Концепции ИБконкретизирует объекты защиты («некоторая ИС, состоящая из компонент: ... , ...») в пространстве КИС, т.е. определяет границы защищаемой области (областей), формулирует цели и задачи, стоящие перед системой защиты («недопущение перерывов доступности ИС более чем ... час. в год ... , …»), описывает от кого/чего осуществляется защита (основные угрозы, «портреты» нарушителей ...), формулирует применяемые для защиты средства (например, «для защиты периметра КИС применяется межсетевое экранирование ..., ...», «для защиты конфиденциальных данных при их передаче через внешние сети используются средства шифрования ..., ...). Структура документа «Концепции ИБ» представлена ниже.
ВВЕДЕНИЕ
1. ОБЩИЕ ПОЛОЖЕНИЯ Назначение документа Правовая основа документа
2. ОБЪЕКТЫ ЗАЩИТЫ
Назначение, цель создания и эксплуатации КИС как объекта информатизации
Структура, состав и размещение основных компонентов КИС и информационные связи с другими объектами
Категории подлежащих защите информационных ресурсов
Категории пользователей, режимы использования и уровни доступа к информации
Уязвимость основных компонентов КИС
3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Интересы субъектов информационных отношений
Цели защиты
Основные задачи системы обеспечения безопасности информации КИС.
Основные пути достижения целей защиты
4. ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ КИС Угрозы безопасности информации и их источники
Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации
Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала
Утечка информации по техническим каналам
Неформальная модель возможных нарушителей
5. ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕХНИЧЕСКОЙ ПОЛИ ГИКИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ КИС Техническая политика в области обеспечения безопасности информации Формирование режима безопасности информации
6. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ
7. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ
Меры обеспечения безопасности Правовые меры защиты Морально-этические меры защиты Организационно-административные меры защиты
Физические средства защиты
Программно-аппаратные средства защиты
Средства идентификации и аутентификации пользователей
Средства разграничения доступа зарегистрированных пользователей
Средства обеспечения контроля целостности программных и информационных ресурсов
Средства оперативного контроля и регистрации событий безопасности
Криптографические средства защиты информации
Защита информации от утечки по техническим каналам
Защита речевой информации
Управление системой обеспечения безопасности информации
Контроль эффективности системы защиты
Приложения
Такой документ достаточно объемен, хотя и не содержит глубоких деталей и подробностей. Он часто встречается в отечественной практике, но не является необходимым согласно международным стандартам в области ИБ. Для руководителей бизнеса этот документ едва ли оказывается полезен, поскольку, несмотря на то, что вопросы в нем рассматриваются на достаточно общем уровне, он, все-таки, содержит множество специфических сведений из ИТ и ИБ. Вследствие этого он полезен, прежде всего, для специалистов в области ИБ и ИТ.
Политики информационной безопасности по отдельным направлениям развиваются и детализируются в документах более низкого уровня. Процедуры определяют правила и порядок реализации положений политик ИБ. Стандарты па программно-аппаратные средства и методологии защиты информации фиксируют технические и методологические решения, которые следует применять для защиты от различных угроз, выявления и устранения уязвимостей КИС. В регламентах прописывается порядок, ответственность и временные рамки выполнения отдельных видов работ но обеспечению ИБ. Например, в регламенте резервною копирования фиксируется информационные активы и ПО, подлежащие копированию, используемые режимы копирования (полное, инкрементальное), обязанности специалистов, график производства копирования. Различные инструкции
регулируют конкретные действия пользователей корпоративной сети, ИТ и ИБ персонала в отношении соблюдения установленного в компании режима информационной безопасности.
К организационно-административным средствам защиты относятся также распорядительные документы в виде приказов, распоряжений и другие, в которых
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.