- •Оглавление
- •Лекция №1: Понятие информационной безопасности. Основные составляющие. Важность проблемы.
- •Понятие информационной безопасности
- •Основные составляющие информационной безопасности
- •Важность и сложность проблемы информационной безопасности
- •Лекция №2: Наиболее распространенные угрозы
- •Основные определения и критерии классификации угроз
- •Наиболее распространенные угрозы доступности
- •Некоторые примеры угроз доступности
- •Вредоносное программное обеспечение
- •Основные угрозы целостности
- •Основные угрозы конфиденциальности
- •Лекция №3:Законодательный уровень информационной безопасности
- •Что такое законодательный уровень информационной безопасности и почему он важен
- •Обзор российского законодательства в области информационной безопасности Правовые акты общего назначения, затрагивающие вопросы информационной безопасности
- •Закон "Об информации, информатизации и защите информации"
- •Другие законы и нормативные акты
- •Лекция №4:Стандарты и спецификации в области информационной безопасности
- •Лекция №5: Принципы защиты информации от несанкционированного доступа
- •Структура монитора обращений
- •Лекция №6. Криптографические основы безопасности
- •Цифровая подпись
- •Лекция №7. Защита информации от утечки по техническим каналам
- •Лекция. №8. Создание комплексной системы защиты конфиденциальной информации
- •1. Введение
- •2. Методическое направление работ по созданию ксзи
- •Концепция (Политика) безопасности
- •3. Организационное направление работ по созданию ксзи
- •Регламент обеспечения безопасности
- •Общие документы
- •Документы по работе с кадрами
- •Документы по защите ас и свт
- •4. Техническое направление работ по созданию ксзи
- •Лекция №9. Заключение:
- •Что такое информационная безопасность. Основные составляющие информационной безопасности. Важность и сложность проблемы информационной безопасности
- •Законодательный, административный и процедурный уровни
- •Программно-технические меры
- •Основные тезисы
- •Компьютерная безопасность
- •Безопасность компьютеров в сети
- •Тесты-определения по информационной безопасности
Лекция. №8. Создание комплексной системы защиты конфиденциальной информации
1. Введение
При создании комплексной системы защиты конфиденциальной информации необходимо защищать информацию во всех фазах ее существования - документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в автоматизированных системах (АС) и отдельных средствах вычислительной техники (СВТ), включая персонал, который ее обрабатывает - всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа (НСД) к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности АС и СВТ, воздействия на персонал и т.п. Обобщая, можно сказать, что информационная структура должна быть защищена от любых несанкционированных действий. Защищать необходимо все компоненты информационной структуры предприятия - документы, сети связи, персонал и т.д.
Целью работы должно являться построение комплексной системы защиты конфиденциальной информации (далее по тексту КСЗИ). Это предполагает необходимость использования, создания и разработки совокупности методологических, организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных, и базируется на использовании методологии построения комплексной системы защиты конфиденциальной информации. Методологические, организационные и технические компоненты КСЗИ разрабатываются и создаются в рамках трех параллельных направлений работ - методическом, организационном и техническом.
Методология есть совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы информационной безопасности. Она дает возможность в рамках единого подхода использовать согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.
Методология построения комплексной системы защиты конфиденциальной информации описывает основные методы и принципы решения следующих вопросов:
Обеспечение комплексной безопасности;
Компоненты комплексной системы защиты информации;
Направления работ по созданию комплексной системы информационной безопасности;
Основные принципы построения системы комплексной информационной безопасности:
принцип равномощности (комплексности);
принцип непрерывности защиты;
разумная достаточность;
гибкость системы защиты;
принцип независимости стойкости СЗИ от раскрытия информации о механизмах ее использования;
принцип простоты применения.
Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты:
создание службы обеспечения конфиденциальности (СОК);
перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.
Рекомендации по методологии построения матрицы конфиденциальности:
определение объектов и субъектов информационных потоков;
определение характеристик и признаков объектов и субъектов информационных потоков (матрицы конфиденциальности);
построение правил разграничения доступа субъектов к объектам информационных потоков на основании матрицы конфиденциальности.
Методика оценки рисков:
методика анализа угроз конфиденциальной информации и построения неформальной модели нарушителя;
методика определения общих требований к защищенности автоматизированной системы:
классификационные требования Гостехкомиссии России к защищенности от НСД средств вычислительной техники и автоматизированных систем;
классификационные требования ФАПСИ к системам защиты информации;
основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации.
Методика определения уровня ЗИ в соответствии с РД ФАПСИ и ГТК.