- •1. Сущность и задачи ксзи
- •2. Необходимость и принципы создания ксзи
- •3. Организация архитектурного построения ксзи
- •4. Специфические функции и задачи ксзи
- •5. Методы формирования функций защиты
- •6. Функции управления ксзи
- •7. Планирование как элемент управления ксзи
- •8. Классификация задач зи
- •9. Система управления иб (в соответствие с гост р 27001-2005)
- •Система управления предприятия
- •Этапы создания суиб
- •1. Принятие решения о создании суиб
- •2. Подготовка к созданию суиб
- •3. Анализ рисков
- •4. Разработка политик и процедур суиб
- •5. Внедрение суиб в эксплуатацию
- •10. Управление рисками как основной вид управления в суиб
- •Реализация плана обработки рисков
- •11. Разработка политик и процедур суиб
- •Внедрение суиб в эксплуатацию
- •Подготовка к сертификационному аудиту
- •12. Классификация субъектов и объектов доступа к зи
- •13. Понятие и структура Концепции и Политики безопасности
- •14. Основные этапы разработки пиб
- •Разработка политики иб в соответствии в международными стандартами
- •6) Сертификация суиб на соответствие требованиям нормативных документов (стрелка от него) Документы, сопровождающие процедуру сертификации.
- •15. Содержание основных разделов пиб
- •16. Пиб в стандарте гост р исо/мэк 17799-2005 «ит. Практические правила управления иб»
- •17. Основы стандарта гост р исо/мэк 15408-2002 «Общие критерии оценки безопасности ит»
- •Назначение профиля защиты
- •18. Основы стандарта cobit
- •Описание структуры.
- •Принципы аудита.
- •19. Основы экономической эффективности ксзи
- •Методика расчета ущерба
- •20. Библиотека itil и ее роль в обеспечении иб
13. Понятие и структура Концепции и Политики безопасности
На малых предприятиях политика ИБ включается в концепцию.
Под политикой ИБ понимается совокупность документационных управленческих решений, направленных на защиту информационных ресурсов организации.
Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Помимо нац. стандартов существуют международные (ISO 17799) и ведомственные. В РФ к нормативным документам, определяющим содержание политики ИБ, относят ряд руководящих документов ФСТЭК. Целью разработки ПИБ является определение правильного способа использования инф. ресурсов, а также разработка процедур, предотвращающих или реализующих не нарушение режима безопасности.
Концепция ИБ – это документ, в котором в самом общем виде сформулированы цели и приоритеты организации в области ИБ, намечены общие пути достижения этих целей.
Разработка концепции сводится к следующим практическим шагам:
Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:
управление доступом к СВТ, программам и данным
антивирусная защита
вопросы резервного копирования
проведение ремонтных и восстановительных работ
информирование об инцидентах в области ИБ
Определение подходов к управлению рисками (является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков)
Структуризация контрмер по видам защиты информации
Порядок сертификации не соотв. стандартам в области ИБ, где должен быть определен период проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех пользователей ИС по вопросам ИБ
В результате будет написана Концепция, содержащая:
1. Общую характеристику объекта защиты (ИС).
2. Формулировку целей создания системы защиты, основных задач обеспечения ИБ и путей достижения целей
3. Основные классы угроз ИБ, принимаемые во внимание при разработке КСЗИ
4. Основные принципы и подходы к построению КСЗИ, меры, методы и средства достижения целей защиты.
14. Основные этапы разработки пиб
Основные этапы:
Разработка концепции политики ИБ
Описание границ ИС и построение модели ИС с позиции ее безопасности
Анализ рисков: формализация системы приоритетов организации в области ИБ, выявление существующих рисков и оценка их параметров
Анализ возможных вариантов контрмер и оценка их эффективности
Выбор КСЗИ на всех этапах жизненного цикла
Формирование понятия и процедур безопасности в виде плана действий по поддержанию режима ИБ
Процесс разработки политики ИБ сопровождается следующими документами:
Концепция политики ИБ
Оценка ИС с позиции обеспечения ИБ
Анализ рисков (методика расчета рисков, методика оценки ущерба)
Управление рисками (методика управления рисками)
Комплексная система обеспечения ИБ (политика ИБ, частные политики: парольная политика, антивирусная политика)