова Н.Е., Бражников С.А. Основы информационной безопасности. Методическое пособие [ документ ]
• Теория информационной безопасности и методология защиты информации [ документ ]
• Ответы для экзамена - Информационная безопасность [ документ ]
• Проблемы информационной безопасности банков [ документ ]
• Ответы на билеты - Информационная безопасность [ документ ]
• Обеспечение безопасности персональных данных. Лекция №01. Основы информационной безопасности [ документ ]
• Кудрявцева Р.Т. Теория информационной безопасности и методология защиты информации. Лекции [ документ ]
• Аудит информационной безопасности [ документ ]
• Взаимодействие с правоохранительными органами в сфере информационной безопасности [ документ ]
• Шпаргалка - основы информационной безопасности [ документ ]
• Информационная безопасность. Вариант 3 за 1курс [ документ ]

1.doc

11.2. Разработка Концепции безопасности информации

Формирование стратегических целей обеспечения безопасности информации охватывает следующие направления:

11.2.1. Определение общих положений Концепции

• 
  Определение назначения и правовой основы Концепции (назначение Концепции, ее правовой статус, ответственность за ее выполнение, правовая основа, установление прав собственности на информацию, деление информации по категориям, определение объектов защиты и субъектов отношений);
  
• 
  Уточнение основных целей и задач обеспечения безопасности информации (определение возможного ущерба, целей и задач обеспечения безопасности информации, угроз безопасности информации);
  
• 
  Определение принципов обеспечения безопасности информации (законности, максимальной дружественности и прозрачности, превентивности, оптимальности и разумной разнородности, адекватности и непрерывности, системного подхода и рациональной этапности, адаптивности, доказательности и обязательности контроля, самозащиты и конфиденциальности СОБИ, многоуровневости и равнопрочности, простоты применения и апробированности защиты, преемственности и совершенствования, персональной ответственности и минимизации привилегий, разделения обязанностей и т.д.);
  
• 
  Описание состояния безопасности информации в КИС (оценка общей структуры КИС, основных подходов к оценке состояния безопасности информации, источников угроз безопасности информации, уязвимостей объектов информатизации, методов реализации угроз, прогнозирование возможных атак на объекты защиты).
  

11.2.2. Уяснение основных направлений обеспечения безопасности
информации и описание требований к безопасности информации

• 
  Основные направления обеспечения безопасности информации (определение технической политики и приоритетов целей обеспечения безопасности информации);
  
• 
  Основные методы противодействия угрозам безопасности информации (правовые, экономические, организационные, инженерно-технические, технические, программно-аппаратные);
  
• 
  Выбор уровня защиты объектов информатизации (определение категории защиты объекта информатизации и класса защищенности КИС);
  
• 
  Основные требования к СОБИ (общие, к физическому, технологическому, пользовательскому, локальному и сетевому уровням защиты);
  
• 
  Основные требования к системе защиты информации (общие, общие требования по сегментированию и сопряжению сегментов, к физическому, технологическому, пользовательскому, локальному, сетевому уровням защиты, а также к подсистемам управления доступом, аудита и мониторинга, защиты пери метра, распределения ключей и сертификатов, хранения данных и резервного копирования, к аттестации объектов информатизации);
  
• 
  Основные требования к системе управления безопасностью информации (определение принципов управления безопасностью информации, структуры системы управления безопасностью информации, требований к специалистам системы управления обеспечением безопасности и комплексному администрированию КИС, а также общих требований по организации допуска пользователей КИС);
  
• 
  Основные требования к инженерному и техническому оборудованию помещений (по построению защищенных помещений, размещению технических средств, использованию вспомогательных технических средств, оборудованию рабочего места администратора безопасности)
  

11.2.3. Разработка специальных глав Концепции

• 
  Обеспечение безопасности информации на стадии проектирования и создания СОБИ;
  
• 
  Обеспечение безопасности информации на стадии эксплуатации КИС;
  
• 
  Контроль обеспечения безопасности информации при проектировании СОБИ;
  
• 
  Страхование информационных рисков;
  
• 
  Ответственность должностных лиц за исполнение положений Концепции;
  
• 
  Подготовка приложений и иллюстрационных материалов.
  

11.3. Разработка Регламента обеспечения безопасности информации

Разработка Регламента включает в себя следующие работы:

11.3.1. Подготовка к разработке Регламента

• 
  Изучение Концепции обеспечения безопасности информации и других руководящих документов;
  
• 
  Сбор дополнительной исходной информации;
  

11.3.2. Определение общих положений Регламента

• 
  Соответствие принятой политики безопасности действующему законодательству;
  
• 
  Информационные ресурсы и необходимый уровень их защиты;
  
• 
  Описание общих правил разграничения доступа к информации;
  
• 
  Порядок разработки и сопровождения информационных систем;
  
• 
  Организация обучения и переподготовки персонала.
  

11.3.3. Определение обязанностей
персонала по обеспечению безопасности информации

• 
  Определение подразделений, отвечающих за обеспечение безопасности информации (организационная структура подразделений обеспечивающих режим безопасности информации и задачи подразделений по обеспечению безопасности информации);
  
• 
  Определение ответственности за обеспечение режима безопасности информации (обязанностей руководства, службы защиты информации, службы комплексного администрирования КИС, службы безопасности, службы эксплуатации (жизнеобеспечения) технических средств, кадровой службы, руководителей подразделений, пользователей, а также ответственность должностных лиц за выполнение требований безопасности информации);
  
• 
  Определение порядка взаимодействия с другими организациями (по обмену информацией со сторонними организациями, предоставлению информации государственным и муниципальным организациям, следственным и надзорным органам, взаимодействию со средствами массовой информации;
  
• 
  Определение порядка использования паролей пользователей (генерации паролей и ключевой информации, смены паролей плановой и в случае компрометации, прекращения действия паролей);
  
• 
  Определение порядка регистрации пользователей и назначения им прав доступа (наделения пользователей полномочиями доступа к информационным ресурсам организации, внесения изменений в списки пользователей, исключения из списков сотрудников, выбывших из организации, учета временно выбывших сотрудников и блокирования их полномочий).
  

11.3.4. Определение правил
использования компьютеров и информационных систем

• 
  Для обеспечения безопасности при использовании программного обеспечения (определение порядка введение новых программных продуктов в эксплуатацию, использования приложений, баз данных, систем электронного документооборота, защиты от вредоносных программ и вирусов, разработки программного обеспечения по заявкам подразделений организации, проведения обслуживания программного обеспечения, обеспечения резервного копирования);
  
• 
  Для обеспечения безопасности при использовании оборудования КИС (определение порядка ввода в эксплуатацию новых технических средств, учета, хранения и обращения со съемными носителями информации и твердыми копиями, проведения регламентного обслуживания аппаратных средств, обеспечения бесперебойной работы, а также обеспечения безопасности на серверах ЛВС, рабочих станциях пользователей, при работе с переносными компьютерами, средствах связи и телекоммуникаций) ;
  
• 
  Для обеспечения безопасности при работе пользователей в сети Интернет (определение порядка сегментирования информационной системы, подключения рабочих мест пользователей к сети Интернет, работы с удаленными пользователями);
  
• 
  Определение порядка аттестации объектов информатизации;
  
• 
  Определение порядка внутреннего периодического контроля соблюдения режима безопасности информации;
  
• 
  Определение порядка проведения аудита безопасности информации с привлечением сторонних организаций;
  
• 
  Определение порядка и процедуры реагирования на нарушения режима безопасности (разбор инцидентов);
  
• 
  Определение порядка ликвидации последствий при возникновении нештатных ситуаций и нарушении установленного режима обеспечения безопасности информации.
  
  
  

---

Скачать файл (2145 kb.)

Поиск по сайту:  

---