Учебное пособие по ИБ (Лекции по информационной безопасности), страница 24

PDF-файл Учебное пособие по ИБ (Лекции по информационной безопасности), страница 24 Информационное обеспечение разработок (13028): Лекции - 11 семестр (3 семестр магистратуры)Учебное пособие по ИБ (Лекции по информационной безопасности) - PDF, страница 24 (13028) - СтудИзба2017-12-21СтудИзба

Описание файла

Файл "Учебное пособие по ИБ" внутри архива находится в папке "Лекции по информационной безопасности". PDF-файл из архива "Лекции по информационной безопасности", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "информационное обеспечение разработок и исследований" в общих файлах.

Просмотр PDF-файла онлайн

Текст 24 страницы из PDF

Устанавливаютсяполномочия пользователей для каждого файла и групп.195Возможности СЗИ от НСД "Спектр-Z"• При неактивности пользователя блокируется клавиатура, монитор имышь. Законным пользователям обеспечивается парольный доступ ивозможность работы в соответствии с установленными полномочиями.Может быть организована работа пользователя только с заданныммножеством дискет, сформированных администратором безопасности.Посторонним лицам информация на жестком диске рабочей станции и натаких спецдискетах недоступна.

Организуется работа любых групппользователей, как изолированных друг от друга, так и пересекающихся влюбой конфигурации.• Способна обнаружить атаку компьютерных вирусов и случайные илипреднамеренные искажения программ и данных. Ведет учет работыпользователей на компьютере.СЗИ НСД "Спектр-Z" имеет сертификат Гостехкомиссии РФ, которыйудостоверяет соответствие возможностей программного продуктатребованиям, предъявляемым к 3-му классу защищенности для средстввычислительной техники и к классу 1В для автоматизированных систем.196197ТЕМА 19ЭТАПЫ ПОСТРОЕНИЯСИСТЕМЫ ИНФОРМАЦИОННОЙБЕЗОПАСНОСТИПРОЦЕССНЫЙ ПОДХОД198ОБЩАЯ СХЕМА ПОСТРОЕНИЯУПРАВЛЯЕМЫХ БИЗНЕСБИЗНЕС-СИСТЕММОДЕЛЬ PDCA.PDCA. СОДЕРЖАНИЕ ЭТАПОВПроектирование(Plan)Plan)Осуществление(Do)Контроль(Check)Влияние(Action)Определить политику безопасности,безопасности, цели,цели, процессы ипроцедуры,процедуры, относящиеся к управлению рисками и улучшениюинформационной безопасности для достижения результатовсоответствующих общей политике и целям компании.компании.Внедрить и применять политику безопасности,безопасности, мерыуправления безопасностью,безопасностью, процессы и процедуры каксистему информационной безопасности.безопасности.Оценить,Оценить, а, где возможно,возможно, сравнить выполнение процессов сполитикой безопасности,безопасности, целями и практическим опытом идоложить результаты менеджменту (руководству)руководству) компаниидля анализа.анализа.Длядостиженияпостоянногоулучшениясистемыинформационнойбезопасностипредприниматькорректирующие и превентивные (предупреждающие)предупреждающие)действия на основании результатов внутреннего аудита,аудита,анализа со стороны руководства (менеджмента)менеджмента) или другойотносящейся к делу информации.информации.199ОПРЕДЕЛЕНИЯУгроза информационной безопасности – потенциально возможноесобытие,событие, действие,действие, процесс или явление,явление, которое может привести кнарушению конфиденциальности,,целостности,конфиденциальности целостности, доступности информации,информации, атакже неправомерному ее тиражированию.тиражированию.Уязвимость информации – подверженность информации воздействиюразличных дестабилизирующих факторов,факторов, которые могут привести кнарушению ее конфиденциальности,конфиденциальности, целостности,целостности, доступности,доступности, илинеправомерному ее тиражированию.тиражированию.Анализ риска – процесс определения угроз безопасности системы в целоми отдельным ее компонентам (не только техническим),техническим), определенияхарактеристик угроз и потенциального ущерба,ущерба, который может быть нанесенв случае их реализации,реализации, а также разработка мер по защите.защите.ОСНОВНЫЕ ЭТАПЫ ПОСТРОЕНИЯ СИСТЕМЫИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ1.

Определение политики безопасности2. Определение подхода к оценке рисков3. Определение области применения и границ Системы4. Определение рисков5. Анализ и оценка рисков6. Определение и оценка вариантов обработки рисков200ОСНОВНЫЕ ЭТАПЫ ПОСТРОЕНИЯ СИСТЕМЫИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ7. Выбор целей и мер управления безопасностьюдля обработки рисков8. Принятие решения по остаточным рискам9.

Оформление результатов и отчетность10. Эксплуатация и мониторинг Системы11. Поддержка и совершенствование СистемыОПРЕДЕЛЕНИЕ ОБЛАСТИ ПРИМЕНЕНИЯ ИГРАНИЦ СИСТЕМЫНеобходимо определить область применения играницы системы информационной безопасностис учетом характеристик деятельности (бизнеса)бизнеса)компании,структурыкомпании,еекомпании,компании,местонахождения,местонахождения, активов и технологий,технологий, включаяподробностииобъяснениякакихкаких-либоисключений из области применения.применения.201ОПРЕДЕЛЕНИЕ ОБЛАСТИПРИМЕНЕНИЯ И ГРАНИЦ СИСТЕМЫ.СИСТЕМЫ.ОБЩИЙ ПРИМЕРОПРЕДЕЛЕНИЕ ПОЛИТИКИБЕЗОПАСНОСТИОпределить политику безопасности с учетом характеристикдеятельности (бизнеса)бизнеса) компании,компании, самой компании,компании, ееместонахождения,местонахождения, активов и технологий,технологий, которая:которая:• содержит основу для установления целей и определяет общеепонимание направлений и принципов действий в отношенииинформационной безопасности• учитывает деловые (бизнесбизнес-), правовые или регулирующие(нормативные)нормативные) требования,требования, а также контрактные обязательства вконтексте безопасности• осуществляется в контексте стратегического управленияриском в компании,компании, в которой будет иметь место создание иподдержка системы информационной безопасности• устанавливает критерии,критерии, относительно которых будетоцениваться риск• одобрена руководством (менеджментом)менеджментом) компании202ОПРЕДЕЛЕНИЕ ПОДХОДА К ОЦЕНКЕРИСКОВ1.

Идентифицировать методологию (методику)методику) оценки рисков,рисков,удовлетворяющую требованиям к конкретной системеинформационной безопасности,безопасности, а также требованиям кинформационной безопасности деятельности (бизнеса),бизнеса),правовым и регулирующим (нормативным)нормативным) требованиям2. Разработать критерии принятия рисков и идентифицироватьдопустимые уровни рискаВыбранная методология (методика)методика) оценки рисков должнаобеспечивать,обеспечивать, чтобы оценка рисков давала сравнимые ивоспроизводимые результаты.результаты.ОПРЕДЕЛЕНИЕ РИСКОВ1.

Идентифицировать активы в рамках областиприменениясистемыинформационнойбезопасности и владельцев этих активов2. Идентифицировать угрозы этим активам3. Идентифицировать уязвимости,уязвимости, которые моглибы быть использованы при реализации угроз4. Идентифицировать влияние (воздействие)воздействие) наактивы,котороеможетоказатьпотеряактивы,конфиденциальности,конфиденциальности, целостности и доступности203ОПРЕДЕЛЕНИЕ РИСКОВ.РИСКОВ. ИДЕНТИФИКАЦИЯАКТИВОВИдентификациюактивовпроводить в соответствииклассификацией по группам:группам:рекомендуетсясо следующей1.

Информационные активы2. Программные активы3. Физические активы4. Сервисы5. Человеческие активы (трудовые ресурсы)ресурсы)ОПРЕДЕЛЕНИЕ РИСКОВ.РИСКОВ. ИДЕНТИФИКАЦИЯУГРОЗ,УГРОЗ, УЯЗВИМОСТЕЙ И ОЦЕНКА ВЛИЯНИЯИдентификация угроз активам компании с учетомимеющихся уязвимостей,уязвимостей, а также оценка их влияния наактивы осуществляется составлением модели угроз,угроз, структурапредставления каждой угрозы в которой следующая:следующая:1. Аннотация угрозы2.

Возможные источники угрозы3. Способ реализации угрозы4. Используемые уязвимости5. Вид активов,активов, потенциально подверженных угрозе6. Нарушаемые свойства безопасности активов7. Возможные последствия реализации угрозы204ОПРЕДЕЛЕНИЕ РИСКОВ.РИСКОВ. ИДЕНТИФИКАЦИЯУГРОЗ,УГРОЗ, УЯЗВИМОСТЕЙ И ОЦЕНКА ВЛИЯНИЯДля выявления источников угроз обычносоставляется модель нарушителя информационнойбезопасности.безопасности.Пример классификации нарушителей по уровнюфункциональныхвозможностейвавтоматизированных системах можно посмотреть вРДФСТЭК«Концепциязащитысредстввычислительной техники и автоматизированныхсистем от несанкционированного доступа кинформации»информации».1.2.3.4.АНАЛИЗ И ОЦЕНКА РИСКОВОценить влияние на деятельность (бизнес)бизнес) компании,компании,которое может иметь место в результате нарушенийбезопасности,безопасности, принимая во внимание последствия,последствия,связанныеспотерейконфиденциальности,конфиденциальности,целостности или доступности активовОценитьреальнуювозможность(вероятность,вероятность,опасность)опасность) появления нарушений безопасности в светесуществующих угроз и уязвимостей,уязвимостей, а также ущерб,ущерб,связанный с этими активами,активами, и реализованные внастоящее время меры управления безопасностьюОпределить уровни рисковИспользуякритериидопустимостирисков,рисков,установленные на этапе разработки методологии(методики)методики) оценки рисков,рисков, определить,определить, являются лириски допустимыми или требуют обработки205ОПРЕДЕЛЕНИЕ И ОЦЕНКА ВАРИАНТОВОБРАБОТКИ РИСКОВВозможные действия включают:включают:1.

Применениенадлежащихмеруправлениябезопасностью (уменьшение риска)риска)2. Сознательное и беспристрастное допущение(принятие)принятие) рисков,рисков, при условии,условии, что онисоответствуют принятой в организации политике икритериям принятия рисков (принятие риска)риска)3. Избежание (устранение))рисков(уклонение отустранениериска)риска)4. Перенос соответствующих рисков для деятельности(бизнесбизнес-рисков)рисков) на другие стороны,стороны, например,например,страховщиков,страховщиков, поставщиков (изменение характерариска)риска)ВАРИАНТОВ ОПРЕДЕЛЕНИЕ И ОЦЕНКАОБРАБОТКИ РИСКОВ.РИСКОВ.

ОБЩИЙ ПРИМЕР206ВЫБОР ЦЕЛЕЙ И МЕР УПРАВЛЕНИЯБЕЗОПАСНОСТЬЮ ДЛЯ ОБРАБОТКИ РИСКОВЦели и меры управления безопасностью должныбыть выбраны и реализованы для удовлетворениятребований,требований, идентифицированных в процессе оценкирисков и обработки рисков.рисков. При этом выборе должныприниматься во внимание как критерии принятияриска,риска, так и правовые,правовые, регулирующие (нормативные)нормативные)и контрактные требования и обязательства.обязательства.Как часть этого процесса должны быть выбраныцели и меры управления безопасностью,безопасностью, подходящиедля покрытия идентифицированных требований.требований.ПРИНЯТИЕ РЕШЕНИЯ ПО ОСТАТОЧНЫМРИСКАМРезультаты анализа и оценки рисков обычнопредставляютруководству(менеджменту)менеджменту)компании в виде отчета об анализе рисков.рисков.Принятие решения по остаточным рискам –привилегия и ответственность руководства(менеджмента)менеджмента) компании.компании.207ОФОРМЛЕНИЕ РЕЗУЛЬТАТОВ И ОТЧЕТНОСТЬНеобходимо документировать следующее:следующее:1.

Выбранные цели и меры управления безопасностью иоснования для их выбора2. Цели и меры управления безопасностью,безопасностью, реализованныев настоящее времяРезультаты как правило оформляются в виде положенияо применимости мер управления информационнойбезопасностью.безопасностью.Анализируя полученные результаты,результаты, руководствопринимает решение о необходимости внедрения(совершенствования)системыинформационнойсовершенствования)безопасности.безопасности.ЭКСПЛУАТАЦИЯ И МОНИТОРИНГ СИСТЕМЫВ процессе эксплуатации системы информационнойбезопасности необходимо проводить периодическиевнутренние аудиты с целью выявления несоответствийтекущего состояния сформулированным требованиямпо безопасности.безопасности.Результаты внутренних аудитов,аудитов, а также результатыанализа системы информационной безопасности состороны руководства (менеджмента)менеджмента) компании должныслужить поводом для устранения несоответствий иулучшения системы информационной безопасности.безопасности.208ЭКСПЛУАТАЦИЯ И МОНИТОРИНГ СИСТЕМЫ.СИСТЕМЫ.ВНУТРЕННИЕ АУДИТЫКомпания должна проводить внутренние аудиты (проверки)проверки)системыинформационнойбезопасностичереззапланированные интервалы времени,времени, чтобы определить,определить, вотношении целей,целей, мер управления безопасностью,безопасностью, процессови процедур безопасности компании следующее:следующее:1.

Свежие статьи
Популярно сейчас
Зачем заказывать выполнение своего задания, если оно уже было выполнено много много раз? Его можно просто купить или даже скачать бесплатно на СтудИзбе. Найдите нужный учебный материал у нас!
Ответы на популярные вопросы
Да! Наши авторы собирают и выкладывают те работы, которые сдаются в Вашем учебном заведении ежегодно и уже проверены преподавателями.
Да! У нас любой человек может выложить любую учебную работу и зарабатывать на её продажах! Но каждый учебный материал публикуется только после тщательной проверки администрацией.
Вернём деньги! А если быть более точными, то автору даётся немного времени на исправление, а если не исправит или выйдет время, то вернём деньги в полном объёме!
Да! На равне с готовыми студенческими работами у нас продаются услуги. Цены на услуги видны сразу, то есть Вам нужно только указать параметры и сразу можно оплачивать.
Отзывы студентов
Ставлю 10/10
Все нравится, очень удобный сайт, помогает в учебе. Кроме этого, можно заработать самому, выставляя готовые учебные материалы на продажу здесь. Рейтинги и отзывы на преподавателей очень помогают сориентироваться в начале нового семестра. Спасибо за такую функцию. Ставлю максимальную оценку.
Лучшая платформа для успешной сдачи сессии
Познакомился со СтудИзбой благодаря своему другу, очень нравится интерфейс, количество доступных файлов, цена, в общем, все прекрасно. Даже сам продаю какие-то свои работы.
Студизба ван лав ❤
Очень офигенный сайт для студентов. Много полезных учебных материалов. Пользуюсь студизбой с октября 2021 года. Серьёзных нареканий нет. Хотелось бы, что бы ввели подписочную модель и сделали материалы дешевле 300 рублей в рамках подписки бесплатными.
Отличный сайт
Лично меня всё устраивает - и покупка, и продажа; и цены, и возможность предпросмотра куска файла, и обилие бесплатных файлов (в подборках по авторам, читай, ВУЗам и факультетам). Есть определённые баги, но всё решаемо, да и администраторы реагируют в течение суток.
Маленький отзыв о большом помощнике!
Студизба спасает в те моменты, когда сроки горят, а работ накопилось достаточно. Довольно удобный сайт с простой навигацией и огромным количеством материалов.
Студ. Изба как крупнейший сборник работ для студентов
Тут дофига бывает всего полезного. Печально, что бывают предметы по которым даже одного бесплатного решения нет, но это скорее вопрос к студентам. В остальном всё здорово.
Спасательный островок
Если уже не успеваешь разобраться или застрял на каком-то задание поможет тебе быстро и недорого решить твою проблему.
Всё и так отлично
Всё очень удобно. Особенно круто, что есть система бонусов и можно выводить остатки денег. Очень много качественных бесплатных файлов.
Отзыв о системе "Студизба"
Отличная платформа для распространения работ, востребованных студентами. Хорошо налаженная и качественная работа сайта, огромная база заданий и аудитория.
Отличный помощник
Отличный сайт с кучей полезных файлов, позволяющий найти много методичек / учебников / отзывов о вузах и преподователях.
Отлично помогает студентам в любой момент для решения трудных и незамедлительных задач
Хотелось бы больше конкретной информации о преподавателях. А так в принципе хороший сайт, всегда им пользуюсь и ни разу не было желания прекратить. Хороший сайт для помощи студентам, удобный и приятный интерфейс. Из недостатков можно выделить только отсутствия небольшого количества файлов.
Спасибо за шикарный сайт
Великолепный сайт на котором студент за не большие деньги может найти помощь с дз, проектами курсовыми, лабораторными, а также узнать отзывы на преподавателей и бесплатно скачать пособия.
Популярные преподаватели
Нашёл ошибку?
Или хочешь предложить что-то улучшить на этой странице? Напиши об этом и получи бонус!
Бонус рассчитывается индивидуально в каждом случае и может быть в виде баллов или бесплатной услуги от студизбы.
Предложить исправление
Добавляйте материалы
и зарабатывайте!
Продажи идут автоматически
4986
Авторов
на СтудИзбе
470
Средний доход
с одного платного файла
Обучение Подробнее