Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекции / 2004 / 13.doc
Скачиваний:
52
Добавлен:
16.04.2013
Размер:
103.94 Кб
Скачать

Концепция (Политика) безопасности

- документ, в котором:

1. применяется методика определения и описания информационных потоков, описанная в методологии, представляющая собой формальное и точное описание работы с информацией в подразделениях Заказчика, с учетом их изменении со временем, определены критерии, по которым принимается решение о появлении или прекращении конкретного информационного потока;

2. анализируются, описываются и фиксируются информационные потоки, существующие при работе с информацией Заказчика на текущий момент;

3.определяются для каждого информационного потока фазы существования информации (например, бумажный документ, электронный документ, запись в базе данных);

4.определяются категории конфиденциальной информации Заказчика, разрабатывается классификация информации по категориям конфиденциальности;

5.проводится категорирование информации по категориям и фазам, создана матрица конфиденциальности;

6.определяются возможные пути разглашения конфиденциальной информации (модель угроз);

7.для каждой угрозы и атаки определяется модель нарушителя, в которой определяется:

  • профессиональный круг лиц, к которому принадлежит нарушитель;

  • мотивация нарушителя (цели нарушителя);

  • предполагаемая квалификация нарушителя;

  • предполагаемые ограничения на действия и характер возможных действий нарушителя.

8.определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски);

9.определяются порядок изменения Концепции безопасности и Регламента обеспечения безопасности. (30)

Нормативное направление работ по созданию и функционированию КСЗИ

Перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации

Для организации и обеспечения эффективного функционирования комплексной системы компьютерной безопасности должны быть разработаны следующие группы организационно-распорядительных документов:

  • документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в АС (план защиты информации в АС, план обеспечения непрерывной работы и восстановления информации);

  • документы, определяющие ответственность взаимодействующих организаций (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).

План защиты информации в АС должен содержать следующие сведения:

  • описание защищаемой системы (основные характеристики защищаемого объекта): назначение АС, перечень решаемых АС задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в АС и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т.п.;

  • цель защиты системы и пути обеспечения безопасности АС и циркулирующей в ней информации;

  • перечень значимых угроз безопасности АС, от которых требуется защита и наиболее вероятных путей нанесения ущерба;

  • основные требования к организации процесса функционирования АС и мерам обеспечения безопасности обрабатываемой информации ;

  • требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;

  • основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности АС (особые обязанности должностных лиц АС).

План обеспечения непрерывной работы и восстановления информации должен отражать следующие вопросы:

  • цель обеспечения непрерывности процесса функционирования АС, своевременность восстановления ее работоспособности и чем она достигается;

  • перечень и классификация возможных кризисных ситуаций;

  • требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);

  • обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы.

Договор о порядке организации обмена электронными документами должен включать документы, в которых отражаются следующие вопросы:

  • разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

  • определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

  • определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);

  • определение порядка разрешения споров в случае возникновения конфликтов.(18)

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.

Соседние файлы в папке 2004