- •1. Сущность и задачи ксзи
- •2. Необходимость и принципы создания ксзи
- •3. Организация архитектурного построения ксзи
- •4. Специфические функции и задачи ксзи
- •5. Методы формирования функций защиты
- •6. Функции управления ксзи
- •7. Планирование как элемент управления ксзи
- •8. Классификация задач зи
- •9. Система управления иб (в соответствие с гост р 27001-2005)
- •Система управления предприятия
- •Этапы создания суиб
- •1. Принятие решения о создании суиб
- •2. Подготовка к созданию суиб
- •3. Анализ рисков
- •4. Разработка политик и процедур суиб
- •5. Внедрение суиб в эксплуатацию
- •10. Управление рисками как основной вид управления в суиб
- •Реализация плана обработки рисков
- •11. Разработка политик и процедур суиб
- •Внедрение суиб в эксплуатацию
- •Подготовка к сертификационному аудиту
- •12. Классификация субъектов и объектов доступа к зи
- •13. Понятие и структура Концепции и Политики безопасности
- •14. Основные этапы разработки пиб
- •Разработка политики иб в соответствии в международными стандартами
- •6) Сертификация суиб на соответствие требованиям нормативных документов (стрелка от него) Документы, сопровождающие процедуру сертификации.
- •15. Содержание основных разделов пиб
- •16. Пиб в стандарте гост р исо/мэк 17799-2005 «ит. Практические правила управления иб»
- •17. Основы стандарта гост р исо/мэк 15408-2002 «Общие критерии оценки безопасности ит»
- •Назначение профиля защиты
- •18. Основы стандарта cobit
- •Описание структуры.
- •Принципы аудита.
- •19. Основы экономической эффективности ксзи
- •Методика расчета ущерба
- •20. Библиотека itil и ее роль в обеспечении иб
3. Организация архитектурного построения ксзи
Архитектура СЗИ должна в определенной степени копировать архитектуру информационной системы предприятия. Архитектура СЗИ может быть представлена организационной, структурной и функциональной моделями.
Организационная модель КСЗИ показывает состав, взаимосвязь и подчиненность в управленческой иерархии подразделений, входящих в состав комплексной системы защиты информации.
р уководитель КСЗИ Руководитель
п редприятия
П одразделение
обеспечения режима
Подразделения конфиденц-
иального
делопроизводства
П одразделение инженерно Подразделение
технической защиты предприятия
Подразделение программно-
аппаратной защиты
С пециальные подразделения
Рис 6.2. Организационная модель КСЗИ
Функциональным построением любой системы называется организованная система всех функций, для регулирования осуществления которых она создается. Функциональная модель включает в себя 2 вида функций:
1. Функции для непосредственного обеспечения защиты информации,
2. Функции для управления механизмом непосредственной защиты (Планирование; управление, руководство и т.д.)
Структурная модель отражает содержание таких компонентов КСЗИ, как кадровый, организационно-правовой и ресурсный. При этом последний компонент представлен основными видами обеспечения: техническое, математическое, программное, информационное, лингвистическое.
Модель типа морфологического ящика разработана украинским специалистом по ЗИ Домаревым и используется для представления КСЗИ в их развитии.
Блочная модель организационно состоит из 3 частей:
механизм обеспечения ЗИ
механизм управления механизмами защиты
механизм общего управления СЗИ (ядро СЗИ)
В механизмах обесп. Выдел 2 компонента:
1) Постоянные
2) Временные
Под постоянными понимаются такие механизмы, которые встраиваются в элементы электронной системы в процессе создания КСЗИ и находящимся в рабочем состоянии в течении всего времени функц. Соотв. Элементов.
Переменные механизмы- автономные, использование их для решения задач защиты инф. Предполагает предварит. Осущ. Операций ввода в состав защищ. Инф. Систем.
4. Специфические функции и задачи ксзи
Одно из наиболее фундаментальных положений системно-концептуального подхода к ЗИ состоит в том, что предполагается разработка такой концепции, в рамках к-ой имелись бы возможности гарантированной ЗИ для самого общего случая архитектурного построения ИС, технологий и условий ее функционирования. Системообразующим компонентом концепции, предназначенным для создания таких условий, явл. множество функций защиты.
Под функцией защиты понимается совокупность однородных в функциональном отношении мероприятий, регулярно осуществляемых в ИС различными средствами и методами с целью создания, поддержания и обеспечения условий, объективно-необходимых для надежной ЗИ.
Для того чтобы множество функций соответствовало своему назначению, оно должно удовлетворять требованию полноты. Под полнотой множества функций понимается его свойство, состоящее в том, что при надлежащем обеспечении соответствующего уровня каждой функции гарантированно м.б. достигнут требуемый уровень защищенности информации.
Помимо полноты должна быть реализована функция управления в виде непрерывного и управляемого процесса. Т.о. множество функций защиты должно состоять из двух подмножеств:
Содержащего функции непосредственной защиты.
Содержащего функции управления механизмами защиты.
Обеспечение регулярного осуществления функции защиты достигается тем, что в ИС регулярно решаются специальные задачи ЗИ.
Под задачами ЗИ понимаются организованные возможности средств, методов и мероприятий, реализуемых в ИС с целью осуществления функции защиты.