Защита4

Сбор данных о существующем положении дел по обеспечению информационной безопасности

Комплексное обследование корпоративной информационной системы проводится с целью сбора информации о существующем положении дел по обеспечению информационной безопасности для всех ключевых составляющих корпоративной информационной системы (КИС) предприятия. Информация, получаемая при проведении обследования, позволяет выявить возможные слабые места в системе информационной безопасности, определить адекватность и эффективность используемых организационно-технических мер, применяемых для защиты ресурсов в КИС.

Читать далее »

Комплексное обследование (аудит) системы информационной безопасности организации

Необходимым атрибутом успешного функционирования большинства государственных и частных структур является их собственная информационная безопасность. В зависимости от рода деятельности предприятия, организации и т.д. необходимый уровень защищенности может варьировать в широких пределах

Читать далее »

Управление рисками, проектирование и сопровождение корпоративных систем защиты информации

Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании]. Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.

Читать далее »

Классы оценок

Отдельно в документе выделено два класса. Класс АРЕ — Оценка профиля защиты. • Описание предмета оценки APE_DES. • Среда безопасности APEENV. • Описание профиля защиты APE_INT. • Цели безопасности APE_OBJ.

Читать далее »

Классификация информационных объектов

В предыдущих разделах сайта, посвященных общим понятиям информационной безопасности, были рассмотрены основные факторы, на которых основывается информационная безопасность. Соответственно, ценность или важность любого информационного объекта необходимо рассматривать именно с такой точки зрения, так как градации «секретный — конфиденциальный — открытый» или «очень важный — важный — неважный» представляются достаточно бедными для точного определения значения объекта.

Читать далее »

Принципы и направления

Ниже приведены несколько выдержек из подобного документа, которые могут помочь соответствующему специалисту в создании своего варианта. Принципы проведения инвентаризации. • Принцип единообразного подхода подразумевает рассмотрение любого объекта/системы с точки зрения технологии создания, обработки, хранения, отправки или приема информации.

Читать далее »

Основные регламенты классификации

Тем, кто начинает свое знакомство с информационной безопасностью, уже на первых стадиях ее изучения попадутся названия «Оранжевая книга», «Красная книга», Общие критерии (Common Criteria), ТСРЕС, ITSEC и др. Все это критерии определения уровня безопасности систем. Наиболее известные из них следующие:

Читать далее »

Общий характер инвентаризации информационных систем

Инвентаризация — в данном случае это составление списка систем, т.е. объектов, которые будут подлежать защите и субъектов, которые задействованы в данном информационном пространстве, и будут влиять на информационную защиту системы.

Читать далее »

Полная модель классификации субъектов

Рассмотрим более сложную западную модель, предложенную в книге «Handbook of Information Security Management» («Руководство по управлению информационной безопасности»). Владелец информации — бизнес-менеджер, который ответственен за информационные активы предприятия. Обязанности следующие:

Читать далее »

Принципы распределения прав и ответственности

Прежде чем перейти к конкретным вопросам, заострим внимание на двух фундаментальных принципах, на которых строится распределение ролей и ответственности.

Читать далее »