- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
Поскольку обеспечение безопасности информационных технологий - есть процесс управления рисками, то система защиты - это система управления, реализующая технологию обеспечения безопасности (управления безопасностью). Любая технология предусматривает определённый набор операций и процессов взаимодействия их исполнителей, направленный на достижение конечного результата (цели).
Цель - достижение заданного (приемлемого) уровня информационной безопасности организации (предприятия). Предполагает распределение функций между исполнителям и организацию процессов их взаимодействия. Необходима чёткая согласованность (координация) действий и реальная выполнимость функций всеми исполнителями. Основной вопрос: Кто и что в этой системе должен делать?
Проблемы безопасности ИТ каждой конкретной ОРГАНИЗАЦИИ «не уникальны»! Поэтому рассматриваемая технология носит универсальный характер, поскольку в ней обобщён опыт специалистов многих организаций и разных стран.
Организационные меры - черновая и не очень «приятная» составляющая обеспечения безопасности ИТ.
Основные вопросы при разработке технологии:
Какие категории сотрудников работают в АС организации и как они связаны с безопасностью ИТ ?
Кто из сотрудников входит в систему безопасности ИТ организации ?
Кто и какие функции выполняет ?
Как взаимодействуют подразделения ?
Какие процессы и действия должны регламентироваться?
Какие организационно-распорядительные и нормативно-методические документы должны быть разработаны ?
Под технологией обеспечения безопасности информации и ресурсов в АС понимается определённое распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников (должностных лиц) организации по обеспечению комплексной защиты ресурсов АС в процессе её эксплуатации.
Требования к технологии управления безопасностью:
соответствие современному уровню развития информационных технологий;
учёт особенностей построения и функционирования различных подсистемАС;
точная и своевременная реализация политики безопасности организации;
минимизация затрат на реализацию самой технологии обеспечения безопасности.
Для реализации технологии обеспечения безопасности в АС необходимо:
наличие полной и непротиворечивой правовой базы (системы взаимо увязанных нормативно - методических и организационно распорядительных документов) по вопросам обеспечения безопасности ИТ;
распределение функций и определение порядка взаимодействия подразделений и должностных лиц организации по вопросам обеспечения безопасности ИТ на всех этапах жизненного цикла подсистем АС, обеспечивающее чёткое разделение их полномочий и ответственности;
наличие специального органа (подразделения защиты информации, обеспечения информационной безопасности), наделённого необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики безопасности ИТ организации и осуществляющего контроль и координацию действий всех подразделений и сотрудников организации по вопросам обеспечения безопасности ИТ.
Реализация технологии обеспечения безопасности ИТ предполагает:
назначение и подготовку должностных лиц (сотрудников), ответственных за организацию, реализацию функций и осуществление конкретных практических мероприятий по обеспечению безопасности информации и процессов её обработки;
строгий учёт всех подлежащих защите ресурсов системы (информации, её носителей, процессов обработки) и определение требований к организационно-техническим мерам и средствам их защиты;
разработку реально выполнимых и непротиворечивых организационнораспорядительных документов по вопросам обеспечения безопасности информации;
реализацию (реорганизацию) технологических процессов обработки информации в АС с учётом требований по безопасности ИТ;
принятие эффективных мер сохранности и обеспечения физической целостности технических средств и поддержку необходимого уровня защищённости компонентов АС;
применение физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывную административную поддержку их использования;
регламентацию всех процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений, использующих АС, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе утверждённых организационно распорядительных документов по вопросам обеспечения безопасности ИТ;
чёткое знание и строгое соблюдение всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
персональную ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;
эффективный контроль за соблюдением сотрудниками подразделений - пользователями и обслуживающим АС персоналом, — требований по обеспечению безопасности информации;
проведение постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработку и реализацию предложений по совершенствованию системы защиты информации в АС.
Организационные (административные) меры регламентируют процессы функционирования системы обработки данных, использование её ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.