Тема 1. Основы обеспечения информационной безопасности хозяйствующего субъекта

Основы и система обеспечения информационной безопасности хозяйствующего субъекта
УЧЕБНЫЕ ВОПРОСЫ:
1. Основы

обеспечения информационной безопасности хозяйствующего субъекта
2. Система обеспечения информационной безопасности хозяйствующего субъекта

безопасности хозяйствующего субъекта : учебное пособие.
2. Ю.А. Родчев. Нормативная база

и стандарты в области информационной безопасности. Учебное пособие.
3. Бирюков А.А. Информационная безопасность: защита и наподение.
4. ГОСТ Р 50922-2006. Защита информации. Основные термины и определения.
5. ГОСТ Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения.
6. ГОСТ Р ИСО/МЭК 27002-2012 Информационная технология (ИТ). Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности

информации коммерческий сектор;
- наблюдается рост масштабов инцидентов в области ИБ;
-

наибольшую опасность для организаций представляют собственные сотрудники компаний.

информационной безопасности – это непрерывный процесс, взаимоувязывающий правовые, организационные и

программно-аппаратные и прочие меры защиты;
Во-вторых, в основе этого процесса лежит периодический анализ защищенности информационной системы в соответствии с анализом угроз и динамикой их развития;
В-третьих, информационная система хозяйствующего субъекта, в своем развитии, должна подвергаться периодическим реорганизациям, отправной точкой каждой из которых служит анализ выявленных уязвимостей при проведении аудита информационной безопасности.

защищенность его информационных ресурсов и поддерживающей их инфраструктуры от случайных

или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб владельцам или пользователям информации

направленных на создание и поддержание таких условий, которые обеспечивают деятельность

всего комплекса мер безопасности, направленных на достижение целей его функционирования.
Система комплексной безопасности включает в себя следующие составляющие подсистемы:
- правовую безопасность;
- кадровую безопасность;
- финансовую безопасность;
- инженерно-техническую безопасность;
- экономическую безопасность;
- информационную безопасность;
- и другие.

системы комплексной безопасности хозяйствующего субъекта, объединяющую силы, средства и объекты

защиты информации, организованные и функционирующие по правилам, установленным правовыми, организационно-распорядительными и нормативными документами по защите информации

с защитой информации в интересах данного хозяйствующего субъекта (структурное подразделение,

выполняющее задачи управления функционированием данной системы.
Средства защиты информации – это совокупность правовых, организационных, технических и других решений, предназначенных для защиты информационных ресурсов хозяйствующего субъекта от внутренних и внешних воздействий.
Объекты защиты информации - информационные ресурсы, т.е. любые виды активов информационной системы хозяйствующего субъекта: структурированная и неструктурированная информация, документы, вычислительная техника, коммуникационное и сетевое оборудование, оргтехника и др.

Security)
Первый этап - (анализ объекта защиты) состоит в определении того,

что нужно защищать;
Второй этап - выявление угроз;
Третий этап - анализ эффективности принятых и постоянно действующих подсистем безопасности (физическая безопасность документации, надежность персонала, безопасность используемых для передачи конфиденциальной информации линий связи и т.д.);
Четвертый этап - определение необходимых мер защиты;
Пятый этап - рассмотрение руководителями фирмы (организации) представленных предложений по всем необходимым мерам безопасности и расчет их стоимости и эффективности;
Шестой этап - реализация принятых дополнительных мер безопасности с учетом установленных приоритетов;
Седьмой этап - контроль и доведение до персонала фирмы (организации) реализуемых мер безопасности

на необходимость создания в информационной системе хозяйствующего субъекта условий, при

которых вводятся ограничения на доступ к этой информации.
Доступность информации – это свойство информационной системы хозяйствующего субъекта, характеризующееся способностью обеспечивать своевременный и беспрепятственный доступ к информации субъектов, имеющих на это полномочия.
Целостность информации – это свойство информации, заключающееся в возможности ее существования в информационной системе хозяйствующего субъекта в неискаженном виде.

информационной системы хозяйствующего субъекта (ХС), при которых обеспечивается выполнение требований

по конфиденциальности, доступности и целостности информации, принадлежащей ему
Задачи СОИБ:
Предупреждение появления угроз информационной безопасности
Обнаружение появившихся угроз и предупреждение их воздействия на информационную систему хозяйствующего субъекта
Обнаружение воздействия угроз на информационную систему хозяйствующего субъекта и локализация этого воздействия
Ликвидация последствий воздействия угроз на информационную систему хозяйствующего субъекта

информационной системе ХС:
- степени конфиденциальности информации;
- объемы информации, циркулирующей в

информационной системе;
- интенсивность обработки информации.
2. Группа обусловлена архитектурой ИС ХС:
- пространственные размеры информационной системы;
- территориальная распределённость информационной системы;
- структурированность компонентов информационной системы.
3. Группа обусловлена условиями функционирования ИС ХС:
- расположение информационной инфраструктуры системы на территории объекта;
- степень обустроенности информационной инфраструктуры;
- развитость информационных коммуникаций.
4. Группа обусловлена технологией обработки информации в системе:
- масштабируемость системы;
- стабильность функционирования;
- доступность технологических решений;
- структурированность технологии обработки информации в системе.
5. Группа обусловлена организацией функционирования ИС ХС:
- общую организацию функционирования системы;
- степень и качество укомплектованности кадрами;
- уровень подготовки и мотивации кадров;
- уровень производственной (технологической) дисциплины.

информации;
организация кадровой работы ХС;
введением в хозяйствующем субъекте комплекса ограничительных (режимных)

мероприятий;
применения комплекса инженерно-технических мер защиты.

документы самого различного характера и назначения;
- публикации: доклады, статьи, интервью,

проспекты, книги;
- технические средства носителей информации и их обработки;
- выпускаемая ХС продукция;
- производственные и промышленные отходы ХС и другие.

физическая защита сотрудников ХС, являющихся потенциальными носителями конфиденциальной информации;
- постоянный

контроль и проверка персонала с целью устранения возможностей для совершения мошенничества, предотвращения возможного сговора между сотрудниками и, например, клиентами ХС;
- ограничение прав доступа сотрудников к информации, которое должно регламентироваться только характером выполняемых ими должностных обязанностей;
- налаженная и постоянно действующая система внутреннего контроля ХС, включающая проведение плановых, внезапных и скрытых контрольных проверок;
- проведение предупредительной активной политики аудита информационной безопасности ХС

видами обеспечения;
- каждый вид обеспечения является сложной системой и рассматривается

в качестве подсистемы СОИБ;
- в каждой подсистеме СОИБ выделяются направления деятельности по обеспечению информационной безопасности в интересах хозяйствующего субъекта;
- каждое направление деятельности по обеспечению информационной безопасности реализуется определенными силами (организации, подразделения, должностные лица);
- конкретные задачи обеспечения информационной безопасности в интересах хозяйствующего субъекта решаются применением конкретных средств (методики, документы, компьютерные программы и др.).

Структура вертикальной 4-х уровневой декомпозиции СОИБ

и с т е м ы
Н а п р а

в л е н и я

С р е д с т в а

Правовое

Организационное

- Конституция РФ;
- федеральные законы;
- ведомственные нормативные акты;
- отраслевые нормативные акты;
- локальные нормативные акты;

- наставления;
- руководства;
- инструкции;
- регламенты;
- распорядки

- экономические показатели;
- финансовые показатели;

Анализ финансово-экономической деятельности

Моделирование экономических
и финансовых процессов

Моделирование экономических
и финансовых рисков

- модели TCO, ROI и др.;

- модели оценки экономических и финансовых рисков

мероприятий обеспечения информационной безопасности, а также обеспечения выполнения концептуальных разработок,

практических ограничительных и режимных мероприятий по обеспечению информационной безопасности в интересах хозяйствующего субъекта. организационно-правовое
Обеспечение информационной безопасности хозяйствующего субъекта (ХС) представляет собою совокупность законов, нормативов и управленческих решений, регламентирующих как общую организацию работ по обеспечению информационной безопасности ХС, так и создание и функционирование систем защиты информации на его конкретных объектах.

области информационной безопасности, а также имеющая в своем составе систему

подбора специалистов и систему работы с сотрудниками.
Эти виды деятельности в организации и функционировании данной подсистемы можно представить как три отдельных направления подсистемы кадрового обеспечения:
Подготовки кадров;
Подбора персонала ХС для обеспечения ИБ;
Формирования профессиональной этики специалиста в области ИБ.

анализа финансово-экономической деятельности хозяйствующего субъекта с целью определения возможных масштабов

финансирования деятельности по обеспечению информационной безопасности, а также выполнения работ по моделированию и оценке затрат на обеспечение ИБ и определения минимально достаточного уровня затрат, т.е. выполнения оптимизационных расчетов.

оборудованию элементов (объектов) информационной инфраструктуры хозяйствующего субъекта, а также обеспечению

предупреждения, обнаружения и ликвидации угроз информационной безопасности на на объектах защиты, и защиты информации, в том числе и компьютерной, от ее утечек по различным техническим каналам.
Под инженерно-техническим обеспечением СОИБ будем понимать совокупность средств инженерно-технической защиты территорий и помещений хозяйствующего субъекта и средств обнаружения и защиты информации, организованная направленность применения которых состоит в создании системы охраны и защиты информации на объектах и элементах информационной системы хозяйствующего субъекта от угроз ее хищения, модификации или уничтожения.

устройств современных информационных и автоматизированных систем ХС, а также установленного

на них, или взаимодействующего с ними программного обеспечения по защите информации, хранящейся и обрабатывающейся в данных системах.

понимать системный процесс получения объективных количественных и качественных оценок текущего

состояния ИБ ХС в соответствии с принятыми критериями и показателями безопасности.
Подсистема предназначена для обеспечения контроля и проверок качества функционирования всех подсистем и элементов СОИБ применением методик анализа рисков информационной безопасности, а также различных форм проведения проверок.