Эффективная реализация, сопровождение и развитие комплекса мер защиты возможны только при условии наличия формализованного системного подхода к обеспечению информационной безопасности. Именно для решения такой задачи предназначена Концепция информационной безопасности (КИБ). Основная цель Концепции состоит в формировании интегрированной системы взглядов на цели, задачи, основные принципы и направления деятельности в области обеспечения информационной безопасности с учётом действующего законодательства Российской Федерации, а также Международных стандартов.
Концепция охватывает вопросы обеспечения информационной безопасности компании на всех этапах ее деятельности и содержит:
• Обнаружение и блокирование вирусов и других вредоносных программ.
• Определение информационной безопасности, перечень ее составляющих.
• Положение о целях управления - поддержка целей и принципов информационной безопасности.
• Краткое разъяснение политики безопасности, принципов ее построения и стандартов в этой области. Соответствие политики требованиям, имеющим особое значение для организации:
- соответствие положений политики местному и международному законодательству;
- обучение персонала по вопросам безопасности.
• Непрерывность ведения бизнеса.
• Последствия нарушения политики безопасности.
• Включение в должностные обязанности руководителей ответственности за обеспечение информационной безопасности, включая отчеты об инцидентах.
• Подробный перечень документов, которые должны быть изданы вместе с политикой безопасности (положения, инструкции, регламенты и т. п.).
Содержание
1. Введение
1.1. Место концепции информационной безопасности в нормативном обеспечении информационной безопасности
1.2. Актуальность разработки концепции информационной безопасности
2. Анализ существующих типов концепций информационной безопасности
2.1. Технологические КИБ
2.2. Нормативные КИБ
2.3. Достоинства и недостатки технологических КИБ
2.4. Достоинства и недостатки нормативных КИБ
2.5. КИБ смешанного типа
2.6. Выводы
3. Выбор концепции информационной безопасности для компании-оператора сети СПС
4. Составные части концепции информационной безопасности
4.1. Общая часть
4.1.1. Объекты и субъекты информационной безопасности
4.1.2. Взаимосвязь объектов и субъектов информационной безопасности
4.1.3. Угрозы информационной безопасности
4.1.3.1. Угрозы информационной безопасности (уровень КИБ)
4.1.3.2. Угрозы информационной безопасности (уровень ПИБ)
4.2. Модель обеспечения информационной безопасности
4.2.1. Организационные меры по защите информации
4.2.2. Классификация и управление ресурсами
4.2.3. Классификация ресурсов
4.2.4. Физическая безопасность
4.2.5. Управление непрерывностью бизнеса
4.3. Экономическая часть концепции информационной безопасности
4.3.1. Модель оценки риска от реализации угроз
4.3.2. Методика расчета финансовых затрат на реализацию концепции
4.4. Техническая часть концепции информационной безопасности
4.4.1. Требования к системам и средствам
4.4.2. Требования к поставщикам
4.4.3. Требования к эксплуатации
4.5. Нормативная часть концепции информационной безопасности
4.5.1. Перечень нормативных документов, разрабатываемых в рамках концепции
4.5.2. Взаимосвязь нормативных документов, разрабатываемых в рамках концепции
5. Последовательность разработки концепции информационной безопасности
6. Жизненный цикл концепции информационной безопасности
6.1. Разработка
6.2. Утверждение
6.3. Реализация
6.4. Корректировка
7. Пример концепции информационной безопасности
Заключение
Литература
Приложение
Основные параметры средств обеспечения информационной безопасности
Межсетевые экраны
Системы построения VPN
Системы обнаружения атак
Системы анализа защищенности
Перечень рисунков
Рис.4.1. Пример архитектуры КИС для Компании (подразделения Компании), имеющей выход в Интернет и обладающей ресурсами, к которым необходим доступ из Интернет
Рис.4.2. Последовательность разработки нормативной документации в рамках КИБ и ПИБ
