Общие положения политики безопасности ИКСС Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только системный, комплексный подход. Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры. Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять. Поясним понятия доступности, целостности и конфиденциальности. Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.
Перечень угроз. • Противоправный сбор и использование информации; • Нарушения технологии обработки информации; • Внедрение аппаратных и программных закладок, нарушающих нормальное функционирование ИС; • Создание и распространение вредоносных программ • Уничтожение и повреждение ИС и каналов связи • Компрометация ключей и средств криптографической защиты; • Утечка информации по техническим каналам; • Внедрение устройств для перехвата информации; • Хищение, повреждение, уничтожение носителей информации; • Несанкционированный доступ в ИС, базы и банки данных.
Мероприятия по защите информации • Первый этап (анализ объекта защиты) состоит в определении, что нужно защищать. • Анализ проводится по следующим направлениям: • > • какая информация в первую очередь нуждается в защите; • > • наиболее важные элементы (критические) защищаемой информации; • > • определяется срок жизни критической информации (время, необходимое конкуренту для реализации добытой информации); • > • определяются ключевые элементы информации (индикаторы), отражающие характер охраняемых сведений; • > • классифицируются индикаторы по функциональным зонам предприятия (производственно-технологические процессы, система материально-технического обеспечения производства, подразделения, управления и т. д. ).
Этап 2 сводится к выявлению угроз: > • определяется — кого может заинтересовать защищаемая информация; > • оцениваются методы, используемые конкурентами для получения этой информации; > • оцениваются вероятные каналы утечки информации; > • разрабатывается система мероприятий по пресечению действий конкурента. Этап 3 • Третий — анализируется эффективность принятых и постоянно действующих подсистем обеспечения безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т. д. )
Этап 4 • определение необходимых мер защиты. На основании проведенных на первых трех этапах аналитических исследований определяются необходимые дополнительные меры и средства по обеспечению безопасности предприятия. Этап 5 рассматриваются руководителями фирмы (организации) представленные предложения по всем необходимым мерам безопасности и расчет их стоимости и эффективности. Этап 6 реализация дополнительных мер безопасности с учетом установленных приоритетов. Этап 7 осуществление контроля и доведение до персонала фирмы реализуемых мер безопасности.
Скачать презентацию Общие положения политики безопасности ИКСС Информационная безопасность
ИБ.pptx