Определение достаточности защиты информации

Содержание

Слайд 2

ISO 15408

Стандарты о достаточности защиты …..
Для принятия решения о достаточности требований безопасности

ISO 15408 Стандарты о достаточности защиты ….. Для принятия решения о достаточности
….. важно, чтобы решаемая задача безопасности ясно понималась всеми участниками оценки.
В зависимости от сложности и критичности требования к безопасности функционирования системы и доступных ресурсов для ее реализации, стандартом рекомендуется выбирать набор классов и семейств процессов, достаточных для обеспечения необходимого качества комплекса функциональной безопасности проекта (ОУД)….

*

Слайд 3

Основные принципы:
…достаточность предложенных мер безопасности должна быть продемонстрирована….
Определяются требования, направленные на

Основные принципы: …достаточность предложенных мер безопасности должна быть продемонстрирована…. Определяются требования, направленные
обеспечение …достаточности…эксплуатационной документации, представленной разработчиком (документация для пользователей и администраторов).
Определяются требования по достаточности тестирования…..

*

Слайд 4

ГОСТ Р ИСО/МЭК 18045

Оценщик должен исследовать политики обеспечения конфиденциальности и целостности при

ГОСТ Р ИСО/МЭК 18045 Оценщик должен исследовать политики обеспечения конфиденциальности и целостности
их разработке, чтобы сделать заключение о достаточности применявшихся мер безопасности.
Сюда включаются политики управления:
- решением об отнесении информации, относящейся к объекту оценки (ОО) к конфиденциальной с доступом к ней определенного персонала;
- решением о защите информации от несанкционированной модификации с разрешением некоторому персоналу модифицировать ее.

*

Слайд 5

Необходимо сделать заключение о том, описаны ли эти политики в документации по

Необходимо сделать заключение о том, описаны ли эти политики в документации по
ИБ разработки, совместимы ли применяемые меры ИБ с политиками, являются ли эти меры достаточно полными. 
Оценщик делает заключение о достаточности и приемлемости подмножества функции безопасности объекта (ФБО). Покрывается ли этим задание по безопасности (ЗБ).

*

Слайд 6

ГОСТ Р ИСО/МЭК 17799-2005г. (27002)

Политику информационной безопасности следует пересматривать с запланированным

ГОСТ Р ИСО/МЭК 17799-2005г. (27002) Политику информационной безопасности следует пересматривать с запланированным
интервалом или при существенных изменениях для поддержания ее адекватности, достаточности и эффективности…

*

Слайд 7

В. Конявский

*

Информация со временем начинает устаревать, т.е. цена ее уменьшается. За условие

В. Конявский * Информация со временем начинает устаревать, т.е. цена ее уменьшается.
достаточности защиты принимается превышение …. времени (затрат) на преодоление преграды нарушителем над временем жизни (ценой) информации

Слайд 8

А. Щеглов

*

Требования к достаточности (полноте, применительно к условиям использования) набора механизмов защиты

А. Щеглов * Требования к достаточности (полноте, применительно к условиям использования) набора
определены документом "Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации"

Слайд 9

А. Щеглов

*

Например о доступе: должен осуществляться контроль подключения ресурсов, в частности устройств,

А. Щеглов * Например о доступе: должен осуществляться контроль подключения ресурсов, в
в соответствии с условиями практического использования защищаемого вычислительного средства, и контроль доступа субъектов к защищаемым ресурсам, в частности к разрешенным для подключения устройствам
Если вопросы достаточности механизмов защиты применительно к набору
защищаемых ресурсов еще как-то поддаются формализации, то
применительно к задачам защиты информации формализовать
подобные требования не представляется возможным.

Слайд 10

В тоже время:

…защиту информации принято считать достаточной, если затраты на ее преодоление

В тоже время: …защиту информации принято считать достаточной, если затраты на ее
превышают ожидаемую ценность самой информации….

*

Слайд 11

ГОРДЕЙЧИК

Фактически предложил подход, связанный с оценкой рисков невыполнения требований регуляторов….
То есть, если

ГОРДЕЙЧИК Фактически предложил подход, связанный с оценкой рисков невыполнения требований регуляторов…. То
оценить риск как средний ущерб от государства (штрафные санкции, конфискация СЗИ, прекращение бизнеса и т.д.) с учетом вероятности проверки Роскомнадзором выполнения требований федерального законодательства и подзаконных актов, то, в случае принятия этого риска, защита считается достаточной…

*

Слайд 12

*
Можно таким же образом подойти к оценке достаточности при невыполнении требований международного

* Можно таким же образом подойти к оценке достаточности при невыполнении требований
законодательства (PCI DSS, акт SOX, законы об информировании субъектов конфиденциальной информации об утрате их данных и т.д…..)

Слайд 13

Достаточность и риск менеджмент

Основа обоснования – качественные и количественные оценки рисков.
Защита

Достаточность и риск менеджмент Основа обоснования – качественные и количественные оценки рисков.
информации и ИТ может считаться достаточной, если:
соблюдается правовая основа, как со стороны национальных и международных регуляторов, так договорная (с клиентами, партнерами и т.д.);
значения рисков ИБ находятся в допустимых пределах;
неприемлемые (непринятые) риски непрерывно обрабатываются до того уровня, когда остаточные риски с учетом произведенных на их обработку затрат будут приняты

*

Имя файла: Определение-достаточности-защиты-информации.pptx
Количество просмотров: 127
Количество скачиваний: 0
- Предыдущая
Опыт разграничения компетенции и ответственности между отделами ИС, ТО, РСиБИ и аутсорсером в УФК по Брянской области Нач. отдела
Следующая -
Институт космических исследований РАН, комплексный отдел 71, e-mail: [email protected] . В Москве: д. т. н. В.В.Золотарёв, П.В.Овечк

Похожие презентации

Занятие изостудии Ирис. Бумажные кружева
Основы уголовного права лекц. моя
Социальная составляющая мотивации и стимулирования
Художник
Презентация на тему Эскимосы
Уже давно закончилась война, Но не для Вас, седые ветераны, И в сердце вашем не зажили раны – Так много унесла с собой она. Мы поздра
Многообразие Человекообразных обезьян
Формы и методы развития исследовательских способностей
polovoe-razmnozhenie.ppt
КНДР. Социально-политическая система
МОУ Гимназия № 2 г. Ярославля
Презентация на тему презентация путешествие по материкам 2 класс
Человеческая душа
ТВ режиссура
Презентация на тему Основные виды сложных предложений
Как ткани ткут и нити прядут
Общественное питание
КОРУС Консалтинг: Электронные сервисы для государства
Презентация на тему Веточка Роза в технике Ганутель
Управление организациями. Теоретические положения процессного подхода
Исследование силовой подготовки девушек и женщин, занимающихся фитнесом
ОРГАНИЗАЦИЯ ВСЕРОССИЙСКИХ СОРЕВНОВАНИЙ ПО ЛЫЖНЫМ ГОНКАМ В СОВРЕМЕННЫХ УСЛОВИЯХ Сколота М.В. (г. Архангельск)
Икона Владимирской Божией Матери
Учебно-методический комплекс по биологии как средство достижения предметных, метапредметных и личностных результатов освоения о
Основы законодательства об информации и её защите
Принцип Гюйгенса. Закон отражение света
Как вести себя при сигнале «Внимание – всем!»
Презентация Microsoft Office PowerPoint+
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть