Главная страница
Навигация по странице:

  • Привести определения и примеры

  • Работа с источниками открытой статистики

  • Перечень нормативных правовых актов, по информационной безопасности РК

  • Привести определения и примеры по теме «События и инциденты информационной безопасности и соответствующая реакция на них»: Признаки события информационной безопасности

  • Признаки инцидента информационной безопасности

  • Работа с источниками открытой статистики по инцидентам информационной безопасности

    		•

    Задание 5. События и инциденты информационной безопасности и соответствующая реакция на них


    Скачать 25.72 Kb.
    НазваниеСобытия и инциденты информационной безопасности и соответствующая реакция на них
    Дата26.05.2022
    Размер25.72 Kb.
    Формат файлаdocx
    Имя файлаЗадание 5.docx
    ТипДокументы
    #551719

    CASE 1 «Нормативно-правовые акты и стандарты в информационной безопасности»

    1. Разработать реестр международных и казахстанских нормативно-правовые актов и стандартов в информационной безопасности:

    2. Привести определения и примеры по теме «События и инциденты информационной безопасности и соответствующая реакция на них»:

      • описать признаки события ИБ (от 3 до 5 событий)

      • описать признаки инцидента ИБ (от 3 до 5 событий)

    3. Работа с источниками открытой статистики по инцидентам информационной безопасности:

      • составить список открытых ресурсов по инцидентам ИБ в РК

      • составить список открытых ресурсов по инцидентам ИБ за рубежом

     

    1) администратор безопасности информационных систем (далее – администратор) – работник организации, обеспечивающий функционирование системы электронного получения и (или) передачи данных, реализацию мер по их защите, осуществляющий генерацию поступающей и (или) передаваемой информации, с учетом его функций и полномочий;

          2) комплекс мер по защите информационной системы – организационно-технические мероприятия, направленные на обеспечение безопасного функционирования информационной системы формирования и использования кредитных историй, в том числе программно-аппаратная защита электронных средств и компьютеров от несанкционированного доступа, обеспечивающая контроль доступа к установленному программному обеспечению и информации, предоставляющая средства разграничения полномочий зарегистрированных пользователей;

          3) политика информационной безопасности – внутренний документ, регламентирующий порядок управления, защиты и распределения информации ограниченного распространения;

          4) информационная среда – среда взаимодействия информационной системы участников системы формирования и использования кредитных историй с ее компонентами и информационными ресурсами;

          5) аутентификация – подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа, имеющимся в системе;

          6) ответственное лицо – оператор, администратор, ответственное лицо по кредитным историям и иные работники организации, ответственные за реализацию процесса приема, передачи и формирования кредитных историй;

          7) ответственное лицо по кредитным историям – работник организации, непосредственно осуществляющий подготовку, обработку, редактирование, прием и передачу кредитных историй с использованием подсистемы защиты;

          8) информационная система участников системы формирования и использования кредитных историй (далее – информационная система) – совокупность информационных технологий, информационных сетей и средств их программно-технического обеспечения, предназначенных для реализации информационных процессов поставщиками информации, кредитными бюро, получателями кредитных отчетов и субъектами кредитных историй;

          9) помещение ограниченного доступа – помещение, в котором разрешается пребывание ограниченного круга лиц и доступ других лиц осуществляется только в сопровождении специально допущенных работников;

          10) ключевая информация – криптографические ключи и ключи электронной цифровой подписи;

          11) оператор – работник организации, непосредственно осуществляющий подготовку, обработку, прием и передачу сообщений с использованием подсистемы защиты;

          12) ввод в промышленную эксплуатацию – процесс выполнения организационно-технических мероприятий по подготовке информационной системы и начало функционирования данной системы в промышленных условиях;

          13) пользователь – кредитное бюро и иные участники системы формирования кредитных историй и их использования (далее – участники системы кредитных историй), участвующие в обмене электронными документами и являющиеся сторонами договора о предоставлении информации и (или) получении кредитных отчетов;

          14) политика формирования и использования паролей – внутренний документ, регламентирующий порядок формирования и использования паролей;

          15) политика резервного копирования (архивирования) – внутренний документ, регламентирующий порядок резервного копирования (архивирования);

          16) идентификация – присвоение или определение соответствия предъявленного для получения доступа в систему и (или) к ресурсу системы идентификатора перечню идентификаторов, имеющихся в системе;

          17) идентификатор – уникальный персональный код и (или) имя, присвоенные субъекту и (или) объекту системы и предназначенные для регламентированного доступа в систему и (или) к ресурсам системы;

          18) уполномоченный орган – уполномоченный орган, осуществляющий регулирование, контроль и надзор финансового рынка и финансовых организаций;

          19) организация – участник системы формирования кредитных историй и их использования (за исключением субъектов кредитных историй), принимающий участие в информационной системе в соответствии с Требованиями.
    Перечень нормативных правовых актов, по информационной безопасности РК


    1. Уголовный кодекс Республики Казахстан от 3 июля 2014 года.

    2. Кодекс Республики Казахстан «Об административных правонарушениях» от 5 июля 2014 года.

    3. Предпринимательский кодекс Республики Казахстан от 29 октября 2015 года.

    4. Закон Республики Казахстан от 15 сентября 1994 года «Об оперативно-розыскной деятельности».

    5. Закон Республики Казахстан от 31 августа 1995 года «О банках и банковской деятельности в Республике Казахстан».

    6. Закон Республики Казахстан от 7 января 2003 года «Об электронном документе и электронной цифровой подписи».

    7. Закон Республики Казахстан от 5 июля 2004 года «О связи».

    8. Закон Республики Казахстан от 27 июля 2007 года «Об образовании».

    9. Закон Республики Казахстан от 18 февраля 2011 года «О науке».

    10. Закон Республики Казахстан от 6 января 2012 года «О национальной безопасности Республики Казахстан».

    11. Закон Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите».

    12. Закон Республики Казахстан от 11 апреля 2014 года «О гражданской защите».

    13. Закон Республики Казахстан от 16 мая 2014 года «О разрешениях и уведомлениях».

    14. Закон Республики Казахстан от 24 ноября 2015 года «Об информатизации».

    15. Закон Республики Казахстан от 4 декабря 2015 года «О государственных закупках».

    16. Указ Президента Республики Казахстан от 8 января 2013 года № 464 «О Государственной программе «Информационный Казахстан – 2020» и внесении дополнения в Указ Президента Республики Казахстан от 19 марта 2010 года № 957 «Об утверждении Перечня государственных программ».

    17. Постановление Правительства Республики Казахстан от 23 августа 2012 года № 1080 «Об утверждении государственных общеобязательных стандартов образования соответствующих уровней образования».

    18. Постановление Правительства Республики Казахстан от 23 мая 2016 года № 298 «Об утверждении Правил проведения аттестации информационной системы, информационно-коммуникационной платформы «электронного правительства», Интернет-ресурса государственного органа на соответствие требованиям информационной безопасности».

    19. Постановление Правительства Республики Казахстан от 8 сентября 2016 года № 529 «Об утверждении Правил и критериев отнесения объектов информационно-коммуникационной инфраструктуры к критически важным объектам информационно-коммуникационной инфраструктуры».

    20. Постановление Правительства Республики Казахстан от 20 декабря 2016 года № 832 «Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности».

    21. Приказ Министра по инвестициям и развитию Республики Казахстан от 29 января 2015 года № 66 «Об утверждении Единых правил взаимодействия и централизованного управления сетями телекоммуникаций.

    22. Приказ Министра по инвестициям и развитию Республики Казахстан от 25 декабря 2015 года № 1240 «Об утверждении Правил выдачи сертификата безопасности».

    23. Приказ Министра по инвестициям и развитию Республики Казахстан от 25 декабря 2015 года № 1241 «Об утверждении Правил применения сертификата безопасности».

    24. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 25 января 2016 года № 60 «Об утверждении Правил взаимодействия государственных органов по вопросам соблюдения требований законодательства Республики Казахстан в сетях телекоммуникаций».

    25. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 66 «Об утверждении Правил проведения мониторинга обеспечения информационной безопасности, защиты и безопасного функционирования объектов информатизации «электронного правительства».

    26. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 63 «Об утверждении методики и правил проведения испытаний сервисного программного продукта, информационно-коммуникационной платформы «электронного правительства», Интернет-ресурса государственного органа и информационной системы на соответствие требованиям информационной безопасности».

    27. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 67 «Об утверждении Правил оказания услуг доступа к Интернету в пунктах общественного доступа к Интернету».

    28. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 26 января 2016 года № 65 «Об утверждении Правил присоединения сетей операторов междугородной и международной связи к точке обмена Интернет-трафиком».

    29. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 108 «Об утверждении Методики проведения аттестационного обследования информационной системы, информационно-коммуникационной платформы «электронного правительства», Интернет-ресурса государственного органа на соответствие требованиям информационной безопасности».

    30. Приказ и.о. Министра по инвестициям и развитию Республики Казахстан от 28 января 2016 года № 118 «Об утверждении Правил регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента Интернета».

     

    Стандарты IS0/IЕС 17799:2002 (BS 7799:2000). Международный стандарт ISO/IEC 17799:2000 (BS 7799-1:2000) «Управление информационной безопасностью - Информационные технологии» («Information technology -Information security management») является одним из наиболее известных стандартов в области защиты информации.

    Текущая версия стандарта ISO/IEC 17799:2000 (BS 7799-1:2000) рассматривает следующие актуальные вопросы обеспечения информационной безопасности организаций и предприятий:

    - необходимость обеспечения информационной безопасности;

    - основные понятия и определения информационной безопасности;

    - политика информационной безопасности компании;

    - организация информационной безопасности на предприятии;

    - классификация и управление корпоративными информационными ресурсами;

    - кадровый менеджмент и информационная безопасность;

    - физическая безопасность;

    - администрирование безопасности информационных систем (ИС);

    - управление доступом;

    - требования по безопасности к ИС в ходе их разработки, эксплуатации и сопровождения;

    - управление бизнес-процессами компании с точки зрения информационной безопасности;

    - внутренний аудит информационной безопасности компании.

    В 2002 г. международный стандарт ISO 17799 (BS 7799) был пересмотрен и существенно дополнен. В новом варианте этого стандарта кроме всего прочего большое внимание уделено вопросам повышения культуры защиты информации в различных международных компаниях. По мнению специалистов, обновление международного стандарта ISO 17799 (BS 7799) позволит не только повысить культуру защиты информационных активов компании, но и скоординировать действия различных ведущих государственных и коммерческих структур в области защиты информации.

    Германский стандарт BSI. В отличие от ISO 17799 германское руководство по защите информационных технологий для базового уровня защищенности» посвящено детальному рассмотрению частных вопросов управления информационной безопасностью компании.

    В германском стандарте BSI представлены:

    - общая методика управления информационной безопасностью;

    - описания компонентов современных информационных технологий; - описания основных компонентов организации режима формационной

    безопасности (организационный и технический уровни защиты данных, планирование действий в чрезвычайных ситуациях);

    - характеристики объектов информатизации;

    - характеристики основных информационных активов компании, в том числе аппаратное и программное обеспечение;

    - характеристики компьютерных сетей на основе различных сетевых технологий, например сети Novell NetWare, сети UNIX и Windows;

    - характеристика активного и пассивного телекоммуникационного оборудования ведущих поставщиков, например Cisco Systems;

    - подробные каталоги угроз безопасности и мер контроля.

    Вопросы защиты приведенных информационных активов компании рассматриваются по определенному сценарию: общее описание формационного актива компании - возможные угрозы и уязвимости безопасности - возможные меры и средства контроля и защиты.

    Международный стандарт ISO 15408 «Общие критерии безопасности информационных технологий». Одним из главных результатов стандартизации в сфере систематизации требований и характеристик защищенных информационных комплексов стала система международных и национальных стандартов безопасности информации, которая насчитывает более сотни различных документов. Важное место в этой системе стандартов занимает стандарт ISO 15408, известный как «Common Criteria».

    В 1990 г. Международная организация по стандартизации (ISO) приступила к разработке международного стандарта по критериям оценки IT безопасности для общего использования. В разработке участвовали лучшие специалисты из США, Канады, Германии, Голландии, Англии, Франции.

    Первые две версии документа были опубликованы соответственно в январе и мае 1998 г. Версия 2.1 этого стандарта утверждена 8 июня 1999 г. международной организацией по стандартизации (ISO) в качестве международного стандарта информационной безопасности ISO/IEC 15408 под названием «Общие критерии оценки безопасности информационных технологий», или «Common Criteria».

    «Общие критерии» (ОК) обобщили содержание и опыт использования Оранжевой книги, развили европейские и канадские критерии и воплотили в реальные структуры концепцию типовых профилей защиты федеральных критериев США.

    В ОК проведена классификация широкого набора требований IT безопасности, определены структуры их группирования и принципы использования. Главные достоинства ОК - полнота требований безопасности и их систематизация, гибкость в применении и открытость для последующего развития.

    Ведущие мировые производители IT оборудования сразу стали поставлять заказчикам средства, полностью отвечающие требованиям ОК.

    ОК разрабатывались для удовлетворения запросов трех групп специалистов, в равной степени являющихся пользователями этого документа: производителей и потребителей IT продуктов, а также экспертов по оценке уровня их безопасности. ОК обеспечивают нормативную поддержку процесса выбора IT продукта, к которому предъявляются требования функционирования в условиях действия определенных угроз, служат руководящим материалом для разработчиков таких систем, а также регламентируют технологию их создания и процедуру оценки обеспечиваемого уровня безопасности.

    Требования ОК являются практически всеобъемлющей энциклопедией информационной безопасности, поэтому их можно использовать в качестве справочника по IT безопасности.

    Стандарт ISO 15408 поднял IT стандартизацию на межгосударственный уровень. Возникла реальная перспектива создания единого безопасного информационного пространства, в котором сертификация безопасности систем обработки информации будет осуществляться на глобальном уровне, что предоставит возможности для интеграции национальных ИС, что в свою очередь откроет новые сферы применения информационных технологий.

    Стандарты в структуре информационной безопасности выступают как связующее звено между технической и концептуальной стороной вопроса.

    Введение в 1999 г. Международного стандарта ISO 15408 в области обеспечения информационной безопасности имело большое значение как для разработчиков компьютерных систем, так и для их пользователей. Стандарт ISO 15408-2002 стал своего рода гарантией качества и надежности сертифицированных по нему программных продуктов. Этот стандарт позволил потребителям лучше ориентироваться при выборе ПО и приобретать продукты, соответствующие их требованиям безопасности, и, как следствие этого, повысил конкурентоспособность IT компаний, сертифицирующих свою продукцию в соответствии с ISO 15408.
    Привести определения и примеры по теме «События и инциденты информационной безопасности и соответствующая реакция на них»:
    Признаки события информационной безопасности (information security event): Выявленное состояние системы, услуги или состояние сети, указывающее на возможное нарушение политики, обеспечения информационной безопасности, нарушение или отказ мер и средств контроля и управления, или прежде неизвестная ситуация, которая может иметь значение для безопасности.

    Признаки инцидента информационной безопасности (information security incident): Одно или несколько нежелательных или неожиданных событий информационной безопасности, которые со значительной степенью вероятности приводят к компрометации операций бизнеса и создают угрозы для информационной безопасности, процессы обнаружения, информирования, оценки, реагирования, рассмотрения и изучения инцидентов информационной безопасности.


    1. Работа с источниками открытой статистики по инцидентам информационной безопасности:

    • анализ публикаций в СМИ, рекламных материалов, методов ведения открытых маркетинговых компаний;

    • изучение опубликованных или ставших доступными иными способами финансовых отчетов;

    • анализ сведений, присутствующих в открытых базах данных;

    • получение открытой информации об объектах недвижимости из кадастровых баз;

    • приобретение ранее выполненных в интересах компании маркетинговых отчетов;

    • анализ аффилированных структур, участников групп лиц, иностранных учредителей и других хозяйственных связей;

    • изучение данных об арбитражных делах компаний, доступных в базах арбитражных судов.

    написать администратору сайта