Методы и средства защиты информации в компьютерных системах Пермяков Руслан Анатольевич pra@yandex.ru @pra_nsk.

Презентация:



Advertisements
Похожие презентации
Лектор : А. С. Лысяк Сайт : Основы информационной безопасности.
Advertisements

Лектор : А. С. Лысяк По материалам лекций Пермякова Р. А. Основы информационной безопасности.
Построение политики безопасности организации УЦ «Bigone» 2007 год.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Методы и средства защиты информации в компьютерных системах Пермяков Руслан
«Как обеспечить комплексный подход к реализации проектов по обеспечению ИБ». Курило Андрей Петрович Банк России "Информационная безопасность бизнеса и.
Специальность « Организация защиты информации»
Компьютерная безопасность: современные технологии и математические методы защиты информации.
Определение Аудит информационной безопасности ИС - это независимый, комплексный процесс анализа данных о текущем состоянии информационной системы предприятия,
Общепризнанным документом, подтверждающим надлежащий уровень системы менеджмента качества, является сертификат серии ИСО (ISO 9001, ISO 14001, OHSAS 18001).
1.7 Лекция 7 - Административный уровень обеспечения информационной безопасности.
Токарева Ольга Михайловна, ГОУ ВПО МО Университет природы, общества и человека «Дубна» IT Security for the Next Generation Тур Россия с СНГ, МГТУ им. Н.Э.
Интенсивное развитие компьютерных сетей делает особенно актуальной проблему анализа работы сетей. Трафик сети является одним из важнейших фактических.
Управление качеством. ОСНОВНОЕ СОДЕРЖАНИЕ МС ИСО СЕРИИ И ИХ РОЛЬ В СОЗДАНИИ СИСТЕМЫ ЭКОЛОГИЧЕСКОГО МЕНЕДЖМЕНТА НА ПРЕДПРИЯТИИ
Информационная безопасность Лекция 3 Административный уровень.
Стратегическое планирование Тема 8. План Сущность стратегического планирования Сущность стратегического планирования Процесс стратегического планирования.
Служба информационной безопасности – это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной.
«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)
Улучшение системы охраны и безопасности труда на Северо - Западе России – проект ILO/RUS/04/M02/FIN-NW Russia ОЦЕНКА и УПРАВЛЕНИЕ РИСКАМИ НА ПРЕДПРИЯТИИ.
Инфосистемы Джет ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ СНАРУЖИ И ИЗНУТРИ. Подходы компании «Инфосистемы Джет» 2006 Илья Трифаленков Директор Центра информационной.
Транксрипт:

Методы и средства защиты информации в компьютерных системах Пермяков Руслан

ЖИЗНЕННЫЙ ЦИКЛ ПРОГРАММЫ БЕЗОПАСНОСТИ

Жизненный цикл Планирование и организация Приобретение и внедрение Эксплуатация и сопровождение Мониторинг и оценка Вывод из эксплуатации

Планирование и организация Получение одобрения у руководства Создание рабочей группы Оценка бизнес-драйверов Создание профиля угроз Проведение оценки рисков Разработка архитектурного решения на различных уровнях Организационный Прикладной Сетевой Компонентный Фиксация результатов

Приобретение и внедрение Распределение ролей и обязанностей в группе Разработка Политик безопасности Процедур Стандартов Базисов Руководств и инструкций Выявление критичных данных на всех этапах жизненного цикла информации Реализация проектов безопасности: Управление рисками, активами, планирование непрерывности бизнеса и д.р. Внедрение решений по каждому проекту Разработка процедур аудита и мониторинга Установка по каждому проекту: метрик, целей, SLA

Эксплуатация и сопровождение Соблюдение установленных процедур и базисных уровней в каждом из проектов Проведение внутреннего и внешнего аудита Выполнение задач в каждом из проектов Управление SLA по каждому из проектов

Мониторинг и оценка Анализ журналов, результатов аудита, метрик, SLA, по каждому проекту Оценка достижений целей по каждому из проектов Проведение ежеквартальных встреч рабочей группы Совершенствование каждого этапа и возврат на фазу планирования

ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ

Принцип минимальных привилегий каждая операция должна выполняться с наименьшим набором привилегий, требуемых для данной операции.

Принцип прозрачности СЗИ должна работать в фоновом режиме, быть незаметной и не мешать пользователям в основной работе, выполняя при этом все возложенные на нее функции.

Принцип превентивности последствия реализации угроз безопасности информации могут повлечь значительно большие финансовые, временные и материальные затрат по сравнению с затратами на создание комплексной системы защиты.

Принцип адекватности применяемые решения должны быть дифференцированы в зависимости от вероятности возникновения угроз безопасности, прогнозируемого ущерба от ее реализации, степени конфиденциальности информации и ее стоимости

Принцип системного подхода заключается во внесении комплексных мер по защите информации на стадии проектирования СЗИ, включая организационные и инженерно-технические мероприятия. Следует помнить оснащение средствами защиты изначально незащищенной АС является более дорогостоящим, чем оснащение средствами защиты проектируемой АС

Принцип непрерывности защиты функционирование системы защиты не должно быть периодическим. Защитные мероприятия должны проводиться непрерывно и в объеме предусмотренном политикой безопасности

Принцип адаптивности система защиты должна строиться с учетом возможного изменения конфигурации АС, числа пользователей, степени конфиденциальности и ценности информации. Введение новых элементов АС не должно приводить к снижению достигнутого уровня защищенности

Принцип доказательности Результаты работы СЗИ не должны зависеть от субъекта. Используются: Только известные формальные модели Применение систем аутоинтефикации Сертифицированных элементов Требование сертификации СЗИ в целом

Принцип унификации решений Разрабатываемые решения должны быть единообразными в схожих ситуациях. Следствием принципа является использование: Типовых проектов Типовой классификации рисурсов Типовых конфигурации