Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4614 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южно-Уральский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
КУРС_лекций_ИБП_12.doc
Скачиваний:
12
Добавлен:
11.09.2019
Размер:
880.64 Кб
Скачать
►Содержание►

5.4 Создание системы информационной безопасности предприятия.

5.4.1 Основные цели, методы и принципы.

- обследование защищенности ИС; - анализ рисков; - определение требований к средствам защиты; - выбор основных решений по обеспечению режима ИБ; - разработка планов обеспечения бесперебойной работы организации; - документальное оформление политики ИБ.

- безопасность инфраструктуры; - безопасность компонент.

- поставка оборудования и пуско-наладочные работы; - подготовка регламентных документов; - подготовка АС к аттестации.

- аудит информационной безопасности; - модернизация системы управления ИБ; - модернизация подсистемы ИБ; - переподготовка кадров.

При создании комплексной системы защиты конфиденциальной информации (КСЗИ) необходимо защищать информацию во всех фазах ее существования:

- документальной (бумажные документы);

- электронной, содержащейся и обрабатываемой в автоматизированных системах (АС), в отдельных средствах вычислительной техники (СВТ), персоналом.

Защищать информацию необходимо: от несанкционированного доступа (НСД) к ней, от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, от нарушения работоспособности АС и СВТ, от воздействия на персонал. Таким образом, информационная структура должна быть защищена от любых несанкционированных действий.

Цель работы – построение комплексной системы защиты конфиденциальной информации.

Достижение цели предполагает необходимость создания, разработки и использования совокупности методологических, организационных и технических компонентов КСЗИ. Все вышеуказанные компоненты КСЗИ должны быть взаимообусловлены и взаимоувязаны. Базой является методология построения КСЗИ. Компоненты КСЗИ разрабатываются и создаются в рамках трех параллельных направлений работ – методическом, организационном и техническом.

Методология построения КСЗИ – это совокупность способов и приемов рассмотрения вопросов информационной безопасности и методов их решения в целях построения комплексной системы.

Она позволяет в рамках единого подхода использовать согласованное применение разнородных средств для построения целостной системы защиты, перекрывающей все существенные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов. Методология построения КСЗИ описывает основные методы и принципы решения следующих вопросов:

  1. Обеспечение комплексной безопасности.

  2. Компоненты комплексной системы защиты информации:

  • методологические, организационные, технические.

  1. Направления работ по созданию комплексной системы защиты информации.

  2. Основные принципы построения комплексной системы защиты информации:

    • принцип равномощности (комплексности);

    • принцип непрерывности защиты;

    • принцип разумной достаточности;

    • принцип гибкости системы защиты;

    • принцип независимости стойкости средств защиты информации (СЗИ) от раскрытия информации о механизмах ее использования;

    • принцип простоты применения.

  3. Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты информации:

    • создание службы обеспечения конфиденциальности (СОК);

    • создание перечня основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.

  4. Рекомендации по методологии построения матрицы конфиденциальности:

    • определение субъектов и объектов информационных потоков;

    • определение характеристик и признаков субъектов и объектов информационных потоков (матрица конфиденциальности);

    • построение правил разграничения доступа субъектов к объектам информационных потоков на основании матрицы конфиденциальности.

  5. Методика оценки рисков:

    • методика анализа угроз конфиденциальной информации и построения неформальной модели нарушителя;

    • методика определения общих требований к защищенности АС:

      • классификационные требования Федеральной службы по техническому и экспортному контролю (ФСТЭК России) к защищенности от НСД средств вычислительной техники и автоматизированных систем;

      • основные механизмы защиты компьютерных систем от проникновения с целью дезорганизации их работы и несанкционированного доступа к информации.

  6. Методика определения уровня защиты информации в соответствии с руководящими документами (РД) ФСТЭК России.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности