Организация и управление службой защиты информации на предприятии © Баранова Елена Константиновна

Рекомендуемая литература 1. Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, с. 2. Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации. Учеб.пособие для вузов – М.: Горячая линия – Телеком, с. 3. Мельников В.В. Безопасность информации в автоматизированных системах. – М.:Финансы и статистика, – 368 с. 4. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия.- СПб: БХВ-Петербург, Соколов А.В., Степанюк О.М. Методы информационной защиты объектов и компьютерных сетей. - М.: ООО "Фирма "Издательство АСТ"; СПб: ООО "Издательство "Полигон", – 272 с. 6. Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия. – М.: Дашков и К, с. 7. Шумский А.А. Системный анализ в защите информации: учеб.пособие для студентов вузов, обучающихся по специальностям в обл.информ.безопасности / А.А.Шумский, А.А.Шелупанов – М.: Гелиос АРВ, с. 2

Организация системы защиты информации совокупность организационных и инженерных мероприятий, программно-аппаратных средств, которые обеспечивают защиту информации от разглашения, утечки и несанкционированного доступа. Составные части 3

Основные направления в общей проблеме обеспечения безопасности 4

Этапы разработки СЗИ 1. Анализ конфиденциальности 3. Анализ ресурсов защиты 4. Оценка возможности технической защиты 6. Оценка возможности организационной защиты 5. Оценка возможности программной защиты 7. Распределение ответственности за защиту 10. Проверка и оценка принятых решений по ЗИ Анализ состояния и уточнение требований 8. Реализация выбора мер защиты 9. Создание условий необходимых для ЗИ 2. Анализ уязвимости 5

Концепция создания защищенных ИС Параллельная разработка ИС и СЗИ Системный подход к построению защищенных ИС Многоуровневая структура СЗИ Иерархическая система управления СЗИ Блочная архитектура защищенных ИС Возможность развития СЗИ Дружественный интерфейс пользователя 6

Многоуровневая структура СЗИ 1. охрана по периметру территории объекта; 2. охрана по периметру здания; 3. охрана помещения; 4. защита аппаратных средств; 5. защита программных средств; 6. защита информации. Для отдельного объекта можно выделить 6-7 уровней (рубежей) защиты: 7

Сущность и задачи ОУСЗИ 1. Регламентация действий пользователей 2. Установление юридической ответственности за выполнение правил ИБ 3. Явный и скрытый контроль за порядком информационного обмена 4. Блокирование каналов утечки информации 5. Выявление закладных устройств в ТС и ПО 6. Непрерывный контроль и управление СЗИ 7. Обнаружение зондирований, навязываний ложной информации и излучений 8. Санкционированный доступ в физическое и информационное пространство 9. Обнаружение возгораний, затоплений и иных ЧС 10. Обеспечение резервирования информации 11. Организация оборота физических носителей защищаемой информации 12. Обеспечение достоверности электронного документооборота, ЭЦП 13. Шифрование информации на любых этапах обработки 14. Восстановление ключевых структур при компрометации 15. Генерация, распределение и хранение ключей и паролей 16. Регистрация событий и обнаружение нарушений 17. Расследование во взаимодействии с ПОО нарушений политики безопасности 18. Непрерывный контроль и управление СЗИ 8

Стратегии организации защиты информации Стратегия – общая направленность в организации деятельности с учетом объективных потребностей, возможных условий осуществления и возможностей предприятия. Виды стратегий Оборонительная НаступательнаяУпреждающая защита от уже известных угроз, осуществляемая автономно, без влияния на существующую ИС защита от всего множества потенциальных угроз создание информационной среды, в которой угрозы не имеют условий для возникновения 9

Основные характеристики стратегий организации защиты информации Наименование характеристики Стратегии комплексной защиты информации Оборонительная НаступательнаяУпреждающая Возможный уровень защиты Достаточно высок, но только в отношении известных угроз Очень высок, но только в пределах существующих представлений о природе угроз и возможностях их проявления Уровень защиты гарантированно очень высок Необходимые условия реализации Наличие методов и средств реализации 1. Наличие перечня и характеристик полного множества потенциально возможных угроз 2. Развитый арсенал методов и средств защиты 3. Возможность влиять на архитектуру ИС и технологию обработки информации Наличие защищенных информационных технологий Ресурсоемкость Незначительная по сравнению с другими стратегиями Значительная (с ростом требований по защите растет по экспоненте) 1. Высокая в плане капитальных затрат 2. Незначительная в каждом конкретном случае при наличии унифицированной защищенной ИТ Рекомендации по применению Невысокая степень секретности защищаемой информации и не очень большие ожидаемые потери Достаточно высокая степень секретности защищаемой информации и возможность значительных потерь при нарушении защиты Перспективная 10

Этапы построения СЗИ для различных стратегий Наименование этапов построения Стратегии комплексной защиты информации Оборонительная НаступательнаяУпреждающая Формирование среды защиты 1. Структурированная архитектура ИС 2. Структурированная технология обработки ЗИ 3. Четкая организация работ по защите Защищенная информационная технология в унифицированном исполнении Анализ средств защиты 1. Представление организационной структуры ИС в виде графа, узлы – типовые структурные компоненты, а дуги – взаимосвязи между компонентами 2. Представление технологии обработки ЗИ в виде строго определенной схемы 3. Определение параметров ЗИ и условий ее обработки Оценка уязвимости информации 1. Определение значений вероятности нарушения защиты информации в условиях ее обработки 2. Оценка размеров возможного ущерба при нарушении защиты Определение требований к защите Определение вероятности нарушения защиты информации, которая должна быть обеспечена при обработке защищаемой информации Построение системы комплексной защиты Определение технических средств, которые должны быть использованы при обработке ЗИ Выбор типового варианта или проектирование индивидуальной системы КЗИ Определение механизмов защиты, которые должны быть задействованы при создании КЗИ Требования к среде защиты Определяется в зависимости от требований к защите информации Реализуется на базе унифицированной защищенной ИТ 11

Общие принципы построения КЗИ Простота механизма защиты Постоянство защиты Полнота контроля Открытость проектирования Идентификация Разделение полномочий Минимизация полномочий Надежность Максимальная обособленность Защита памяти Непрерывность Гибкость Неизбежность наказания нарушений Экономичность Специализированность 12

Информация Документ Режим Программа Аппарат Структура КЗИ 13

Основные характеристики КЗИ Надежность эшелонированность, многоуровневость Отказоустойчивость минимизация последствий отказов рубежей защиты Равнопрочность нарушитель должен преодолевать рубежи защиты с одинаковой трудностью, независимо от направления атаки 14

Этапы разработки КЗИ Постоянный анализ и уточнение требований к КЗИ I. Определение информации, подлежащей защите II. Выявление полного множества угроз и критериев утечки информации III. Проведение оценки уязвимости и рисков информации по имеющимся угрозам и каналам утечки IV. Определение требований к комплексной защите V.Осуществление выбора средств защиты информации и их характеристик VI. Внедрение и организация использования выбранных мер, способов и средств защиты VII.Осуществление контроля целостности и управление системой защиты 15

Обязательные элементы КЗИ Правовые Организационные Инженерно- технические Программно- аппаратные Криптографические 16

Контрольные вопросы 1. Основные направления обеспечения информационной безопасности на предприятии 2. Этапы и общие принципы разработки СЗИ на предприятии. 3. Многоуровневая структура СЗИ на предприятии. 4. Сущность и задачи ОУСЗИ 5. Стратегии организации защиты информации на предприятии. 6. Этапы разработки комплексной системы защиты информации на предприятии. 17

Организация защиты конфиденциальных документов 18

Безопасность ценных информационных ресурсов Цель ИБ – безопасность информационных ресурсов в любой момент времени в любой обстановке. Первоначально всегда необходимо решить следующие вопросы: Что защищать? Почему защищать? От кого защищать? Как защищать? 19

Главные опасности: – утрата конфиденциального документа; – разглашение конфиденциальных сведений; – утечка по техническим каналам. В настоящее время главные опасности: – незаконные тайные операции с электронными документами без кражи из БД; незаконное использование информационных ресурсов для извлечения материальной выгоды. 20

Архитектура СЗИ Электронные информационные системы Весь комплекс управления предприятием в единстве его функциональных и структурных систем Традиционные документационные процессы 21

Основные направления формирования ценной информации Управление предприятием Прогнозирование и планирование Финансовая деятельность Производственная деятельность Торговая деятельность Переговоры и совещания по направлениям деятельности Организация безопасности предприятия Управление персоналом Использование новых технологий Научная и исследовательская деятельность Участие в торгах и аукционах Изучение направлений интересов конкурентов Формирование состава клиентов, компаньонов и т.д. Формирование ценовой политики 22

Выявление конфиденциальных сведений Основополагающая часть организации системы защиты информации – процесс выявления и регламентации состава конфиденциальной информации. Критерии анализа информационных ресурсов: степень заинтересованности конкурентов; степень ценности (стоимостной, правовой аспект). 23

Предпосылки отнесения информации к конфиденциальным сведениям Не отражает негативные стороны деятельности фирмы (нарушение законодательства и фальсификацию финансовой деятельности с целью неуплаты налогов) Не общедоступна и не общеизвестна Возникновение или получение информации законно и связано с расходованием материального, финансового и интеллектуального потенциала Персонал знает о ценности информации и обучен правилам работы с ней Предприниматель выполняет реальные действия по защите конфиденциальной информации 24

Перечень конфиденциальных сведений Перечень – классифицированный список типовой и конкретно ценной информации о выполняемых работах, производимой продукции, научных и деловых идеях, технологических новшествах. Перечень конфиденциальных сведений: закрепляет факт отнесения сведений к защищаемой информации; определяет срок, период недоступности этих сведений, уровень конфиденциальности (гриф); список должностей, которым дано право использовать эти сведения в работе. 25

Документирование конфиденциальных сведений Основные отличия документированных конфиденциальных сведений 1. Обязательность получения разрешения на документирование конфиденциальной информации от полномочного руководителя 2. Установление грифа (уровня) конфиденциальности сведений, подлежащих включению в документ 3. Оформление и учет носителя для документирования, выделенного комплекса конфиденциальных сведений. 4. Учет подготовленного черновика документа 5. Составление черновика и вариантов текста документа 6. Получение разрешения на изготовление документа от полномочного руководителя 7. Изготовление проекта конфиденциального документа 8. Издание конфиденциального документа. 26

Угрозы конфиденциальным документам Документирование на случайном носителе Подготовка к изданию документа, не обоснованная деловой необходимостью или не разрешенного документирования Включение в документ избыточной информации Случайное (умышленное) занижение грифа конфиденциальности Изготовление документа в условиях, не гарантирующих конфиденциальности обрабатываемой информации Утеря оригинала, черновика, варианта или редакции документа Попытка подмены утраченного материала Сообщение содержимого проекта документа постороннему лицу Несанкционированное копирование Утечка информации по техническим каналам Ошибочные действия пользователей 27

Носители конфиденциальных сведений Традиционные текстовые Чертежно- графические Машиночитаемые документы Аудио и видео документы Фотодокументы 28

Закрепление факта присвоения носителю категории ограничения доступа Присвоение носителю учетного номера и включение его в справочно-информационный банк для обеспечения контроля за использованием и проверки наличия Документирование фактов перемещения носителей между руководителями и сотрудниками Закрепление персональной ответственности за сохранность носителя Контроль работы исполнителей над документами и своевременное уничтожение при потере практической ценности 29 Задачи учета конфиденциальных документов Конфиденциальный документ – необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического (физического) лица.

Жизненный цикл конфиденциального документа ????????? беловик ???????? ??????? беловик черновик беловикпакет Дата под., Дата Д. отм. об испол. Дела срок хранения архив уничтожение сжигание Перечень черновик Письменное распоряжение руководства замысел беловик пакет Д. Д., резол. ру к. Д. под., уничтожение Дата. об испол. архив сжигание размножение. размнож ение уничтожение Спец.урна Письменное разрешение размножение уничтожение сжигание Сопроводительное письмо замысел Д. резол. р ук. Дела срок хранения 30

Документированная система защиты Порядок определения сроков хранения Карточка Список Предписани е Номенклатура дел и документов ГТ Инструкция по использованию ПВЭМ Инструкция по работе в сети Интернет Инструкция по пользованию сотовой связью Инструкция по пожару и ЧС План работы СФЗ Регламент ИБПрофиль защиты Положение о СФЗ Положение об ОЗИ Положение о ПДЭК Должностные инструкции План работы ОЗИ Инструкция по вскрытию ОЗИ Должностные инструкции Инструкция по пропускному и внутри объектовому режиму Инструкция по пользованию междугородной Инструкция по обработке и хранению КИ Номенклатура должностей на допуск к ГТ Номенклатура должностей на допуск к КТ Инструкция по оформлению допуска к КТ Номенклатура дел и документов КТ Справка о допуске Анкета Договор Регистр. анкета Журналы и книги учета и контроля Перечень конфиденциаль ных сведений Перечень должностных лиц, наделяемых полномочиями Инструкция по выезду за границу Инструкция по приему иноделегаций Порядок определения размеров ущерба Гражданский кодекс ФЗ «Об информации, информационных технологиях и о защите информации» Уголовный кодекс Концепция ИБ ФЗ «О государственной тайне» «О коммерческой тайне» 31

Контрольные вопросы 1. Архитектура системы защиты конфиденциального документооборота на предприятии. 2. Основные направления формирования конфиденциальных документов на предприятии. 3. Предпосылки отнесения информации к категории конфиденциальной и выявление конфиденциальных сведений на предприятии. 4. Порядок документирования конфиденциальных сведений. 5. Основные носители конфиденциальных сведений и угрозы конфиденциальному документообороту. 6. Жизненный цикл конфиденциального документа. 7. Структура документированной системы защиты в РФ. 32

Организация режима обеспечения комплексной защиты информации 33

Разработка Политики безопасности Политика безопасности информации совокупность нормативных документов, определяющих (или устанавливающих) порядок обеспечения безопасности информации на конкретном предприятии, а также выдвигающих требования по поддержанию подобного порядка. 34

Цели политики безопасности Формирование системы взглядов на проблему обеспечения безопасности информации и пути ее решения с учетом современных тенденций развития технологий и методов защиты информации Формулирование рекомендаций по повышению степени защищенности информационной системы Выработка общих требований к средствам защиты информации 35

1 уровень стратегический 2 уровень оперативный 3 уровень тактический Уровни Политики безопасности информации 36 Концепция информационной безопасности Определяет цели и задачи защиты информации Регламент обеспечения информационной безопасности Определяет организационные меры обеспечения ИБ Инструкция Руководство Технические регламенты Инструкция Руководство Технические регламенты Профиль защиты Определяет тербования к средствам защиты Задания по безопасности Техническое задание

Разработка Концепции безопасности информации Определение общих положений Концепции Уяснение основных направлений обеспечения безопасности информации и описание требований к безопасности информации Разработка специальных глав Концепции 37

Разработка Регламента обеспечения безопасности информации Подготовка к разработке Регламента Определение общих положений Регламента Определение обязанностей персонала по обеспечению безопасности информации Определение правил использования компьютеров и информационных систем 38

Разделы Профиля защиты: «Введение ПЗ»; «Описание Объекта Оценки»; «Среда безопасности ОО»; «Цели безопасности»; «Требования безопасности ИТ»; «Обоснование». 39

Профиль защиты включает: Формулировка необходимости ИБ Описание среды, в которой находится КИС Описание предположений о существующем состоянии безопасности Описание политики безопасности, которая должна выполняться Описание целей безопасности Функциональные требования к безопасности и требования доверия к безопасности Обоснование достаточности функциональных требований и требований доверия к безопасности 40

Угрозы Политика безопасности Предположения безопасности Цели безопасности Для АИСДля среды функционирования Требования безопасности к СОБИ Для АИСДля среды функционирования Не ИТ-требования безопасности АСПЕКТЫ СРЕДЫ БЕЗОПАСНОСТИ АИС 41

Взаимосвязь основных и дополнительных ФТБ Цели безопасности для АИС РСА Основные ФТБ Поддерживающие ФТБ косвенно способствует удовлетворению удовлетворяют способствует выполнению 42

Контрольные вопросы 1. Цели и задачи Политики информационной безопасности на предприятии 2. Уровни Политики информационной безопасности на предприятии. 3. Разработка Концепции безопасности информации и Регламента обеспечения безопасности информации на предприятии. 4. Понятие Профиль защиты и его составляющие. 43

Организация системы физической защиты информации 44

Система физической защиты типовые задачи и способы ее реализации Система физической защиты (СФЗ) – совокупность людей, процедур и оборудования защищающих имущество (объекты) от хищений, диверсий и иных неправомерных действий. 45

Типовые задачи СФЗ Предотвращение диверсий, направленных на вывод из строя оборудования Предотвращение хищений материальных средств, имущества либо информации Защита сотрудников объекта 46

Способы организации СФЗ Сдерживание Обнаружение, задержка, реагирование – триединая задача эффективной СФЗ 47

Функции и подсистемы СФЗ СФЗ Восприятие признаков вторжения Обнаружение Силы охраны Задержание Реагирование Получение сигнала тревоги Связь с силами реагирования Развертывание сил реагирования Прерывание Оценка сигнала тревоги Препятствия Функции Подсистемы 48

Связь между функциями СФЗ Время решения задачи нарушителем Время выполнения ОР Задержка Обнаружение Реагирование Т о Т А Т прер Т с Начало акции Выполнение задачи нарушителем Прерывание действий нарушителя Сигнал тревоги оценка Время Т о – время срабатывания датчика Т А – время принятия решения об отражении акции Т прер – время прерывания вторжения Т с – время совершения акции нарушителем 49

Сдерживание Обнаружение Сдерживание – реализация мер, воспринимаемых потенциальным нарушителем как труднопреодолимые, устрашающие (предупреждающие) и превращающие объект в непривлекательную цель. Результат сдерживания – нарушитель прекращает нападение, лучше если не предпринимает вовсе. 50 Обнаружение – выявление скрытой или открытой акции нарушителя по проникновению в пространство объекта. Показатели эффективности обнаружения : - вероятность выявления акции; - время оценивания акции; - время передачи сообщения об акции; - частота ложных тревог.

Организация подсистемы обнаружения Срабатывание датчика Инициализация сигнала тревоги Получение сигнала от датчика Оценка сигнала тревоги Вероятность обнаружения Время оценки to t1 t2 t3 Р срабат. 1 Ро Связь времени оценки и вероятности обнаружения: 1 51

Задержка Реагирование 52 Задержка – замедление продвижения нарушителя к цели. Путями (способами) являются: физические барьеры, препятствия; замки; персонал охраны (постоянной готовности, ждущий режим) Показатель эффективности задержки – общее время преодоления каждого элемента задержки после обнаружения. Реагирование – действия сил защиты по воспрепятствованию успеху нарушителя, прерывание действий нарушителя. Показатели эффективности реагирования: время между получением информации об обнаружении и прерывание акции нарушителя; вероятность своевременного развертывания сил реагирования.

Подсистемы реагирования Передача сообщения о нападении Развертывание сил реагирования Прерывание попытки нападения Первая передача Вторая передача Уточнение Вероятность успешной передачи сообщения 1 53

m – общее число элементов задержки по пути k – точки, где T R >T G T i – время задержки i-го элемента P N D i - вероятность, того, что i-ый элемент не обнаружил нарушителя 54

Зона ограниченного допуска Защищенная зона Контролируемое здание Контролируемая комната Ограничение цели зона Внешняя зона Зона ограниченного доступа Защищенная зона Контролируемое здание Внешняя зона Цель Контролируемая комната Контролируемое помещение Физические зоны Уровень защиты Сегмент пути Элемент защиты (пути) датчик побег вторжение Диаграмма последовательности действий нарушителя Цель 55

Силы реагирования Комплектование охраны Организационная структура и численность подразделений ведомственной охраны, осуществляющих защиту объектов, определяются в зависимости от: особенностей охраняемого объекта, степени оборудования их инженерно- техническими средствами защиты, а также иных условий, связанных с обеспечением надежной защиты объектов. 56

Инженерно-технические средства охраны К техническим средствам охраны относятся: системы охранной сигнализации (СОС) периметра; системы охранной сигнализации зданий и сооружений; системы контроля и управления доступом (СКУД); системы телевизионного наблюдения (СТН); системы охранного освещения (СОО); системы связи и оповещения (ССО). 57 К инженерным средствам охраны относятся: ограждение периметра объекта охраны и внутренних зон ограниченного доступа; контрольно-пропускные пункты (КПП) с соответствующим досмотровым оборудованием; въездные ворота, калитки, шлагбаумы.

Контрольные вопросы 1. Система физической защиты: основные задачи и способы их решения на предприятии. 2. Функции и подсистемы СФЗ. 3. Организация подсистемы сдерживания и обнаружения СФЗ. 4. Организация подсистемы задержки и реагирования СФЗ. 5. Сценарии последовательности действий нарушителя СФЗ. 6. Организация инженерно-технических средств охраны. 58

МЕЖДУНАРОДНЫЕ СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ МЕЖДУНАРОДНЫЕ СТАНДАРТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Основные цели и задачи британского стандарта ISO Формирование в мире единого подхода к системам управления ИБ уровня корпорации Структура общих требований ИБ Внедрение принципов ИБ в организационную структуру компании Разработка и внедрение эффективной политики безопасности 60

Преимущества ISO Международное признание Отношение бизнес-партнеров Управление информационной безопасностью корпорации Повышение защищенности информационной системы Эффективная политика информационной безопасности 61

Содержание стандарта ISO Политика безопасности Организационные меры по обеспечению безопасности Классификация и управление ресурсами Безопасность персонала Физическая безопасность Управление коммуникациями и процессами Контроль доступа Разработка и техническая поддержка вычислительных систем Управление инцидентами информационной безопасности Управление непрерывностью бизнеса Соответствие системы основным требованиям 62

Содержание германского стандарта BSI Методология управления ИБ Компоненты информационных технологий Каталоги угроз безопасности и контрмер 63

Содержание международного стандарта ISO Система управления информационной безопасностью (СУИБ) Обязанности руководства компании Внутренний аудит СУИБ Проверки СУИБ руководством компании Совершенствование СУИБ 64

Особенности стандарта ЦБ РФ обеспечение ИБ организаций банковской системы РФ Бизнес ориентация стандарта Ориентация на лучшие западные стандарты Конфиденциальность, целостность, доступность Анализ и управление рисками Аудит безопасности Модели зрелости процессов менеджмента ИБ Менеджмент информационной безопасности 65

ПРОВЕДЕНИЕ КОМПЛЕКСНОГО ОБСЛЕДОВАНИЯ ЗАЩИЩЕННОСТИ ИС

Цель проведения обследования (аудита) Методологическое обследование процессов, методов и средств обеспечения безопасности информации при выполнении информационной системой своего главного предназначения информационное обеспечение бизнеса. 67

Стадии проведения аудита ИБ Сбор необходимых исходных данных и их предварительный анализ (стадия планирования) Оценка соответствия состояния защищенности ИС предъявляемым требованиям и стандартам (стадии моделирования, тестирования и анализа результатов) Формулирование рекомендаций по повышению безопасности информации в обследуемой ИС (стадии разработки предложений и документирования полученных результатов) 68

Виды обследования Периоды жизненного цикла обследуемого объекта Виды обследования (аудита) Первичный Технический Аттестация Сюрвей Контрольный Принятие решения о создании корпоративной ИСx Определение требований к создаваемой корпоративной ИСx Проектирование и ввод в эксплуатацию корпоративной ИСxx Штатная эксплуатация средств корпоративной ИСx Ремонт (плановый и внеплановый), устранение неисправностейxx Нештатные ситуации, приводящие к ущербуxx Устранение последствий нештатных ситуацийx Принятие решений о модернизации корпоративной ИСxxx Модернизация корпоративной ИСx Эксплуатация модернизированной ИСx Вывод из эксплуатации и замена корпоративной ИСx 69

ОБЪЕКТ ЗАЩИТЫ информационные ресурсы, содержащие сведения ограниченного доступа Угрозы информационной безопасности Хищение Утрата Блокирование Уничтожение Модификация Отрицание подлинности Навязывание ложной Анализ угроз безопасности информации ЦЕЛЬ ИБ исключение нанесения материального, морального и иного ущерба собственникам информации в результате нарушения: конфиденциальностидоступностицелостности 70

Состав работ по проведению аудита Планирование проведения обследования Проведение комплексного обследования Оценка эффективности существующей системы защиты ИС с применением специализированных инструментариев 71

Контрольные вопросы 1. Международные стандарты в области информационной безопасности. 2.Цели, задачи и стадии проведения аудита информационной безопасности. 3. Виды аудита информационной безопасности, применяемые на различных стадиях жизненного цикла обследуемого объекта. 4. Состав работ по проведения аудита информационной безопасности. 72