Please enable JavaScript.
Coggle requires JavaScript to display documents.
3 Нормативно-правове забезпечення ІБ - Coggle Diagram
3 Нормативно-правове забезпечення ІБ
Нормативно-правове забезпечення
Функції нормативної бази ІБ
Регулювати взаємовідносини між суб'єктами інформаційної безпеки, визначати їх права, обов'язки та відповідальність
Нормативно забезпечувати дії суб'єктів інформаційної безпеки на всіх рівнях, а саме - людини, суспільства, держави.
Встановлювати порядок застосування різних сил і засобів забезпечення інформаційної безпеки.
Нормативно-правових акти забезпечення ІБ
Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки"
"Про інформацію"
"Про державну таємницю"
"Про Національну програму інформатизації"
"Про Концепцію Національної програми інформатизації"
"Про телекомунікації"
"Про захист інформації в інформаційно- телекомунікаційних системах"
"Стратегії кібербезпеки України"
Базові НД ТЗІ
НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу.
визначення вимог щодо захисту комп'ютерних систем від несанкціонованого доступу;
створення захищених комп'ютерних систем і засобів їх захисту від несанкціонованого доступу;
оцінки захищеності комп'ютерних систем і їх придатностi для вирішення завдань споживача.
НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп‘ютерних системах від несанкціонованого доступу.
НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в комп‘ютерних системах від несанкціонованого доступу.
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу.
НД ТЗІ 2.7-009-09 Методичні вказівки з оцінювання функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу.
НД ТЗІ 2.7-010-09 Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу
Напрям розробки НД ТЗІ
Основоположні нормативні документи, що регламентують загальні питання організації та функціонування системи ТЗІ, стандартизації, нормування, ліцензування, сертифікації, експертизи, терміни та визначення в сфері ТЗІ
Нормативні документи, що встановлюють вимоги (норми) щодо ТЗІ, регламентують порядок і методи проведення досліджень загроз для інформації, сертифікації та експертизи засобів забезпечення ТЗІ, атестації та експертизи комплексів (систем) захисту інформації
Нормативні документи що регламентують порядок розроблення та виробництва засобів забезпечення ТЗІ, створення, впровадження та експлуатації комплексів (систем) захисту інформації, надання послуг у сфері ТЗІ
Нормативні документи, що регламентують контрольно-інспекційну діяльність у сфері ТЗІ
Види НД ТЗІ
Основні положення
Норми
Методики
Рекомендації
Загальні технічні вимоги
Правила, інструкції
Методичні вказівки
Основні напрями захисту (НД ТЗІ 1.1-002-99 )
забезпечення і оцінка захищеності інформації в АС, що функціонують;
реалізація та оцінка засобів захисту, що входять до складу компонентів,
НД ТЗІ 1.1-002-99
Основні загрози інформації.
Загрози оброблюваної в АС інформації залежать від характеристик ОС, фізичного середовища, персоналу і оброблюваної інформації.
Політика безпеки інформації.
Політика безпеки повинна визначати ресурси АС, що потребують захисту, зокрема установлювати категорії інформації, оброблюваної в АС.
Комплекс засобів захисту і об’єкти комп’ютерної системи.
КЗЗ — це сукупність всіх програмно-апаратних засобів, в тому числі програм постійного запам‘ятовуючого пристрою, задіяних під час реалізації політики безпеки.
Визначення несанкціонованого доступу.
Під НСД слід розуміти доступ до інформації з використанням засобів, включених до складу КС, що порушує встановлені правила розмежування доступу.
Модель порушника
Як порушник розглядається особа, яка може одержати доступ до роботи з включеними до складу КС засобами. Порушники класифікуються за рівнем можливостей, що надаються їм штатними засобами КС.
НД ТЗІ 1.1-003-99
Обчислювальна система (ОС) (computer system) - сукупність програмних-апаратних засобів, призначених для обробки інформації.
Автоматизована система (АС) (automated system) - організаційнотехнічна система, що реалізує інформаційну технологію і об‘єднує ОС, фізичне середовище, персонал і інформацію, яка обробляється.
Комп’ютерна система (КС) (computer system, target of evaluation) - сукупність програмно-апаратних засобів, яка подана для оцінки.
Політика безпеки інформації (information security policy) - сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок обробки інформації.
Загроза (threat) - будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС.
Технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації
Комплекс засобів захисту (КЗЗ) (trusted computing base; TCB) — сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації.
Комплексна система захисту інформації (КСЗІ) — сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС.
Положення про організацію роботи з інформацією, що становить комерційну таємницю та є конфіденційною
правила ведення конфіденційних переговорів за допомогою засобів зв'язку, спілкування з клієнтами та відвідувачами;
правила оформлення доступу до інформації з обмеженим доступом;
порядок розроблення, зберігання, пересилання та руху грифованих документів в установах підприємства;
загальні обов'язки персоналу підприємства щодо зберігання його таємниць;
порядок доступу на засідання і наради, де обговорюються питання, в яких присутня інформація з обмеженим доступом;
інші питання, що регулюють правила доступу до інформації з обмеженим доступом.
права співробітників підприємства та інших осіб щодо отримання інформації з обмеженим доступом;
обов'язки посадових осіб і службовців підприємства щодо роботи з грифованими документами, виробами та засобами;
Документи верхнього рівня
Цілі СУІБ.
Сфера застосування СУІБ
Організаційна структура підприємства, яка охоплюється СУІБ
Політика управління інформаційною безпекою
Опис методології оцінки ризиків.
Звіт щодо оцінки ризиків.
Опис методології оброблення ризиків з визначенням критеріїв прийняття залишкових ризиків.
План оброблення ризиків.
Положення щодо застосовності.