Сравнение отечественных и зарубежных подходов к защите ГИС
Меры защиты информации в государственных информационных системах. Нормативно-правовые документы по подходам защиты к ГИС, угрозы безопасности информации. Алгоритмы составления профилей безопасности и оценки рисков. Программы кибербезопасности для бизнеса.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | статья |
Язык | русский |
Дата добавления | 05.05.2019 |
Размер файла | 158,5 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Южный Федеральный Университет
Сравнение отечественных и зарубежных подходов к защите ГИС
Агеев В.О.
Таганрог, Россия
Относительно недавно зарубежные и отечественные бюро сертификации обновили нормативно-правовые документы по подходам защиты к ГИС.
Поэтому необходимо провести сравнение обоих подходов, чтобы выявить сходства и различия этих подходов.
Начнем наше исследование с отечественного подхода.
На основании документа [1] первоначально необходимо классифицировать нашу Информационную Систему. Устанавливаются четыре класса защищенности информационной системы (первый класс (К 1), второй класс (К 2), третий класс (К 3), четвертый класс (К 4)), определяющие уровни защищенности содержащейся в ней информации.
Далее необходимо определить угрозы безопасности информации. Они определяются на основании оценки возможностей внешних и внутренних нарушителей.
После определения этих двух параметров необходимо на основании [2] определить меры защиты информационной системе по следующему алгоритму
1. Необходимо взять базовый набор мер защиты информации
2. Затем необходимо адаптировать базовый набор мер защиты в соответствии с нашей информационной системой.
3. Потом необходимо уточнить адаптированный базовый набор мер защиты информации с помощью выбранных ранее угроз безопасности нарушителя.
4. В конце концов, необходимо дополнить уточненный адаптированный базовый набор мер защиты информации с помощью требований нормативно правовых актов.
В итоге мы получим уникальный набор мер для защиты необходимой ГИС.
Теперь рассмотрим зарубежный подход к защите ГИС.
На основании [3] классификация информационной системы проходит в три этапа.
1. Framework Core(основа) это набор мер, желаемых результатов, и применимых ссылок, которые являются общими для критических секторов инфраструктуры. Смысл данной классификации заключается в выборе необходимых для системы направлений на основе таблицы 1.
Таблица 1. Стуруктура Framework Core
2. Framework Implementation Tiers (типы реализаций). Выделятся четыре типа реализации: частичная, информирование рисков, повторение и адаптация.
Тип определяется на основании [3] и трех параметров: Процесса управления рисками, Комплексной программы по управлению рисками и Внешним Участием.
3. Framework Profile (профиль) адаптирует Functions, Categories, and Subcategories в Framework Core согласно требованиями экономических задач, допуска риска, ресурсов и типов организации.
Затем идет анализ. Составление профилей безопасности и оценка рисков по следующим алгоритмам.
1. Приоритеты и цели применения.
Организация определяет цели бизнеса / миссии и выделяет приоритеты высокого уровня.
2. Ориентир.
После того, как сфера применения программы кибербезопасности была определена для бизнеса, организация определяет соответствующие системы и средства, нормативные требования, и общий подход к рисками. Затем организация определяет угрозы, и уязвимости.
3. Создание профиля Безопасности
Организация разрабатывает текущий профиль, указав какие категории и подкатегории Framework Core в настоящее время достигнуты.
4. Проводить оценку риска.
Эта оценка может руководствоваться всеми процессами управления рисками или предыдущей деятельностью по оценке рисков.
5. Создать целевого профиля.
Организация создает целевой профиль, который фокусируется на оценку структуры категорий и подкатегорий, описываемых в Framework Core.
6. Определение, анализ и определение приоритетных уязвимостей.
Организация сравнивает текущий профиль Безопасности и целевого профиля для определения уязвимостей
7. Реализация Плана действий.
Организация определяет, какие действия следует предпринять в отношении уязвимости, если таковые будут обнаружены на предыдущем шаге.
После актуализации Framework Core на основе приложения А в документе [3] выбираются меры защиты ГИС.
Как можно видеть из приведенного анализа подходы к защите ГИС у Российских и зарубежных коллег примерно одинаковые. Так же производится классификация информационных систем, только немного разными путями. Так же производится актуализация базового набора мер.
На основании этой работ можно сделать вывод что подход к защите ГИС у отечественных и зарубежных специалистов очень похожи
Список литературы
кибербезопасность информационный риск защита
1. Методический документ "Меры защиты информации в государственных информационных системах", февраль 11, 2014
2. Приказ № 17 "об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах", февраль 11 2014
3. "Framework for Improving Critical Infrastructure Cybersecurity", Version 1.0 National Institute of Standards and Technology, February 12, 2014
Размещено на Allbest.ru
...Подобные документы
Основные виды угроз безопасности экономических информационных систем. Воздействие вредоносных программ. Шифрование как основной метод защиты информации. Правовые основы обеспечения информационной безопасности. Сущность криптографических методов.
курсовая работа [132,1 K], добавлен 28.07.2015Нормативно-правовые акты Российской Федерации в области информационной безопасности. Порядок организации работ по защите информации в информационных системах. Общий подход к разработкам технического задания на разработку системы защиты этой сферы.
курсовая работа [31,3 K], добавлен 05.05.2015Нормативно-правовые акты по защите информации в АС ГРН. Нормативно-технические акты, обеспечивающие защиту информации в АС ГРН. Требования к средствам защиты информации. Выбор средств защиты информации от несанкционированного доступа.
реферат [16,1 K], добавлен 23.03.2004Сущность проблемы и задачи защиты информации в информационных и телекоммуникационных сетях. Угрозы информации, способы их воздействия на объекты. Концепция информационной безопасности предприятия. Криптографические методы и средства защиты информации.
курсовая работа [350,4 K], добавлен 10.06.2014Препятствие, управление доступом, маскировка и регламентация как меры защиты информации в автоматизированных информационных системах. Особенности криптографического метода защиты информации. Изучение системы управления электронным документооборотом.
контрольная работа [38,4 K], добавлен 20.05.2019Проблема защиты информации. Особенности защиты информации в компьютерных сетях. Угрозы, атаки и каналы утечки информации. Классификация методов и средств обеспечения безопасности. Архитектура сети и ее защита. Методы обеспечения безопасности сетей.
дипломная работа [225,1 K], добавлен 16.06.2012Необходимость защиты информации. Виды угроз безопасности ИС. Основные направления аппаратной защиты, используемые в автоматизированных информационных технологиях. Криптографические преобразования: шифрование и кодирование. Прямые каналы утечки данных.
курсовая работа [72,1 K], добавлен 22.05.2015Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011Проблемы защиты информации в информационных и телекоммуникационных сетях. Изучение угроз информации и способов их воздействия на объекты защиты информации. Концепции информационной безопасности предприятия. Криптографические методы защиты информации.
дипломная работа [255,5 K], добавлен 08.03.2013Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.
контрольная работа [40,2 K], добавлен 06.08.2010Технические средства защиты информации. Основные угрозы безопасности компьютерной системы. Средства защиты от несанкционированного доступа. Системы предотвращения утечек конфиденциальной информации. Инструментальные средства анализа систем защиты.
презентация [3,8 M], добавлен 18.11.2014Характеристика информационных ресурсов агрохолдинга "Ашатли". Угрозы информационной безопасности, характерные для предприятия. Меры, методы и средства защиты информации. Анализ недостатков существующей и преимущества обновленной системы безопасности.
курсовая работа [30,4 K], добавлен 03.02.2011Безопасность информации, компоненты системы защиты. Дестабилизирующие факторы. Классификация угрозы безопасности информации по источнику появления, по характеру целей. Способы их реализации. Уровни защиты информации. Этапы создания систем защиты.
презентация [288,1 K], добавлен 22.12.2015Основные понятия защиты информации и информационной безопасности. Классификация и содержание, источники и предпосылки появления возможных угроз информации. Основные направления защиты от информационного оружия (воздействия), сервисы сетевой безопасности.
реферат [27,3 K], добавлен 30.04.2010Виды внутренних и внешних умышленных угроз безопасности информации. Общее понятие защиты и безопасности информации. Основные цели и задачи информационной защиты. Понятие экономической целесообразности обеспечения сохранности информации предприятия.
контрольная работа [26,6 K], добавлен 26.05.2010Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.
курсовая работа [1,1 M], добавлен 21.04.2015Современное развитие АСУ и защита информации. Функция системы защиты с тремя регистрами. Выбор механизмов защиты и их особенности. Ответственность за нарушение безопасности методов. Методы защиты режима прямого доступа. Требования к защите информации.
реферат [150,8 K], добавлен 29.10.2010Виды угроз безопасности в экономических информационных системах, проблема создания и выбора средств их защиты. Механизмы шифрования и основные виды защиты, используемые в автоматизированных информационных технологиях (АИТ). Признаки современных АИТ.
курсовая работа [50,8 K], добавлен 28.08.2011Организационно-нормативные меры и технические средства контроля безопасности информации при ее обработке, хранении и передаче в автоматизированных системах. Основные источники угроз. Методы защиты сети от компьютерных атак: межсетевые экраны, шлюзы.
курсовая работа [94,3 K], добавлен 28.05.2014Понятие и сущность информации. Исторические этапы развития информационной безопасности, ее принципы и необходимость, цели обеспечения. Виды угроз и способы защиты. Последствия утечек информации. Классификация различных средств защиты информации.
реферат [32,8 K], добавлен 21.09.2014