Проект "ИТ-Защита"

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение устанавливает основные принципы, оpганизационную структуру системы аттестации объектов инфоpматизации по требованиям безопасности инфоpмации, поpядок пpоведения аттестации, а также контроля и надзоpа за аттестацией и эксплуатацией аттестованных объектов инфоpматизации.

1.2. Положение разработано в соответствии с законами Российской Федерации “О сертификации продукции и услуг” и "О государственной тайне", "Положением о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам", "Положением о государственном лицензировании деятельности в области защиты информации", "Положением о сертификации средств защиты информации по требованиям безопасности информации", "Системой сертификации ГОСТ Р".

Далее...

Система обеспечения информационной безопасности (СОИБ) представляет собой  совокупность мер организационного и программно-технического  уровня, направленных на защиту информационных ресурсов организации от угроз безопасности. Экономический эффект от внедрения СОИБ проявляется в снижении величины возможного материального,  морального и иных видов ущерба, наносимого организации, за счет мер, направленных на  формирование и поддержание режима ИБ.

Далее...

От обеспечения безопасности информационной вычислительной системы (ИВС) банка сегодня во многом зависит бесперебойное, устойчивое и надежное функционирование бизнес-процессов в банке в целом; в частности репутация финансового учреждения, доля на рынке, снижение издержек.

 

Системы защиты предназначены для обеспечения безопасности информации, обрабатываемой в ИВС. Ко всем данным, с которыми работает информационная банковская система, в обязательном порядке предъявляется требование сохранности, аутентичности и целостности. Обеспечение этих требований является первостепенным в задачах обеспечения информационной безопасности. При современной острой конкурентной борьбе многие финансовые данные должны быть доступными только определенному кругу уполномоченных лиц. С другой стороны, банковская система должна оставаться прозрачной для государственных надзорных и налоговых органов.

Далее рассмотрим возможности нападения на информационные системы банка

Большинство лиц, ответственных за обеспечение информационной безопасности, задавалось вопросом: "Как оценить уровень безопасности корпоративной информационной системы нашего предприятия для управления им в целом и определения перспектив его развития?"

Темпы развития современных информационных технологий значительно опережают темпы разработки рекомендательной и нормативно-правовой базы руководящих документов, действующих на территории России. Поэтому вопрос, "как оценить уровень безопасности корпоративной информационной системы", - обязательно влечет за собой следующие: в соответствии с какими критериями производить оценку эффективности защиты, как оценивать и переоценивать информационные риски предприятия? Вследствие этого, в дополнение к требованиям, рекомендациям и руководящим документам Гостехкомисии России и ФАПСИ приходится адаптировать к нашим условиям и применять методики международных стандартов (ISO 17799, 9001, 15408, BSI и пр.), а также использовать методы количественного анализа рисков в совокупности с оценками экономической эффективности инвестиций в обеспечение безопасности и защиту информации.

Далее...

Главной целью любой системы информационной безопасности является обеспечение устойчивого функционирования объекта, предотвращение угроз его безопасности, защита законных интересов Заказчика от противоправных посягательств, недопущение хищения финансовых средств, разглашения, утраты, утечки, искажения и уничтожения служебной информации, обеспечение нормальной производственной деятельности всех подразделений объекта. Другой целью системы информационной безопасности является повышение качества предоставляемых услуг и гарантий безопасности имущественных прав и интересов клиентов.

Далее...

"Оценка безопасности автоматизированных систем"

Обзор и анализ предлагаемого проекта технического доклада ISO/IEC PDTR 19791

Владимир Галатенко (доктор физ.-мат. наук, зав. сектором автоматизации программирования НИИ системных исследований РАН)


СОДЕРЖАНИЕ

Обзор проекта технического доклада ISO/IEC PDTR 19791
Введение
Международные стандарты, на которые опирается проект
Основные понятия, включенные в проект
Модель автоматизированной системы
Формирование режима безопасности
Безопасность в жизненном цикле автоматизированной системы
Доверие к безопасности автоматизированной системы
Проведение оценки безопасности автоматизированной системы
Функциональные требования безопасности для автоматизированных систем
Требования доверия к безопасности для автоматизированных систем
Системные профили защиты и задания по безопасности
Заключение
Анализ проекта технического доклада ISO/IEC PDTR 19791
О концептуальном базисе оценочных стандартов информационной безопасности
Проведение оценки
Внутренние недостатки предлагаемого проекта технического доклада
Возможные расширения набора требований безопасности
Заключение

Обзор проекта технического доклада ISO/IEC PDTR 19791

Далее...

Создание комплексной системы управления информационной безопасностью

СОДЕРЖАНИЕ

ISO/IEC 27001 и система управления информационной безопасностью
Этапы создания СУИБ
Принятие решения о создании СУИБ
Подготовка к созданию СУИБ
Анализ рисков
Разработка политик и процедур СУИБ
Внедрение СУИБ в эксплуатацию
Заключение

Далее...