- •Актуальность проблемы обеспечения безопасности информационных технологий Место и роль информационных систем в управлении бизнес-процессами
- •Основные причины обострения проблемы обеспечения безопасности информационных технологий
- •Защита информационных технологий как процесс управления рисками. Сложность количественной оценки рисков
- •Особенности современных автоматизированных систем как объектов защиты
- •Основные понятия в области безопасности информационных технологий Что такое безопасность информационных технологий
- •Информация и информационные отношения
- •Субъекты информационных отношений, их безопасность
- •Цель защиты автоматизированной системы и циркулирующей в ней информации
- •Угрозы безопасности информационных технологий Уязвимость основных структурно-функциональных элементов распределённых автоматизированных систем
- •Угрозы безопасности информации, автоматизированных систем и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Классификация каналов проникновения в автоматизированную систему и утечки информации
- •Неформальная модель нарушителя
- •Виды мер и основные принципы обеспечения безопасности информационных технологий Виды мер противодействия угрозам безопасности
- •Достоинства и недостатки различных видов мер защиты
- •Основные принципы построения системы обеспечения безопасности информации в автоматизированной системе
- •Правовые основы обеспечения безопасности информационных технологий Введение
- •Защищаемая информация
- •Лицензирование
- •Сертификация средств защиты и аттестация объектов информатизации
- •Новое поколение нормативно-технических документов (гост р исо/мэк 15408-2008)
- •Часть 2 рд содержит универсальный систематизированный каталог функциональных требований безопасности и предусматривает возможность их детализации и расширения по определённым правилам.
- •Специальные требования и рекомендации по технической защите конфиденциальной информации
- •Юридическая значимость электронных документов с электронной подписью
- •Ответственность за нарушения в сфере защиты информации
- •Государственная система защиты информации Введение
- •Государственная система защиты информации
- •Организация защиты информации в системах и средствах информатизации и связи
- •Контроль состояния защиты информации
- •Финансирование мероприятий по защите информации
- •Основные защитные механизмы, реализуемые в рамках различных мер и средств защиты Основные механизмы защиты информационных систем
- •Разграничение доступа зарегистрированных пользователей к ресурсам автоматизированной системы
- •Регистрация и оперативное оповещение о событиях безопасности
- •Криптографические методы защиты информации
- •Контроль целостности программных и информационных ресурсов
- •Обнаружение атак
- •Защита периметра компьютерных сетей
- •Управление механизмами защиты
- •Страхование информационных рисков
- •Организационная структура системы обеспечения безопасности информационных технологий Понятие технологии обеспечения (управления) безопасности информации и ресурсов в автоматизированной системе
- •Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала автоматизированной системы
- •Политика безопасности организации
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Распределение функций по обеспечению безопасности информационных технологий
- •Система организационно-распорядительных документов по обеспечению безопасности информационных технологий
- •Документы , регламентирующие правила парольной и антивирусной защиты Инструкция по организации парольной защиты
- •Инструкция по организации антивирусной защиты
- •Документы, регламентирующие порядок допуска к работе и изменения полномочий пользователей автоматизированной системы Допуск сотрудников подразделений к работе с ас
- •Обеспечение и контроль физической целостности и неизменности конфигурации аппаратно-программных средств автоматизированной системы
- •Регламентация процессов обслуживания и осуществления модификации аппаратных и программных средств автоматизированной системы
- •Процедура внесения изменений в конфигурацию аппаратных и программных средств защищённых серверов и рабочих станций
- •Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
- •Взаимодействие подразделений на этапах проектирования, разработки, испытания и внедрения новых автоматизированных подсистем
- •Назначение, возможности, и основные защитные механизмы межсетевых экранов Введение
- •Мэ - основные сведения
- •Классификация мэ
- •Варианты расположения мэ
- •Политика безопасности и мэ
- •Недостатки мэ
- •Что такое «HoneyNet»?
Регламентация процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач Основы процессов разработки, испытания, опытной эксплуатации, внедрения и сопровождения задач
Согласно сложившемуся порядку в большинстве организаций ответственность за решение всех вопросов, связанных с защитой информации, на этапах проектирования и разработки прикладных программ возлагается на те же подразделения (и специалистов), которые отвечают за создание и внедрение данных прикладных программ.
При этом требования к характеристикам средств защиты в разрабатываемых и создаваемых подсистемах определяют сами разработчики - прикладные программисты, а не заказчики или специалисты по защите информации. Разработчики действуют исходя из собственных, не всегда правильных в силу специфики вопроса, представлений о достаточности средств и механизмов защиты, то есть сами принимают и оценивают решения по удовлетворению этих требований, и сами же оценивают качество реализации необходимых защитных механизмов.
Все это, в конечном итоге, приводит к недопустимым упрощениям в вопросах обеспечения безопасности информации в разрабатываемых прикладных подсистемах.
Поскольку применение дополнительных средств защиты создаёт определённые ограничения при эксплуатации и использовании прикладных программ, требует дополнительных затрат системных ресурсов компьютеров (создание качественных средств защиты требует существенных затрат времени и сил, специальных знаний и опыта), то разработчики прикладного программного обеспечения, отвечающие прежде всего за своевременность и качество решения задач по автоматизации технологических процессов, объективно не заинтересованы в создании и применении надёжных средств защиты.
Порядок приёма разработанных программных продуктов в промышленную эксплуатацию чаще всего сводится к проведению испытаний и подписанию акта сдачи-приёмки. Зачастую внедрение задач и особенно их модернизация осуществляются без надлежащей передачи эталонных копий ПО и всей необходимой документации в фонд алгоритмов и программ (архив эталонных дистрибутивов), либо это делается с большим отставанием по времени. В результате документация, имеющаяся в архиве, по многим подсистемам неполна и часто не соответствует реальным версиям ПО. Некоторые (в особенности новые) из подсистем оказываются недокументированными.
Это может приводить к возникновению ситуаций, когда сопровождение прикладного ПО или реализация дополнительных мер по обеспечению безопасности ИТ будут затруднены или просто станут невозможными по причине увольнения создавших данное ПО программистов и отсутствия необходимых описаний и исходных текстов программ. Кроме того, это свидетельствует о наличии у разработчиков возможностей достаточно свободно осуществлять замену версий ПО, находящегося в эксплуатации.
Для устранения отмеченных недостатков требуется переход к такому порядку взаимодействия подразделений, при котором определение требований по защите информации в прикладных подсистемах и контроль за качеством реализации механизмов защиты в них должны осуществляться специалистами по защите информации вне подразделений, разрабатывающих ПО и эксплуатирующих технические средства, исходя из единых для организации целей и задач защиты информации.
Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретённого ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с утверждённым «Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию».
Порядок разработки комплексов задач (задач) должен включать требования по номенклатуре и содержанию нормативных документов, разрабатываемых специалистами подразделения обеспечения безопасности ИТ совместно со специалистами подразделения автоматизации, порядку определения требований по обеспечению безопасности ИТ и проведения экспертизы реализации механизмов защиты в прикладных системах.
Организация разработки и отладки программ должна исключать возможность доступа программистов в эксплуатируемые подсистемы АС (к реальной информации и базам данных). Для разработки и отладки программ должен бьггь организован специальный опытный участок АС.
Передача разработанных (доработанных) программ в эксплуатацию должна осуществляться через архив эталонных дистрибутивов программ (фонд алгоритмов и программ) подразделения, ответственного за эксплуатацию ПО.
В связи с тем, что вопросами закупок средств защиты занимаются, как правило, несколько подразделений организации, необходимо разработать и принять порядок согласования выбора и приобретения средств защиты информации в АС для нужд организации, а также порядок инспекторского контроля специалистами подразделения обеспечения безопасности ИТ за соблюдением технических условий и сертификатов ФСТЭК России и ФСБ России на приобретённые средства защиты и прикладные системы.