240 likes | 545 Views
Основные понятия и положения обеспечения информационной безопасности. Изучаемые вопросы Основные положения. Угрозы безопасности информации. Правовые и организационные основы создания системы информационной безопасности. Вопрос 1. Основные положения.
E N D
Основные понятия и положения обеспечения информационной безопасности Изучаемые вопросы • Основные положения. • Угрозы безопасности информации. • Правовые и организационные основы создания системы информационной безопасности.
Актуальность проблемы обеспечения информационной безопасности • 1. По данным специалистов США, снятие элементов защиты информации приведет к разорению 20% средних компаний в течении нескольких часов, 48% - потерпят крах через несколько дней, 33% банков “лопнет” через несколько часов, 50% - через несколько дней. • Министерство финансов США оценивает ущерб от регулярных махинаций компьютерных преступников с чужими счетами приблизительно в $100 млрд. ежегодно. • Ежегодные потери американской экономики из-за ошибок в компьютерных программах составляют около $60 млрд. Отказ компьютера, используемого в банке, наносит ущерб в среднем в размере $263 тыс.
Динамика процессаМировой ущерб только от неправомерных действий по использованию программ и спама с 1999 года по 2004 год увеличился в 25 раз и достиг 525 миллиардов долларов.
Определение информационной системы Информационная система (ИС) учреждения - комплекс взаимосвязанных компонент, предназначенных для сбора, хранения, преобразования, передачи и представления информации в целях эффективного функционирования учреждения.
Информационная система Информационные ресурсы Компьютерные системы Средства связи и оргтехника Специалисты Структура информационной системы
Вопрос 2. Угрозы безопасности информации
Определение угрозы • Под угрозами безопасности информациипонимаются потенциально возможные события, процессы или явления, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации. • В зависимости от положения источника угроз различают внутренние и внешние угрозы безопасности ИС.
Угрозы безопасности ИС Случайные угрозы Преднамеренные угрозы Стихийные бедствия и аварии Традиционный шпионаж и диверсии Несанкционированный доступ к информации Сбои и отказы технических средств Электромагнитные излучения и наводки Ошибки при разработке КС Несанкционированная модификация структур Алгоритмические и программные ошибки Вредительские программы Ошибки пользователей и обслуживающего персонала
Методы шпионажа и диверсий Подслушивание Визуальное наблюдение Хищение документов и носителей Хищение программ и атрибутов защиты Сбор и анализ отходов носителей информации Подкуп и шантаж сотрудников Взрывы, поджоги
Вопрос 3.Правовые и организационные основы создания системы информационной безопасности
Содержание программы информационной безопасности Цели и задачи политики Условия эксплуатации ИС Анализ угроз безопасности Основные функциональные требованияк СОИБ Организационная структура СОИБ
Принципы создания СОИБ СОИБ да ияда Параллельная разработка ИС и СОИБ Системный подход к созданию СОИБ Централизованное иерархическое управление Блочная архитектура защищенных КС Открытая архитектура информационных систем Дружественный интерфейс защищенных ИС
Нормативная правовая база обеспечения информационной безопасности РФ Международные договоры, конвенции, соглашения Конституция РФ Федеральные законы РФ Законы субъектов РФ Подзаконные нормативные акты
Базовое законодательство в сфере информационной безопасности • Конституция РФ. • Закон Российской Федерации “О безопасности” от 5.03.92. -№ 2446-1. • Федеральный Закон №149-ФЗ от 27 июля 2006 года ” “Об информации, информационных технологиях и защите информации”.
Федеральные законы • Закон Российской Федерации “О государственной тайне” от 21.07.93.-№ 5481-1 с изменениями и дополнениями, внесенными 6.10.97.-№ 131-ФЗ. • Федеральный Закон “О лицензировании отдельных видов деятельности” от 25.09.98.-№ 158-ФЗ. • Закон Российской Федерации “О сертификации продукции и услуг” ,-1993.-№ 5151-1. • Российская Федерация. Федеральный Закон “О связи” от 16.02.95.-№ 15-ФЗ. • Гражданский кодекс Российской Федерации. Часть 1. Принят Государственной Думой 21.10.94. • Уголовный кодекс Российской Федерации. Вступил в действие с 01.01.96. • 12. Налоговый кодекс Российской Федерации. Часть 1. Принят Государственной Думой 16.07.98.. • Федеральный Закон "О коммерческой тайне" от 29.07.2004 № 98-ФЗ. • Федеральный закон "Об электронной цифровой подписи" от 10.01.2002 г. № 1-ФЗ
Основные стандарты • Национальный стандарт ГОСТ Р ИСО/МЭК 15408-2002 «Критерии оценки безопасности информационных технологий» на основе прямого применения международного стандарта ISO 15408-99. • Международный стандарт ISO 17799: Code of Practice for Information Security Management (Практические правила управления информационной безопасностью), принят в 2000 году.
"Общие критерии" Разработка Каталог требований доверия Приобретение защищенных средств и технологий Профиль защиты Оценка характеристик безопасности
Профилем защиты называется независимая от реализации совокупность требований безопасности для некоторой категории объекта оценки, отвечающая специфическим запросам потребителя. Определение профиля защиты
Критерии оценки организационных механизмов безопасности информационных систем международного стандарта ISO 17799 • 1) политика безопасности; • 2) организация защиты; • 3) классификация ресурсов и их контроль; • 4) безопасность персонала; • 5) физическая безопасность; • 6) администрирование компьютерных систем и вычислительных сетей; • 7) управление доступом; • 8) разработка и сопровождение информационных систем; • 9) планирование бесперебойной работы организации; • 10) контроль выполнения требований политики безопасности.
Механизмы управления безопасностью • документ, в котором изложена политика безопасности; • распределение обязанностей по обеспечению информационной безопасности; • обучение и подготовка персонала к поддержанию режима информационной безопасности; • уведомление о случаях нарушения защиты; • средства защиты от вирусов; • планирование бесперебойной работы организации; • контроль над копированием программного обеспечения, защищенного законом об авторском праве; • защита документации организации; • защита данных; • контроль соответствия политике безопасности.
Президент РФ Совет безопасности РФ Правительство РФ Межведомственная комиссия по защите государственной тайны МО РФ Межведомственная комиссия по информационной безопасности Управление проблем информационной безопасности Федеральная служба безопасности РФ Федеральная служба охраны РФ Федеральная служба по техническому и экспортному контролю