- •Введение
- •1.1. Понятийный аппарат в области обеспечения безопасности информации
- •1.2. Цели, задачи и принципы построения ксзи
- •1.3. О понятиях безопасности и защищенности
- •1.4. Разумная достаточность и экономическая эффективность
- •1.5. Управление безопасностью предприятия. Международные стандарты
- •1.6. Цели и задачи защиты информации в автоматизированных системах
- •1.7. Современное понимание методологии защиты информации
- •1.7.1. Особенности национального технического регулирования
- •1.7.2. Что понимается под безопасностью ит?
- •1.7.3. Документы пользователя
- •1.7.4. Требования к средствам обеспечения безопасности
- •2.1. Методологические основы организации ксзи
- •2.2. Разработка политики безопасности и регламента безопасности предприятия
- •2.3. Основные положения теории сложных систем
- •2.4. Система управления информационной безопасностью предприятия. Принципы построения и взаимодействие с другими подразделениями
- •2.5. Требования, предъявляемые к ксзи
- •2.5.1. Требования к организационной и технической составляющим ксзи
- •2.5.2. Требования по безопасности, предъявляемые к изделиям ит
- •2.6. Этапы разработки ксзи
- •3.1. Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2. Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •3.3. Характер основной деятельности предприятия
- •3.4. Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5. Структура и территориальное расположение предприятия
- •3.6. Режим функционирования предприятия
- •3.7. Конструктивные особенности предприятия
- •3.8. Количественные и качественные показатели ресурсообеспечения
- •3.9. Степень автоматизации основных процедур обработки защищаемой информации
- •Глава 4
- •4.1. Классификация информации по видам тайны и степеням конфиденциальности
- •4.2. Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение задачи 1
- •4.2.2. Решение задачи 2
- •4.2.3. Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3. Методика определения состава защищаемой информации
- •4.4. Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5.1. Значение носителей защищаемой информации как объектов защиты
- •5.2. Методика выявления состава носителей защищаемой информации
- •5.3. Особенности взаимоотношений с контрагентами как объект защиты информации ограниченного доступа
- •5.4. Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.5. Особенности помещений как объектов защиты для работы по защите информации
- •5.6. Транспортные средства и особенности транспортировки
- •5.7. Состав средств обеспечения, подлежащих защите
- •6.1. Факторы, создающие угрозу информационной безопасности
- •6.2. Угрозы безопасности информации
- •6.3. Модели нарушителей безопасности ас
- •6.4. Подходы к оценке ущерба от нарушений иб
- •6.5. Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6. Реагирование на инциденты иб
- •6.7. Резервирование информации и отказоустойчивость
- •7.1. Технические каналы утечки информации, их классификация
- •7.2. Задачи ксзи по выявлению угроз и куи
- •7.3. Особенности защиты речевой информации
- •Глава 8
- •8.1. Методы и способы защиты информации
- •8.2. Классификация сзи нсд
- •8.3. Механизмы обеспечения безопасности информации
- •8.3.1. Идентификация и аутентификация
- •8.3.2. Разграничение доступа
- •8.3.3. Регистрация и аудит
- •8.3.4. Криптографическая подсистема
- •8.3.5. Межсетевое экранирование
- •8.4. Методика выявления нарушителей, тактики их действий и состава интересующей их информации
- •9.1. Особенности синтеза сзи ас от нсд
- •9.2. Методика синтеза сзи
- •9.2.1. Общее описание архитектуры ас, системы защиты информации и политики безопасности
- •9.2.2. Формализация описания архитектуры исследуемой ас
- •9.2.3. Формулирование требований к системе защиты информации
- •9.2.4. Выбор механизмов и средств защиты информации
- •9.2.5. Определение важности параметров средств защиты информации
- •9.3. Оптимальное построение системы защиты для ас
- •9.4. Выбор структуры сзи ас
- •9.5. Проектирование системы защиты информации для существующей ас
- •10.1. Содержание концепции построения ксзи
- •10.2. Объекты защиты
- •10.3. Цели и задачи обеспечения безопасности информации
- •10.4. Основные угрозы безопасности информации ас организации
- •10.5. Основные положения технической политики в области обеспечения безопасности информации ас организации
- •10.6. Основные принципы построения ксзи
- •10.7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- •10.8. Первоочередные мероприятия по обеспечению безопасности информации
- •11.1. Общая характеристика задач моделирования ксзи
- •11.2. Формальные модели безопасности и их анализ
- •11.2.1. Классификация формальных моделей безопасности
- •11.2.2. Модели обеспечения конфиденциальности
- •11.2.3. Модели обеспечения целостности
- •11.2.4. Субъектно-ориентированная модель
- •11.3. Прикладные модели защиты информации вАс
- •11.4. Формальное построение модели защиты: пример
- •11.4.1. Описание объекта защиты
- •11.4.2. Декомпозиция ас на субъекты и объекты
- •11.4.3. Модель безопасности: неформальное описание
- •11.4.4. Декомпозиция системы защиты информации
- •11.4.5. Противостояние угрозам. Реализация системы защиты информации субъекта ас субъектно-объектной модели
- •11.5. Формализация модели безопасности
- •11.5.1. Процедура создания пары субъект-объект, наделение их атрибутами безопасности
- •11.5.2. Осуществление доступа субъекта к объекту
- •11.5.3. Взаимодействие с внешними сетями
- •11.5.4. Удаление субъекта — объекта
- •12.1. Общее содержание работ по организации ксзи
- •12.2. Характеристика основных стадий создания ксзи
- •12.3. Назначение и структура технического задания (общие требования к содержанию)
- •12.4. Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •Глава 13
- •13.1. Специфика персонала предприятия как объекта защиты
- •13.2. Распределение функций по защите информации
- •13.2.1. Функции руководства предприятия
- •13.2.2. Функции службы защиты информации
- •13.2.3. Функции специальных комиссий
- •13.2.4. Обязанности пользователей защищаемой информации
- •13.3. Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4. Подбор и обучение персонала
- •14.1. Состав и значение материально-технического обеспечения функционирования ксзи
- •14.2. Перечень вопросов зи, требующих документационного закрепления
- •15.1. Понятие, сущность и цели управления ксзи
- •15.2. Принципы управления ксзи
- •15.3. Структура процессов управления
- •15.4. Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16.1. Понятие и задачи планирования функционирования ксзи
- •16.2. Способы и стадии планирования
- •16.3. Факторы, влияющие на выбор способов планирования
- •16.4. Основы подготовки и принятия решений при планировании
- •16.5. Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6. Организация выполнения планов
- •17.1. Виды контроля функционирования ксзи
- •17.2. Цель проведения контрольных мероприятий в ксзи
- •17.3. Анализ и использование результатов проведения контрольных мероприятий
- •18.1. Понятие и основные виды чрезвычайных ситуаций
- •18.2. Технология принятия решений в условиях чс
- •18.3. Факторы, влияющие на принятие решений в условиях чс
- •18.4. Подготовка мероприятий на случай возникновения чс
- •19.2. Оценочный подход
- •19.3. Требования рд свт и рд ас
- •19.4. Задание требований безопасности информации и оценка соответствия им согласно гост 15408—2002
- •19.5. Экспериментальный подход
- •Глава 20
- •20.1. Показатель уровня защищенности, основанный на экспертных оценках
- •20.2. Методы проведения экспертного опроса
- •20.3. Экономический подход к оценке эффективности ксзи
- •20.3.1. Определение размеров ущерба с использованием моделей «осведомленность — эффективность»
- •20.3.2. Определение размеров ущерба с использованием экспертных оценок
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
- •20.3.3. Определение упущенной выгоды в результате ограничений на распространение информации
- •20.3.4. Определение затрат на защиту информации
3.3. Характер основной деятельности предприятия
Одним из основных факторов, определяющих состав используемой предприятием информации ограниченного доступа и степень ее конфиденциальности является характер его основной деятельности.
Но виду деятельности предприятия могут быть классифицированы следующим образом: производственные предприятия; предприятия, оказывающие услуги; торговые предприятия; добывающие предприятия; перерабатывающие предприятия; транспортные предприятия; предприятия, осуществляющие разные виды деятельности, и т.д.
КСЗИ предприятий, осуществляющих различные виды деятельности, отличаются специфическими особенностями, связанными Пиритизацией и проведением организационных, правовых и технических мероприятий ЗИ. Так, например, если предприятие осуществляет свою деятельность в области производства продукции военного назначения или атомной энергетике, то в большинстве случаев такая деятельность связана с допуском к проведению работ со сведениями, составляющими государственную тайну. Вместе с тем большинство предприятий, производящих продовольственные товары, перерабатываюших сельхозпродукцию, с такими сведениями могут быть связаны только при наличии у них мобилизационного задания. В условиях возрастающей конкуренции, в том числе недобросовестной, необходимость отнесения к коммерческой тайне любой из предприятий информации, «позволяющей ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение ни рынке товаров, работ, услуг или получить иную коммерческую Плоду», является одним из основных условий успешного существования и развития предприятия. По этой причине указанный вид информации ограниченного доступа безусловно существует на каждом предприятии.
Персональные данные как вид информации ограниченного доступа также присутствуют на любом предприятии, и соответственно требуется принятие мер по их защите.
Служебная информация ограниченного распространения (с пометкой «Для служебного пользования») может быть получена предприятием в процессе его взаимодействия с федеральными; органами исполнительной власти. Как правило, такие предприятия проводят работы по выполнению заказов на поставки товаров, выполнение работ, оказание услуг для государственных муниципальных нужд.
Рассматривая влияние характера основной деятельности предприятий на построение КСЗИ, нельзя обойти стороной их классификацию по типу производственной кооперации:
• замкнутые (производят конечный продукт без участия сторонних предприятий); КСЗИ таких предприятий не требует защищенных каналов связи для взаимодействия с контрагентами, решения вопросов ЗИ в договорных документах с контрагентами;
• соисполнители (производят и поставляют предприятиям-исполнителям составную часть конечного продукта); КСЗИ таких предприятий требует оснащения средствами защиты информации, передаваемой контрагентам по каналам связи, наличия в договорных документах обязательств по ее охране, других вопросов, связанных с передачей защищаемой информации;
• исполнители (производят конечный продукт в кооперации с предприятиями-соисполнителями); КСЗИ таких предприятий требует оснащения средствами защиты информации, передаваемой! контрагентам по каналам связи, исполнения договорных обязательств по ее охране, юридической защиты информации с ограниченным доступом, содержащейся в реализуемой продукции, решения других вопросов, связанных с передачей защищаемой информации.
Одной из особенностей деятельности предприятия, влияющей на организацию и функционирование КСЗИ, является проведение предприятием работ в областях, имеющих отношение к безопасности государства. На таких предприятиях государство устанавливает ряд ограничений, связанных в первую очередь с зашитой информации. Примером ограничений может служить постановление Правительства Российской Федерации от 11 октября 2002 г. № 755*. которым утвержден Перечень объектов и организаций, в которые иностранные граждане не имеют права быть принятыми на работу. В него включены объекты и организации, осуществлящие работы, связанные с использованием информации ограниченного доступа:
1) объекты и организации Вооруженных Сил Российской (Репарации, других войск и воинских формирований;
2) структурные подразделения по защите государственной тайны и подразделения, осуществляющие работы, связанные с использованием сведений, составляющих государственную тайну, Органов государственной власти и организаций;
3) организации, в состав которых входят радиационно-опасные и ядерно-опасные производства и объекты, на которых осуществляются разработка, производство, эксплуатация, хранение, флнепортировка и утилизация ядерного оружия, радиационно-опасных материалов и изделий.