Материал: Sb96058
Защита информации от несанкционированного доступа – защита ин-
формации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.
Защита информации от преднамеренного воздействия – защита ин-
формации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.
Защита информации от разглашения – защита информации, направ-
ленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.
Защита информации от утечки – защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации (иностранными) разведками и другими заинтересованными субъектами.
Защита от несанкционированного доступа – предотвращение или су-
щественное затруднение несанкционированного доступа.
Защитная мера – сложившаяся практика, процедура или механизм обработки риска.
Понятие «защитная мера» может считаться синонимом понятию «контроль».
Защитный ресурс комплексной системы защиты информации – со-
вокупность сил, организационных мероприятий, технических и программных средств защиты информации.
26
Список использованной литературы
ГОСТ Р ИСО/МЭК 13335-1–2006 «Информационная технология. Методы и средства обеспечения безопасности. Ч. 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».
ГОСТ Р ИСО/МЭК 27001–2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования».
ГОСТ Р 50922–2006 «Защита информации. Основные термины и определения».
Приказ Гостехкомиссии России от 19.06.2002 № 187 «Безопасность информационных технологий. Критерии оценки безопасности информационных технологий».
Руководящий документ. Защита от несанкционированного доступа к информации. Термины и определения. Гостехкомиссия России, 1992.
Сабынин В. Н. Безопасность информации. СПб.: Департамент федеральной государственной службы, учебно-методический центр. 2001. Вып. 3.
Сабынин В. Н. Организация работ по обеспечению безопасности информации в фирме // Информост – радиоэлектроника и телекоммуникации. 2001. № 5 (18).
Сабынин В. Н., Клочко В. А. Планирование мероприятий по обеспечению безопасности информации в фирме // БДИ. Безопасность, достоверность,
информация. 2001. № 2. С. 10–11.
27
ПРИЛОЖЕНИЯ
1. Форма акта оценки рисков
УТВЕРЖДАЮ
Руководитель
______________________________________
(наименование компании)
______________________________________
(подпись, ФИО)
«___» ________________ 20__ г.
А К Т оценки рисков информационной безопасности
для автоматизированной системы
(наименование автоматизированной системы)
№ ___
«___» ____________ 20__ г.
На основании приказа от «___» ________20_ г. № ___ комиссия в составе
председателя комиссии
_____________________________________________________________________________
(должность, ФИО)
членов комиссии
_____________________________________________________________________________
(должность, ФИО)
в присутствии________________________________________________________________
(должность, ФИО)
28
в соответствии с требованиями нормативных документов по обеспечению информационной безопасности провела оценку рисков информационной безопасности для автоматизированной системы
___________________________________________________________________
(наименование автоматизированной системы)
|
Результаты оценки: |
|
|
|
|
|
|
|
|
|
1.1. Перечень приемлемых рисков |
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
№ |
Наименование |
|
№ по |
|
Описание возможных последствий |
||||
и краткое описание |
|
Реестру |
|||||||
п/п |
|
реализации риска |
|||||||
риска |
|
рисков |
|||||||
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
1 |
2 |
|
|
3 |
|
|
|
4 |
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
1.2. Перечень неприемлемых рисков |
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
№ |
Наименование |
|
№ по |
|
Описание возможных |
Описание способа |
|||
и краткое описание |
|
Реестру |
|
||||||
п/п |
|
|
|
последствий риска |
обработки риска |
||||
|
риска |
|
рисков |
|
|
|
|
|
|
1 |
2 |
|
3 |
|
|
|
4 |
5 |
|
|
|
|
|
|
|
|
|
|
|
Приложение: Реестр рисков информационной безопасности.
Председатель комиссии |
____________________ |
___________________ |
|
(подпись) |
(ФИО) |
Члены комиссии: |
____________________ |
___________________ |
|
||
|
(подпись) |
(ФИО) |
|
____________________ |
___________________ |
|
(подпись) |
(ФИО) |
29
2. Типовая форма перечня объектов защиты
Бизнес-процесс: _________________________________________________________
Бизнес-функция: _________________________________________________________
Подразделения: __________________________________________________________
30
|
|
|
Краткое |
|
|
|
|
Наименование |
Уровень |
|
|
|
|
|
Владелец объекта |
|
автоматизированной |
||
|
№ |
Условное |
описание |
Тип объекта |
Собственник |
защиты |
Пользователь(ли) |
системы, в состав |
критичности |
|
п/п |
обозначение |
объекта |
защиты |
объекта защиты |
(должность, ФИО) |
(должность, ФИО) |
которой входит |
объекта |
|
|
|
защиты |
|
|
|
|
объект защиты |
защиты |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4 |
|
|
7 |
|
|
|
1 |
2 |
3 |
5 |
6 |
8 |
9 |
||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
30