Проект "ИТ-Защита"

По сообщению "РИА Новости" (автор Иван Шадрин, ссылка на полную версию статьи http://rian.ru/science/20110408/362510524.html )

Запрет Skype не повысит национальную безопасность, заявляют эксперты

МОСКВА, 8 апр - РИА Новости. Иван Шадрин.

Запрет использования в России Skype, Gmail и других интернет-сервисов, использующих зарубежные алгоритмы шифрования информации, который в пятницу предложил ввести сотрудник ФСБ, едва ли является оптимальным решением для повышения уровня национальной безопасности, считают опрошенные РИА Новости эксперты по криптографии и инфобезопасности.

Зам. руководителя научно-технической службы ФСБ Александр Андреечкин, выступая в пятницу на закрытом заседании правительственной комиссии, выразил обеспокоенность проблемой использования сервисов передачи данных с применением систем шифрования на основе зарубежных алгоритмов (популярные сервисы Gmail, Hotmail и Skype). Как пояснил по итогам заседания замглавы Минкомсвязи Илья Массух, ФСБ предложила запретить в России использование этих сервисов, объяснив это тем, что использование в них систем шифрования затрудняет осуществление оперативных мероприятий.

Далее...

МЕТОДОЛОГИЯ ОЦЕНКИ БЕЗОПАСНОСТИ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ПО ОБЩИМ КРИТЕРИЯМ

СОДЕРЖАНИЕ

История вопроса

Существующие версии Общей методологии оценки безопасности информационных технологий

Процесс оценки

Общая модель оценки

Особенности выполнения количественных оценок

Правила формирования заключения по результатам оценки

Оформление результатов оценки

Применение Общей методологии оценки безопасности информационных технологий в России

Перспективы развития Общей методологии оценки безопасности информационных технологий

Далее...

Анализ рисков

Анализ рисков - это то, с чего должно начинаться построение любой системы информационной безопасности. Он включает в себя мероприятия по обследованию безопасности АС, целью которого является определение того какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных контрмер осуществляется в ходе управления рисками. Ниже раскрываются сущность и содержание мероприятий по анализу и управлению рисками.

Риск определяется вероятностью причинения ущерба и величиной ущерба, наносимого ресурсам АС, в случае осуществления угрозы безопасности.

Далее...

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение устанавливает основные принципы, оpганизационную структуру системы аттестации объектов инфоpматизации по требованиям безопасности инфоpмации, поpядок пpоведения аттестации, а также контроля и надзоpа за аттестацией и эксплуатацией аттестованных объектов инфоpматизации.

1.2. Положение разработано в соответствии с законами Российской Федерации “О сертификации продукции и услуг” и "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Положением о государственном лицензировании деятельности в области защиты информации", "Положением о сертификации средств защиты информации по требованиям безопасности информации", "Системой сертификации ГОСТ Р".

Далее...

Система обеспечения информационной безопасности (СОИБ) представляет собой  совокупность мер организационного и программно-технического  уровня, направленных на защиту информационных ресурсов организации от угроз безопасности. Экономический эффект от внедрения СОИБ проявляется в снижении величины возможного материального,  морального и иных видов ущерба, наносимого организации, за счет мер, направленных на  формирование и поддержание режима ИБ.

Далее...

От обеспечения безопасности информационной вычислительной системы (ИВС) банка сегодня во многом зависит бесперебойное, устойчивое и надежное функционирование бизнес-процессов в банке в целом; в частности репутация финансового учреждения, доля на рынке, снижение издержек.

 

Системы защиты предназначены для обеспечения безопасности информации, обрабатываемой в ИВС. Ко всем данным, с которыми работает информационная банковская система, в обязательном порядке предъявляется требование сохранности, аутентичности и целостности. Обеспечение этих требований является первостепенным в задачах обеспечения информационной безопасности. При современной острой конкурентной борьбе многие финансовые данные должны быть доступными только определенному кругу уполномоченных лиц. С другой стороны, банковская система должна оставаться прозрачной для государственных надзорных и налоговых органов.

Далее рассмотрим возможности нападения на информационные системы банка

Большинство лиц, ответственных за обеспечение информационной безопасности, задавалось вопросом: "Как оценить уровень безопасности корпоративной информационной системы нашего предприятия для управления им в целом и определения перспектив его развития?"

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому вопрос, "как оценить уровень безопасности корпоративной информационной системы", - обязательно влечет за собой следующие: в соответствии с какими критериями производить оценку эффективности защиты, как оценивать и переоценивать информационные риски предприятия? Вследствие этого, в дополнение к требованиям, рекомендациям и руководящим документам Гостехкомисии России и ФАПСИ приходится адаптировать к нашим условиям и применять методики международных стандартов (ISO 17799, 9001, 15408, BSI и пр.), а также использовать методы количественного анализа рисков в совокупности с оценками экономической эффективности инвестиций в обеспечение безопасности и защиту информации.

Далее...