Тема 17: Концепция информационной безопасности организации
Назначение и статус документа
«Концепция обеспечения безопасности информации в автоматизированной системе организации» (далее - Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в АС организации, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС.
Основные положения и требования Концепции распространяются на все структурные подразделения организации, в которых осуществляется автоматизированная обработка подлежащей защите информации, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС.
Концепция является методологической основой для:
- формирования и проведения единой политики в области обеспечения
безопасности информации в АС; - принятия управленческих решений и разработки практических мер по
воплощению политики безопасности информации и выработки комплекса
согласованных мер нормативно-правового, технологического и
организационно-технического характера, направленных на выявление,
отражение и ликвидацию последствий реализации различных видов угроз
безопасности информации; - координации деятельности структурных подразделений при проведении
работ по созданию, развитию и эксплуатации АС с соблюдением
требований обеспечения безопасности информации; - разработки предложений по совершенствованию правового,
нормативного, методического, технического и организационного
обеспечения безопасности АС.
Правовой основой Концепции должны являться Конституция Российской Федерации. Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) и других нормативных документов, регламентирующих вопросы защиты информации в АС.
При разработке Концепции должны учитываться основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно- программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.
Основные положения Концепция должны базироваться на качественном осмыслении вопросов безопасности информации и не концентрировать внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.
Положения Концепции предусматривают существование в рамках проблемы обеспечения безопасности информации в АС двух относительно самостоятельных направлений, объединенных единым замыслом: защита информации от утечки по техническим каналам и защита информации в автоматизированных системах от несанкционированного доступа.
В Концепции информационной безопасности должны быть отражены следующие вопросы:
• характеристика АС организации, как объекта информационной безопасности (объекта защиты):
• назначение, цели создания и эксплуатации АС организации
• структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами
• категории информационных ресурсов, подлежащих защите
• категории пользователей ас организации, режимы использования и уровни доступа к информации
• интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений;
• уязвимость основных компонентов АС организации
• цели и задачи обеспечения информационной безопасности организации и основные пути их достижения (решения задач системы защиты)
• перечень основных опасных воздействующих факторов и значимых угроз информационной безопасности:
• внешние и внутренние воздействующие факторы, угрозы безопасности информации и их источники
• пути реализации непреднамеренных субъективных угроз безопасности информации в АС организации
• умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала
• утечка информации по техническим каналам
• неформальная модель возможных нарушителей
• подход к оценке риска в АС организации;
• основные положения технической политики в области обеспечения безопасности информации АС организации
• принципы обеспечения информационной безопасности организации;
• основные меры и методы (способы) защиты от угроз, средства обеспечения требуемого уровня защищенности ресурсов АС:
• организационные (административные) меры защиты
• структура, функции и полномочия подразделения обеспечения информационной безопасности;
• физические средства защиты
• технические (программно-аппаратные) средства защиты
• управление системой обеспечения безопасности информации
• контроль эффективности системы защиты
• первоочередные мероприятия по обеспечению безопасности информации АС организации
• перечень нормативных документов, регламентирующих деятельность в области защиты информации
• основные термины и определения