Опубликовано 27 марта, 200719 г интересна концепция информационной безопасности, если быть точным. 19440[/snapback] Здравствуйте, уважаемые автор темы и участники форума. Тема интересная, но, как справедливо заметили предыдущие участники, отвечать, не имея практической информации об организации, затруднительно. Но мне хотелось бы выделить наиболее важные пункты по этой теме. 1. На мой взгляд, в общем, для разработки концепции ИБ важно сначала иметь достоверную, адекватную информацию о проблемах в области рисков и угроз организации, а не только субъективное мнение о положение дел. Для этого не худо бы провести исследование, которое диагносцирует ситуацию и покажет наиболее острые проблемы. Данные проблемы учитываются при разработке задач концепции. 2. Основные элементы системы ИБ: организационные, программные, технические и криптографические средств и меры по защите информации 3. Как минимум должны быть следующие внутренние нормативные документов: положение о защите коммерческой тайны; инструкция по работе с документами, содержащими коммерческую тайну; положение о конфиденциальной информации правила предоставления доступа к информационным ресурсам; правила работы пользователей в корпоративной сети; правила работы в Интернете; правила выбора, хранения и использования паролей; инструкция по защите от компьютерных аттак, вирусов; иные документы. Я понимаю, что это уже много раз повторялось в разных обсуждениях, но может такое резюме будет полезным.
Опубликовано 27 марта, 200719 г По сути в настоящее время можно говорить лишь и концепции информационной безопасности концепции ТСО. Концепцию кот. включала бы все вопросы безопасности: от информационно-аналитической работы до систем автоматического пожаротушения не встречал. Хотя существование в природе такого чудо-документа не исключаю. Определетесь что нужно? и желательно для начала свои предложения, так проще Вас понять. style_emoticons/default/smile3.gif 19439[/snapback] Рыб по концепции ИБ в интернете хватает, это точно... style_emoticons/default/smile1.gif Не давно сам столкнулся с подобной проблемой...была она у меня была...и есть не просила (еще моими предшественниками разработанная)...и тур руководство вдруг говорит, что она мол общая, формальная и никакой конкретики...(ну на то она и концепция)... И я чего то не стал объяснять чем концепция отличается от инструкции...(ну ни к чему был такой ликбез в этот момент)... Пришлось засесть за творчество... style_emoticons/default/smile17.gif По каждому объекту процесс-аудит, матрица (источник-инициатор-угроза-риск-меры противодействия)... Руководство теребит, давай... Ну я и показал на примере одного объекта... style_emoticons/default/smile1.gif , две недели писал... Дальше спрашиваю надо? Не... Так вот ...существует громадная пропасть между ЗНАТЬ и ДЕЛАТЬ... Для бумажки и интернета хватает, для дела пиши сам, она ведь не шефу нужна а прежде всего тебе самому... style_emoticons/default/smile1.gif
Опубликовано 13 августа, 200718 г А у нас уже Концепцию утвердили style_emoticons/default/smile1.gif Теперь требуют политику иб style_emoticons/default/smile17.gif Подскажите с чего начать!
Опубликовано 13 августа, 200718 г А у нас уже Концепцию утвердили style_emoticons/default/smile1.gif Теперь требуют политику иб style_emoticons/default/smile17.gif Подскажите с чего начать! 30151[/snapback] Обратитесь к Toparenko...он дока по эти делам... style_emoticons/default/smile20.gifstyle_emoticons/default/smile1.gif
Опубликовано 13 августа, 200718 г А у нас уже Концепцию утвердили style_emoticons/default/smile1.gif Теперь требуют политику иб style_emoticons/default/smile17.gif Подскажите с чего начать! 30151[/snapback] Концепция - декларативный документ, который содержит в общем виде описание объектов или процессов защиты, описание угроз, если необходимо - неформальную модель нарушителя, общее описание методов и средств безопасности, которыми парируются вполне конкретные присущие объектам угрозы и уязвимости. Политика - НЕДОдокумент, который появился в результате перевода слова "policy", которое по смыслу в контексте скорее означает ПРАВИЛА, чем политику буквально. Из-за этого, ИМХО, путаница возникает постоянно. На практике т.н. политика - это документ, который более подробно регламентирует деятельность по обеспечению безопасности в рамках отдельного НАПРАВЛЕНИЯ, которое среди прочих определено в Концепции. Например, "политика защиты автоматизированной системы от вредоносных программ". Или "Политика безопасности информации мобильных пользователей корпоративной информационной системы". Или даже "Положение об информационной безопасности свинофермы №111 в условиях землетрясения", если у Вас есть в Концепции соответствующий раздел. При этом ниже политики будут инструкции и регламенты, на одном с ней уровне иерархии - разделы положений об отделах, сама она подчинена смыслом и содержанием Концепции.
Для публикации сообщений создайте учётную запись или авторизуйтесь