- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Определение достаточности защиты информации презентация
Содержание
- 1. Определение достаточности защиты информации
- 2. ISO 15408 Стандарты о достаточности защиты …..
- 3. Основные принципы: …достаточность предложенных мер
- 4. ГОСТ Р ИСО/МЭК 18045 Оценщик должен исследовать
- 5. Необходимо сделать заключение о том, описаны
- 6. ГОСТ Р ИСО/МЭК 17799-2005г. (27002)
- 7. В. Конявский * Информация со временем начинает
- 8. А. Щеглов * Требования к достаточности (полноте,
- 9. А. Щеглов * Например о доступе: должен
- 10. В тоже время: …защиту информации принято считать
- 11. ГОРДЕЙЧИК Фактически предложил подход, связанный с оценкой
- 12. * Можно таким же образом
- 13. Достаточность и риск менеджмент Основа обоснования –
- 14. - результаты внутреннего и внешнего аудитов
ISO 15408 Стандарты о достаточности защиты ….. Для принятия решения о достаточности требований безопасности ….. важно, чтобы решаемая задача безопасности ясно понималась всеми участниками оценки. В зависимости от сложности и критичности
Слайд 2ISO 15408
Стандарты о достаточности защиты …..
Для принятия решения о достаточности требований
безопасности ….. важно, чтобы решаемая задача безопасности ясно понималась всеми участниками оценки.
В зависимости от сложности и критичности требования к безопасности функционирования системы и доступных ресурсов для ее реализации, стандартом рекомендуется выбирать набор классов и семейств процессов, достаточных для обеспечения необходимого качества комплекса функциональной безопасности проекта (ОУД)….
В зависимости от сложности и критичности требования к безопасности функционирования системы и доступных ресурсов для ее реализации, стандартом рекомендуется выбирать набор классов и семейств процессов, достаточных для обеспечения необходимого качества комплекса функциональной безопасности проекта (ОУД)….
*
Слайд 3
Основные принципы:
…достаточность предложенных мер безопасности должна быть продемонстрирована….
Определяются требования, направленные
на обеспечение …достаточности…эксплуатационной документации, представленной разработчиком (документация для пользователей и администраторов).
Определяются требования по достаточности тестирования…..
Определяются требования по достаточности тестирования…..
*
Слайд 4ГОСТ Р ИСО/МЭК 18045
Оценщик должен исследовать политики обеспечения конфиденциальности и целостности
при их разработке, чтобы сделать заключение о достаточности применявшихся мер безопасности.
Сюда включаются политики управления:
- решением об отнесении информации, относящейся к объекту оценки (ОО) к конфиденциальной с доступом к ней определенного персонала;
- решением о защите информации от несанкционированной модификации с разрешением некоторому персоналу модифицировать ее.
Сюда включаются политики управления:
- решением об отнесении информации, относящейся к объекту оценки (ОО) к конфиденциальной с доступом к ней определенного персонала;
- решением о защите информации от несанкционированной модификации с разрешением некоторому персоналу модифицировать ее.
*
Слайд 5
Необходимо сделать заключение о том, описаны ли эти политики в документации
по ИБ разработки, совместимы ли применяемые меры ИБ с политиками, являются ли эти меры достаточно полными.
Оценщик делает заключение о достаточности и приемлемости подмножества функции безопасности объекта (ФБО). Покрывается ли этим задание по безопасности (ЗБ).
Оценщик делает заключение о достаточности и приемлемости подмножества функции безопасности объекта (ФБО). Покрывается ли этим задание по безопасности (ЗБ).
*
Слайд 6ГОСТ Р ИСО/МЭК 17799-2005г. (27002)
Политику информационной безопасности следует пересматривать с
запланированным интервалом или при существенных изменениях для поддержания ее адекватности, достаточности и эффективности…
*
Слайд 7В. Конявский
*
Информация со временем начинает устаревать, т.е. цена ее уменьшается. За
условие достаточности защиты принимается превышение …. времени (затрат) на преодоление преграды нарушителем над временем жизни (ценой) информации
Слайд 8А. Щеглов
*
Требования к достаточности (полноте, применительно к условиям использования) набора механизмов
защиты определены документом "Гостехкомиссия России. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации"
Слайд 9А. Щеглов
*
Например о доступе: должен осуществляться контроль подключения ресурсов, в частности
устройств, в соответствии с условиями практического использования защищаемого вычислительного средства, и контроль доступа субъектов к защищаемым ресурсам, в частности к разрешенным для подключения устройствам
Если вопросы достаточности механизмов защиты применительно к набору
защищаемых ресурсов еще как-то поддаются формализации, то
применительно к задачам защиты информации формализовать
подобные требования не представляется возможным.
Если вопросы достаточности механизмов защиты применительно к набору
защищаемых ресурсов еще как-то поддаются формализации, то
применительно к задачам защиты информации формализовать
подобные требования не представляется возможным.
Слайд 10В тоже время:
…защиту информации принято считать достаточной, если затраты на ее
преодоление превышают ожидаемую ценность самой информации….
*
Слайд 11ГОРДЕЙЧИК
Фактически предложил подход, связанный с оценкой рисков невыполнения требований регуляторов….
То есть,
если оценить риск как средний ущерб от государства (штрафные санкции, конфискация СЗИ, прекращение бизнеса и т.д.) с учетом вероятности проверки Роскомнадзором выполнения требований федерального законодательства и подзаконных актов, то, в случае принятия этого риска, защита считается достаточной…
*
Слайд 12
*
Можно таким же образом подойти к оценке достаточности при невыполнении требований
международного законодательства (PCI DSS, акт SOX, законы об информировании субъектов конфиденциальной информации об утрате их данных и т.д…..)
Слайд 13Достаточность и риск менеджмент
Основа обоснования – качественные и количественные оценки рисков.
Защита информации и ИТ может считаться достаточной, если:
соблюдается правовая основа, как со стороны национальных и международных регуляторов, так договорная (с клиентами, партнерами и т.д.);
значения рисков ИБ находятся в допустимых пределах;
неприемлемые (непринятые) риски непрерывно обрабатываются до того уровня, когда остаточные риски с учетом произведенных на их обработку затрат будут приняты
соблюдается правовая основа, как со стороны национальных и международных регуляторов, так договорная (с клиентами, партнерами и т.д.);
значения рисков ИБ находятся в допустимых пределах;
неприемлемые (непринятые) риски непрерывно обрабатываются до того уровня, когда остаточные риски с учетом произведенных на их обработку затрат будут приняты
*
Слайд 14
- результаты внутреннего и внешнего аудитов не содержат серьезных нарушений требований
ИБ;
выявленные недостатки своевременно устраняются;
процессы обеспечения ИБ имеют высокий (4-5-й) уровень зрелости;
Защиту также можно считать достаточной, если дальнейшее увеличение расходов на нее не уменьшает величину остаточного риска вместе с указанными выше затратами.
выявленные недостатки своевременно устраняются;
процессы обеспечения ИБ имеют высокий (4-5-й) уровень зрелости;
Защиту также можно считать достаточной, если дальнейшее увеличение расходов на нее не уменьшает величину остаточного риска вместе с указанными выше затратами.
*
