- •3.Ооиб как один из основных инструментов обеспечения безопасности организации.
- •5. Требования к системе би.
- •2Й вопрос. Уязвимые места в информационной безопас. Организации.
- •3Й вопрос. Основные методические рекомендации о составлении перечня сведений, составляющих служебную тайну
- •4Й вопрос. Характеристика работ по составлению перечня сведений, составляющих служебную тайну предприятия.
- •5Й вопрос. Характеристика работ по составлению предварительного перечня сведений, составляющих служебную тайну для структурных подразделений организации
- •6Й вопрос. Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, составляющих служебную тайну
- •7Й вопрос. Определение преимуществ открытого использования сведений, составляющих служебную тайну
- •8Й вопрос. Определение затрат на защиту сведений, составляющих служебную тайну
- •9Й вопрос. Принятие решения о включении сведений в окончательный вариант перечня и оформление проекта перечня
- •24.10.2011 Организационное обеспечение информационной безопасности при проведении совещаний.
- •Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица
- •Введение
- •Структура внутренних документов по обеспечению информационной безопасности юридического лица
- •Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)
- •Характеристика документов второго уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов третьего уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов четвертого уровня по обеспечению информационной безопасности юридического лица
- •14.11.11 Организационное обеспечение разработки частных политик безопасности
- •Политика организации рабочего места
- •Политика организации дистанционной работы
- •Политика безопасности электронного документооборота
- •Политика криптографической защиты информации
- •Политика использования программного обеспечения
- •Политика использования мобильных устройств обработки информации
- •Политика управления доступом к информационным ресурсам
- •Политика классификации информации
- •Политика управления ролями.
- •Особенности организации и обеспечения хранения скзи.
- •Основные обязанности сотрудников органов криптографической защиты
- •Основные обязанности пользователей скзи
- •Вопрос 1. Содержание процедур по обработке персональных данных. Содержание процедур по обработке персональных данных.
- •Часть 7я статьи 14. Субъект пд имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных:
- •2. Принципы защиты прав юридических лиц, ип при осуществлении государственного контроля.
- •Вопрос 1. Назначение и структура стандарта
- •Вопрос 2. Основные термины и определения
Лекция 1.
Цели и задачи дисциплины.
Цель: Приобретение студентами знаний по ООИБ, а так же формирование практических навыков работы в реальных условиях.
Задача: Изучение теоретических, методологических и практических проблем формирования функционирования и развития систем ООИБ.
Данный курс является основным для изучения дисциплин по выбору и специальных дисциплин.
В результате изучения студенты должны знать 3 основных компонента:
-
Теоретические основы функционирования систем ООИБ, ее современные проблемы и терминологию.
-
Цели, функции и процессы управления ООИБ т.е. менеджмент в организациях с различной формой собственности.
-
Основные направления методов ООИБ
В результате изучения курса студенты должны уметь:
-
Анализировать эффективность систем ООИБ и разрабатывать направления ее развития.
-
Разрабатывать нормативно-методические материалы по регламентации системы ООИБ.
-
Организовать работу с персоналом, обладающим конфиденциальной информацией.
-
Организовывать охрану персонала, территории, зданий, помещений и продукции организации.
-
Умение организовывать и проводить служебное расследование по фактам разглашения, утечки информации и НСД к ней.
-
Организовывать и проводить аналитическую работу по предупреждению утечки конфиденциальной информации.
При изучении дисциплины используется следующий дидактический аппарат:
Принципы силы, средства и условия ООИБ.
Порядок засекречивания и рассекречивания документов и продукции.
Допуск и доступ к конфиденциальной информации и документам.
Организации внутриобъектового и пропускного режима на предприятии.
Организации подготовки проведения совещаний и заседаний по конфиденциальным вопросам.
Организация охраны предприятий.
Защита информации при публикаторской и рекламной деятельности.
Организация аналитической работы по предупреждению утечки конфиденциальной информации.
Направление и методы работы с персоналом, обладающим конфиденциальной информацией.
Роль дисциплины ООИБ в подготовке специалистов по ЗИ.
Экономическое обеспечение информационной безопасности.
Инженерно-техническая защита информации
Правовое обеспечение информационной безопасности
Информационно-аналитическое обеспечение информационной безопасности
Психологическое обеспечение информационной безопасности
3.Ооиб как один из основных инструментов обеспечения безопасности организации.
Информационная безопасность РФ – состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
ИБ объекта информатизации – состояние защищенности объекта информатизации, при котором обеспечивается безопасность информации и автоматизированных средств ее обработки. ГОСТ Р 50.1.056-2005
Объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, ТС), в которых эти средства и системы установлены или помещений и объектов, предназначенных для ведений конфиденциальных переговоров.ГОСТ Р 51275-2006.
Защищаемый объект информатизации – объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности. ГОСТ Р 50922-2006.
ИБ – все аспекты, связанные с определением, достижением и поддержанием конфиденциальности. ГОСТ Р ИСО / МЭК 17799-2005
Все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки. ГОСТ Р ИСО/МЭК 13335-1-2006.
Для того, чтобы обеспечить эти аспекты, концептуальные положения ЗИ включают в себя:
-
1.Четко очерченную систему взглядов.
-
2. Большое количество хозяйствующих субъектов, специализирующихся на решении вопросов ЗИ.
-
3. Весьма развитый арсенал технических средств ЗИ, производимых на промышленной основе.
-
4. Наличие практического опыта.
Опыт показывает, что для борьбы с устойчивой тенденцией к росту информационных преступлений необходимо:
Обеспечить непрерывный процесс соблюдения правил ЗИ. Необходимо выявить, обосновать и реализовать рациональные методы защиты путем выявления слабых мест(уязвимостей)
БИ может быть обеспечена только при комплексном использовании арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. При этом наибольший эффект достигается, если используемые средства, методы и меры защиты объединяются в единое целое. Этот механизм называется СЗИ.
СЗИ – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, уставленным соответствующими документами в области ЗИ. ГОСТ Р 50922-2006.
Функционирование СЗИ должно контролироваться, обновляться и дополняться в зависимости от изменений внешних и внутренних условий.
Никакая СЗИ не может обеспечить требуемого уровня БИ без надлежащей подготовки персонала обслуживающего инфокоммуникационные системы, а так же пользователей, т.е. в чьих интересах работает эта система и соблюдение всеми причастными лицами правил направленных на ЗИ
ПБИ – совокупность документированных правил, процедур, практических приемов и руководящих принципов в области БИ, которыми руководствуется организация в своей деятельности.
4. Характеристика СЗИ.
С точки зрения системного подхода к ЗИ применяются определенные требования.
Непрерывность.
Конкретность. Защите подлежат конкретные сведения, т.к. их утрата может причинить организации определенный ущерб.
Активность. Защищать информацию необходимо с достаточной степенью настойчивости.
Целенаправленность. Защищать необходимо то, что следует защищать в интересах конкретной цели.
Плановость. Разработка каждой службой фирмы или организации детальных планов ЗИ в сфере ее компетенции с учетом общей цели предприятия.
Универсальность. Считается, что в, зависимости от вида канала утечки или способа НСД, его необходимо перекрывать, где бы он не проявился, разумными и достаточными средствами, независимо от характера, форма и виды информации.
Комплексность. Для защиты информации должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или ТС. Комплексный характер защиты обусловлен тем, что защита представляет собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество взаимных взаимнообуславливающих друг друга сторон свойств, тенденций.
Надежность. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым объектам, независимо от формы их представления, языка и вида физического носителя, на котором они закреплены.
Исходя из опыта, система СЗИ должна удовлетворять условиям:
СЗИ должна охватывать весь технологический комплекс информационной деятельности предприятия.
Должна быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа.
Должна быть открытой для изменений и дополнений мер обеспечения БИ.
Должна быть разнообразной, нестандартной (при выборе средств защиты нужно учитывать, что злоумышленник знает их).
СЗИ должна быть простой для технического обслуживания и удобной для эксплуатации(прозрачной для пользователя).
СЗИ должна быть надежной(любая поломка средств СЗИ является причиной появления неконтролируемых каналов утечки информации).
СЗИ должна быть комплексной и обладать целостностью, т.е. ни одна часть СЗИ не может быть изъята без ущерба для работы.