ИБ.ppt

защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий

естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной

Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение

доступности

- целостности

конфиденциальности

информационных ресурсов и поддерживающей инфраструктуры.

определенным образом нарушить информационную безопасность.
Попытка реализации угрозы называется атакой,

а тот, кто предпринимает такую попытку, - злоумышленником. Потенциальные злоумышленники называются источниками угрозы.
Промежуток времени от момента, когда появляется возможность использовать слабое место, и до момента, когда пробел ликвидируется, называется окном опасности.

Угрозы можно классифицировать по нескольким критериям:

- по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;

- по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);

- по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);

- по расположению источника угроз (внутри/вне рассматриваемой ИС).

уровни и соответствующие им мероприятия:

законодательный;

административный (приказы и другие действия руководства

организаций, связанных с защищаемыми информационными системами);

- процедурный (меры безопасности, ориентированные на людей);

- программно-технического.

Уровни обеспечения информационной безопасности

мер:

- меры, направленные на создание и поддержание в обществе негативного

(в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (меры ограничительной направленности);

- направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).

ЗАКОНЫ РФ
Закон «Об электронной цифровой подписи»
ФЕДЕРАЛЬНЫЙ ЗАКОН «ОБ ЭЛЕКТРОННОЙ

ЦИФРОВОЙ ПОДПИСИ» (от 10 января 2002 года №1–ФЗ)

Закон "О техническом регулировании"
Федеральный закон от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании«

Закон "О коммерческой тайне"
Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне"

Закон "О персональных данных"
Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ "О персональных данных«

Закон "О безопасности"
Закон Российской Федерации "О безопасности" от 5 марта 1992 г. № 2446-I (с изменениями и дополнениями от 25 декабря 1992 г. №4235-I; от 24 декабря 1993 г. №2288; от 25 июля 2002 г. №116-ФЗ; от 7 марта 2005 г. №15-ФЗ)

ЗАКОНЫ РФ
Закон "О государственной тайне"
Закон Российской Федерации "О государственной

тайне" от 21 июня 1993 г. № 5485-I (с изменениями и дополнениями от 6 октября 1997 г. № 131-ФЗ; от 30 июня 2003 г. № 86-ФЗ; от 11 ноября 2003 г. № 153-ФЗ; от 29 июня 2004 г. № 58-ФЗ; от 22 августа 2004 г. № 122-ФЗ)

Кодекс Российской Федерации об административных правонарушениях
От 30 декабря 2001 года № 195-ФЗ (выписка в части вопросов защиты информации) (с изменениями и дополнениями от 30 июня 2003 г. №86-ФЗ)

Уголовный кодекс Российской Федерации
От 13 июня 1996 года № 63-ФЗ (выписка в части вопросов защиты информации) (с изменениями и дополнениями от 8 декабря 2003 г. №162-ФЗ)

Закон «О лицензировании отдельных видов деятельности»
Федеральный закон от 8 августа 2001 года № 128-ФЗ (с изменениями и дополнениями от 13 марта 2002 г. №28-ФЗ, от 21 марта 2002 №31-ФЗ; от 9 декабря 2002 г. №164-ФЗ; от 10 января 2003 г. №17-ФЗ; от 27 февраля 2003 г. №29-ФЗ; от 11 марта 2003 г. №32-ФЗ; от 26 марта 2003 г. №36-ФЗ; от 23 декабря 2003 г. №185-ФЗ; от 2 ноября 2004 г. № 127-ФЗ; от 21 марта 2005 г. № 20-ФЗ)

ЗАКОНЫ РФ
Закон "Об информации, информационных технологиях и о защите информации"

ФЕДЕРАЛЬНЫЙ ЗАКОН от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"

Закон "О ратификации Соглашения о сотрудничестве государств - участников Содружества Независимых Государств в борьбе с преступлениями в сфере компьютерной информации"
Федеральный закон N 164-ФЗ от 1 октября 2008 Принят Государственной Думой 12 сентября 2008 года. Одобрен Советом Федерации 19 сентября 2008 года.

Конвенция о защите физических лиц при автоматизированной обработке персональных данных
(Страсбург, 28 января 1981 г. с изменениями от 15 июня 1999 г.)

Трудовой кодекс РФ - Глава 14. Защита персональных данных работника
Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (ТК РФ) (с изменениями от 24, 25 июля 2002 г., 30 июня 2003 г., 27 апреля, 22 августа, 29 декабря 2004 г., 9 мая 2005 г., 30 июня, 18, 30 декабря 2006 г., 20 апреля, 21 июля, 1, 18 октября, 1 декабря 2007 г.)

безопасности Российской Федерации
Утверждена Указом Президента Российской Федерации от 17

декабря 1997 г. № 1300 (с изменениями и дополнениями от 10 января 2000 г. № 24)

О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации
УКАЗ от 3 апреля 1995 г. N 334

Об утверждении Концепции национальной безопасности Российской Федерации
Указ Президента Российской Федерации от 17 декабря 1997 года № 1300 (с изменениями и дополнениями от 10 января 2000 года № 24)

Законодательство РФ в области информационной безопасности, основные законодательные акты.
УКАЗЫ ПРЕЗИДЕНТА РФ

от 6 марта 1997 г. № 188

Об утверждении перечня

сведений, отнесенных к государственной тайне
Указ Президента Российской Федерации от 30 ноября 1995 г. № 1203 (с изменениями и дополнениями от 24 января 1998 г. № 61; от 6 июня 2001 г. № 659; от 10 сентября 2001 г. № 1114; от 29 мая 2002 г. №518; от 3 марта 2005 г. № 243; от 11 февраля 2006 г. № 90)

О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена
Указ Президента РФ № 351 от 17 марта 2008 года

О внесении изменений в некоторые акты Президента Российской Федерации
Указ № 1625 от 17 ноября 2008 года

Об утверждении Положения о персональных данных государственного гражданского служащего Российской Федерации и ведении его личного дела
Указ Президента РФ от 30 мая 2005 г. N 609

Законодательство РФ в области информационной безопасности, основные законодательные акты.
УКАЗЫ ПРЕЗИДЕНТА РФ

июня 1995 г. N 608 "О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ"

(в ред. Постановлений Правительства РФ от 23.04.1996 N 509, от 29.03.1999 N 342, от 17.12.2004 N 808)

О лицензировании деятельности по технической защите конфиденциальной информации
Постановление Правительство Российской Федерации от 15 августа 2006 г. № 504

О лицензировании деятельности по разработке и (или) производству средств защиты конфиденциальной информации
Постановление Правительства Российской Федерации от 31 августа 2006 г. № 532

Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами
Постановление Правительства Российской Федерации от 23 сентября 2002 г. № 691

Законодательство РФ в области информационной безопасности, основные законодательные акты
ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ.

их обработке в информационных системах персональных данных
Постановление Правительства РФ

№ 781 от 17 ноября 2007

Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 г. Москва "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации"

Законодательство РФ в области информационной безопасности, основные законодательные акты
ПОСТАНОВЛЕНИЯ ПРАВИТЕЛЬСТВА РФ.

Международных Стандартов на Системы Управления Информационной Безопасностью 27000 разрабатывается ISO/IEC

JTC 1/SC 27. Это семейство включает в себя Международные стандарты, определяющие требования к системам управления информационной безопасностью, управление рисками, метрики и измерения, а также руководство по внедрению.

ISO 15408 - Общие критерии оценки безопасности информационных технологий
В 1999 г. Международная Организация по Стандартизации (ISO) приняла международный стандарт ISO 15408 под названием Общие критерии оценки безопасности ИТ (Common Criteria for Information Technology Security Evaluation или сокращенно - Common Criteria). Внушительных размеров тома Common Criteria содержат обобщенное формализованное представление знаний и опыта, накопленного в области обеспечения информационной безопасности на протяжении десятилетий.

ISO 18028 - Международные стандарты сетевой безопасности серии
 
ISO 13335 - Международные стандарты безопасности информационных технологий
 

Международные и национальные стандарты в области
информационной безопасности.

ИТ" (IT Baseline Protection Manual) разрабатывается в BSI (Bundesamt für

Sicherheit in der Informationstechnik (German Information Security Agency), www.bsi.bund.de).

SysTrust
Данный стандарт (Канада, США) видимо отражает бухгалтерское видение проблемы информационной безопасности.
 
PCI DSS - стандарт защиты информации в индустрии платежных карт
Payment Card Industry Data Security Standard (PCI DSS) - стандарт защиты информации в индустрии платежных карт, разработанный международными платежными системами Visa и MasterCard, объединяет в себе требования ряда программ по защите информации

BS 25999 - Британские стандарты по управлению непрерывностью бизнеса
 
ISO 20000 и ITIL - библиотека лучших практик в области управления ИТ
Целью ITIL является предоставление руководства по передовому опыту в области управления ИТ сервисами. Он включает в себя опции, которые могут быть позаимствованы и адаптированы под потребности конкретного бизнеса, местные условия и уровень зрелости сервис провайдера. ISO 20000 устанавливает стандарты, к которым должны быть устремлены процессы управления сервисами.

Международные и национальные стандарты в области
информационной безопасности.

капитала: новые подходы
Документ отражает наиболее продвинутые подходы как в

сфере финансовых операций, так и в области банковского регулирования. В связи с этим в нем широко используются специальные термины, относящиеся к операциям на финансовых рынках и не имеющие в настоящее время аналогов на русском языке.

СТО БР ИББС - Стандарты Банка России в области информационной безопасности
 

Международные и национальные стандарты в области
информационной безопасности.

безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель

мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации.

Политика безопасности - совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.

рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

I. Вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

II. Организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

III. Классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

IV. Штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

V.

Раздел, освещающий вопросы физической защиты;

VI. Управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

VII. Раздел, описывающий правила разграничения доступа к производственной информации;

VIII. Раздел, характеризующий порядок разработки и сопровождения систем;

IX. Раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

X. Юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

классы мер:

Управление персоналом;

Физическая защита;

Поддержание работоспособности;

Реагирование на

нарушения режима безопасности;

Планирование восстановительных работ.