- •Оглавление
- •Введение
- •Характеристика предметной области.
- •Назначение и особенности функционирования ооо «RussiaTvGroup»
- •Структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами
- •Категории информационных ресурсов, подлежащих защите
- •Уязвимость основных компонентов ас организации
- •Категории пользователей ас организации, режимы использования и уровни доступа к информации
- •Анализ объектов защиты
- •Интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений.
- •Цели и задачи разработки концепции иб организации
- •Цели обеспечения комплексной безопасности ас организации
- •Основные задачи системы обеспечения иб организации
- •Основные пути достижения целей обеспечения безопасности ас организации
- •Разработка комплексной системы защиты иб организации.
- •Выявление основных угроз безопасности информации
- •Основные источники угроз
- •Пути реализации угроз и их последствия.
- •Анализ утечки информации по техническим каналам
- •Неформальная модель возможных нарушителей
- •Политика информационной безопасности организации
- •Основные положения политики иб организации
- •Рекомендуемые меры, осуществляемые в рамках указанных направлений Политики иб организации
- •Формирование режима информационной безопасности
- •Комплекс мер по формированию режима безопасности информации включает:
- •Меры, методы и средства защиты информационных ресурсов
- •Законодательные (правовые) меры защиты
- •Организационные (административные) меры защиты
- •Инженерно-технические средства обеспечения иб организации.
- •Программно-аппаратные средства защиты
- •Соответствие разработанной Концепции основным принципам построения системы комплексной защиты информации
- •Заключение
- •Приложение перечень основных нормативных документов, регламентирующих деятельность в области защиты информации
- •Список литературы
Заключение
Все изложенные требования, разработанные методы и средства защиты составляют систему комплексного обеспечения информационной безопасности ООО «RussiaTVGroup».
Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы ФСТЭК (Федеральная служба технического и экспортного контроля), ФСБ (Федеральная служба безопасности РФ),а также нормативно - методические материалы и организационно - распорядительные документы ОРГАНИЗАЦИИ отражающие вопросы обеспечения информационной безопасности в автоматизированных системах.
Концепция учитывает современное состояние и ближайшие перспективы развития АС ОРГАНИЗАЦИИ, цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также анализа угроз безопасности для ресурсов АС ОРГАНИЗАЦИИ.
Основные положения и требования Концепции распространяются на все структурные подразделения ОРГАНИЗАЦИИ, в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие банковскую, коммерческую, служебную тайну или персональные данные, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС ОРГАНИЗАЦИИ. Основные положения Концепции могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействующие с АС ОРГАНИЗАЦИИ в качестве поставщиков и потребителей (пользователей) информации АС ОРГАНИЗАЦИИ.
Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы защиты информации и процессов ее обработки в АС с единых методологических позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с позиции комплексного применения различных мер и средств защиты.
При разработке Концепции учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.
Основные положения Концепция базируются на качественном осмыслении вопросов безопасности информации и не концентрируют внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.
Приложение перечень основных нормативных документов, регламентирующих деятельность в области защиты информации
Конституция Российской Федерации
Гражданский Кодекс Российской Федерации
Уголовный Кодекс Российской Федерации
Доктрина информационной безопасности Российской Федерации
Законы Российской Федерации:
Федеральный закон РФ от 21.07.1993 N 5485-1 «О государственной тайне»
Федеральный закон РФ от 27.06.2006 N 149-ФЗ «Об информации, информационных технологиях и защите информации»
Федеральный закон РФ от 27.07.2006 N 152-ФЗ «О персональных данных»
Федеральный закон РФ от 06.04.2011 N 63-ФЗ «Об электронной подписи»
Федеральный закон от 29.04.2004 N 98-ФЗ «О коммерческой тайне»
Указы Президента Российской Федерации:
Указ Президента РФ от 30 ноября 1995 г. №1203 «Об утверждении перечня сведений, отнесенных с государственной тайне»
Указ Президента РФ от 6 марта 1997 г. №188 «Об утверждении перечня сведений конфиденциального характера»
Постановления Правительства Российской Федерации:
Постановление Правительства РФ от 01.11.2012 N1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Постановление Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации"
Документы ФСТЭК, ФСБ:
Приказ от 11 февраля 2013г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»
Руководящие документы ФСТЭК по защите от НСД
Руководящие документы ФСТЭК по защите от НДВ
Положение по аттестации объектов информатизации по требованиям безопасности информации от 25 ноября 1994 г.
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)
Приказ ФСБ РФ от 9 февраля 2005г. N 66 «Об утверждении, разработке, производстве, реализации и эксплуатации шифровальных и криптографических средств защиты (Положение ПКЗ-2005»
Российские и международные стандарты:
ГОСТ Р - Национальные стандарты Российской Федерации в области защиты информации
ISO 27000 – Международные стандарты управления информационной безопасностью
ISO 15408 - Общие критерии оценки безопасности информационных технологий
PCI DSS - стандарт защиты информации в индустрии платежных карт
СТО БР ИББС - Стандарты Банка России в области информационной безопасности
BS 25999, BS 25777 - Британские стандарты по управлению непрерывностью бизнеса и информационно-коммуникационных технологий
ISO 20000 и ITIL - библиотека лучших практик в области управления ИТ
ISO 18028 - Международные стандарты сетевой безопасности серии
ISO 13335 - Международные стандарты безопасности информационных технологий
BSI\IT Baseline Protection Manual
SysTrust
COBIT 5
Basel II - Международная конвергенция измерения капитала и стандартов капитала: новые подходы