Назначение и статус документа
«Концепция безопасности информационных технологий организации» (далее -Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в АС организации, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС.
Основные положения и требования Концепции распространяются на все структурные подразделения организации, в которых осуществляется автоматизированная обработка подлежащей защите информации, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС.
Концепция является методологической основой для:
· формирования и проведения единой политики в области обеспечения безопасности информации в АС;
· принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
· координации деятельности структурных подразделений при проведении работ по созданию, развитию и эксплуатации АС с соблюдением требований обеспечения безопасности информации;
· разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности АС.
Правовой основой Концепции должны являться Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы ФСТЭК России, ФСБ России и другие нормативные документы, регламентирующие вопросы защиты информации в АС.
При разработке Концепции должны учитываться основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.
Основные положения Концепция должны базироваться на качественном осмыслении вопросов безопасности информации и не концентрировать внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.
Положения Концепции предусматривают существование в рамках проблемы обеспечения безопасности информации в АС двух относительно самостоятельных направлений, объединенных единым замыслом: защита информации от утечки по
техническим каналам и защита информации в автоматизированных системах от несанкционированного доступа.
В Концепции безопасности информационных технологий должны быть отражены следующие вопросы:
·характеристика АС организации, как объекта безопасности ИТ (объекта
защиты):
o назначение, цели создания и эксплуатации АС организации;
o структура, состав и размещение основных элементов АС организации, информационные связи с другими объектами;
o категории информационных ресурсов, подлежащих защите;
o категории пользователей АС организации, режимы использования и уровни доступа к информации;
o интересы субъектов информационных отношений затрагиваемых при эксплуатации АС организации;
o уязвимость основных компонентов АС организации;
·цели и задачи обеспечения безопасности ИТ организации и основные пути их достижения (решения задач системы защиты);
·перечень основных опасных воздействующих факторов и значимых угроз безопасности ИТ:
o внешние и внутренние воздействующие факторы, угрозы безопасности информации и их источники;
o пути реализации непреднамеренных субъективных угроз безопасности информации в АС организации;
o умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;
o утечка информации по техническим каналам;
o неформальная модель возможных нарушителей;
o подход к оценке риска в АС организации;
·основные положения технической политики в области обеспечения безопасности информации АС организации;
·принципы обеспечения безопасности ИТ организации;
·основные меры и методы (способы) защиты от угроз, средства обеспечения требуемого уровня защищенности ресурсов АС:
o организационные (административные) меры защиты;
o структура, функции и полномочия подразделения обеспечения безопасности ИТ;
o физические средства защиты;
o технические (программно-аппаратные) средства защиты;
o управление системой обеспечения безопасности информации;
o контроль эффективности системы защиты;
·первоочередные мероприятия по обеспечению безопасности информации АС организации;
·перечень нормативных документов, регламентирующих деятельность в области защиты информации;
·основные термины и определения.
РАЗДЕЛ III.
Дата добавления: 2018-03-01; просмотров: 499;