- •Вирусы.
- •Тема 2 Основные документы Информационной Безопасности.
- •Концепция Национальной Безопасности.
- •1)Россия в мировом сообществе.
- •2)Национальные интересы России.
- •3) Угрозы Национальной Безопасности.
- •Концепция национальной безопасности рф (10 января 2000 г )
- •Тема 3. Современные подходы. Понятие угрозы и безопасности.
- •Виды программ и способы, используемые для атаки программ и данных.
- •Тема 4. Основные положения в теории Информационной Безопасности.
- •Виды тайн.
- •Тема 5.
- •Тема 6. Концепция информационной безопасности
- •Политика безопасности предприятия
- •2. Понятие информационного риска
- •3. Принципы управления риском
- •4.Концептуальная модель информационной безопасности.
3. Принципы управления риском
Пять принципов управления рисками информационной безопасности.
* Оценить риск и определить потребности
* Установить нейтрализованное управление
* Внедрить необходимые политики и соответствующие средства контроля
* Содействовать осведомленности сотрудников
* Контролировать и оценивать эффективность политик и механизмов контроля
Следующие шестнадцать методов, используемые для реализации пяти принципов управления рисками, выделены на следующей иллюстрации. Эти методы являются ключевыми для эффективной реализации программы информационной безопасности организации.
Оценить риск и определить потребности
1 Признать информационные ресурсы в качестве существенных (неотъемлемых) активов организации
2 Разработать практические процедуры оценки рисков, связывающие безопасность и требования бизнеса
3. Установить ответственность менеджеров бизнес-подразделений и менеджеров, участвующих в программе обеспечения безопасности
4 Непрерывно управлять рисками
Установить централизованное управление
1. Определить руководящую группу для выполнения ключевых действий
2. Предоставить руководящей группе простой и независимый доступ к высшему менеджменту организации
3 Определить и выделить бюджет и персонал
4. Повышать профессионализм и технические знания сотрудников
Внедрить необходимые политики и соответствующие средства контроля
1 Установить взаимосвязь политик и бизнес-рисков
2. Установить отличия между политиками и руководящими принципами
3. Обеспечить сопровождение политик руководящей группой
Содействовать осведомленности
1 Непрерывное обучение пользователей и других сотрудников на примере рисков и соответствующих политик
Использовать дружественный подход
Контролировать и оценивать эффективность политик и механизмов контроля
1 Контролировать факторы, влияющие на риски и указывающие на эффективность информационной безопасности
2 Использовать полученные результаты для координации будущих усилий и повышения ответственности менеджмента
3. Отслеживать новые методы и средства контроля
4.Концептуальная модель информационной безопасности.
Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности
компонентами концептуальной модели безопасности информации могут быть следующие
• объект угроз:
• угрозы:
• источники угроз;
• пели угроз со стороны злоумышленников;
• источники информации:
• способы неправомерного овладения конфиденциальной информацией (способы доступа):
• направления защиты информации.
• способы зашиты информации
• средства зашиты информации
Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов). Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.
Неправомерное овладение конфиденциальной информацией возможно за счет се разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям. Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечении информационной безопасности.
Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно. Программно, так и смешанно-программно-аппаратными средствами
В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу.
Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних Угроз.