Организационные методы защиты информации

1. Лицензирование деятельности юридических и физических лиц в области защиты информации

2. сертификация и аттестация средств защиты информации

3. организационно административные методы защиты информации

4. организационно технические методы защиты информации

5. страхование как метод защиты информации

Первый вопрос

Деятельность юридических и физических лиц по защите информации лицензируется. Положение по лицензированию области защиты информации разработана государственным центром безопасности информации при совете безопасности Республики Беларусь. Это же организация выдает лицензии.

К основным терминам лицензируемой деятельности можно отмести:

1. технические средства защиты и контроля защищенности информации. Под ними понимаются технические средства защиты специального назначения, защищенные от модификации и разрушения средства вычислительной техники, связи, хранения, отображения и размножение информации.

2. Разработка и производства технических средств. К нему относят цикл исследований согласно техническому заданию до сдачи заказчику технического средства.

3. Монтаж и наладка технических средств. он включает установку, сборку и приведение в рабочее состояние технических средств.

4. Специальные исследования технических средств. Это комплекс мероприятий по качественному и количественному исследованию возможностей утечки информации.

5. Проведение работ по контролю праведности информации. Это постоянное или периодическое проведение работ, которые обеспечиваю проверку выполнению мероприятий по защите информации.

6. Разработка программных средств защиты информации. Это разработка специальных программ с помощью которых осуществляется предупреждение от несанкционированного использования информации.

7. Производство программно-аппаратных средств защиты информации. Это производство средств, содержащих в своем составе элементы, которые реализуют функции защиты информации.

8. Наладка программных средств защиты информации. Это приведение их в рабочее состояние и установка антивирусных программ.

К организациям, претендующим на право получение лицензии на работы по защите информации предъявляется требования по уровню квалификации специалистов, по наличию и качества измерительной базы, по наличию и качества помещению, а также по наличию необходимой нормативно-технической и методической документации

Второй вопрос

В соответствии со статьей 24 закон о Республики Беларусь «об информатизации» технические и программные средства защиты информационных ресурсов подлежат обязательной сертификации. Основным документом, который регламентирует вопросы сертификации Республики Беларусь является ГОСТ Республики Беларусь «Национальная система сертификации Республики Беларусь».

Органам по сертификации средств защиты информации является государственным центр безопасности информации

Числу основных задач органа о сертификации средств защиты информации могут быть отнесены:

1. Разработка нормативных документов на средство защиты и их классификации.

2. Разработка нормативных документов на методов испытаний средств защиты

3. Сертификация средств защиты информации и выдача сертификатов на их применение.

4. Введение реестра сертифицированных средств защиты информации

5. Приостановка или отмена действия выданных сертификатов.

Для интеграции систем защиты информации и удешевление их стоимости проектные решения по система защиты информации должны быть общими в рамках международных организациях, отдельных государств, областей деятельности, конкретных предприятий. Международной классификации по стандартизации разработаны международные стандарты, связанные с защитой информацией. Основным стандартом по системе защите информации является стандарт «системы обработки информации …». В этом документе рассмотрены основные термины по защите информации, приводится общие описание служб и механизмов защиты и др. вопросы.

Третий вопрос

Организационно администрирование органы регламентирую процессы создания и эксплуатации информационных объектов, а также взаимодействие пользователи и систем.

Эти методы защиты информации охватывают все компоненты автоматизированных информационных систем.

К организационно административным мероприятий можно отнести:

1. Выделение специальных защищенных помещений для размещение компьютеров и средств связи и хранение носителей информации

2. Выделение специальных компьютеров для обработки конфиденциальной информации.

3. Использование в работе с конфиденциальной информацией технических и программных средств, которые имеют сертификат защищенности.

4. Организация специального делопроизводства для конфиденциальной информации

5. Установление запрета на использование открытых каналов связи для передачи конфиденциальной информации.

6. Разработка и внедрение специальных нормативно правовых и распорядительных документов.

7. Постоянный контроль за соблюдением установленных требований по защите информации

Четвёртый вопрос

Эти методы охватывают все структурные элементы автоматизированных информационных систем на всех этапах жизненного цикла. Организационно техническая защита информации обеспечивается осуществлением следующих мероприятий:

1. Ограничение доступа посторонних лиц за счет установки механических заборных устройств или замков.

2. Отключение персональных компьютеров от локальной сети при обработке конфиденциальной информации. При использовании обычных дисплеев и принтеров рекомендуется включать устройство, создающее дополнительный шумовой эффект или обрабатывать другую информацию на рядом стоящем компьютере.

3. Установка клавиатуры и печатающих устройств на мягкие прокладки с целью снижения утечки информации по акустическому каналу.

4. Размещение оборудования для обработки конфиденциальной информации на расстояние не менее 2,5м от устройств освещения, связи, металлических труб, кондиционирования, а также теле и радио аппаратуры.

5. Организация электропитания персональных компьютеров от отдельного блока питания (с защитой от побочной электромагнитных излучений)

6. Использование бесперебойных источников питания. Основное назначение таких источников — это поддержание работы компьютера после исчезновение напряжения в электрической сети. Это обеспечивается за счет встроенных аккумулятор, которые заряжаются во время нормальной работы.

Пятый вопрос

Определение защитных свойств технических средств осуществляется путем непосредственных испытаний. При этом заключение сертификационного центра должно явится основой для страховых гарантий. Для предотвращение информационных рисков необходимо страхования:

 

1. Электронного документа оборота при заключении и исполнении договора на предприятии

2. От несанкционированного доступа в информационную сеть

3. От разрушения потери информации

4. От убытков, связанных с незаконным использованием программных средств.

5. От потерь рабочего времени и ухудшение качества работы предприятия