Please enable JavaScript.
Coggle requires JavaScript to display documents.
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - Coggle Diagram
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Основні функції нормативної бази ІБ
Нормативно забезпечувати дії суб'єктів інформаційної безпеки на всіх рівнях, а саме - людини, суспільства, держави.
Встановлювати порядок застосування різних сил і засобів забезпечення інформаційної безпеки.
Регулювати взаємовідносини між суб'єктами інформаційної безпеки, визначати їх права, обов'язки та відповідальність.
Базові НД ТЗІ
НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп‘ютерних системах від несанкціонованого доступу.
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп‘ютерних системах від несанкціонованого доступу.
НД ТЗІ 2.7-009-09 Методичні вказівки з оцінювання функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу.
НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.
НД ТЗІ 2.7-010-09 Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу.
Види НД ТЗІ
Рекомендації
Загальні технічні вимоги
Методики
Правила, інструкції
Норми
Методичні вказівки
Основні положення
Регламентуючі питання вирішувані в НД ТЗІ
створення захищених комп'ютерних систем і засобів їх захисту від несанкціонованого доступу;
оцінки захищеності комп'ютерних систем і їх придатностi для вирішення завдань споживача.
визначення вимог щодо захисту комп'ютерних систем від несанкціонованого доступу;
Термінологія згідно НД ТЗІ 1.1-003-99.
Комп’ютерна система (КС) (computer system, target of evaluation) - сукупність програмно-апаратних засобів, яка подана для оцінки.
Політика безпеки інформації (information security policy) - сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок обробки інформації.
Автоматизована система (АС) (automated system) - організаційно- технічна система, що реалізує інформаційну технологію і об‘єднує ОС, фізичне середовище, персонал і інформацію, яка обробляється.
Загроза (threat) - будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС.
Обчислювальна система (ОС) (computer system) - сукупність програмних-апаратних засобів, призначених для обробки інформації.
Технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації
Комплекс засобів захисту (КЗЗ) (trusted computing base; TCB) — сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації.
Комплексна система захисту інформації (КСЗІ) — сукупність організаційних і інженерних заходів, програмно- апаратних засобів, які забезпечують захист інформації в АС.
Комерційною таємницею не можуть бути
інформація про участь посадових осіб підприємства в кооперативах, малих підприємствах, спілках, об'єднаннях та інших організаціях, що є суб'єктами підприємництва;
документи про платоспроможність;
дані, необхідні для перевірки, обчислення і сплати
податків та інших обов'язкових платежів;
інформація про забруднення навколишнього природного середовища, невиконання умов безпеки праці, реалізацію продукції, яка завдала шкоди здоров'ю, а також інші порушення законодавства України і розміри завданих при цьому збитків;
інформація за всіма встановленими формами державної звітності;
інформація про забруднення навколишнього природного середовища, невиконання умов безпеки праці, реалізацію продукції, яка завдала шкоди здоров'ю, а також інші порушення законодавства України і розміри завданих при цьому збитків.
установчі документи, документи, що дозволяють
займатися підприємницькою діяльністю та її окремими видами;
Документи верхнього рівня описують
Політика управління інформаційною безпекою.
Опис методології оцінки ризиків.
Організаційна структура підприємства, яка
охоплюється СУІБ.
Звіт щодо оцінки ризиків.
Сфера застосування СУІБ.
Опис методології оброблення ризиків з
визначенням критеріїв прийняття залишкових ризиків.
Цілі СУІБ.
План оброблення ризиків.
Положення щодо застосовності.
Документи середнього рівня
Документи середнього рівня фактично є технічними документами, які спрямовані на опис способів реалізації заходів безпеки для захисту ресурсів СУІБ від загроз. Документами середнього рівня можуть бути:
Опис процедури управління санкціонуванням
використання нових засобів оброблення інформації.
Опис вимог щодо угод з третіми сторонами щодо доступу, оброблення, передавання або управління інформацією організації або засобами оброблення інформації, або щодо додавання продуктів чи послуг до засобів оброблення інформації.
Зобов'язання працівників підприємства щодо збереження інформації з обмеженим доступом.
Документація щодо управління ресурсами СУІБ
Документація щодо фізичної безпеки та безпеки інфраструктури:
Документація управління комунікаціями та функціонуванням
Документація щодо придбання, розроблення та підтримка інформаційних
систем
Документація щодо управління інцидентами інформаційної безпеки:
Документація нижнього рівня поділяється на дві групи
Перша група включає записи різного типу, які вимагаються стандартами. Це журнали реєстрації різних подій (наприклад реєстрації несправностей обладнання), журнали аудиту різних систем (операційної, прикладних програм, надання доступу до ресурсів мережі Інтернет тощо).
Друга група документів нижнього рівня містить інструкції (пам'ятки) з виконання тих чи інших операцій щодо інформаційної безпеки і призначена для кінцевих користувачів.
Рекомендована структура документа
Ціль документа (цілі та очікувані результати
застосування документа з точки зору інформаційної безпеки).
Сфера застосування (перелік сфер застосування та
організаційних структур, які охоплюються документом).
Терміни та скорочення (визначення термінів та
скорочень, які використовуються в документі).
Предмет документу та опис дій (принципи, які застосовуються для виконання цілей документа, розподіл обов'язків та терміни виконання завдань).
Вступ (короткий опис документа - 1-2 речення).
Ролі та відповідальності (відомості щодо ролей та відповідальності персоналу підприємства під час виконання дій, пов'язаних з принципами та сферою застосування цього документа).
Титульний лист (назва підприємства та назва
документа, а також дата його затвердження);
Перегляд документа (принципи перегляду та оновлення документа, а також ситуації, які потребують обов'язкового перегляду).
Перелік пов'язаних документів.
Історія змін.
Створюйте журнали для записів тільки там, де цього потребують стандарти та існуючі правила бізнесу. Якщо можливо, автоматизуйте процедуру ведення журналів.