- •1. Сущность и задачи ксзи
- •2. Необходимость и принципы создания ксзи
- •3. Организация архитектурного построения ксзи
- •4. Специфические функции и задачи ксзи
- •5. Методы формирования функций защиты
- •6. Функции управления ксзи
- •7. Планирование как элемент управления ксзи
- •8. Классификация задач зи
- •9. Система управления иб (в соответствие с гост р 27001-2005)
- •Система управления предприятия
- •Этапы создания суиб
- •1. Принятие решения о создании суиб
- •2. Подготовка к созданию суиб
- •3. Анализ рисков
- •4. Разработка политик и процедур суиб
- •5. Внедрение суиб в эксплуатацию
- •10. Управление рисками как основной вид управления в суиб
- •Реализация плана обработки рисков
- •11. Разработка политик и процедур суиб
- •Внедрение суиб в эксплуатацию
- •Подготовка к сертификационному аудиту
- •12. Классификация субъектов и объектов доступа к зи
- •13. Понятие и структура Концепции и Политики безопасности
- •14. Основные этапы разработки пиб
- •Разработка политики иб в соответствии в международными стандартами
- •6) Сертификация суиб на соответствие требованиям нормативных документов (стрелка от него) Документы, сопровождающие процедуру сертификации.
- •15. Содержание основных разделов пиб
- •16. Пиб в стандарте гост р исо/мэк 17799-2005 «ит. Практические правила управления иб»
- •17. Основы стандарта гост р исо/мэк 15408-2002 «Общие критерии оценки безопасности ит»
- •Назначение профиля защиты
- •18. Основы стандарта cobit
- •Описание структуры.
- •Принципы аудита.
- •19. Основы экономической эффективности ксзи
- •Методика расчета ущерба
- •20. Библиотека itil и ее роль в обеспечении иб
Внедрение суиб в эксплуатацию
Датой ввода СУИБ в эксплуатацию явл. дата утверждения высшим руководством Положения о применимости средств управления. Данный док. явл. публичным и декларирует цели и средства, выбранные организацией для управления рисками. Положение включает:
1. Средства управления и контроля, выбранные на этапе обработки рисков
2. Существующие в организации средства управления и контроля
3. Средства, обеспечивающие выполнение требований законодательства и требований регулирующих организаций
4. Средства, обеспечивающие выполнение требований заказчиков
5. Средства, обеспечивающие выполнение общекорпоративных требований
6. Любые другие соответствующие средства управления и контроля
При вводе СУИБ в эксплуатацию задействуются все разработанные процедуры и механизмы, реализующие выбранные цели и средства управления.
Подготовка к сертификационному аудиту
На данном этапе организации рекомендуется пройти предварительный аудит, к-ый поможет оценить готовность к сертификационному аудиту. Предварительный аудит проводится обычно тем же органом по сертификации, в к-м предполагается прохождение сертификационного аудита. По результатам предварительного аудита составляется отчет, в к-ом отмечаются все положительные стороны созданной СУИБ, выявленные несоответствия и рекомендации по их устранению. Для проведения сертификационного аудита рекомендуется, чтобы СУИБ организации функционировала от 3 до 6 мес. Это минимальный период, необходимый для выполнения внутренних аудитов и анализа СУИБ со стороны руководства, а также формирования записей по результатам выполнения всех процедур СУИБ, к-ые анализируются в ходе сертификационного аудита.
Результатом данного этапа явл. СУИБ, готовая к прохождению сертификационного аудита.
12. Классификация субъектов и объектов доступа к зи
Общая классификация субъектов доступа представляет из себя следующую картину:
-
Субъекты доступа
П ользователи
Процессы
Горизонтальная связь отражает тот факт, что субъекты, пользователи и процессы не могут рассматриваться независимо, т.к. запрос доступа к ресурсу генерирует процесс, запускаемый пользователем.
Объекты доступа |
||||
Файловые объекты (в т.ч. бумажные документы, папки, диски, любые носители) |
Устройства |
Каналы связи |
||
Данные |
Программы |
Реестр ОС |
Детальная классификация субъектов
Пользователи ИС |
|||
Реальные |
Виртуальные (на уровне процессов) |
Управление доступом к системному диску |
|
|
|||
Прикладные |
Администраторы |
|
Управление доступом к ресурсам |
Процессы |
Механизмы управления доступом |
||
Санкционированные |
Несанкциониро-ванные |
Обеспечение замкнутости прогр.среды |
|
Прикладные |
Привилегиро-ванные |
|
Управление доступом привилег.проц.к ресурсам |
Идент.по имени |
Скрытые (ВМ) |
|
Управление доступом ВМ |
|
|
|
Управление доступом проц.к ресурсам |
Процессы нужно рассматривать в общем виде (и пожары, и проникновение хакера и т.д.).
Файловые объекты |
(логич.диски, каталоги, файлы, столы, шкафы, папки) |
||
Прикладные |
Системные |
Управление доступом к сист.диску, процессам и реестру |
|
Разделяемые системой и приложениями |
Неразделяемые системой и приложениями |
|
Управление доступом к каталогам, неразделяемым системой |
Локальные файловые объекты |
Сетевые файловые объекты |
|
Управление доступом пользователей и процессов к сетевым ресурсам |
|
|
|
Управление доступом к локальным ресурсам |
Файловые объекты программ. Аналоги программ в бумажном виде – приказ, инструкция. Системные файлы – для всего предприятия в целом.
Файловые объекты программ |
|
Пользовательские |
Системные |
Устройства |
Механизмы |
||
Санкционированные |
Несанкциони-рованные |
1) обеспечения замкнутой прогр.среды 2) упр.доступом польз.и процессов к реестру |
|
Устройства ввода-вывода с отчужденными носителями (флешки, диски) |
Иные устройства (сетевые) |
|
Управление доступом польз. к устройствам |
Локальные устройства ввода-вывода |
Сетевые |
|
Управление доступом к сетевым устройствам |
|
|
|
Управление доступом к локальным устройствам |
Каналы связи |
Механизмы |
||
Определяемые инф. технологиями |
Определяемые адресами хостов |
Управление доступом польз. к хостам по адресам и времени |
|
Определяемые сетевой службой (номером порта) |
Опред. приложениями |
|
1) управление доступом польз. к процессам 2) управление доступом процессов к хостам 3) обеспечение замкнутости программной среды |
|
|
|
Управление доступом польз. к хостам по номерам портов |