Лекция 20. Организационно-правовые аспекты защиты информации Критерии оценки безопасности
Технологии и продукты Microsoft в обеспечении ИБ
Лекция 20. Организационно-правовые аспекты защиты информации
Критерии оценки безопасности
Нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности
Требования действующего российского законодательства (РД ФСТЭК, СТР-К, ГОСТы)
Требования отраслевых стандартов (СТО БР ИББС 1.0, базовый уровень информационной безопасности операторов связи)
Рекомендации международных стандартов (ISO 17799, OCTAVE)
Рекомендации компаний-производителей программного и аппаратного обеспечения (Microsoft, Oracle, Cisco и т.д.)
Нормативно-правовое обеспечение информационной безопасности
Что такое Политика ИБ?
Цели Политики ИБ
Основные разделы Политики
Особенности создания Политики
Нормативно-правовая основа Политики
Аттестация АС на требования ФСТЭК
«Аттестат соответствия» подтверждает, что объект соответствует требованиям стандартов, утвержденных ФСТЭК России. Дает право обработки информации с уровнем конфиденциальности и на период времени, установленными в «Аттестате соответствия»
- Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от НСД, в том числе от компьютерных вирусов, от утечки за счет побочных электpомагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электpомагнитное и pадиационное воздействие), от утечки или воздействия на нее за счет специальных устpойств, встpоенных в объекты инфоpматизации.
- Аттестация предусматривает комплексную проверку (аттестационные испытания) защищаемого объекта информатизации в реальных условиях эксплуатации с целью оценки соответствия применяемого комплекса мер и средств защиты требуемому уровню безопасности информации.
Актуальность создания политики безопасности
Комплексная защита информации
Комплексная защита информации
Организационная политика обеспечения ИБ
меры организационного характера, регламентирующие:
процессы функционирования системы обработки данных,
использование ее ресурсов,
обучение сотрудников,
деятельность обслуживающего персонала,
а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации
Регламенты в области ИБ
Регламент резервного копирования информации
Регламент расследования инцидентов в области информационной безопасности
Регламент проведения аудита информационной безопасности
Регламент управления документами в области ИБ
Инструкции по безопасности
Инструкция администратору безопасности
Инструкция пользователю по обеспечению информационной безопасности
Документационное обеспечение
Уровень предприятия
- Политика безопасности
- Положение о конфиденциальности
- Перечень конфиденциальной информации
Уровень подразделения
- Трудовые соглашения, определяющие ответственность сотрудников
- Должностные инструкции
Уровень информационной системы
- Регламенты использования корпоративной информационной системы
- Регламенты предоставления доступа к конфиденциальной информации
Меры по реализации политики ИБ
Организационные меры – создание и изменение
- Регламентов
- Правил
- Инструкций и пр.
Программно-технические меры - внедрение
- Антивирусной защиты
- Системы контроля доступа
- Подсистемы анализа уязвимостей и пр.
Мероприятия по кадровому обеспечению
- Специализированные программы обучения
- Интранет-порталы
- Рассылка новостей
Пример: нормативная основа создания защищённого документооборота
Government Security Program (GSP)
Программа , в рамках которой организациям, участвующим в государственных проектах по совершенствованию защищенных информационных систем, предоставляет доступ к исходным кодам продуктов Майкрософт.
Предоставление исходных кодов
Россия - первая страна в мире, подписавшая с Microsoft Соглашение GSP ( в 2002 г. - между Майкрософт и ФГУП НТЦ «Атлас», действует по н.вр.)
Доступ к исходным кодам продуктов Microsoft
- ФСБ
- ФСТЭК
- Министерству обороны
- Министерству атомной промышленности
- другими организациями, работающим в государственных проектах по совершенствованию защищенных информационных систем.
Сертифицированный в ФСБ продукт
Обычный лицензионный продукт Microsoft
Дополнительный «Service Pack Rus» для этого продукта
- Содержит криптопровайдеры компании Крипто-Про, позволяющие зашифровывать информацию и подписывать документы электронной цифровой подписью с использованием российских криптографических алгоритмов.
Текущие результаты сертификации
Windows XP Professional / Vista
Windows Server 2003 /R2
Office 2003/2007 Professional
ISA Server 2006
линейка антивирусных продуктов Forefront
- Forefront для Exchange Server,
- Forefront для SharePoint Server
- Forefront Client
Exchange Server 2007
Office SharePoint Server 2007
BizTalk Server 2006 R2
Использованные источники
Сердюк В.А. Комплексный подход к защите компании от угроз информационной безопасности // Презентация, ДиалогНаука, 2008
Сердюк В.А. Система управления информационной безопасностью // Презентация, ДиалогНаука, 2008
Сердюк В.А. Политика информационной безопасности // Презентация, ДиалогНаука, 2008
Сердюк В.А. Новое в защите от взлома корпоративных систем. М.: Техносфера, 2007.
http://www.microsoft.com/Rus/Security/Certificate/Default.mspx
Спасибо за внимание!
страница 1
скачать
Другие похожие работы: