Организационные мероприятия по защите информации. Информационная безопасность. Информационное страхование

Автор работы: Пользователь скрыл имя, 07 Октября 2017 в 18:28, контрольная работа

Описание работы

В настоящее время имеется большое количество антивирусных средств. Однако все они не обладают свойствами универсальности: каждое рассчитано на конкретные вирусы, либо перекрывает некоторые каналы заражения ПК или распространения вирусов. В связи с этим перспективной областью исследований можно считать применение методов искусственного интеллекта к проблеме создания антивирусных средств.
Антивирусным средством, называют программный продукт, выполняющий одну или несколько из следующих функций:
Защиту файловой структуры от разрушения
Обнаружение вирусов
Нейтрализацию вирусов

Содержание работы

Введение
Основная часть
2.1. Методы и средства защиты информации
2.2. Категории защиты информации
2.3. Проблемы защиты информации
2.4. Информационная безопасность
2.5. Информационное страхование
2.6. Защита объектов информации в РК
Заключение
Использованная литература

Файлы: 1 файл

Защита информации С_р_С.docx

— 339.55 Кб (Скачать файл)

Безопасность определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы авторизованной системы.

Системный подход к описанию информационной безопасности предлагает выделить следующие составляющие информационной безопасности:

  • Законодательная, нормативно-правовая и научная база
  • Структура и задачи органов (подразделений), обеспечивающих безопасность ИТ
  • Организационно-технические способы и средства обеспечения информационной безопасности
  • Программно-технические способы и средства обеспечения информационной безопасности.

Целью реализации информационной безопасности какого-либо объекта является  построение Системы обеспечения информационной безопасности данного объекта (СОИБ).  Для построения СОИБ необходимо:

    • Выявить требования защиты информации, специфические для данного объекта защиты
    • Учесть требования национального и международного Законодательства
    • Использовать наработанные практики (стандарты, методологии) построения подобных СОИБ
    • Определить подразделения ответственные за реализацию и поддержку СОИБ
    • На базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие программно-технические способы и средства защиты информации.
    • Реализовать Систему менеджмента (управления) информационной безопасности (СМИБ)

 

2.5. Информационное страхование

Уже много лет программисты, призывая нас быть бдительными, не перестают твердить: «Либо вас уже взломали, либо вы просто еще не знаете об этом»

В наше время инциденты ИБ – такая же суровая как жизненная реальность, как налоги; как же компании могут улучшить качество управления рисками, связанными с ИБ, и сократить возможные издержки, возникающие в их результате? 

Один из возможных вариантов – застраховать свои информационные активы.

Страхование информационных рисков (Cyber Liability Insurance Cover или CLIC, далее СИР) доступно на рынке уже около 10лет, однако, создают впечатление, что большинство ни разу об этом не слышали или вообще не знаю о его существовании.

Это странно, ведь практический каждый хоть раз в течении своей карьеры посещал тренинг о рисках, где наверняка говорилось о том, что перенос риска – это один из вариантов его снижения. Наиболее же распространенный способ переноса риска – это страхование.

Наилучший пример – США, где такие законы действуют в 46 из 50 штатах. В Соединенном Королевстве предстоящий законопроект Общих положений ЕС о защите информации (General Data Protection Regulation или GDPR) также включат в себя обязательное уведомление об инцидентах ИБ, однако масштаб этого нового документа и сроки его утверждения еще не определены.

Регулирование процедуры обязательного уведомления об инцидентах ИБ – это своего рода «двигатель прогресса» в СИР,  ведь оповещение потенциальных пострадавших  может обходиться компаниям крайне дорого.

По мере того, как расходы на ликвидацию ущерба от инцидентов ИБ растут, возможность СИР будет привлекать все больше компаний аналогично существующему страхованию имущества от пожара, наводнений и кражи, которое на сегодняшний день является неотъемлемой частью инструментария управления рисками. И хотя СИР существует уже порядка 10 лет, многим предлагающим такие услуги страховым компаниям пока не удалось ни одного полиса, поэтому во многих случаях они не могут в полной мере осознать действительно принимаемый на себя риск. Причина зачастую кроется в том, что страховым компаниям и клиентам необходимо больше информации: первым - чтобы анализировать предлагаемые на страхование риски, вторым – чтобы понимать выгоды переноса риска.

С ростом числа инцидентов ИБ и предстоящим изменениями в законодательстве ситуация будет меняться.

ЧТО ТАКОЕ СИР?

Как и приставка «кибер-», служащая для описания широкого спектра относящихся к защите информации инструментов, процессов и служб, термин «страхование информационных рисков» (СИР) часто используется для описания целого ряда страховых покрытий.

На данный момент, СИР включает в себя:

  • Возмещение издержек антикризисного управления в результате инцидентов ИБ и нарушений законов о приватности
  • Страхование ответственности, связанной с медийными и мультимедийными ресурсами. Покрываемы страховой программой ущерб третьих сторон может включать в себя урон, нанесенный веб-сайту, и нарушение прав интеллектуальной собственности.
  • Страхование против вымогательства. Как правило, издержки в случае угрозы вымогательства – это вознаграждение лиц, содействовавших ликвидации проблемы.
  • Страхование ответственности за безопасность сети. Например, ущерб, понесенный третьими сторонами в результате отказа в доступе; издержки, относящие к данным о сторонних поставщиках и к краже данных о системах.  

 

2.6.   Защита объектов информации  в РК

Казахстан, как и многие ведущие страны, не отстает от прогресса и следует за новыми ведениями. И как и подобает, имеет законы , предусматривающие защиту информации. Вот некоторые из них.

 Статья 53. Цели  защиты объектов информатизации.

1. Защитой объектов информатизации  является реализация комплекса  правовых, организационных и технических  мероприятий, направленных на сохранность  объектов информатизации, предотвращение  неправомерного и (или) непреднамеренного  доступа и (или) воздействия на  них.

2. Защита объектов информатизации  осуществляется в соответствии  с законодательством Республики  Казахстан и действующими на  территории Республики Казахстан  стандартами в целях:

1) обеспечения целостности  и сохранности электронных информационных  ресурсов;

2) обеспечения режима  конфиденциальности электронных  информационных ресурсов ограниченного  доступа;

3) реализации права субъектов  информатизации на доступ к  электронным информационным ресурсам;

4) недопущения несанкционированного  и (или) непреднамеренного доступа, утечки и иных действий в  отношении электронных информационных  ресурсов, а также несанкционированного  и (или) непреднамеренного воздействия  на объекты информационно-коммуникационной  инфраструктуры;

5) недопущения нарушений  функционирования объектов информационно-коммуникационной  инфраструктуры и критически  важных объектов информационно-коммуникационной  инфраструктуры.

3. Иными несанкционированными  и (или) непреднамеренными действиями  в отношении объектов информатизации  являются:

1) блокирование электронных  информационных ресурсов и (или) объектов информационно-коммуникационной  инфраструктуры, то есть совершение  действий, приводящих к ограничению  или закрытию доступа к электронным  информационным ресурсам и (или) объектам информационно-коммуникационной  инфраструктуры;

2) несанкционированная и (или) непреднамеренная модификация  объектов информатизации;

3) несанкционированное и (или) непреднамеренное копирование  электронного информационного ресурса;

4) несанкционированное и (или) непреднамеренное уничтожение, утрата электронных информационных  ресурсов;

5) использование программного  обеспечения без разрешения правообладателя;

6) нарушение работы информационных  систем и (или) программного обеспечения  либо нарушение функционирования  сети телекоммуникаций.

4. Защита информационных  систем осуществляется согласно  классу, присвоенному в соответствии  с классификатором.

Статья 54. Организация защиты объектов информатизации:

1. Защита объектов информатизации  осуществляется:

1) в отношении электронных  информационных ресурсов - их собственниками, владельцами и пользователями;

2) в отношении объектов  информационно-коммуникационной инфраструктуры  и критически важных объектов  информационно-коммуникационной инфраструктуры - их собственниками или владельцами.

2. Собственники или владельцы  объектов информатизации «электронного  правительства» и критически  важных объектов информационно-коммуникационной  инфраструктуры обязаны принимать  меры, обеспечивающие:

1) предотвращение несанкционированного  доступа;

2) своевременное обнаружение  фактов несанкционированного доступа, если такой несанкционированный  доступ не удалось предотвратить;

3) минимизацию неблагоприятных  последствий нарушения порядка  доступа;

4) недопущение несанкционированного  воздействия на средства обработки  и передачи электронных информационных  ресурсов;

5) оперативное восстановление  электронных информационных ресурсов, модифицированных либо уничтоженных  вследствие несанкционированного  доступа к ним;

6) незамедлительное информирование  государственной технической службы  о произошедшем инциденте информационной  безопасности, за исключением собственников  и (или) владельцев электронных информационных  ресурсов, содержащих сведения, составляющие  государственные секреты;

7) информационное взаимодействие  с государственной технической  службой по вопросам мониторинга  обеспечения информационной безопасности, защиты и безопасного функционирования  объектов информатизации «электронного  правительства»;

8) предоставление доступа  государственной технической службе  к объектам информатизации «электронного  правительства» и критически  важным объектам информационно-коммуникационной инфраструктуры для проведения организационно-технических мероприятий, направленных на реализацию мониторинга обеспечения информационной безопасности.

3. Управление интернет-ресурсами и объектами информационно-коммуникационной инфраструктуры при чрезвычайных ситуациях социального, природного и техногенного характера, введении чрезвычайного или военного положения осуществляется уполномоченным органом в соответствии с законодательством Республики Казахстан.

Статья 55. Меры защиты электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры:

1. К правовым мерам  защиты электронных информационных  ресурсов, информационных систем  и информационно-коммуникационной  инфраструктуры относятся:

1) требования законодательства  Республики Казахстан и действующие  на территории Республики Казахстан  стандарты в сфере информатизации;

2) ответственность за  нарушение законодательства Республики  Казахстан об информатизации;

3) соглашения, заключаемые  собственником или владельцем  электронных информационных ресурсов, информационных систем, информационно-коммуникационной  инфраструктуры, в которых устанавливаются условия работы, доступа или использования данных объектов, а также ответственность за их нарушение.

2. К организационным мерам защиты электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры относятся установление и обеспечение режима допуска на территории (в здания, помещения), где может быть осуществлен доступ к информации, электронным информационным ресурсам, информационным системам (электронным носителям информации), а также ограничение доступа к электронным информационным ресурсам, информационным системам и информационно-коммуникационной инфраструктуре.

3. К техническим (программно-техническим) мерам защиты электронных информационных  ресурсов, информационных систем  и информационно-коммуникационной  инфраструктуры относятся:

1) использование средств  защиты информации, а в отношении  сведений, составляющих государственные  секреты, - исключительно с применением  средств защиты сведений, составляющих  государственные секреты, разработанных, изготовленных и (или) принятых в  эксплуатацию в соответствии  с законодательством Республики  Казахстан;

2) использование систем  контроля доступа и регистрации  фактов доступа к электронным  информационным ресурсам, информационным  системам и информационно-коммуникационной  инфраструктуре.

4. Использование технических (программно-технических) мер защиты  электронных информационных ресурсов, информационных систем и информационно-коммуникационной  инфраструктуры не должно причинять  вред или создавать угрозу  причинения вреда жизни, здоровью  и имуществу физических лиц, а  также имуществу юридических  лиц и государственному имуществу.

Статья 56. Защита электронных информационных ресурсов, содержащих персональные данные:

Собственники и владельцы информационных систем, получившие электронные информационные ресурсы, содержащие персональные данные, обязаны принимать меры по их защите в соответствии с настоящим Законом и действующими на территории Республики Казахстан стандартами.

Информация о работе Организационные мероприятия по защите информации. Информационная безопасность. Информационное страхование