Главная страница
Навигация по странице:

  • Замысел изучения дисциплины включает 3 основные части

  • Кодекс РФ об административных правонарушениях

  • Законы о гос. и коммерческой тайне

  • Стратегическая установка ИБ

  • Страницы 20-31 – обратить внимание! 31-53 стр. - общая характеристика режимов и направлений защиты информации.

  • Стр.70-85 методы добывания информации и типовые методы защиты информации.

  • 26.09.2022 Организационно-правовые основы построения системы информационной безопасности предприятия

  • Здесь важно определить степень реальной опасности!!! Политика безопасности

  • Это основной действующий элемент информационной безопасности, связанный с управлением, построением и мониторингом защиты.

  • Стратегия защиты информации

  • 03.10.2022 – Архитектура систем защиты информации и содержание направлений деятельности на примере объекта обработки информации.

  • Вариант функционального построения СЗИ предприятия включает 5 подсистем

  • Стр. 187-193 – весь материал, что находится выше. Под организационным построением

  • Структурное построения СЗИ

  • Выполнение в электронном виде, к экзамену распечатать Срок – до 18 ноября.

  • Организационное и правовое обеспечение информационной безопаснос. Кодекс рф об административных правонарушениях


    Скачать 23 Kb.
    НазваниеКодекс рф об административных правонарушениях
    Дата26.10.2022
    Размер23 Kb.
    Формат файлаdocx
    Имя файлаОрганизационное и правовое обеспечение информационной безопаснос.docx
    ТипКодекс
    #756220

    1) Общая характеристика дисциплины;

    2) Содержание проблемы информационной безопасности (7-19 стр., ист.1);

    3) Мировоззренческие основы защиты информации (ист.1, стр.19-53);

    4) Методологические основы защиты информации (стр.60 – 143, ист.1).

    1) Безопасность – невозможность нанесения вреда кому-либо или чему-либо (защищенность объектов от каких-либо угроз)

    ИБ – невозможность нанесения ущерба свойствам объекта безопасности, которые обусловлены информацией и информационной структурой.

    Концептуальная модель ИБ – объекты ИБ; угрозы объектам ИБ; политика обеспечения и стратегия реализации ИБ; система обеспечения ИБ. Данная модель применяется для различных организационных уровней: национальный, региональный и предприятия (предприятия, организации и учреждения региона) и технический (объединяет системы обработки, хранения и передачи информации). Данная концептуальная модель работает на всех уровнях, но подгоняется под каждый, основываясь на уровень важности (свои принципы).

    Замысел изучения дисциплины включает 3 основные части:

    1) Мировоззренческие (что это?) и методологические (что это?) основы ИБ и защиты информации, как составной части;

    2) Организационные и правовые меры построения системы защиты информации и ИБ в том числе;

    3) Основные положение по технико-экономическому анализу комплексной системы защиты информации предприятий и организации.

    В основу реализации данного замысла заложена законодательная и нормативно-правовая основа в составе – доктрина ИБ России, в которой представлен основной терминологический аппарат, объект и субъект защиты, категории защиты и носители информации; Конституция РФ в части тех статей, которые определяют права и обязанности по сокрытию информации; Кодекс РФ об административных правонарушениях; УК РФ, который определяет ответственность за различные информационные вызовы и угрозы; также есть «перечень сведений, подлежащих сокрытию», как «формальные» и «неформальные» средства; Законы о гос. и коммерческой тайне;

    2) Суть проблемы информационной безопасности носит практический характер и применительно к современному предприятию. Она сводится к созданию благоприятного климата для развития цивилизованного бизнеса, защищенности интеллектуальной собственности и прав и интересов предприятия.

    Это порождает ряд частных проблем теоретического и практического характера – 1) разработка принципиально новых подходов к защите информации в интересах её устойчивости и живучести. 2) Изыскание междисциплинарных подходов, методов, способов в интересах повышения качества и эффективности защиты информации. 3) Выбор в организационно-правовых и управленческих механизмов защиты, обеспечивающих высокую надежность информационной безопасности – выявления разно видовых условий, обеспечивающих результативность решения разнородных задач обеспечения ИБ. 4) Обоснование перспектив развития и выработка мер по совершенствованию технологии ИБ в динамике глобальной информатизации всех сфер современного общества.

    Разрешению данных проблем сопутствует овладение следующим механизмом, которые можно разбить на итерации:

    1) Выявление и анализ проблемных ситуаций ИБ предприятия;

    2) Формирование цели и определения результата её достижения;

    3) Определение релевантных (наиболее существенных) факторов достижения желаемого результата;

    4) Формирование множества альтернатив (гипотез) достижения желаемого эффекта защиты информации от затрат;

    5) Выбор критерия оценивания (правила, по которым происходит оценка и пути достижения желаемого результата).

    Исходными данными для применения данного механизма являются принципы ИБ, разработанная стратегия и принятые подходы для её реализации, концепция защиты информации, обеспечивающая разрешение проблемных ситуаций в масштабе времени, близком к реальному; принятые к реализации приёмы, подходы, средства по совершенствованию стратегии и развитию концепции защиты.

    Стратегическая установка ИБ – это вся совокупность проводимых мероприятий в масштабе времени близком к реальному должна обеспечивать требуемый уровень защиты информации при рациональном расходе выделяемых ресурсов.

    3) Мировоззренческие основы отражают современные взгляды на основополагающие вопросы теории информационной безопасности. Защита информации – целенаправленный процесс. Корреляционная связь процесса защиты информации и защищаемой информации – прямая. Страницы 20-31 – обратить внимание! 31-53 стр. - общая характеристика режимов и направлений защиты информации.

    53-60 стр. - в рамках данных мер, рассмотрены принципы защиты информации, которые отражают правовые, организационные, технические средства разведок.

    4) Под методологией понимается совокупность способов достижения цели информационной безопасности, на основе принятой к реализации упорядоченной деятельности службы защиты информации. Основной целью является не допустить несанкционированного доступа к информации.

    В рамках достижения данной цели на практике применяются термины – утечка, каналы утечки информации и т.д. (60-70 стр. – раскрываются данные термины).

    Стр.70-85 методы добывания информации и типовые методы защиты информации.

    Стр. 85-141 – подходы к построению защиты информации; также вводятся определённые понятия, которые носят спорный характер.

    Политика защиты информации – это документ, в котором на основе описания базовой архитектуры среды защиты предприятия, определяются правила доступа пользователя к информационным данным. Базовая архитектура охватывает её корпоративные и локальные информационные сети, её элементарную физ.среду.

    В политике отражается – контроль доступа пользователя к материалам, которые он может использовать в своей практической деятельности; идентификация и аутентификация статуса пользователя, контроль и учёт всех действий пользователя в сети, надежность и аккуратность с точки зрения защиты от случайных нарушений; защита всех коммуникаций обмена информации (стр.147-150 – основные меры).

    Знание методологии позволяет определять то, что можно и нельзя делать пользователю в системе с объектами защиты.
    26.09.2022

    Организационно-правовые основы построения системы информационной безопасности предприятия

    1) Организационные меры построения СЗИ (144-158);

    2) Правовые меры построения СЗИ (158-162);

    3) Функциональные меры построения СЗИ (162-185).

    1) В основу содержания организационных мер построения системы защиты информации предприятия заложен иерархический подход к обеспечению безопасности информации, под которой понимается не только её полнота и надежность, но и защищенность установленного её статус КВО от внутренних и внешних угроз, от НСД, от случайных и непреднамеренных вызовов и угроз, которые обусловлены доступом лиц к информации. Данный подход охватывает все звенья информационной безопасности, которые отражают концепцию информационной безопасности, а также на основе которой разрабатываются концептуальные основы информационной безопасности предприятия.

    Этапы:

    1) Формирование информационных ресурсов предприятия;

    2) Определения ценностей защиты информации;

    3) Важна дифференциация по значимости защиты объектов, поиску рациональных способов защиты, на основе выявления вызовов и угроз внутреннего и внешнего характера, прогноз возможных действий злоумышленника).

    Здесь важно определить степень реальной опасности!!!

    Политика безопасности предприятия охватывает в комплексе вопросы управления информационной безопасности, которые связаны и с построением информационных систем (сетей), и анализом состояния сил и средств защиты, и с контролем действующих стандартов защиты информации, и с мониторингом событий безопасности в различных прогнозируемых внутренних и внешних угрозах. Это основной действующий элемент информационной безопасности, связанный с управлением, построением и мониторингом защиты.

    В данном документе отражаются следующие процессы:

    1) Комплексный анализ разнородных, разно видовых рисков – стремостной, информационный, правовой, технологический, технический, организационный;

    2) Оценка соответствия проводимых разнородных и разно видовых мер, действующим и принятым эталоном, задаваемым политикой безопасности;

    3) Статистический анализ событий безопасности в процессе сбора, хранения, обработки информационных ресурсов на предприятии и передаче информации в различные звенья.

    Основным звеном в политике безопасности является выбор способа доступа, который разрабатывается на основе математического моделирования (выбор критериев, показателей).

    Наиболее изученными способами доступа являются избирательный и полномочный.

    Стратегия защиты информации является основой реализации комплекса по реализации мероприятий в сфере защиты информации. Также необходимо обеспечить конкурентное преимущество в сфере ИБ. Мониторинг рынка и адаптация выпускаемой продукции с учетом потребностей. В стратегии должны учитываться междисциплинарные стратегии, в рамках мероприятий обеспечения защиты информации.

    2) Реализация правовых мер построения комплексной защиты информации предприятия направлена на обеспечение безопасности информации, которая представляет собой сведения государственной, коммерческой, служебной тайны, которые заложены на законодательном уровне. Здесь информация является объектом правовых отношений, в этой связи обладатель данной информации несет персональную ответственность за соблюдение правовых мер, в ходе использования информационных технологий.

    Правовые меры отражают как внешнюю законодательную среду, так и внутренние документы предприятия.

    3) Функциональные меры построения СЗИ.

    Они включают в себя организационные, правовые меры. Под комплексной системой защиты информации подразумеваются разно видовые способы защиты правового, организационного, технического и других, что говорит о междисциплинарном подходе к обеспечению защиты информации. Междисциплинарный отражает системно-концептуальный подход в рамках комплексной системной защиты информации. Под системностью понимается целевая направленность – все должны защищать информацию (единство целевой установки), пространственная увязка, временная увязка (привязка к реальному масштабу времени – непрерывность проводимых работ по защите информации), организационная увязка (единство всех организационных мероприятий по защите информации).
    03.10.2022 – Архитектура систем защиты информации и содержание направлений деятельности на примере объекта обработки информации.

    1) Содержание архитектурного построения системы защиты информации;

    2) Характеристика направлений деятельности по защите информации на примере объекта информатизации:

    2.1) Методика обоснования требований защиты информации на стадии жизненного цикла объекта обработки сведений конфиденциальной направленности;

    2.2) Нормативно-методическое обеспечение защиты информации на объектах информатизации.

    1) Под архитектурой понимается комплекс всех мер, которые применяются на предприятии. В соответствии с рассмотренными мерами организационного, правового и функционального характера, реализуемыми на предприятии, в архитектуру построения защиты информации закладывается междисциплинарный принцип с учетом функциональной, организационной и структурной частей её построения. Основу данного построения составляет обеспечение адаптируемости всех составных частей комплексной защиты информации в динамике изменения информационной обстановки, которая складывается в масштабе предприятия. При этом функциональная, структурная и организационная составные части архитектуры построения СЗИ должны соответствовать требованиям, которые отражают их целевое назначение (обеспечение целостности, доступности, защиты от НСд и т.д.).

    Вариант функционального построения СЗИ предприятия включает 5 подсистем:

    1) Подсистема ограничения доступа, которая выполняет функции идентификации, аутентификации и контроля учета пользовательской конфиденциальной информации;

    2) Подсистема криптографической защиты выполняет функции кодирования (шифрования) конфиденциальных сведений, фиксируемых на различных носителях и передаваемых по различным каналам связи;

    3) Подсистема обеспечения целостности информации, которая осуществляет контроль её нарушений при НСд, а также восстановление, резервирование, сертификацию средств и методов защиты;

    4) Подсистема регистрации и учета, которая выполняет функцию мониторинга событий и задействованных ресурсов, с указанием времени и инициатора;

    5) Подсистема управления (ядро системы защиты информации), которая призвана объединить в единое целое все подсистемы и обеспечивать в реальном масштабе времени управление всеми подсистемами, а также их функционирование:

    5.1) Организационная составная часть (весь персонал и нормативно-правовая база);

    5.2) Техническая часть (вся совокупность программно-технического обеспечения).

    Стр. 187-193 – весь материал, что находится выше.

    Под организационным построением подразумевается совокупность мер, направленных на обеспечение защиты информации, управление и организацию данной защиты. Здесь важно распределить располагаемый ресурс по элементам объектов обработки информации. Здесь с учетом масштабов предприятий реализуется самый рациональный способ защиты – семи рубежный вариант защиты (территория объекта информатизации, здания, расположенные на данной территории, помещения зданий, обрабатываемые и хранимые ресурсы, личный состав территории или здания, личный состав запредельных объектов).

    Структурное построения СЗИ, которое включает специальный орган, включающий в себя персонал: системные администраторы, обслуживающий персонал, операторы и диспетчеры, пользователи и абоненты и т.д. – это всё отражает содержание службы защиты информации; также в него входит организационно-правовое обеспечение (отражает права, обязанности, ответственность и функционал); все виды ресурсов информационно-вычислительных сетей.

    2) С учётом специфических особенностей объектов информатизации предприятий, считается целесообразным разработка замысла их защиты, которая реализуется в рамках целевой комплексной программы обеспечения ИБ. Данная программа определяет следующие главные направления защиты информации – 1) обоснование (и определение) требований защиты к системе защиты информации, с учетом специфических особенностей каждого объекта обработки информации; 2) заблаговременная подготовка персонала, обеспечивающего безопасность объекта информатизации с определением прав и обязанностей каждого сотрудника; 3) разработка индивидуального проекта СЗИ; 4) научно-методическое и документальное обеспечение всех видов работ по защите информации (стр. 198-199 раскрытие определение методики и требований, стр. 199-200 – пример процесса подготовки персонала, стр. 201-202 – структура и содержание цикла работы, стр. 203-222 – раскрытие научно-методического обеспечения ЗИ, стр. 222-224 – рассмотрены методы контролинга).

    Обеспечение безопасности бизнеса промышленных предприятий – 2014 год

    Выполнение в электронном виде, к экзамену распечатать

    Срок – до 18 ноября.


    написать администратору сайта