Построение СЗИ Построение политики безопасности. Структура политики безопасности Перечень защищаемых объектов. Перечень лиц имеющих доступ к защищаемым.

Презентация:



Advertisements
Похожие презентации
Популярные пароли 1. password qwerty 5. abc monkey letmein 9. trustno1 10. dragon 11. baseball
Advertisements

Цена вопроса Стоимость Физическая защита Речевая информация Тех. каналы НСД Общесистемная защита Сканер безопасности Централизованное управление СЗИ Защита.
Служба информационной безопасности – это самостоятельное подразделение предприятия, которое занимается решением проблем информационной безопасности данной.
Владимирский государственный университет кафедра Информатики и защиты информации доцент Курысев К.Н. Боровицкий Д.В. КЗИ-204 Разработка комплексной системы.
Центр безопасности информации Оценка соответствия ИСПДн различных классов требованиям безопасности ПДн.
Специальность « Организация защиты информации»
«Системный подход при обеспечении безопасности персональных данных» Начальник технического отдела Михеев Игорь Александрович 8 (3812)
Основные термины и определения из области информационной безопасности Последовательность действий при разработке системы обеспечения информационной безопасности.
ЭКОНОМИЧЕСКАЯ ЭФФЕКТИВНОСТЬ СИСТЕМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Автор: Чеботарь П. П. Научный руководитель: доктор хабилитат, профессор Охрименко С.А. Кишинев.
Компьютерная безопасность: современные технологии и математические методы защиты информации.
ПРОЕКТ РУКОВОДЯЩЕГО ДОКУМЕНТА Гостехкомиссии России «СРЕДСТВА ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ ЗАЩИТА ИНФОРМАЦИИ ОТ НСД АЛГОРИТМЫ ЗАЩИТНОГО КОНТРОЛЬНОГО СУММИРОВАНИЯ.
Интенсивное развитие компьютерных сетей делает особенно актуальной проблему анализа работы сетей. Трафик сети является одним из важнейших фактических.
01. ВВЕДЕНИЕ. Защищенная система Стандарты информационной безопасности Стандартизация требований и критериев безопасности Шкала оценки степени защищенности.
Центр технической защиты информации ОАО «КП ВТИ» Особенности формирования требований информационной безопасности Реестра источников ионизирующего излучения.
Информационные системы в экономике Лекция 1. Основные понятия и определения Автоматизированная информационная система это совокупность технических программных.
Центр безопасности информации Процедуры аттестации и сертификации и их взаимосвязь в свете реализации требований 152 ФЗ.
Направление подготовки: «Информационная безопасность» Степень: бакалавр.
Информационно-техническая политика (ИТП) ФТС России Ишутин Антон.
Типы компьютерных угроз. Общее понятие о Объектом защиты информационной безопасности от технических компьютерных угроз (ТКУ) являются компьютерные системы.
Этапы создания системы защиты персональных данных СПЕЦИАЛЬНЫЕ ВЫЧИСЛИТЕЛЬНЫЕ КОМПЛЕКСЫ Научно-производственное предприятие.
Транксрипт:

Построение СЗИ Построение политики безопасности

Структура политики безопасности Перечень защищаемых объектов. Перечень лиц имеющих доступ к защищаемым объектам. Перечень используемого ПО и его настроек. Набор инструкций : администратора безопасности ; системного администратора ; системного оператора ; пользователя системы ; инструкция по оперативному восстановлению системы.

Состав инструкций Определение объектов доступа. Определение прав. Определение порядка работы в штатной ситуации. Определение порядка действий в нештатных ситуациях

Перечень защищаемых объектов ( программно - аппаратное обеспечение ) Перечень используемого программного и аппаратного обеспечения. Конфигурация активного сетевого оборудования. Конфигурация программного обеспечения, версии и установленные исправления.

Перечень защищаемых объектов ( информационные ресурсы ) Перечень типов информационных ресурсов и их пользователей. Перечень кандидатов на присвоение грифа секретности. Перечень должностных лиц имеющих право на изменение статуса информационного ресурса.

Построение СЗИ Анализ рисков

это процесс получения количественной и / или качественной оценки ущерба, который может понести предприятие в случае реализации угрозы информационной безопасности.

Общий алгоритм анализа рисков · выбор анализируемых объектов и определение степени детализации их рассмотрения; · моделирование каналов утечки информации и НСД; · оценка вероятности реализации угроз (установления информационного контакта); · формирование облика (модели) нарушителя; · оценка возможного развития событий в случае достижения целей нарушителем; · оценка возможного ущерба (потерь); · ранжирование угроз в соответствии с оценками риска; · определение стратегии управления рисками; · оценка эффективности мер по управлению рисками; · подготовка экспертного заключения о защищенности информационных ресурсов.

Ущерб включает цену ресурса - затраты на производство ; стоимость восстановления или создания нового ресурса ; стоимость восстановления работоспособности организации ( при работе с искаженным ресурсом, без него, при дезинформации ); стоимость вынужденного простоя ; стоимость упущенной выгоды ; стоимость выплаты неустоек, штрафов ; стоимость затрат на реабилитацию, престижа, имени фирмы ; стоимость затрат на поиск новых клиентов, взамен более не доверяющих фирме ; стоимость затрат на поиск ( или восстановление ) каналов связи, информационных источников.

Управление рисками Принятие риска Изменение характера риска Уклонение от риска Уменьшение риска