Основные термины и определения из области информационной безопасности Последовательность действий при разработке системы обеспечения информационной безопасности.

Презентация:

Advertisements

Похожие презентации

Служба информационной безопасности – это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной.

Advertisements

Организационное обеспечение информационной безопасности Ю. А. Смолий.

Презентация на тему: «Угрозы безопасности в информационной сфере. Правовая защита от угроз воздействия информации на личность, общество, государство».

СПС КонсультантПлюс Информационная безопасность Правовые меры защиты информации Демкина Н.П., преподаватель информатики филиал ДИНО университета.

Построение СЗИ Построение политики безопасности. Структура политики безопасности Перечень защищаемых объектов. Перечень лиц имеющих доступ к защищаемым.

ОТЕЧЕСТВЕННЫЕ И МЕЖДУНАРОДНЫЕ НОРМАТИВНО-ПРАВОВЫЕ АКТЫ ОБЕСПЕЧЕНИЯ ИБ Борисов В.А. КАСК – филиал ФГБОУ ВПО РАНХ и ГС Красноармейск 2011 г.

«ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ» ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ СЛУЖБОЙ ЗАЩИТЫ ИНФОРМЦИИ Преподаватель: Пономаренко Геннадий Владимирович.

Реализация государственной политики в сфере обеспечения информационной безопасности.

«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)

Компьютерная безопасность: современные технологии и математические методы защиты информации.

Специальность « Организация защиты информации»

Информационная безопасность Введение. Основные понятия теории ИБ Информация - сведения о лицах, предметах, факторах, событиях, явлениях и процессах независимо.

Проблемы безопасности автоматизированных информационных систем на предприятиях

Лекция 2 - Система формирования режима информационной безопасности 1. Введение 2. Задачи информационной безопасности общества 3. Уровни формирования режима.

Основы нормативного регулирования внутреннего контроля в Федеральном казначействе и его территориальных органах Начальник Отдела административного и технологического.

Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.

Информационные системы в экономике Лекция 1. Основные понятия и определения Автоматизированная информационная система это совокупность технических программных.

Основные понятия Законодательство в сфере защиты информации.

Методы и средства защиты информации в компьютерных системах Пермяков Руслан

Лекция 1 Информационная безопасность: основные понятия и определения.

Транксрипт:

Основные термины и определения из области информационной безопасности Последовательность действий при разработке системы обеспечения информационной безопасности объекта 1 2 Требования к системе информационной безопасности объекта Принципы построения системы информационной безопасности объекта 4 3

Под защитой информации понимается совокупность мероприятий, направленных на обеспечение конфиденциальности и целостности обрабатываемой информации, а также доступности информации для пользователей. Под безопасностью информации будем понимать такое ее состояние, при котором исключается возможность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имеющими на это права, а также утечки за счет побочных электромагнитных излучений и наводок, специальных устройств перехвата (уничтожения) при передаче между объектами вычислительной техники. ознакомления изменения уничтожения утечки конфиденциальности целостности доступности Конфиденциальность – содержание критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций), в секрете. Целостность - свойство, при выполнении которого информация сохраняет заранее определенные вид и качество. Доступность - такое состояние информации, когда она находится в виде и месте, необходимом пользователю, и в то время, когда она ему необходима. Цель защиты информации - сведение к минимуму потерь в управлении, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей. вид и качество находится в виде и месте в секрете в то время сведение к минимуму потерь в управлении

Суть принципа заключается в постоянном контроле функционирования системы, выявлении слабых мест, потенциально возможных каналов утечки информации и НСД, обновлении и дополнении механизмов защиты в зависимости от изменения характера внутренних и внешних угроз, обосновании и реализации на этой основе наиболее рациональных методов, способов и путей защиты информации. Обеспечение информационной безопасности не может быть одноразовым актом !!!. Оружие защиты должно быть адекватно оружию нападения !!!. Комплексный характер защиты информации проистекает, прежде всего, из характера действий злоумышленников, стремящихся любой совокупностью средств добыть важную для конкурентной борьбы информацию. Принцип непрерывности совершенствования и развития системы информационной безопасности. Принцип комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.

Наибольший эффект достигается в том случае, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм систему информационной безопасности. Только в этом случае появляются системные свойства не присущие ни одному из отдельных элементов системы защиты, а также возможность управлять системой, перераспределять ее ресурсы и применять современные методы повышения эффективности ее функционирования. Система информационной безопасности - организованная совокупность органов, средств, методов и мероприятий, обеспечивающих защиту информации от разглашения, утечки и несанкционированного доступа к ней. Важнейшими условиями обеспечения безопасности являются: - законность - разумная достаточность - соблюдение баланса интересов личности и предприятия - высокий профессионализм службы информационной безопасности, - подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности - взаимная ответственность персонала и руководства - взаимодействие с государственными правоохранительными органами. Без соблюдения этих условий никакая система информационной безопасности не может обеспечить требуемого уровня защиты !!!

Требования к системе защиты информации: централизованность; процесс управления всегда централизован, в то время как структура системы, реализующей процесс, должна соответствовать структуре защищаемого объекта; плановость; планирование осуществляется для организации взаимодействия подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации; конкретность и целенаправленность; защите подлежат абсолютно конкретные информационные ресурсы, могущие представлять интерес для конкурентов; активность; защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом обнаружить и устранить принцип предвидеть и предотвратить; надежность и универсальность, охват всего технологического комплекса информационной деятельности объекта; методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена; нестандартность (по сравнению с другими организациями), разнообразие средств защиты; открытость для изменения и дополнения мер обеспечения безопасности информации; экономическая эффективность; затраты на систему защиты не должны превышать размеры возможного ущерба.

- простота технического обслуживания и прозрачность средства защиты для пользователей; - минимальный набор привилегий, необходимых для работы каждого пользователя ; - возможность отключения защиты в особых случаях, когда механизмы защиты реально мешают выполнению работ; - независимость системы защиты от субъектов защиты; - разработчики системы защиты информации должны предполагать, что пользователи имеют наихудшие намерения (враждебность окружения), что они будут совершать серьезные ошибки и искать пути обхода механизмов защиты; - отсутствие на предприятии излишней информации о существовании механизмов защиты. Устоявшиеся рекомендации, которые будут не бесполезны создателям систем информационной безопасности:

Цели и задачи, принципы построения и требования к системе защиты информации Результаты действий на каждом этапе создания системы информационной безопасности Список сведений, составляющих коммерческую тайну, и организаций (частных лиц), которых эти сведения могут интересовать Инфологическая модель объекта с выявлением возможных точек нападения Сценарий осуществления противоправных действий Ранжирование угроз п о вероятности их осуществления и возможному ущербу Принятие стратегии управления рисками Правовые, организационные и инженерно- технические мероприятия. Определение политики безопасности Формирование системы информационной безопасности на основе результатов оценки эффективности и тестирования Пакет документов по построению системы информационной безопасности и реализации политики безопасности Монтаж и настройка оборудования, управление системой защиты Основные этапы создания системы информационной безопасности 1. Выявление информации, представляющей интеллектуальную собственность организации. 2.Определение границ управления информационной безопасностью. 3. Анализ уязвимости: - каналы утечки и НСД, - вероятность реализации угроз (установления информационного контакта), - модель действий нарушителя, - оценка ущерба (потерь). 4. Выбор контрмер, обеспечивающих информационную безопасность. 5. Проверка системы защиты информации: - оценка эффективности вариантов построения, - тестирование системы. 6. Составление плана защиты. 7. Реализация плана защиты информации.