Файл: 4. Правовое регулирование Информационного общества в России 8.docx
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 10.11.2023
Просмотров: 475
Скачиваний: 3
СОДЕРЖАНИЕ
3. Структура и основные положения проекта новой Доктрины информационной безопасности 2016
4. Правовое регулирование Информационного общества в России
5. Правовое регулирование Информационного общества в Башкортостане
6. Основные положения формирования и развития информационного общества Окинавской Хартии
7. Европейская Конвенция по киберпреступлениям (Будапешт).
8. Конвенция об обеспечении международной информационной безопасности (Россия).
9. Основные НПА регулирующие ИБ в США
10. Оценочные стандарты и технические спецификации
11. "Оранжевая книга" - уровни доверия и классы безопасности
12. Сетевые сервисы безопасности. (Рекомендации X.800).
13. Классы функциональных требований на основе «Общих критериев»
16. «Инициатива всеобъемлющей национальной кибербезопасности» в США
17. «Международная стратегия для киберпространства» США
18. Правовые аспекты защиты ПД в Европе и США
19. Правовые аспекты защиты персональных данных в России
20. «Великая стена» информационной безопасности Китае
22. Правовое регулирование политики информационной безопасности
23. Порядок создания автоматизированных систем в защищенном исполнении (ГОСТ Р 51583)
24. Система сертификации средств защиты информации по требованиям безопасности информации.
25. Защита от несанкционированного доступа к информации (ГОСТ Р 50739, ГОСТ Р 50922, ГОСТ Р 52069)
27. Защита информации. Обеспечение информационной безопасности в организации (ГОСТ Р 53114)
29. Методология оценки безопасности информационных технологий (ГОСТ Р ИСО/МЭК 18045)
33. Системы менеджмента информационной безопасности (ГОСТ Р ИСО/МЭК 27001).
34. Свод норм и правил менеджмента информационной безопасности (ГОСТ ИСО/МЭК 27002).
36. Менеджмент риска информационной безопасности (ГОСТ Р ИСО/МЭК 27005)
38. Руководство для аудитора СМИБ (ГОСТ ISO/IЕС 27007)
40. Безопасность сетей (ГОСТ Р ИСО/МЭК 27033)
42. ФЗ – 63 «Об электронной подписи»
44. Правовое обеспечение сертификации в России
45. Правовое обеспечение лицензирования в России
49. Правовое регулирование защиты конфиденциальной информации в России
50. Правовое регулирование системы менеджмента информационной безопасности (основные цели и задачи)
51. Правовое регулирование политики информационной безопасности в организации
53. Отнесение сведений к различным видам конфиденциальной информации
54. Отнесение сведений к коммерческой тайне
55. Грифы секретности и реквизиты носителей сведений, составляющих государственную тайну
56. Отнесение сведений к государственной тайне. Засекречивание сведений и их носителей
57. Основания и порядок рассекречивания сведений и их носителей
58. Разрешительная система доступа персонала к конфиденциальной информации
59. Порядок оформления и переоформления допуска к государственной тайне. Формы допуска
60. Основания для отказа лицу в допуске к государственной тайне и условия прекращения допуска
62. Основы работы с персоналом организации
63. Методы работы с персоналом
64. Мотивация деятельности персонала
65. Организация охраны предприятия, учреждения
67. Основные задачи государственной системы защиты информации.
68. Институт государственной тайны в РФ.
69. Порядок засекречивания сведений, документов и продукции в РФ.
70. Конфиденциальная информация. Допуск и доступ к конфиденциальной информации.
72. Организация внутриобъектового и пропускного режима на предприятии.
73. Системы комплексной защиты объекта
74. Лицензирование в системе защиты информации.
75. Сертификация средств защиты информации.
76. Аттестация объектов информатизации в РФ
77. Информационные ресурсы государства. Информация ограниченного и свободного доступа.
78. Методы работы с персоналом, обладающим конфиденциальной информацией.
79. Принципы, методы и средства обеспечения сохранности информации.
80. Построение комплексной системы защиты информации на предприятии.
79. Принципы, методы и средства обеспечения сохранности информации.
Принципы осуществления безопасности делятся на:
-
обеспечение целостности данных, путем устранения сбоев системы; -
сохранение абсолютной конфиденциальности данных; -
обеспечение безопасного доступа к информации для зарегистрированных пользователей.
Методы защиты:
-
препятствие на пути предполагаемого похитителя; -
управление, или оказание воздействия на элементы защищаемой системы; -
маскировка, обычно – криптографическими способами; -
регламентация, или разработка набора мер, направленных на то, чтобы побудить пользователей баз данных, к должному поведению; -
принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными; -
побуждение, или создание условий, которые мотивируют пользователей к должному поведению.
Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.
Организационные средства защиты информации:
-
разработка внутренней документации по правилам работы с компьютерной техникой и конфиденциальной информацией; -
инструктаж и периодические проверки персонала; -
подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе; -
разграничение зоны ответственности для сотрудников; -
программные продукты, которые защищают данные от копирования или уничтожения любым пользователем; -
составляют планы восстановления системы на случай выхода из строя.
Технические средства защиты информации:
Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:
-
резервное копирование и удаленное хранение важных массивов данных; -
дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных; -
создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов; -
обеспечение возможности использовать резервные системы электропитания; -
обеспечение безопасности от пожара или повреждения оборудования водой; -
установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа.
80. Построение комплексной системы защиты информации на предприятии.
Комплексная система защиты информации (КСЗИ) — система, которая охватывает все факторы, связанные с обеспечением конфиденциальности, целостности и доступности информации
Для создания системы необходимо определить начальные элементы, ресурсы, назначение, критерий эффективности.
-
Начальными элементами являются информационные активы, потенциальные нарушители, возможные угрозы и другие элементы. -
Ресурсы —средства, которые используются при создании КСЗИ. В их число входят человеческие, материальные, временные и другие ресурсы. -
Назначение — это основная цель, для которой создается КСЗИ. -
Для определения эффективного пути построения системы, необходимо ввести критерий эффективности, который учитывает затраченные ресурсы, качество системы, а также имеет количественный показатель.
Каждый элемент должен соответствовать определенным принципам:
-
Принцип законности. -
Принцип полноты. Защищать необходимо всю информацию, компрометация которой может нанести ущерб, а также информацию, защищать которую требует законодательство. -
Принцип обоснованности. Необходимо защищать только ту информацию, защищать которую есть определенные причины. -
Принцип создания специализированных подразделений по ЗИ. -
Принцип вовлеченности всех лиц. Защита информация является должностной обязанностью лиц, обрабатывающих её. -
Принципу персональной ответственности. Каждый сотрудник несет ответственность за нарушение правил по обеспечению ЗИ. -
Принцип использования всех необходимых правил и средств. При невыполнении одного правила, остальные теряют смысл. -
Принцип превентивности принятых мер. Заблаговременное принятие мер до начала разработки или получения информации.
Этапы создания КСЗИ:
-
Сбор и анализ информации на предприятии. Необходимо определить, какая информация подлежит защите, а какая является открытой. -
Определение требований нормативных документов к КСЗИ. К ним относятся федеральные законы в области ИБ, приказы ФСТЭК, ФСБ, постановления правительства, указы президента. -
Определение мер, нейтрализующие актуальные угрозы. -
Составление адаптивного набора мер, который включает в себя базовый набор и набор мер, нейтрализующий актуальные угроз. -
Выбор и внедрение средств защиты. -
Постоянное сопровождение и модернизация.