NetNado
  Найти на сайте:

Учащимся

Учителям



Лекция 20. Организационно-правовые аспекты защиты информации Критерии оценки безопасности



Технологии и продукты Microsoft в обеспечении ИБ

  • Лекция 20. Организационно-правовые аспекты защиты информации




Критерии оценки безопасности

  • Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности

  • Требования действующего российского законодательства (РД ФСТЭК, СТР-К, ГОСТы)

  • Требования отраслевых стандартов (СТО БР ИББС 1.0, базовый уровень информационной безопасности операторов связи)

  • Рекомендации международных стандартов (ISO 17799, OCTAVE)

  • Рекомендации компаний-производителей программного и аппаратного обеспечения (Microsoft, Oracle, Cisco и т.д.)



Нормативно-правовое обеспечение информационной безопасности



Что такое Политика ИБ?



Цели Политики ИБ



Основные разделы Политики



Особенности создания Политики



Нормативно-правовая основа Политики









Аттестация АС на требования ФСТЭК

  • «Аттестат соответствия» подтверждает, что объект соответствует требованиям стандартов, утвержденных ФСТЭК России. Дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия»

    • Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от НСД, в том числе от компьютерных вирусов, от утечки за счет побочных электpомагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электpомагнитное и pадиационное воздействие), от утечки или воздействия на нее за счет специальных устpойств, встpоенных в объекты инфоpматизации.
    • Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.


Актуальность создания политики безопасности



Комплексная защита информации



Комплексная защита информации



Организационная политика обеспечения ИБ

  • меры организационного характера, регламентирующие:

  • процессы функционирования системы обработки данных,

  • использование ее ресурсов,

  • обучение сотрудников,

  • деятельность обслуживающего персонала,

  • а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации



Регламенты в области ИБ

  • Регламент резервного копирования информации

  • Регламент расследования инцидентов в области информационной безопасности

  • Регламент проведения аудита информационной безопасности

  • Регламент управления документами в области ИБ



Инструкции по безопасности

  • Инструкция администратору безопасности

  • Инструкция пользователю по обеспечению информационной безопасности



Документационное обеспечение

  • Уровень предприятия

    • Политика безопасности
    • Положение о конфиденциальности
    • Перечень конфиденциальной информации
  • Уровень подразделения

    • Трудовые соглашения, определяющие ответственность сотрудников
    • Должностные инструкции
  • Уровень информационной системы

    • Регламенты использования корпоративной информационной системы
    • Регламенты предоставления доступа к конфиденциальной информации


Меры по реализации политики ИБ

  • Организационные меры – создание и изменение

    • Регламентов
    • Правил
    • Инструкций и пр.
  • Программно-технические меры - внедрение

    • Антивирусной защиты
    • Системы контроля доступа
    • Подсистемы анализа уязвимостей и пр.
  • Мероприятия по кадровому обеспечению

    • Специализированные программы обучения
    • Интранет-порталы
    • Рассылка новостей


Пример: нормативная основа создания защищённого документооборота



Government Security Program (GSP)

  • Программа , в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт.



Предоставление исходных кодов

  • Россия - первая страна в мире, подписавшая с Microsoft Соглашение GSP ( в 2002 г. - между Майкрософт и ФГУП НТЦ «Атлас», действует по н.вр.)

  • Доступ к исходным кодам продуктов Microsoft

    • ФСБ
    • ФСТЭК
    • Министерству обороны
    • Министерству атомной промышленности
    • другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.


Сертифицированный в ФСБ продукт

  • Обычный лицензионный продукт Microsoft

  • Дополнительный «Service Pack Rus» для этого продукта

    • Содержит криптопровайдеры компании Крипто-Про, позволяющие зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.


Текущие результаты сертификации

  • Windows XP Professional / Vista

  • Windows Server 2003 /R2

  • Office 2003/2007 Professional

  • ISA Server 2006

  • линейка антивирусных продуктов Forefront

    • Forefront для Exchange Server,
    • Forefront для SharePoint Server
    • Forefront Client
  • Exchange Server 2007

  • Office SharePoint Server 2007

  • BizTalk Server 2006 R2



Использованные источники

  • Сердюк В.А. Комплексный подход к защите компании от угроз информационной безопасности // Презентация, ДиалогНаука, 2008

  • Сердюк В.А. Система управления информационной безопасностью // Презентация, ДиалогНаука, 2008

  • Сердюк В.А. Политика информационной безопасности // Презентация, ДиалогНаука, 2008

  • Сердюк В.А. Новое в защите от взлома корпоративных систем. М.: Техносфера, 2007.

  • http://www.microsoft.com/Rus/Security/Certificate/Default.mspx



  • Спасибо за внимание!



страница 1


скачать

Другие похожие работы:







Документы

архив: 1 стр.