5. Концепция информационной безопасности
Концепция информационной безопасности создается в качестве основы для дальнейшего построения и развития СУИБ. Концепция определяет политику организации в области защиты информации в целом и создается на основе существующих нормативно-правовых актов, регламентирующих вопросы защиты информации.
Концепция может включать в себя следующие разделы:
цели и задачи защиты информации;
основные принципы построения системы информационной безопасности;
обобщенное описание объектов защиты; модель угроз и модель нарушителя;
принципы контроля эффективности системы ИБ.
Политики информационной безопасности
Политики информационной безопасности представляют собой свод нормативных документов, содержащих требования к обеспечению ИБ и распределение обязанностей и ответственности. Кроме этого, политиками ИБ регламентируются процедуры проектирования, внедрения и поддержки средств и систем защиты организации.
Комплект политик информационной безопасности включает в себя следующие документы:
требования по обеспечению ИБ;
положение об обеспечении ИБ;
описание процессов СУИБ;
политика управления доступом;
политика использования паролей;
политика определения уровня конфиденциальности информации;
политика передачи информации третьим лицам и организациям;
политика использования Интернета;
политика использования электронной почты;
политика резервного копирования;
политика и порядок внесения изменений в систему; операционные инструкции и регламенты в контексте процессов СУИБ;
положения о функциональных обязанностях по обеспечению ИБ, возложенных на персонал организации;
план по обеспечению непрерывности работы и восстановлению систем.
Эти документы, в совокупности с организационно-распорядительными документами (приказами и распоряжениями по организации), полностью описывают СУИБ и четко определяют разделение обязанностей и ответственности персонала за обеспечение ИБ.
План развития системы информационной безопасности
Данный документ представляет собой перечень основных текущих и перспективных мероприятий по совершенствованию (или созданию) системы защиты информации.
В его состав входят следующие разделы:
перечень основных задач и приоритетов;
порядок внедрения дополнительных подсистем информационной безопасности или модернизации существующих;
состав технических средств и порядок их внедрения;
состав организационных мероприятий по повышению уровня защищенности информационных ресурсов.
Преимущества:
четкое распределение ответственности за информационную безопасность; инструкции и рекомендации на случай возникновения инцидентов безопасности; осведомленность сотрудников о своих обязанностях по обеспечению ИБ; обеспечение непрерывности бизнес-процессов.
Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.
Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.
Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.
Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и так и смешанно-программно-аппаратными средствами.
В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу.
В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на следующей схеме (рис. 5.1).
Рис. 5.1. Угрозы конфиденциальной информации
Такими действиями являются:
ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности; модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений; разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.
В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что, в свою очередь, приводит к нарушению как режима, управления, так и его качества в условиях ложной или неполной информации.
Каждая угроза влечет за собой определенный ущерб – моральный или материальный, а защита и противодействие угрозе призваны снизить ее величину хотя бы частично.
С учетом сказанного угрозы могут быть классифицированы следующим образом:
По величине нанесенного ущерба:
предельный, после которого фирма может стать банкротом;
значительный, но не приводящий к банкротству;
незначительный, который фирма за какое-то время может компенсировать и др.
по вероятности возникновения:
весьма вероятная угроза;
вероятная угроза;
маловероятная угроза;
по причинам появления:
стихийные бедствия;
преднамеренные действия;
по характеру нанесенного ущерба:
материальный;
моральный;
по характеру воздействия:
активные;
пассивные;
по отношению к объекту:
внутренние;
внешние.
Источниками внешних угроз являются:
недобросовестные конкуренты;преступные группировки и формирования;отдельные лица и организации административно-управленческого аппарата.
Источниками внутренних угроз могут быть:
администрация предприятия; персонал; технические средства обеспечения производственной и трудовой деятельности.
Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:
82 % угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;
17 % угроз совершается извне – внешние угрозы;
1 % угроз совершается случайными лицами.
- Введение
- 1. Организационное обеспечение информационной безопасности
- 1.1. Методы, обеспечивающие безопасность информации
- 1.2. Проблема информационной безопасности
- 1.3. Основные составляющие информационной безопасности
- 1.4. Информация конфиденциального характера
- 1.5. Стратегия информационной безопасности и её цели
- 1.6. Административный уровень информационной безопасности
- 2. Концептуальные положения организационного обеспечения информационной безопасности
- 2.1. Концепции национальной безопасности рф
- 3. Угрозы информационной безопасности на объекте
- 3.1. Виды угроз безопасности
- 3.2. Модель угроз безопасности Меры защиты
- 3.3. Принципы комплексной системы защиты информации
- 3.4. Система обеспечения информационной безопасности
- Литература
- 3.5. Предпосылки появления угроз
- 3.6. Угрозы безопасности информации и их классификация
- 4. Организация службы безопасности объекта
- 4.1. Концептуальная модель информационной безопасности
- 5. Концепция информационной безопасности
- 6. Овладение конфиденциальной информацией
- 6.1. Уязвимые места в информационной безопасности
- 6.2. Направления обеспечения информационной безопасности
- 6.3. Задачи службы безопасности предприятия
- 6.4. Концепция создания физической защиты важных объектов
- 7. Организационная структура системы обеспечения информационной безопасности
- 8. Основные мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- 9. Система организационно-распорядительных документов по организации комплексной системы защиты информации
- 10. Разработка технико-экономического обоснования создания сфз и комплекса итсо
- 10.1. Правовые основы создания службы безопасности
- 10.2. Структура службы экономической безопасности
- 11. Технология защиты от угроз экономической безопасности
- 11.1. Служба безопасности и проверка контрагентов
- 12 . Подбор сотрудников и работа с кадрами
- 12.1. Обеспечение безопасности коммерческих структур
- 12.2. Организация внутриобъектового режима
- 13. Требования и рекомендации по защите информации
- 13.1. Требования по технической защите информации
- 14. Организация охраны объектов
- 14.1. Контрольно-пропускной режим на предприятии
- 14.2. Подготовка исходных данных
- 14.3. Оборудование пропускных пунктов
- 14.4. Организация пропускного режима
- 15. Организационно-правовые способы нарушения безопасности информации
- 15.1. Цель и задачи защиты информации
- 15.2. Основные направления деятельности по защите информации
- 15.3. Основы организации защиты информации
- 16. Система защиты информации и ее задачи
- 16.1. Организационная система защиты информации
- 1) Координационный Совет по защите информации при полномочном представителе Президента Российской Федерации.
- 2) Управление Государственной технической комиссии при Президенте Российской Федерации.
- 17. Государственная политика и общее руководство деятельностью по защите информации
- 17.1. Направления формирования системы защиты информации
- 17.2. Этапы реализации концепции защиты информации
- 17.3. Финансирование мероприятий по защите информации
- 17.4. Результаты реализации концепции защиты информации
- Контрольные вопросы к экзамену
- Стандартизованные термины и их определения
- 1. Основные понятия
- 2. Организация защиты информации
- Информационное законодательство рф
- Библиографический список
- Организационное обеспечение информационной безопасности
- 6 80021, Г. Хабаровск, ул. Серышева, 47.
- Л.П. Березюк
- Учебное пособие Хабаровск