- •1.Системный подход к обеспечению информационной безопасности хозяйствующего субъекта.
- •2.Система обеспечения информационной безопасности хозяйствующего субъекта: цели, задачи, виды обеспечения.
- •4.Объекты защиты: понятие, классификация, особенности организации защиты (защищаемая информация, носители, технология).
- •5.Управление ксзи хозяйствующего субъекта: понятие, задачи управления.
- •6.Классификация и анализ угроз информационной безопасности хозяйствующего субъекта.
- •7.Анализ и управление рисками информационной безопасности хозяйствующего субъекта: понятие, подходы к управлению рисками.
- •8.Организационное обеспечение ксзи: понятие, структура.
- •9.Правовое обеспечение ксзи: понятие, структура.
- •10.Концепция и политика безопасности как основные элементы ксзи.
- •11.Кадровое обеспечение ксзи: понятие, структура, подготовка.
- •12.Подбор кадров в подразделения ксзи: показатели оценки качества кадров ксзи, особенности организации кадровой работы, требования, предъявляемые к сотрудниками ксзи.
- •13.Финансово- экономические обеспечение ксзи: понятие, структура.
- •14.Структурирование затрат на информационную безопасность хозяйствующего субъекта.
- •15.Модели оценки эффективности функционирования ксзи: виды, краткая характеристика.
- •16.Инженерно-техническое обеспечение ксзи: понятие, структура.
- •17.Инженерно-техническая защита территории и помещений: понятие, структура.
- •18.Инженерно-техническая защита от утечки по техническим каналам: понятие, структура.
- •19.Программно-аппаратное обеспечение ксзи: понятие, структура.
- •20.Перечень сведений, подлежащих защите в организации: понятие, порядок формирования и утверждения.
8.Организационное обеспечение ксзи: понятие, структура.
9.Правовое обеспечение ксзи: понятие, структура.
10.Концепция и политика безопасности как основные элементы ксзи.
Понятие политика ИБ используется применительно для организации соответствующих мероприятий в интересах конкретного ХС. Если понятие концепция где-то встречается, то только по отношению к целым государствам.
При этом целью разработки политики ИБ является необходимость сформулировать задачи и обеспечить поддержку мероприятий в области ИБ со стороны руководства ХС.
При разработке документа, в котором изложена политика ХС в области ИБ, его руководство должно поставить четкую цель и показать свою заинтересованность в вопросах ИБ предприятия и в распространении политики среди сотрудников. При этом указывается, что данный документ должен быть доступен всем сотрудникам, отвечающим за обеспечение режима ИБ и содержать следующие основные разделы:
определение ИБ;
причины, по которым ИБ имеет большое значение для организации;
цели и показатели ИБ, допускающие возможность измерения.
Концепция информационной безопасности, в котором излагается система взглядов, целей и задач, основных принципов и способов достижения требуемого уровня защищенности информации.
Политика должна описывать общий подход к ИБ. В качестве еще одного примера рассмотрим типовую политику безопасности компании Cisco, которая, как правило, состоит из семи разделов:
введение, в котором описывается необходимость появления данного документа (в ряде случаев отсутствует);
цель политики. Описываются цели создания данного документа (в частности, для парольной политики – «установление стандартов для создания «сильных» паролей, их защиты и регулярной смены»);
область применения. Описываются объекты или субъекты, которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»);
политика. Описываются сами требования (так, парольная политика Cisco содержит пять подразделов: «Создание паролей», «Изменение паролей», «Защита паролей», «Использование паролей при разработке приложений», «Использование паролей при удаленном доступе»);
ответственность. Описываются меры воздействия на нарушителей указанных в предыдущем разделе требований;
термины и определения;
история изменений данной политики. Дает возможность отследить все внесенные в документ изменения (дата, автор, краткая сущность изменения).
Такая структура позволяет лаконично (на 2–3 страницах) описать все основные моменты, связанные с предметом политики безопасности. При этом надо постоянно помнить, что концепция – это не описание способа реализации. В ней нельзя «привязываться» к конкретным техническим решениям, продуктам и производителям. Иначе изменение политической ситуации в компании, рыночной ситуации, партнеров и конкурентов приведет к необходимости изменения концепции ИБ, а этого происходить не должно.
Концепция информационной безопасности позволяет:
- определить тактические и стратегические задачи службы безопасности в информационной сфере;
- разграничить обязанности и полномочия структурных подразделений предприятия;
- правильно спланировать мероприятия по обеспечению информационной безопасности на предприятии.
Для разработки Концепции, как правило, необходимо провести комплекс работ, включающий:
- анализ существующей организационно-распорядительной документации и неформальных требований, отражающих текущую или желаемую политику безопасности;
- определение целей и задач системы информационной безопасности;
- разработку моделей угроз информационной безопасности и моделей нарушителя;
- определение нормативно-правовой базы информационной безопасности;
- определение требований к комплексу мер и средств обеспечения информационной безопасности;
- разработку основных положений системы управления информационной безопасностью.
В основе организационных мер защиты информации лежит политика безопасности, от эффективности которой в наибольшей степени зависит успешность мероприятий по обеспечению информационной безопасности. Любое предприятие следует или формальной, или неофициальной политике безопасности. В то же время все больше руководителей приходит к выводу о том, что для успешного ведения бизнеса необходима политика безопасности, изложенная в виде доступных для понимания документов, учитывающих специфику предприятия. Это могут быть следующие документы:
- правила работы пользователей в корпоративной сети;
- политика обеспечения безопасности удаленного доступа к ресурсам корпоративной сети;
- политика обеспечения безопасности при взаимодействии с сетью Интернет;
- антивирусная политика, инструкция по защите от компьютерных вирусов;
- политика выбора и использования паролей;
- правила предоставления доступа к ресурсам корпоративной сети;
- политика установки обновлений программного обеспечения;
- политика и регламент резервного копирования и восстановления данных;
- соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями.