- •Понятие информационной безопасности. Основные составляющие. Важность проблемы
- •Основные определения и критерии классификации угроз
- •Уровни обеспечения информационной безопасности
- •Законодательный уровень обеспечения информационной безопасности
- •Законодательство РФ в области информационной безопасности, основные законодательные акты.
- •Законодательство РФ в области информационной безопасности, основные законодательные акты.
- •Законодательство РФ в области информационной безопасности, основные законодательные акты
- •Законодательство РФ в области информационной безопасности, основные законодательные акты.
- •Законодательство РФ в области информационной безопасности, основные законодательные акты.
- •Законодательство РФ в области информационной безопасности, основные законодательные акты
- •Законодательство РФ в области информационной безопасности, основные законодательные акты
- •Международные и национальные стандарты в области информационной безопасности.
- •Международные и национальные стандарты в области информационной безопасности.
- •Международные и национальные стандарты в области информационной безопасности.
- •Административный уровень обеспечения информационной безопасности. Политика безопасности.
- •Административный уровень обеспечения информационной безопасности. Политика безопасности.
- •Административный уровень обеспечения информационной безопасности. Политика безопасности.
- •Основные классы мер процедурного уровня
Законодательство РФ в области информационной безопасности, основные законодательные акты
ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ.
Об утверждении Положения об обеспечении безопасности персональных данных при их обра ботке в информационных системах персональных данных
Постановление Правительства РФ № 781 от 17 ноября 2007
Об утверждении Положения об особенностях обработки персональных данных, осуществляем ой без использования средств автоматизации
Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. Москва "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"
Международные и национальные стандарты в области информационной безопасности.
ISO 27000 - Международные стандарты управления информационной безопасностью Семейство Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.
ISO 15408 - Общие критерии оценки безопасности информационных технологий
В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO 15408 под названием Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation или сокращенно - Common Criteria). Внушительных размеров тома Common Criteria содержат обобщенное формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности на протяжении десятилетий.
ISO 18028 - Международные стандарты сетевой безопасности серии
ISO 13335 - Международные стандарты безопасности информационных технологий
Международные и национальные стандарты в области информационной безопасности.
BSI\IT Baseline Protection Manual
Немецкий стандарт "Руководство по обеспечению безопасности ИТ" (IT Baseline Protection Manual) разрабатывается в BSI (Bundesamt für Sicherheit in der Informationstechnik (German Information Security Agency), www.bsi.bund.de).
SysTrust
Данный стандарт (Канада, США) видимо отражает бухгалтерское видение проблемы информационной безопасности.
PCI DSS - стандарт защиты информации в индустрии платежных карт
Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации
BS 25999 - Британские стандарты по управлению непрерывностью бизнеса
ISO 20000 и ITIL - библиотека лучших практик в области управления ИТ
Целью ITIL является предоставление руководства по передовому опыту в области управления ИТ сервисами. Он включает в себя опции, которые могут быть позаимствованы и адаптированы под потребности конкретного бизнеса, местные условия и уровень зрелости сервис провайдера. ISO 20000 устанавливает стандарты, к которым должны быть устремлены процессы управления сервисами.
Международные и национальные стандарты в области информационной безопасности.
Basel II - Международная конвергенция измерения капитала и стандартов капитала: новые подходы Документ отражает наиболее продвинутые подходы как в сфере финансовых операций, так и
в области банковского регулирования. В связи с этим в нем широко используются специальные термины, относящиеся к операциям на финансовых рынках и не имеющие в настоящее время аналогов на русском языке.
СТО БР ИББС - Стандарты Банка России в области информационной безопасности
Административный уровень обеспечения информационной безопасности. Политика безопасности.
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.
Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации.
Политика безопасности - совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.
Административный уровень обеспечения информационной безопасности. Политика безопасности.
Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:
I. Вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;
II. Организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;
III.Классификационный, описывающий имеющиеся в организации материальные
иинформационные ресурсы и необходимый уровень их защиты;
IV. Штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
Административный уровень обеспечения информационной безопасности. Политика безопасности.
Британский стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:
V. Раздел, освещающий вопросы физической защиты;
VI. Управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;
VII. Раздел, описывающий правила разграничения доступа к производственной информации;
VIII. Раздел, характеризующий порядок разработки и сопровождения систем;
IX. Раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
X. Юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
Основные классы мер процедурного уровня
На процедурном уровне можно выделить следующие классы мер:
Управление персоналом;
Физическая защита;
Поддержание работоспособности;
Реагирование на нарушения режима безопасности;
Планирование восстановительных работ.