- •3.Ооиб как один из основных инструментов обеспечения безопасности организации.
- •5. Требования к системе би.
- •2Й вопрос. Уязвимые места в информационной безопас. Организации.
- •3Й вопрос. Основные методические рекомендации о составлении перечня сведений, составляющих служебную тайну
- •4Й вопрос. Характеристика работ по составлению перечня сведений, составляющих служебную тайну предприятия.
- •5Й вопрос. Характеристика работ по составлению предварительного перечня сведений, составляющих служебную тайну для структурных подразделений организации
- •6Й вопрос. Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, составляющих служебную тайну
- •7Й вопрос. Определение преимуществ открытого использования сведений, составляющих служебную тайну
- •8Й вопрос. Определение затрат на защиту сведений, составляющих служебную тайну
- •9Й вопрос. Принятие решения о включении сведений в окончательный вариант перечня и оформление проекта перечня
- •24.10.2011 Организационное обеспечение информационной безопасности при проведении совещаний.
- •Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица
- •Введение
- •Структура внутренних документов по обеспечению информационной безопасности юридического лица
- •Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)
- •Характеристика документов второго уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов третьего уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов четвертого уровня по обеспечению информационной безопасности юридического лица
- •14.11.11 Организационное обеспечение разработки частных политик безопасности
- •Политика организации рабочего места
- •Политика организации дистанционной работы
- •Политика безопасности электронного документооборота
- •Политика криптографической защиты информации
- •Политика использования программного обеспечения
- •Политика использования мобильных устройств обработки информации
- •Политика управления доступом к информационным ресурсам
- •Политика классификации информации
- •Политика управления ролями.
- •Особенности организации и обеспечения хранения скзи.
- •Основные обязанности сотрудников органов криптографической защиты
- •Основные обязанности пользователей скзи
- •Вопрос 1. Содержание процедур по обработке персональных данных. Содержание процедур по обработке персональных данных.
- •Часть 7я статьи 14. Субъект пд имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных:
- •2. Принципы защиты прав юридических лиц, ип при осуществлении государственного контроля.
- •Вопрос 1. Назначение и структура стандарта
- •Вопрос 2. Основные термины и определения
Вопрос 1. Назначение и структура стандарта
Методы и средства обеспечения безопасности. Часть1.
Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий.
Стандарт гост р ИСО мэк 13335 представляет собой:
Уководство по управлению безопасностью информационных и телекоммуникационных технологий ИТТ;
Устанавливает концепцию и модели лежащие в основе понимания безопасности ИТТ;
Раскрывает общие вопросы управления которые важны для успешного планирования, реализации и поддержки безопасности ИТТ
ЦЕЛЬ СТАНДАРТА
Формирование общих понятий и моделей управления безопасностью ИТТ
Приведенные положения носят общий характер и применимы к различным методам управления и организациям
Стандарт разработан так, что позволяет приспосабливать его положения к потребностям организации и свойственному ей стилю управления
Стандарт не разрабатывает конкретных подходов к управлению безопасностью
Данный стандарт идентичен международному стандарту ИСО-МЭК 13335-1-2004 ИТ, Методы обеспечения безопасности
СТРУКТУРА СТАНДАТА
1.Область применения
2.Термины и определения
3.Концпции безопасности и взаимосвязи
4.Цели, стратегии и политика
5.Организационные аспекты безопасности информационно-телекоммуникационных технологий
6.Функции управления безопасностью информационно-телекоммуникационными технологиями.
Вопрос 2. Основные термины и определения
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
Все аспекты,связанные с определением достижением и поддержанием:
Конфиденциальности;
Целостности;
Доступности;
Неотказуемости;
Подотчетности;
Аутентичности;
Достоверности информации или средств её обработки.
Конфиденциальность – свойство информации быть недоступной и закрытой для неавторизованного индивидуума, логического объекта.
ГОССТАНДАРТ Р ИСО 7498-1-99
ИСО-мэк 7498-1 содержит
Общее описание тех услуг и соответствующих механизмов защиты, которые могут быть обеспечены эталонной моделью;
Определяет те позиции в рамках эталонной модели
Целостность – Свойство сохранения правильности и полноты активов ГОСТ Р ИСО/МЭК 13335-1—2006
Активы – всё, что имеет ценность для организации
Доступность – свойства объекта находиться в состоянии готовности и используемости по запросу авторизованного логического объекта. ИСО/МЭК 7498-2
Неотказуемость – способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже опровергнуты
Подотчетность – свойство, обеспечивающее однозначное прослеживание действий любого логического объекта. МЭК 7498-2
Аутентичность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Аутентичность к процессам, системам и информации применяется.
Информационная безопасность:
Политика безопасности ИТТ:
Правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно – телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информации.
ИНЦИДЕНТ ИБ
Любое непредвиденное или нежелательное событие которое может нарушить деятельность или ИБ
Инцидентами являются;
Утрата;
Ошибки пользователей;
Несоблюдение политики и рекомендаций;
Системные сбои и перегрузки;
Нарушение физических мер защиты;
Неконтролируемые изменения систем;
Сбои программного обеспечения и отказы тс;
Нарушение правил доступа.
Характеристика концепция безопасности и взаимосвязи
Принципы безопасности
Для создания эффективной программы безопасности ИТТ фундаментальными являются следующие:
Управление информационными рисками
Обязательства
Служебные обязанности и ответственность
Цели, стратегия и политика
Управления жизненным циклом
Управление информационными рисками – активы должны быть защищены путем принятия соответствующих мер.
Защитные меры должны выбираться и применяться на основании соответствующей методологии управления рисками.
Методология управления рисками исходя из активов организации угроз уязвимостей и различных воздействий угроз устанавливает допустимые риски и учитывает существующие ограничения.
Менеджмент риска – полный процесс идентификации контроля устранения или уменьшения последствий опасных событий которые могут оказать влияние на ресурсы ИТТ.
Риск – потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Обязательства – для формирования обязательств следует разъяснить премущества от реализации безопасности.
Служебная обязанность и ответственность – руководство организации несет ответственность за обеспечение безопасности активов.
Служебные обязанности и ответственность, связанные с безопасностью ИТТ, должны быть определены и доведены до сведения персонала.
Политика.
Управление жизненным циклом – управление безопасностью ИТТ должно быть непрерывным в течение всего их жизненного цикла.
ХАРАКТЕРИСТИКА АКТИВОВ ОРГАНИЗАЦИИ
Правильное управление активами является важнейшим фактором успешной деятельности организации и основной обязанностью всех уровней руководства.
Активы организации могут рассматриваться как ценности организации, которые должны иметь гарантированную защиту.
Невозможно разработать и поддерживать успешную программу по безопасности если не идентифицированы активы организации.
Во многих случаях процесс идентифмикации активов и установления ценности может быть проведен на верхнем уровне и не требует дорогостоящей, детальной и длит ельной процедуры.
Степень детализации данной процедуры должны определяться отношением величины временных и финансовых затрат к ценности активов.
Во всех случаях степень детализации.
Активы –
Материальные активы и еще пять видов активов нада вставить из ПРЕЗЕНТАЦИИ
Угрозы – потенциальные причины инцддента.
Угрозы наносят ущерб активам и следовательно организации в целом.
Этот ущерб может возникать из-за атаки на информацию, обрабатываемую ИТТ, на саму систему или иные ресурсы, приводя, например, к их неавторизованному разрушени раскрытию модификации порче недоступности или потере.
Ущерб активам может быть нанесен при наличии уязвимости.
Стандарт 51898-2002
Атака – действия, направленные на реализацию угроз НСД к информации воздействия на нее или на ресурсы автоматизированной системы с применением программных или технических средств.
Угроза – потенциальная причина инцидента, который может нанести ущерб системе или организации.
Уязвимость – слабость одного или нескольких активов.
Угрозы могут быть случайными или целенаправленными
|
Угрозы, обусловленные человеческим фактором |
Угрозы среды |
||
|
Целенаправленные |
Случайные |
||
|
Послушивание, перехват, модификация. Атака хакера на ситсему |
Ошибки и упущения. Удаление файла. Ошибка маршрутизации. Материальные и несчастные случаи |
Землетрясения Молния Наводнение Пожар |
|
Угрозы могутбыть также направлены на отдельные специфические части организации, например, на разрушение вычислительных средств.
Некоторые угрозы могут быть общими для всей организации, например ущерб зданиям от урагана или молнии.
Угрозы обладают характеристиками:
Источник, внутренний или внешний
Мотивация
Частота проникновения
Правдоподобие
Вредоносное воздействие.
Некоторые угрозы могут поражать не один вид актива. В этом с
Вирус – исполняемый программный код, обладающий свойством НС распространения и репликации. Субъекты могут себя модифицировать. Некоторые вирусы могут изменять.
Окрудающие условия и социальная среда, в которых функционирует организация, могут иметь ольшое значение и существенно влиять на отношение.
Уязвимость – слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.
Уязвимость может существовать и в отсутствие угрозы.
Уязвимость необходимо оценивать индивидуально и в совокупности, чтобы рассмотреть ситуацию в целом.
Пример уязвимости – отсутствие контроля доступа, которое может обусловить проникновение угрозы НС доступа и привести к утрате активов.
Оценка уязвимостей – это проверка слабостей, которые могут быть использованы существующими угрозами. Оценка должна учитывать окружающую среду и существующие защитные меры.
Мерой уязвимости конкретной системы по отношению к угрозы является степень того, с какой легкостью системе или активу может быть нанесен ущерб.
Оценка – систематическое определение степени соответствия объекта установленным критериям.
Воздействие – результат нежелательного инцидента ИБ.
Риск – потенциальная опасность нанесения ущерба. В результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.
Следует учитывать, что риск никогда не устраняется полностью. Принятие остаточного риска является частью заключения о соответствии уровня безопасности потребностям организации. Руководство организации должно быть поставлено в известность обо всех остаточных рисках их опасных последствиях.
Риск остаточный остается после обработки риска.
Защитные меры – действия, процедуры и механизмы, способные обеспечить безопасность от угрозы, уменьшить уязвимость, ограничить воздействие инциденте.
Защитные меры –
Предотвращение
Сдерживание
Обнаружение
Ограничение
Мониторинг
Осведомление
Исправление
Восстановление
Области, в которых используются защитные меры-физическая среда, техническая среда, персонал, администрирование
Специфические защитные меры – политики и процедуры, механизмы контроля доступа, антивирусное ПО, шифрование, цифровая подпись, инструменты мониторинга и анализа, резервный источник питания, резервные копии информации.
Ограничения. Могут быть
Организационные, коммерческие, финансовые, по окружающей среде, по персоналу, временные, правовые, технические, культурные-социальные.
Безопасность
Характеристика целей, стратегий и политик безопасности
Тут он ужасно загонял нужно последнюю лекцию докопировать из презентации процентов на 15