[kim-aa]

С точки зрения юриспруденции это закон "О коммерческой тайне".
Концепция защиты ВСЕЙ информации это, с точки зрения практической жизни, ЭРОТИЧЕСКАЯ ФАНТАЗИЯ.
Объясняю почему. Концепция содержит перечисление мер как профилактических, т.е. ДО, так ВО-ВРЕМЯ и ПОСЛЕ (причем описываются оба случая - скомуниздили (или сгорело) у Вас инфу или нет) .
Во-первых перечисляется вся информация, на любых носителях, в любом виде (в том числе БЛА-БЛА-БЛА в курилке и , пардон, использованная бумага в сортире).
Во-вторых защита осуществляется:
- от угроз: внешних и внутренних;
- по умыслу: злонамеренный, халатость+не знание, форс-мажор;
- защитные функции: пресечение неавторизованного доступа, журналирование всех действий, меры по востановлению (если горе таки случилось), тренировки персонала - и у меня просто фантазии не хватит все описать.
К примеру такие разные предметы как пожарно-охранная сигнализация, "аццкая топка" куда бросают дискеты когда приходят "злые люди", система архивирования и .. "замки на дверях + пластилин в печатях" - усе это относится к защите информации. А да, я забыл еще климат-контроль и питание.

Потверждением этого тезиса, является то, что я еще не встречал еще крупных контор где безопасность "старого образца" и "информационная безопасность" не жили по раздельности (а иногда к ним добавляется "внутренняя безопасность" - которая стучит на обеих).

Так что:
1) Поставте преподу пузырь на 5 звездочек что бы он таки ОГРАНИЧИЛ круг своих желаний.
2) Если Вы таки напишете такую концепцию, я у Вас ее первый куплю (за коньяк)

[Coutty]

Блин! Так ведь я именно это и писал в своей курсовой. Там куча всяких рекомендаций различным подразделениям по поводу "что надо сделать до и после".
Выкладываю свой вариант. Теперь Вы выкладывайте коньяк, чтобы я его поставил на п.1. =^_^=

[kim-aa]

Воды много. Если опускаться до КОНКРЕТНОЙ фирмы, то рекомендации должны быть конкретные.
Очень много посвещено несанкционированному доступу, хотя с точки зрения статистики он составляет хорошо если 5% угроз.

Могу дать главы из Организация защиты сетей Cisco. В приложении книги приводится пример политики для многострадальной виртуальной компании XYZ.
(Любит почему-то CISCO это название - подсказать что-ли "адекватную локализацию названия"
http://www.kuen.ru/wallpaper/Cisco/M...work-Security/

[Coutty]

Вода - это нормально. По тех.заданию вообще только теорию надо было писать. Не знаю, зачем понадобилась вдруг концепция.
Скачать не смог - докачка не поддерживается, а 600кб за раз - связь не выдерживает =\
В текстовом виде нет?=)

[kim-aa]

Ща побью.
В текстовом - книга

[kim-aa]

Побил на постраничные PDF

[Coutty]

Цитата:

Ща побью.

Это угроза? =)))

Спасибо, часть скачал. На остальное нет трафика =\
Ну, может "пронесёт".

[Andy_user]

Посмотрите на www.andy-user.narod.ru
Пункт 1 - реальная концепция информационной безопасности банка.

[Greyman]

Coutty
Глянул твой вариант - kim-aa прав, слишком много болталогии не по теме... То что ты там написал, это больше лекционный материал... Однако то, что как мне кажется предлагает писать kim-aa - это тоже не то (если я правильно понял), т. к. излишнее углубление практические вопросы - это уже конкретные политики безопасности. Из таких материалов для коммерческого применения ИМХО проще в качестве кальки воспользоваться новым:

Цитата:

СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2006 ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ОБЩИЕ ПОЛОЖЕНИЯ Дата введения: 2006-01-01

Концепция же является боле общим, она должна ответить на вопросы:
1) какие информационные потоки должны существовать в организации
2) какие возможные информациооные потоки не должны существовать
3) какой ущерб могут принести изменения в этих двух классах информационных потоков
4) каким образом могут происходить эти изменения (АКА угрозы)
5) какие методы уменьшения возможного ущерба могут рассматриваться и план их использования.
Суть в том, что чаще всего за одним не видят другое. Например для уменьшения ущерба от изменения структуры инфоромационного потока (например включение в него инфоромации, к-ая изначально в нем не предусматривалась) можно как предусматреть защиту от случайного или преднамеренного внедрения этой информации (вынос носителей с площадки - один из примеров потока). В частвности, примером защиты в приведенном случае может быть предварительная проверка всех носителей на содержание "лишней" информации перед выносом носителя... Однако это многократно удорожает мероприятия по организации защиты, если в качестве угроз рассматривать применение криптографии (особенно стеганографии). Однако вариант полного исключения возможности выноса любых носителей с площадки, также целиком предотвращает угрозу от изменения параметров этого информационного потока.
Мне пока не попалось ни одного примера, который бы мне целиком понравился. Кое что из понравившихся, я читал мельком, но самих материалов у меня нет... Может на будущее что-нить из этого пригодится...