- •Организационная структура, основные функции службы компьютерной безопасности
- •13. Материально- техническое и нормативно- методическое обеспечение функционирования ксзи Методическое направление работ по созданию ксзи .
- •Концепция (Политика) безопасности
- •Техническое направление работ по созданию ксзи
- •Физические средства защиты.
- •Аппаратные средства защиты.
- •Программные средства защиты
- •Механизмы управления доступом
- •Диспетчер доступа
- •Криптографические механизмы защиты
- •Механизмы цифровой подписи.
- •Механизмы обеспечения целостности данных
- •Механизмы управления маршрутизацией
- •Механизмы арбитража
Концепция (Политика) безопасности
- документ, в котором:
1. применяется методика определения и описания информационных потоков, описанная в методологии, представляющая собой формальное и точное описание работы с информацией в подразделениях Заказчика, с учетом их изменении со временем, определены критерии, по которым принимается решение о появлении или прекращении конкретного информационного потока;
2. анализируются, описываются и фиксируются информационные потоки, существующие при работе с информацией Заказчика на текущий момент;
3.определяются для каждого информационного потока фазы существования информации (например, бумажный документ, электронный документ, запись в базе данных);
4.определяются категории конфиденциальной информации Заказчика, разрабатывается классификация информации по категориям конфиденциальности;
5.проводится категорирование информации по категориям и фазам, создана матрица конфиденциальности;
6.определяются возможные пути разглашения конфиденциальной информации (модель угроз);
7.для каждой угрозы и атаки определяется модель нарушителя, в которой определяется:
профессиональный круг лиц, к которому принадлежит нарушитель;
мотивация нарушителя (цели нарушителя);
предполагаемая квалификация нарушителя;
предполагаемые ограничения на действия и характер возможных действий нарушителя.
8.определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски);
9.определяются порядок изменения Концепции безопасности и Регламента обеспечения безопасности. (30)
Нормативное направление работ по созданию и функционированию КСЗИ
Перечень основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации
Для организации и обеспечения эффективного функционирования комплексной системы компьютерной безопасности должны быть разработаны следующие группы организационно-распорядительных документов:
документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в АС (план защиты информации в АС, план обеспечения непрерывной работы и восстановления информации);
документы, определяющие ответственность взаимодействующих организаций (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).
План защиты информации в АС должен содержать следующие сведения:
описание защищаемой системы (основные характеристики защищаемого объекта): назначение АС, перечень решаемых АС задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в АС и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т.п.;
цель защиты системы и пути обеспечения безопасности АС и циркулирующей в ней информации;
перечень значимых угроз безопасности АС, от которых требуется защита и наиболее вероятных путей нанесения ущерба;
основные требования к организации процесса функционирования АС и мерам обеспечения безопасности обрабатываемой информации ;
требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;
основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности АС (особые обязанности должностных лиц АС).
План обеспечения непрерывной работы и восстановления информации должен отражать следующие вопросы:
цель обеспечения непрерывности процесса функционирования АС, своевременность восстановления ее работоспособности и чем она достигается;
перечень и классификация возможных кризисных ситуаций;
требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);
обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы.
Договор о порядке организации обмена электронными документами должен включать документы, в которых отражаются следующие вопросы:
разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
определение порядка разрешения споров в случае возникновения конфликтов.(18)