Logo GenDocs.ru

Поиск по сайту:  

Загрузка...

Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности - файл 1.doc


Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности
скачать (2145 kb.)

Доступные файлы (1):

1.doc2145kb.06.12.2011 11:19скачать

1.doc

1   2   3   4   5   6   7   8   9   10   ...   14

11.2. Разработка Концепции безопасности информации



Формирование стратегических целей обеспечения безопасности информации охватывает следующие направления:

11.2.1. Определение общих положений Концепции





  • Определение назначения и правовой основы Концепции (назначение Концепции, ее правовой статус, ответственность за ее выполнение, правовая основа, установление прав собственности на информацию, деление информации по категориям, определение объектов защиты и субъектов отношений);

  • Уточнение основных целей и задач обеспечения безопасности информации (определение возможного ущерба, целей и задач обеспечения безопасности информации, угроз безопасности информации);

  • Определение принципов обеспечения безопасности информации (законности, максимальной дружественности и прозрачности, превентивности, оптимальности и разумной разнородности, адекватности и непрерывности, системного подхода и рациональной этапности, адаптивности, доказательности и обязательности контроля, самозащиты и конфиденциальности СОБИ, многоуровневости и равнопрочности, простоты применения и апробированности защиты, преемственности и совершенствования, персональной ответственности и минимизации привилегий, разделения обязанностей и т.д.);

  • Описание состояния безопасности информации в КИС (оценка общей структуры КИС, основных подходов к оценке состояния безопасности информации, источников угроз безопасности информации, уязвимостей объектов информатизации, методов реализации угроз, прогнозирование возможных атак на объекты защиты).



11.2.2. Уяснение основных направлений обеспечения безопасности
информации и описание требований к безопасности информации





    • Основные направления обеспечения безопасности информации (определение технической политики и приоритетов целей обеспечения безопасности информации);

    • Основные методы противодействия угрозам безопасности информации (правовые, экономические, организационные, инженерно-технические, технические, программно-аппаратные);

    • Выбор уровня защиты объектов информатизации (определение категории защиты объекта информатизации и класса защищенности КИС);

    • Основные требования к СОБИ (общие, к физическому, технологическому, пользовательскому, локальному и сетевому уровням защиты);

    • Основные требования к системе защиты информации (общие, общие требования по сегментированию и сопряжению сегментов, к физическому, технологическому, пользовательскому, локальному, сетевому уровням защиты, а также к подсистемам управления доступом, аудита и мониторинга, защиты пери метра, распределения ключей и сертификатов, хранения данных и резервного копирования, к аттестации объектов информатизации);

    • Основные требования к системе управления безопасностью информации (определение принципов управления безопасностью информации, структуры системы управления безопасностью информации, требований к специалистам системы управления обеспечением безопасности и комплексному администрированию КИС, а также общих требований по организации допуска пользователей КИС);

    • Основные требования к инженерному и техническому оборудованию помещений (по построению защищенных помещений, размещению технических средств, использованию вспомогательных технических средств, оборудованию рабочего места администратора безопасности)



11.2.3. Разработка специальных глав Концепции





    • Обеспечение безопасности информации на стадии проектирования и создания СОБИ;

    • Обеспечение безопасности информации на стадии эксплуатации КИС;

    • Контроль обеспечения безопасности информации при проектировании СОБИ;

    • Страхование информационных рисков;

    • Ответственность должностных лиц за исполнение положений Концепции;

    • Подготовка приложений и иллюстрационных материалов.



11.3. Разработка Регламента обеспечения безопасности информации



Разработка Регламента включает в себя следующие работы:

11.3.1. Подготовка к разработке Регламента





    • Изучение Концепции обеспечения безопасности информации и других руководящих документов;

    • Сбор дополнительной исходной информации;



11.3.2. Определение общих положений Регламента





    • Соответствие принятой политики безопасности действующему законодательству;

    • Информационные ресурсы и необходимый уровень их защиты;

    • Описание общих правил разграничения доступа к информации;

    • Порядок разработки и сопровождения информационных систем;

    • Организация обучения и переподготовки персонала.

11.3.3. Определение обязанностей
персонала по обеспечению безопасности информации





    • Определение подразделений, отвечающих за обеспечение безопасности информации (организационная структура подразделений обеспечивающих режим безопасности информации и задачи подразделений по обеспечению безопасности информации);

    • Определение ответственности за обеспечение режима безопасности информации (обязанностей руководства, службы защиты информации, службы комплексного администрирования КИС, службы безопасности, службы эксплуатации (жизнеобеспечения) технических средств, кадровой службы, руководителей подразделений, пользователей, а также ответственность должностных лиц за выполнение требований безопасности информации);

    • Определение порядка взаимодействия с другими организациями (по обмену информацией со сторонними организациями, предоставлению информации государственным и муниципальным организациям, следственным и надзорным органам, взаимодействию со средствами массовой информации;

    • Определение порядка использования паролей пользователей (генерации паролей и ключевой информации, смены паролей плановой и в случае компрометации, прекращения действия паролей);

    • Определение порядка регистрации пользователей и назначения им прав доступа (наделения пользователей полномочиями доступа к информационным ресурсам организации, внесения изменений в списки пользователей, исключения из списков сотрудников, выбывших из организации, учета временно выбывших сотрудников и блокирования их полномочий).



11.3.4. Определение правил
использования компьютеров и информационных систем





    • Для обеспечения безопасности при использовании программного обеспечения (определение порядка введение новых программных продуктов в эксплуатацию, использования приложений, баз данных, систем электронного документооборота, защиты от вредоносных программ и вирусов, разработки программного обеспечения по заявкам подразделений организации, проведения обслуживания программного обеспечения, обеспечения резервного копирования);

    • Для обеспечения безопасности при использовании оборудования КИС (определение порядка ввода в эксплуатацию новых технических средств, учета, хранения и обращения со съемными носителями информации и твердыми копиями, проведения регламентного обслуживания аппаратных средств, обеспечения бесперебойной работы, а также обеспечения безопасности на серверах ЛВС, рабочих станциях пользователей, при работе с переносными компьютерами, средствах связи и телекоммуникаций) ;

    • Для обеспечения безопасности при работе пользователей в сети Интернет (определение порядка сегментирования информационной системы, подключения рабочих мест пользователей к сети Интернет, работы с удаленными пользователями);

    • Определение порядка аттестации объектов информатизации;

    • Определение порядка внутреннего периодического контроля соблюдения режима безопасности информации;

    • Определение порядка проведения аудита безопасности информации с привлечением сторонних организаций;

    • Определение порядка и процедуры реагирования на нарушения режима безопасности (разбор инцидентов);

    • Определение порядка ликвидации последствий при возникновении нештатных ситуаций и нарушении установленного режима обеспечения безопасности информации.


1   2   3   4   5   6   7   8   9   10   ...   14



Скачать файл (2145 kb.)

Поиск по сайту:  

© gendocs.ru
При копировании укажите ссылку.
обратиться к администрации