Назначение и статус документа

«Концепция безопасности информационных технологий организации» (далее -Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в АС организации, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС.

Основные положения и требования Концепции распространяются на все структурные подразделения организации, в которых осуществляется автоматизированная обработка подлежащей защите информации, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС.

Концепция является методологической основой для:

· формирования и проведения единой политики в области обеспечения безопасности информации в АС;

· принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;

· координации деятельности структурных подразделений при проведении работ по созданию, развитию и эксплуатации АС с соблюдением требований обеспечения безопасности информации;

· разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности АС.

Правовой основой Концепции должны являться Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы ФСТЭК России, ФСБ России и другие нормативные документы, регламентирующие вопросы защиты информации в АС.

При разработке Концепции должны учитываться основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.

Основные положения Концепция должны базироваться на качественном осмыслении вопросов безопасности информации и не концентрировать внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.

Положения Концепции предусматривают существование в рамках проблемы обеспечения безопасности информации в АС двух относительно самостоятельных направлений, объединенных единым замыслом: защита информации от утечки по

техническим каналам и защита информации в автоматизированных системах от несанкционированного доступа.

В Концепции безопасности информационных технологий должны быть отражены следующие вопросы:

·характеристика АС организации, как объекта безопасности ИТ (объекта
защиты):

o назначение, цели создания и эксплуатации АС организации;

o структура, состав и размещение основных элементов АС организации, информационные связи с другими объектами;

o категории информационных ресурсов, подлежащих защите;

o категории пользователей АС организации, режимы использования и уровни доступа к информации;

o интересы субъектов информационных отношений затрагиваемых при эксплуатации АС организации;

o уязвимость основных компонентов АС организации;

 

·цели и задачи обеспечения безопасности ИТ организации и основные пути их достижения (решения задач системы защиты);

·перечень основных опасных воздействующих факторов и значимых угроз безопасности ИТ:

 

o внешние и внутренние воздействующие факторы, угрозы безопасности информации и их источники;

o пути реализации непреднамеренных субъективных угроз безопасности информации в АС организации;

o умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала;

o утечка информации по техническим каналам;

o неформальная модель возможных нарушителей;

o подход к оценке риска в АС организации;

 

·основные положения технической политики в области обеспечения безопасности информации АС организации;

·принципы обеспечения безопасности ИТ организации;

·основные меры и методы (способы) защиты от угроз, средства обеспечения требуемого уровня защищенности ресурсов АС:

 

o организационные (административные) меры защиты;

o структура, функции и полномочия подразделения обеспечения безопасности ИТ;

o физические средства защиты;

o технические (программно-аппаратные) средства защиты;

o управление системой обеспечения безопасности информации;

o контроль эффективности системы защиты;

 

·первоочередные мероприятия по обеспечению безопасности информации АС организации;

·перечень нормативных документов, регламентирующих деятельность в области защиты информации;

·основные термины и определения.

 


РАЗДЕЛ III.

 








Дата добавления: 2018-03-01; просмотров: 499;


Поиск по сайту:

При помощи поиска вы сможете найти нужную вам информацию.

Поделитесь с друзьями:

Если вам перенёс пользу информационный материал, или помог в учебе – поделитесь этим сайтом с друзьями и знакомыми.
helpiks.org - Хелпикс.Орг - 2014-2024 год. Материал сайта представляется для ознакомительного и учебного использования. | Поддержка
Генерация страницы за: 0.006 сек.