- •Парадигма информационных рисков доц. Завгородний в.И., Финакадемия
- •Введение
- •Сущность понятия «риск»
- •Понятие информационного риска
- •Место информационных рисков в таксономии экономических рисков
- •Заключение
- •Литература
- •It-риски можно разделить на две категории:
- •Глава 2. Основы защиты информации
- •2.1. Информационная безопасность и её составляющие
- •2.2. Угрозы безопасности информации в компьютерных системах
- •2.3. Методы защиты информации
- •2.3.1. Профилактика заражения вирусами компьютерных систем
- •2.3.2. Порядок действий пользователя при обнаружении заражения вирусами компьютерной системы
- •2.3.3. Особенности защиты информации в базах данных
- •2.4. Законодательные акты рф, регулирующие правовые отношения в сфере информационной безопасности и защиты государственной тайны
- •Вопросы для самоконтроля
- •2.3. Методы защиты информации
- •2.3.1. Профилактика заражения вирусами компьютерных систем
- •2.3.2. Порядок действий пользователя при обнаружении заражения вирусами компьютерной системы
- •2.3.3. Особенности защиты информации в базах данных
- •Компьютерная безопасность. Как выбрать средство защиты информации?
- •4. Вди аналізу ризиків проектів Анализ рисков при реализации проектов
- •Типы рисков в информационном проекте
- •Идентификация рисков
- •Оформление таблицы рисков проекта
- •Расчет уровня рисков и их влияния
- •Снижение потерь
- •Оформление плана противодействия рискам
- •5. Основні перспективні напрями розвитку інформаційних технологій.
- •Ахиллесова пята
- •Востребованные технологии защиты
- •Заключение
- •Что нас ждёт в будущем: процветание или прозябание?
- •Internet 2
- •6. Оцінка ризиків
- •7. Технічні, прикладні, системні програмні засоби підтримки та захисту інфомацї
- •Компьютерная безопасность. Прикладной уровень защиты информации. Постановка и решение задачи в общем виде
- •Средства защиты информации
- •[Править] Программные средства защиты информации
- •[Править] Аппаратные средства защиты информации
- •[Править] Технические средства защиты информации
- •1.Основні та допоміжні активи
- •Информационная безопасность
- •[Править] Сущность понятия «информационная безопасность» [править] Содержание понятия
- •[Править] Стандартизированныеопределения(для дцтд4-1)
- •[Править] Существенные признаки понятия
- •[Править] Рекомендации по использованию терминов (Рекомендации Комиссаровой)
- •[Править] Объём (реализация) понятия «информационная безопасность»
- •[Править] Нормативные документы в области информационной безопасности
- •[Править] Органы (подразделения), обеспечивающие информационнуюбезопасность
- •[Править] Организационно-технические и режимные меры и методы
- •[Править] Программно-технические способы и средства обеспечения информационной безопасности
- •[Править] Организационная защита объектов информатизации
- •[Править] Гражданско-правовая ответственность за нарушения информационной безопасности сайтов сети Интернет
- •[Править] Исторические аспекты возникновения и развития информационной безопасности
- •[Править] Примечания
- •[Править] См. Также
- •[Править] Ссылки
- •[Править] Профильные периодические издания
- •[Править] Специализированные порталы
- •[Править] Литература
- •Средства защиты информации
- •[Править] Программные средства защиты информации
- •[Править] Аппаратные средства защиты информации
- •[Править] Технические средства защиты информации
- •[Править] См. Также
[Править] Нормативные документы в области информационной безопасности
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся[12]:
Акты федерального законодательства:
Международные договоры РФ;
Конституция РФ;
Законы федерального уровня (включая федеральные конституционные законы, кодексы);
Указы Президента РФ;
Постановления правительства РФ;
Нормативные правовые акты федеральных министерств и ведомств;
Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.
Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.
К нормативно-методическим документам можно отнести
Методические документы государственных органов России:
Доктрина информационной безопасности РФ;
Руководящие документы ФСТЭК (Гостехкомиссии России);
Приказы ФСБ;
Стандарты информационной безопасности, из которых выделяют:
Международные стандарты;
Государственные (национальные) стандарты РФ;
Рекомендации по стандартизации;
Методические указания.
[Править] Органы (подразделения), обеспечивающие информационнуюбезопасность
В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.
Государственные органы РФ, контролирующие деятельность в области защиты информации:
Комитет Государственной думы по безопасности;
Совет безопасности России;
Федеральная служба по техническому и экспортному контролю(ФСТЭК России);
Федеральная служба безопасности Российской Федерации(ФСБ России);
Служба внешней разведки Российской Федерации(СВР России);
Министерство обороны Российской Федерации(Минобороны России);
Министерство внутренних дел Российской Федерации(МВД России);
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций(Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия
Служба экономической безопасности;
Служба безопасности персонала(Режимный отдел);
Отдел кадров;
Служба информационной безопасности.
[Править] Организационно-технические и режимные меры и методы
Для описания технологии защиты информации конкретной информационной системыобычно строится так называемаяПолитика информационной безопасностиилиПолитика безопасностирассматриваемойинформационной системы.
Политика безопасности(информации в организации) (англ.Organizational security policy)[1]— совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий(англ.ІСТ security policy)[5]— правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы[11]:
Защита объектов информационной системы;
Защита процессов, процедур и программобработки информации;
Защита каналов связи;
Подавление побочных электромагнитных излучений;
Управление системой защиты.
При этом, по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
Определение информационных и технических ресурсов, подлежащих защите;
Выявление полного множества потенциально возможных угроз и каналов утечки информации;
Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
Определение требований к системе защиты;
Осуществление выбора средств защиты информации и их характеристик;
Внедрение и организация использования выбранных мер, способов и средств защиты;
Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровняПолитики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
Согласно ГОСТ Р ИСО/МЭК 17799—2005[2], на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровнюотносят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты,Контентная фильтрацияи т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровнявходят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.