- •Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации
- •2. Определение нсд. Основные принципы защиты от нсд
- •3. Модель нарушителя в ас
- •4. Основные способы нсд. Основные направления обеспечения защиты от нсд
- •5. Организация работ по защите от нсд
- •6. Оценка эффективности пиб. Классический; официальный; экспериментальный подходы.
- •7. Модель нарушителя иб
- •Модель противоборства собственника и нарушителя
- •Политика иб. Структура документа.
- •Основные принципы политики иб
- •11. Правила политики иб
- •Политика иб. Реакция на инциденты иб. Цели реакции на инциденты иб
- •Политика иб. Концепция.
- •15. Политика иб. Стандарты.
- •Политика иб. Процедуры информационной безопасности.
- •Политика иб. Методы информационной безопасности. Аварийный план.
- •Алгоритм Диффи-Хеллмана.
- •Описание алгоритма
- •Криптографическая стойкость
Политика иб. Концепция.
Концепция политики ИБ – документ, в котором в котором в самом общем виде сформулированы цели и приоритеты организации в области ИБ, намечены общие пути достижения этих целей.
Рис 2. Разработка концепции политики ИБ сводится к следующим практическим шагам:
Определение используемых руководящих документов и стандартов в области ИБ, а также основных положений политики ИБ, включая:
управление доступом к средствам вычислительной техники (СВТ), программам и данным;
антивирусную защиту;
вопросы резервного копирования;
проведение ремонтных и восстановительных работ;
информирование об инцидентах в области ИБ.
Определение подходов к управлению рисками: является ли достаточным базовый уровень защищенности или требуется проводить полный вариант анализа рисков.
Структуризация контрмер по уровням.
Порядок сертификации на соответствие стандартам в области ИБ. Должна быть определена периодичность проведения совещаний по тематике ИБ на уровне руководства, включая периодический пересмотр положений политики ИБ, а также порядок обучения всех категорий пользователей информационной системы по вопросам ИБ.
В результате выполнения этого этапа будет написан документ «Концепция политики ИБ», содержащий:
общую характеристику объекта защиты (описание состава, функций и существующей технологии обработки информации);
формулировку целей создания системы защиты, основных задач обеспечения информационной безопасности и путей достижения целей;
основные классы угроз информационной безопасности, принимаемые во внимание при разработке подсистемы защиты;
основные принципы и подходы к построению системы обеспечения информационной безопасности, меры, методы и средства достижения целей защиты.
15. Политика иб. Стандарты.
Политика ИБ является объектом стандартизации. Некоторые страны имеют национальные стандарты, определяющие основное содержание подобных документов. Имеются ряд ведомственных стандартов и международные стандарты в этой области (ISO 17799). Для того, чтобы упростить организациям задачу разработки политики ИБ и политики СУИБ и заложить прочный фундамент для создания СУИБ, GlobalTrust разработал типовую высокоуровневую политику информационной безопасности, в полном соответствии с требованиями международных стандартов ISO 27001/17799.
Согласно ISO 17799 документированная политика информационной безопасности должна заявлять о приверженности руководства и устанавливать подход к управлению информационной безопасностью, определять понятие информационной безопасности, ее основные цели и область действия, содержать основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками и многое другое.
Согласно ISO 27001 политика информационной безопасности является подмножеством более общего документа - политики СУИБ. Для того, чтобы упростить организациям задачу разработки политики ИБ и политики СУИБ и заложить прочный фундамент для создания СУИБ, GlobalTrust разработал типовую высокоуровневую политику информационной безопасности, в полном соответствии с требованиями международных стандартов ISO 27001/17799. Целью данной Политики является защита информационных ресурсов организации от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, обеспечение непрерывности бизнеса и минимизация ущерба, наносимого бизнесу, максимизация прибыли на инвестированный капитал и получение дополнительных возможностей для бизнеса.
Государственные стандарты:
ГОСТ Р 50922-2006 — Защита информации. Основные термины и определения.
Р 50.1.053-2005 — Информационные технологии. Основные термины и определения в области технической защиты информации.
ГОСТ Р 51188—98 — Защита информации. Испытание программных средств на наличие компьютерных вирусов. Типовое руководство.
ГОСТ Р 51275-2006 — Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
ГОСТ Р ИСО/МЭК 15408-1-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
ГОСТ Р ИСО/МЭК 15408-2-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий Функциональные требования безопасности.
ГОСТ Р ИСО/МЭК 15408-3-2008 — Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий.
ГОСТ Р ИСО/МЭК 15408 — «Общие критерии оценки безопасности информационных технологий» — стандарт, определяющий инструменты и методику оценки безопасности информационных продуктов и систем; он содержит перечень требований, по которым можно сравнивать результаты независимых оценок безопасности — благодаря чему потребитель принимает решение о безопасности продуктов
ГОСТ Р ИСО/МЭК 17799 — «Информационные технологии. Практические правила управления информационной безопасностью». ГОСТ Р ИСО/МЭК 27001 — «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования». Прямое применение международного стандарта — ISO/IEC 27001:2005.
ГОСТ Р 51898-2002 — Аспекты безопасности. Правила включения в стандарты.
РД СВТ. Защита от НСД. Показатели защищенности от НСД к информации - содержит описание показателей защищенности информационных систем и требования к классам защищенности.