Комплексное обследование корпоративной информационной системы проводится с целью сбора информации о существующем положении дел по обеспечению информационной безопасности для всех ключевых составляющих корпоративной информационной системы (КИС) предприятия. Информация, получаемая при проведении обследования, позволяет выявить возможные слабые места в системе информационной безопасности, определить адекватность и эффективность используемых организационно-технических мер, применяемых для защиты ресурсов в КИС.
Читать далее »Защита4
Комплексное обследование (аудит) системы информационной безопасности организации
Необходимым атрибутом успешного функционирования большинства государственных и частных структур является их собственная информационная безопасность. В зависимости от рода деятельности предприятия, организации и т.д. необходимый уровень защищенности может варьировать в широких пределах
Читать далее »Управление рисками, проектирование и сопровождение корпоративных систем защиты информации
Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспективного стратегического развития компании]. Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации.
Читать далее »Классы оценок
Отдельно в документе выделено два класса. Класс АРЕ — Оценка профиля защиты. • Описание предмета оценки APE_DES. • Среда безопасности APEENV. • Описание профиля защиты APE_INT. • Цели безопасности APE_OBJ.
Читать далее »Классификация информационных объектов
В предыдущих разделах сайта, посвященных общим понятиям информационной безопасности, были рассмотрены основные факторы, на которых основывается информационная безопасность. Соответственно, ценность или важность любого информационного объекта необходимо рассматривать именно с такой точки зрения, так как градации «секретный — конфиденциальный — открытый» или «очень важный — важный — неважный» представляются достаточно бедными для точного определения значения объекта.
Читать далее »Принципы и направления
Ниже приведены несколько выдержек из подобного документа, которые могут помочь соответствующему специалисту в создании своего варианта. Принципы проведения инвентаризации. • Принцип единообразного подхода подразумевает рассмотрение любого объекта/системы с точки зрения технологии создания, обработки, хранения, отправки или приема информации.
Читать далее »Основные регламенты классификации
Тем, кто начинает свое знакомство с информационной безопасностью, уже на первых стадиях ее изучения попадутся названия «Оранжевая книга», «Красная книга», Общие критерии (Common Criteria), ТСРЕС, ITSEC и др. Все это критерии определения уровня безопасности систем. Наиболее известные из них следующие:
Читать далее »Общий характер инвентаризации информационных систем
Инвентаризация — в данном случае это составление списка систем, т.е. объектов, которые будут подлежать защите и субъектов, которые задействованы в данном информационном пространстве, и будут влиять на информационную защиту системы.
Читать далее »Полная модель классификации субъектов
Рассмотрим более сложную западную модель, предложенную в книге «Handbook of Information Security Management» («Руководство по управлению информационной безопасности»). Владелец информации — бизнес-менеджер, который ответственен за информационные активы предприятия. Обязанности следующие:
Читать далее »Принципы распределения прав и ответственности
Прежде чем перейти к конкретным вопросам, заострим внимание на двух фундаментальных принципах, на которых строится распределение ролей и ответственности.
Читать далее »