Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor

По данным Лаборатории Касперского

Манипулирование информацией ; Нарушение установленного порядка информационного обмена ; Разрушение информационного пространства страны ; Информационный терроризм.

Взаимная ответственность личности, общества и государства ; Единство подходов к обеспечению защиты информации ; Комплексность, полнота и непрерывность мероприятий по защите информации ; Максимальная открытость нормативно - правовых актов и нормативных документов.

Обусловлены : обострением противоречий между потребностями общества в расширении свободного обмена информацией ограничениями на ее распространение ; расширением сферы использования компьютеров ; повышением уровня доверия к автоматизированным системам обработки информации ;

Обусловлены : наличием интенсивного обмена информацией между участниками этого процесса ; концентрацией больших объемов информации на электронных носителях ; количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам ;

Обусловлены : отношением к информации, как к товару,; многообразием видов угроз и возникновением новых возможных каналов несанкционированного доступа к информации ; ростом числа квалифицированных пользователей вычислительной техники ;

Обусловлены : увеличением потерь от уничтожения, фальсификации, разглашения или незаконного тиражирования информации ; развитием рыночных отношений ( в области разработки, поставки, обслуживания вычислительной техники, разработки программных средств, в том числе средств защиты ).

Конфиденциальность информации (information confidentiality) – свойство информации, состоящее в том, что информация не может быть получена неавторизованным пользователем и / или процессом. Целостность информации (information integrity) – свойство информации, состоящее в том, что информация не может быть модифицирована неавторизованным пользователем и / или процессом. Определения даны в соответствии с НД ТЗИ « Терминология в области защиты информации в компьютерных системах от несанкционированного доступа »

Доступность информации (availability) – свойство ресурса системы ( компьютерной системы, услуги, объекта компьютерной системы ), состоящее в том, что пользователь и / или процесс, владеющий соответствующими полномочиями, может использовать ресурс в соответствии с правилами, установленными политикой безопасности, не ожидая дольше заданного ( малого ) промежутка времени, то есть когда он находится в виде, необходимом пользователю, в месте, необходимом пользователю и в то время, когда он ему необходим. Определения даны в соответствии с НД ТЗИ « Терминология в области защиты информации в компьютерных системах от несанкционированного доступа »

Наблюдаемость (accountability) – свойство компьютерной системы, позволяющее фиксировать деятельность пользователей и процессов, использование пассивных объектов, а также однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и / или обеспечения ответственности за определенные действия Определения даны в соответствии с НД ТЗИ « Терминология в области защиты информации в компьютерных системах от несанкционированного доступа »

Защищенность информации от нежелательного ее разглашения (нарушения конфиденциальности) искажения или утраты (нарушения целостности, фальсификации) или снижения степени доступности информации, а также ее незаконного тиражирования (неправомерного использования).

По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на следующие : правовые ( законодательные ); морально - этические ; технологические ;

По способам осуществления все меры защиты информации, ее носителей и систем ее обработки подразделяются на следующие : организационные ; физические ; технические.

Действующие в стране законы, указы и другие нормативно- правовые акты: регламентирующие правила обращения с информацией закрепляющие права и обязанности участников информационных отношений устанавливающие ответственность за нарушения этих правил.

Нормы поведения, которые сложились или складываются по мере распространения информационных технологий в обществе. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах пользователей и обслуживающего персонала.

Разного рода технологические решения и приемы, обычно основанные на использовании некоторых видов избыточности, направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений.

Меры административного характера, регламентирующие: процессы функционирования системы обработки данных; использование ресурсов деятельность обслуживающего персонала; порядок взаимодействия пользователей и обслуживающего персонала с системой.

Физические меры защиты основаны на применении разного рода устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения.

Технические меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав АС и выполняющих функции защиты.

Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба, наносимого посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Руководитель

Вариант 1 Возложить обязанности на системного администратора Вариант 2 Создать отдельную единицу администратора ИБ в составе Департамента ИТ

Хорошая безопасность означает предотвращение вирусов и атак, их своевременное обнаружение и немедленную реакцию на них. Если вы не создаете команду для обеспечения этого процесса, вы подвергаете свою компанию более высокому риску, связанному с последствиями внешних атак

Ни один уважающий себя профессионал в области безопасности не захочет работать в компании, которая не понимает, для чего его нанимают. Будьте готовы, что квалифицированная помощь стоит дорого. Индустрия безопасности очень закрытая область, поэтому стоит заранее обратить внимание на специалистов из секретных служб, армии.

теоретические и методологические основы защиты информации ; правовые основы защиты информации ; основы криптографии ; основы сетевой информационной безопасности ;

аудит информационной безопасности ; создание организационных документов в области защиты информации ( политика безопасности, правила при работе в Internet, правила работы с электронной почтой, политика аутентификации и пр.).

определение требований к системе защиты информации, ее носителей и процессов обработки, разработка политики безопасности ; организация мероприятий по реализации принятой политики безопасности ;

оказание методической помощи и координация работ по созданию и развитию комплексной системы защиты ; контроль за соблюдением установленных правил безопасной работы в АС, оценка эффективности и достаточности принятых мер и применяемых средств защиты.

формирование требований к системе защиты при создании и развитии АС ; участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию ;

планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС ; обучение пользователей и персонала АС правилам безопасной обработки информации и обслуживания компонентов АС ;

распределение между пользователями необходимых реквизитов доступа к ресурсам АС ; контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки ; взаимодействие с ответственными за безопасность информации в подразделениях ;

регламентация действий и контроль за администраторами баз данных, серверов и сетевых устройств ; принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты ; наблюдение за работой системы защиты и ее элементов и организация проверок надежности их функционирования.

служба должна подчиняться тому лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией ;

сотрудники службы должны иметь : право доступа во все помещения, где установлены технические средства право требовать от руководства подразделений прекращения автоматизированной обработки информации при наличии непосредственной угрозы для защищаемой информации ;

руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС, если они не отвечают требованиям защиты ;

численность службы должна быть достаточной для выполнения всех перечисленных выше функций ; штатный персонал службы не должен иметь других обязанностей, связанных с функционированием АС ; сотрудникам службы должны обеспечиваться все условия, необходимые им для выполнения своих функций.

разрабатывать представлять на согласование и утверждение нормативные и организационно - распорядительные документы, касающиеся вопросов обеспечения безопасности информации ; получать необходимую информацию от сотрудников других подразделений по вопросам применения информационных технологий и эксплуатации АС, в части касающейся ЗИ ;

участвовать в проработке технических решений по вопросам ЗИ при проектировании и разработке новых подсистем и комплексов ; участвовать в испытаниях разработанных подсистем и комплексов по вопросам оценки качества реализации требований по ЗИ ; контролировать деятельность сотрудников других подразделений организации по вопросам ЗИ.

руководитель ; аналитики по вопросам компьютерной безопасности ; администраторы средств защиты, контроля и управления ;

администраторы криптографических средств защиты ; ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах ; специалисты по защите информации от утечки по техническим каналам ; ответственные за организацию конфиденциального делопроизводства и др.

Безмалый Владимир MVP Consumer Security Microsoft Security Trusted Advisor