1.1.Назначение и правовая основа документа
Настоящая «Концепция обеспечения безопасности информации в автоматизированной системе ОРГАНИЗАЦИИ» (далее – Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в АС ОРГАНИЗАЦИИ, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС ОРГАНИЗАЦИИ.
Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указа, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), а также нормативно - методические материалы и организационно - распорядительными документы ОРГАНИЗАЦИИ отражающие вопросы обеспечения информационной безопасности в автоматизированных системах.
Концепция учитывает современное состояние и ближайшие перспективы развития АС ОРГАНИЗАЦИИ, цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также анализа угроз безопасности для ресурсов АС ОРГАНИЗАЦИИ.
Основные положения и требования Концепции распространяются на все структурные подразделения ОРГАНИЗАЦИИ, в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие банковскую, коммерческую, служебную тайну или персональные данные, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС ОРГАНИЗАЦИИ. Основные положения Концепции могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействующие с АС ОРГАНИЗАЦИИ в качестве поставщиков и потребителей (пользователей) информации АС ОРГАНИЗАЦИИ.
Концепция является методологической основой для:
формирования и проведения единой политики в области обеспечения безопасности информации в АС ОРГАНИЗАЦИИ;
принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
координации деятельности структурных подразделений ОРГАНИЗАЦИИ при проведении работ по созданию, развитию и эксплуатации АС ОРГАНИЗАЦИИ с соблюдением требований обеспечения безопасности информации;
разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации АС ОРГАНИЗАЦИИ.
Концепция не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов АС, защиты от стихийных бедствий, сбоев в системе энергоснабжения, а также меры по обеспечению личной безопасности персонала и клиентов ОРГАНИЗАЦИИ. Однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности ОРГАНИЗАЦИИ в целом (имущественная, физическая и т.д.). Это позволяет не только принципиально, но и практически сопрягать их, оптимизируя затраты на построение такой системы.
Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы защиты информации и процессов ее обработки в АС с единых методологических позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с позиции комплексного применения различных мер и средств защиты.
При разработке Концепции учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.
Основные положения Концепция базируются на качественном осмыслении вопросов безопасности информации и не концентрируют внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.
- Наименование организации
- Концепция обеспечения безопасности информации в автоматизированной системе организации
- Содержание
- 1. Общие положения 5
- 2. Объекты защиты 6
- 3. Цели и задачи обеспечения безопасности информации 12
- 4. Основные угрозы безопасности информации ас организации 16
- 5. Основные положения технической политики в области обеспечения безопасности информации ас организации 28
- 6. Основные принципы построения системы комплексной защиты информации 34
- 7. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов 38
- 8. Первоочередные мероприятия по обеспечению безопасности информации ас организации 59
- Введение
- 1.Общие положения
- 1.1.Назначение и правовая основа документа
- 2.Объекты защиты
- 2.1.Назначение, цели создания и эксплуатации ас организации как объекта информатизации
- 2.2.Структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами
- 2.3.Категории информационных ресурсов, подлежащих защите
- 2.4.Категории пользователей ас организации, режимы использования и уровни доступа к информации
- 2.5.Уязвимость основных компонентов ас организации
- 3.Цели и задачи обеспечения безопасности информации
- 3.1.Интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений
- 3.2.Цели защиты
- 3.3.Основные задачи системы обеспечения безопасности информации ас организации
- 3.4.Основные пути достижения целей защиты (решения задач системы защиты)
- 4.Основные угрозы безопасности информации ас организации
- 4.1.Угрозы безопасности информации и их источники
- 4.2.Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в ас организации
- 4.3.Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала
- 4.4.Утечка информации по техническим каналам
- 4.5.Неформальная модель возможных нарушителей
- 5.Основные положения технической политики в области обеспечения безопасности информации ас организации
- 5.1.Техническая политика в области обеспечения безопасности информации
- 5.2.Формирование режима безопасности информации
- 5.3.Оснащение техническими средствами хранения и обработки информации
- 6.Основные принципы построения системы комплексной защиты информации
- 7.Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов
- 7.1.Меры обеспечения безопасности
- 7.1.1.Законодательные (правовые) меры защиты
- 7.1.2.Морально-этические меры защиты
- 7.1.3.Организационные (административные) меры защиты
- Формирование политики безопасности
- Регламентация доступа в помещения ас организации
- Регламентация допуска сотрудников к использованию ресурсов ас организации
- Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов
- Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов ас организации
- Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов ас организации
- Подразделения технической защиты информации
- Ответственность за нарушения установленного порядка использования ас организации. Расследование нарушений.
- 7.2.Физические средства защиты
- 7.2.1.Разграничение доступа на территорию и в помещения
- 7.3.Технические (программно-аппаратные) средства защиты
- 7.3.1.Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей
- 7.3.2.Средства разграничения доступа зарегистрированных пользователей системы к ресурсам ас
- 7.3.3.Средства обеспечения и контроля целостности программных и информационных ресурсов
- 7.3.4.Средства оперативного контроля и регистрации событий безопасности
- 7.3.5.Криптографические средства защиты информации
- 7.4.Защита информации от утечки по техническим каналам
- Техническая политика в области использования импортных технических средств информатизации
- 7.5.Защита речевой информации при проведении закрытых переговоров
- 7.6.Управление системой обеспечения безопасности информации
- 7.7.Контроль эффективности системы защиты
- 8.Первоочередные мероприятия по обеспечению безопасности информации ас организации
- Перечень нормативных документов, регламентирующих деятельность в области защиты информации
- Список использованных сокращений
- Термины и определения