- •Оглавление
- •Лекция №1: Понятие информационной безопасности. Основные составляющие. Важность проблемы.
- •Понятие информационной безопасности
- •Основные составляющие информационной безопасности
- •Важность и сложность проблемы информационной безопасности
- •Лекция №2: Наиболее распространенные угрозы
- •Основные определения и критерии классификации угроз
- •Наиболее распространенные угрозы доступности
- •Некоторые примеры угроз доступности
- •Вредоносное программное обеспечение
- •Основные угрозы целостности
- •Основные угрозы конфиденциальности
- •Лекция №3:Законодательный уровень информационной безопасности
- •Что такое законодательный уровень информационной безопасности и почему он важен
- •Обзор российского законодательства в области информационной безопасности Правовые акты общего назначения, затрагивающие вопросы информационной безопасности
- •Закон "Об информации, информатизации и защите информации"
- •Другие законы и нормативные акты
- •Лекция №4:Стандарты и спецификации в области информационной безопасности
- •Лекция №5: Принципы защиты информации от несанкционированного доступа
- •Структура монитора обращений
- •Лекция №6. Криптографические основы безопасности
- •Цифровая подпись
- •Лекция №7. Защита информации от утечки по техническим каналам
- •Лекция. №8. Создание комплексной системы защиты конфиденциальной информации
- •1. Введение
- •2. Методическое направление работ по созданию ксзи
- •Концепция (Политика) безопасности
- •3. Организационное направление работ по созданию ксзи
- •Регламент обеспечения безопасности
- •Общие документы
- •Документы по работе с кадрами
- •Документы по защите ас и свт
- •4. Техническое направление работ по созданию ксзи
- •Лекция №9. Заключение:
- •Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности
- •Законодательный, административный и процедурный уровни
- •Программно-технические меры
- •Основные тезисы
- •Компьютерная безопасность
- •Безопасность компьютеров в сети
- •Тесты-определения по информационной безопасности
2. Методическое направление работ по созданию ксзи
В рамках методического направления должна быть разработана концепция (политика) безопасности.
Мероприятия по созданию систем защиты конфиденциальной информации, реализуемые вне единого комплекса мер, прописанных в рамках концепции политики безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности. Под концепцией понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов и т.д., решающих задачи защиты конфиденциальной информации.
Концепция (Политика) безопасности
- документ, в котором:
применяется методика определения и описания информационных потоков, описанная в методологии, представляющая собой формальное и точное описание работы с информацией в подразделениях Заказчика, с учетом их изменении со временем, определены критерии, по которым принимается решение о появлении или прекращении конкретного информационного потока;
анализируются, описываются и фиксируются информационные потоки, существующие при работе с информацией Заказчика на текущий момент;
определяются для каждого информационного потока фазы существования информации (например, бумажный документ, электронный документ, запись в базе данных);
определяются категории конфиденциальной информации Заказчика, разрабатывается классификация информации по категориям конфиденциальности;
проводится категорирование информации по категориям и фазам, создана матрица конфиденциальности;
определяются возможные пути разглашения конфиденциальной информации (модель угроз);
для каждой угрозы и атаки определяется модель нарушителя, в которой определяется:
профессиональный круг лиц, к которому принадлежит нарушитель;
мотивация нарушителя (цели нарушителя);
предполагаемая квалификация нарушителя;
предполагаемые ограничения на действия и характер возможных действий нарушителя.
определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски);
определяются порядок изменения Концепции безопасности и Регламента обеспечения безопасности.
3. Организационное направление работ по созданию ксзи
В рамках организационного направления работ создается организационная компонента КСЗИ - совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.
Включает в себя разработку регламента обеспечения безопасности, применение методологии при работе с персоналом Заказчика, при создании СОК, обучение и консультации сотрудников СОК, работы по уточнению требований к характеристикам защищенности системы, анализ информационной структуры Заказчика, разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых формы их взаимодействий и т.д.
Регламент обеспечения безопасности
- комплект документов, регламентирующий правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности. В регламенте должен быть определен комплекс методических, административных и технических мер, включающих в себя:
создание подразделения, ответственного за обеспечение конфиденциальности информации (СОК);
определение порядка допуска сотрудников к конфиденциальной информации;
определение обязанностей, ограничений и условий, накладываемых на сотрудников, допущенных к конфиденциальной информации;
установление категории конфиденциальности информации; определение категории конфиденциальности работ, проводимых Заказчиком и информации, содержащейся в документах, связанных с работами; порядок изменения категории конфиденциальности работ и информации;
требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация, по категориям;
требования к конфиденциальному делопроизводству;
требования к учету, хранению и обращению с конфиденциальными документами;
меры по контролю за обеспечением конфиденциальности работ и информации;
план мероприятий по противодействию атаке на конфиденциальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации);
план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пресечения процесса разглашения/утечки информации);
определение ответственности за разглашение конфиденциальной информации.
Для Регламента обеспечения безопасности должны быть разработаны следующие документы: