- •Организационно-административные методы защиты информации.
- •Структура системы информационной безопасности предприятия.
- •Задачи службы информационной безопасности.
- •Варианты организации работы сиб.
- •Требования к специалистам по защите информации.
- •Методика подбора кадров сиб.
- •Общий характер инвентаризации информационных систем.
- •Принципы и направления инвентаризации информационных систем
- •Объем собираемой информации при инвентаризации информационных систем.
- •Модель классификации по целостности.
- •Модель классификации по конфиденциальности.
- •Модель классификации информационных субъектов.
- •Сопоставление ролей субъектов их функциональным обязанностям.
- •Сопоставление ролей субъектов классам обрабатываемой информации.
- •Модель качественной оценки информационных рисков.
- •Модель обобщенного стоимостного результата Миорры.
- •Количественная модель оценки информационных рисков.
- •Методическая работа с персоналом.
- •Работа с бывшими кадрами.
- •Документы политики информационной безопасности.
- •Концепция информационной безопасности.
- •Стандарты информационной безопасности.
- •Процедуры информационной безопасности.
- •Методы информационной безопасности.
Модель классификации по целостности.
Классификация по целостности и модификации («Ц»):
Ц0 – критически важная информация для работы (несанкционированная модификация приведет к необратимым нарушениям)
Ц1 –очень важная информация (изменение приведут к необратимым последствиям через какое-то время, если не будут приняты меры)
Ц2 – важная информация (модификация приведет к нарушению бизнес-процесса через некоторое время, но обратимым)
Ц3- значимая информация (её изменение приведут к серьёзным сбоям, через некоторое время возникнет необходимость восстановления информации)
Ц4 – незначимая информация (изменение не приведут ни к каким последствиям)
Модель классификации по конфиденциальности.
Классификация по конфиденциальности («К»):
К0 – критическая информация (разглашение приведет к остановке, либо к значительным материальным потерям)
К1 – очень важная информация (разглашение приведет к потерям через некоторое время, если не принять меры)
К2 – важная информация (разглашение приведет к незначительным материальным и значительным «имиджевым» потерям)
К3 – значимая информация (разглашение приведет только к «имиджевому» ущербу)
К4 – малозначимая информация (разглашение приведет к незначительному моральному ущербу)
К5 – незначительная информация (м/б разглашение не приведет ни к каким последствиям)
Модель классификации информационных субъектов.
Упрощенная модель классификации субъектов:
Создающие объекты
Использующие
Администрирующие
Контролирующие использование
Эти типы делятся на группы:
Один субъект создает, владеет и обрабатывает информацию без передачи другим субъектам.
Один субъект создает и передает информацию для обработки другим субъектам.
Группа субъектов полностью обрабатывает объект, нет явно выраженного разделения обязанностей.
Субъект или группа субъектов использует информацию из внешних источников.
Группа субъектов использует информацию открытого (общего) доступа.
Сопоставление ролей субъектов их функциональным обязанностям.
Владелец информации (несет полную ответственность за информационные массивы):
- произвести первичную классификацию информационных массивов
- определять работу механизмов безопасности
- определять права доступа
- санкционировать любые действия других субъектов к своим объектам
Хранитель информации:
- организация резервного копирования и архивирование в соответствие с регламентом
- восстановление данных из резервных копий в случае инцидентов
- организация учета информационных активов, находящихся в резервных копиях
Владелец приложений (отвечает за работу какого-то ПО)
- определение критериев доступа субъектов к объектам в соответствии с должностными обязанностями
- контроль использования механизмов безопасности для данного приложения
- администрирование встроенных систем безопасности
- своевременное обновление приложений
Администратор пользователей (отвечает за все информационные ресурсы подчиненных ему сотрудников):
- формирование заявок на создание и блокирование учетных записей
- формирование заявок на изменение форм и прав доступа подчиненных
- контроль актуальности информации
- обучение пользователей по вопросам процедур безопасности
Администраторы безопасности (устанавливает механизмы безопасности, администрирует учетные записи, устанавливает права доступа):
- администрирование прав доступа субъектов к объектам в соответствие с критериями
- создание и блокирование (+ удаление) учетных записей
- проведение расследований в случае нарушения ИБ
Поставщик решений:
-доработка, совершенствование, адаптация решений и запуск их в эксплуатацию
Конечный пользователь:
- сохранение в тайне учетных данных
- использование информационных ресурсов только для целей, определенных должностными обязанностями
- предоставление отчетов по всем событиям связанными с ИБ