Система защиты информации, политика безопасности, безопасность информации.

Правовая, техническая, криптографическая, физическая защита информации.

Правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Техническая защита информации: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Криптографическая защита информации: Защита информации с помощью ее криптографического преобразования.

Физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Примечания

1) Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временны х, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

2) К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

Защита информации от утечки, защита информации от несанкционированного воздействия, защита информации от несанкционированного доступа.

Защита информации от утечки: Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Защита информации от несанкционированного воздействия: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от несанкционированного доступа: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Примечание - Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Система защиты информации, политика безопасности, безопасность информации.

Система защиты информации: Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Политика безопасности (информации в организации): Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Безопасность информации [данных]: Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

4. Система защиты информации, политика безопасности, безопасность информации. - student2.ru Угроза безопасности информации, источник угрозы информационной безопасности, уязвимость информационной системы, модель угроз безопасности информации.

Угроза (безопасности информации): Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Источник угрозы безопасности информации: Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Уязвимость (информационной системы): Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Примечания

1 Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2 Если уязвимость соответствует угрозе, то существует риск.

Модель угроз (безопасности информации): Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание - Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

Модель угроз безопасности персональных данных необходима для определения требований к системе защиты. Без модели угроз невозможно построить адекватную (с точки зрения денежных затрат) систему защиты информации, обеспечивающую безопасность персональных данных.

Порядок разработки модели угроз и модели нарушителя определены в документах:

· Руководящий документ ФСТЭК «Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»

· БАЗОВАЯ МОДЕЛЬ УГРОЗ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ БРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ (ФСТЭК)

· Методические рекомендации ФСБ России

«Базовая модель» содержит систематизированный перечень угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Многие эксперты по защите информации весьма скептически относятся к этому документу. Угрозы, приведенные в базовой модели, устарели и далеко не всеобъемлющи. Однако за неимением лучшего приходится довольствоваться текущей редакцией документа.

Пример «Модель угроз»
Система защиты информации, политика безопасности, безопасность информации. - student2.ru

5. Система защиты информации, политика безопасности, безопасность информации. - student2.ru Сервисы обеспечения информационной безопасности.

Схема классификации:

· По уровню модели ВОС

· По типу блокируемых угроз

· По защищаемым объектам (локальные, сетевые)

· По уровню использования (индивидуальные, корпортаивные)

· По реализации (программные, аппаратные, программно-аппаратные)

Система защиты информации, политика безопасности, безопасность информации. - student2.ru

Классификация средств ИБ по типу блокируемых угроз:

· Антивирусные средства

· Средства защиты от DoS-атак

· Средства защиты от сетевых атак (МЭ, IDS, IDP)

· Средства защиты от утечек конфиденциальной информации (DLP)

· Средства защиты от несанкционированного доступа:

· Средства управления доступом

· Средства аутентификации

· Средства криптографической защиты

· Комплексные

Наши рекомендации