Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Тема3. Организационноеобеспечениеинформационнойбезопасности.
СогласноДоктринеинформационнойбезопасностиРоссийскойФедерацииhttp://www.credogarant.ru/основнымифункциямисистемыорганизационногообеспеченияинформационнойбезопасностиявляются: · разработканормативнойправовойбазывобластиобеспеченияинформационнойбезопасностиРФ; · созданиеусловийдляреализацииправгражданиобщественныхобъединенийнаразрешеннуюзакономдеятельностьвинформационнойсфере; Системаорганизационногообеспеченияинформационнойбезопасности включает в себя: · контрользадеятельностьюфедеральныхоргановгосударственнойвластииоргановгосударственнойвластисубъектовРФ,государственныхимежведомственныхкомиссий,участвующихврешениизадачобеспеченияинформационнойбезопасности; · предупреждение,выявлениеипресечениеправонарушений,связанныхспосягательстваминазаконныеинтересыграждан,обществаигосударствавинформационнойсфере,наосуществлениесудопроизводстваподеламопреступленияхвэтойобласти; · развитиеотечественнойинформационнойинфраструктуры,атакжеиндустриителекоммуникационныхиинформационныхсредств,повышениеихконкурентоспособностинавнутреннемивнешнемрынке; · организацияразработкифедеральнойирегиональныхпрограммобеспеченияинформационнойбезопасностиикоординациядеятельностипоихреализации; · проведениеединойтехническойполитикивобластиобеспеченияинформационнойбезопасности; · организацияфундаментальныхиприкладныхнаучныхисследованийвобластиобеспеченияинформационнойбезопасности; · защитагосударственныхинформационныхресурсов,преждевсеговфедеральныхорганахгосударственнойвластииорганахгосударственнойвластисубъектовРФ,напредприятияхоборонногокомплекса; · обеспечениеконтролянадсозданиемииспользованиемсредствзащитыинформациипосредствомобязательноголицензированиядеятельностивданнойсфереисертификациисредствзащитыинформации; · совершенствованиеиразвитиеединойсистемыподготовкикадров,используемыхвобластиинформационнойбезопасности; · осуществлениемеждународногосотрудничествавсфереобеспеченияинформационнойбезопасности,представлениеинтересовРФвсоответствующихмеждународныхорганизациях. Компетенцияфедеральныхоргановгосударственнойвласти,органовгосударственнойвластисубъектовРФ,другихгосударственныхорганов,входящихвсоставсистемыорганизационногообеспеченияинформационнойбезопасностииееподсистем,определяетсяфедеральнымизаконами,нормативнымиправовымиактамиПрезидентаиПравительстваРФ.
Функцииорганов,координирующихдеятельностьфедеральныхоргановгосударственнойвласти,органовгосударственнойвластисубъектовРФ,другихгосударственныхорганов,входящихвсоставсистемыобеспеченияинформационнойбезопасностииееподсистем,определяютсяотдельныминормативнымиправовымиактамиРФ. Системаорганизационногообеспеченияинформационнойбезопасностистроитсянаосноверазграниченияполномочийоргановзаконодательной,исполнительнойисудебнойвластивданнойсфере,атакжепредметовведенияфедеральныхоргановгосударственнойвластииоргановгосударственнойвластисубъектовРФ. Межведомственныеигосударственныекомиссии,создаваемыеПрезидентомРФиПравительствомРФ,решаютвсоответствииспредоставленнымиимполномочиямизадачиобеспеченияинформационнойбезопасности.
Кчислутакихоргановотносятся ГосударственнаятехническаякомиссияприПрезидентеРФ(ГостехкомиссияРоссии)иФедеральноеагентствоправительственнойсвязииинформацииприПрезидентеРФ(ФАПСИ).
ГостехкомиссияРоссии,созданнаяУказомПрезидентаРФот19февраля1999г.№212,осуществляетмежотраслевуюкоординациюифункциональноерегулированиедеятельностипообеспечениюзащитыинформации,содержащейсведения,составляющиегосударственнуюилислужебнуютайну.ОнаорганизуетдеятельностьгосударственнойсистемызащитыинформацииоттехническихразведокнатерриторииРоссиииотееутечкипотехническимканалам,отнесанкционированногодоступакней,отспециальныхвоздействийнаинформациювцеляхееуничтожения,искаженияиблокирования.ГостехкомиссияРоссиипроводитединуюгосударственнуюнаучно-техническуюполитикувобластизащитыинформацииприразработке,производстве,эксплуатациииутилизациинеинформационныхизлучающихкомплексов,системиустройств.
ГостехкомиссияРоссииосуществляетширокийспектрфункций: · утверждаетнормативно-методическиедокументыпотехническойзащитеинформации;
· разрабатываетисогласовываетпрограммустандартизацииипроектыгосударственныхстандартоввобластитехническойзащитыинформации; · проводитработупопрогнозированиюразвитиясил,средствивозможностейтехническихразведок,пооценкеихосведомленностиобинформации,составляющейгосударственнуютайну; · осуществляетлицензированиедеятельности,связаннойсоказаниемуслугвобластитехническойзащитыинформации,созданиемсредствтехническойзащитыинформации,атакжесредствтехническогоконтроляэффективностизащитыинформации; · участвуетсовместносФСБвпроведениинадоговорнойосновеспециальныхэкспертизподопускупредприятий,учрежденийиорганизацийкпроведениюработ,связанныхсиспользованиемсведений,составляющихгосударственнуютайну; · осуществляетработыпосертификациисредствтехническойзащитыинформации;организуетпроведениерадиоконтролязасоблюдениемустановленногопорядкапередачислужебныхсообщенийдолжностнымилицамипредприятий,учрежденийиорганизаций,выполняющимиработы,связанныесосведениями,составляющимигосударственнуюилислужебнуютайну,идр. Подразделенияправительственнойсвязииинформации(бывшееФАПСИ) всоставеФСБРоссииобеспечиваютспециальнымивидамисвязииинформацииорганыгосударственнойвласти.Ониосуществляюткриптографическуюиинженерно-техническуюбезопасностьшифрованнойсвязивРФ.РегламентацияэтойдеятельностиосуществляетсяЗакономРФ «Офедеральныхорганахправительственнойсвязииинформации». ОрганыисполнительнойвластисубъектовРоссийскойФедерации:взаимодействуютсфедеральнымиорганамиисполнительнойвластиповопросамисполнениязаконодательстваРФ,решенийПрезидентаиПравительстваРФвобластиобеспеченияинформационнойбезопасности,атакжеповопросамреализациифедеральных программ в этой области.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации в любой государственной или коммерческой организации. Организационнаязащитаинформации —эторегламентациядеятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальнойинформациейипроявлениевнутреннихивнешнихугроз. Организационная защита обеспечивает: охрану, режим, работу с кадрами, с документами; использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз производственной деятельности. Возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации. Организация режима и охраны (Рис. 2).
Организационнаязащитавключаетвсебярегламентацию: 1) Формированияиорганизациидеятельностислужбыбезопасности,обеспечениядеятельностиэтихслужбнормативно-методическимидокументамипоорганизациизащитыинформации.
2) Составленияирегулярногообновлениясоставазащищаемойинформациикомпании,составленияиведенияперечнязащищаемыхбумажныхиэлектронныхдокументов. 3) Разрешительнойсистемыразграничениядоступаперсоналакзащищаемойинформации. 4) Методовотбораперсоналадляработысзащищаемойинформацией,методикиобученияиинструктированиясотрудников. 5) Направленийиметодоввоспитательнойработысперсоналом,контролясоблюдениясотрудникамипорядказащитыинформации. 6) Технологиизащиты,обработкиихранениябумажныхиэлектронныхдокументов. 7) Порядказащитыценнойинформациикомпанииотслучайныхилиумышленныхнесанкционированныхдействийперсонала. 8) Ведениявсехвидованалитическойработы. 9) Порядказащитыинформацииприпроведениисовещаний,заседаний,переговоров,приемепосетителей,работеспредставителямиСМИ. 10) Оборудованияиаттестациипомещенийирабочихзон,выделенныхдляработысконфиденциальнойинформацией. 11) Пропускногорежиманатерритории,вздании,помещениях,идентификациитранспортаиперсоналакомпании. 12) Системыохранытерритории. 13) Действийперсоналавэкстремальныхситуациях. 14) Организационныхвопросовприобретения,установкииэксплуатациитехническихсредствзащитыинформациииохраны. 15) Работыпоуправлениюсистемойзащитыинформации. 16) Критериевипорядкапроведенияоценочныхмероприятийпоустановлениюстепениэффективностисистемызащитыинформации.
Системаорганизационныхмерпозащитеинформации представляютсобойкомплексмероприятий,включающихчетыреосновныхкомпонента: —изучениеобстановкинаобъекте; —разработкупрограммызащиты; —деятельностьпопроведениюуказаннойпрограммывжизнь; —контрользаеедейственностьюивыполнениемустановленныхправил. Выделяютследующиеорганизационныемероприятия: · ознакомлениессотрудниками,ихизучение,обучениеправиламработысконфиденциальнойинформацией,ознакомлениесмерамиответственностизанарушениеправилзащитыинформацииидр; · организациянадежнойохраныпомещенийитерриториипрохождениялиниисвязи; · организация,храненияииспользованиядокументовиносителейконфиденциальнойинформации,включаяпорядокучета,выдачи,исполненияивозвращения; · созданиештатныхорганизационныхструктурпозащитеценнойинформацииилиназначениеответственногозазащитуинформациинаконкретныхэтапахеѐобработкиипередачи;
· созданиеособогопорядкавзаимоотношенийсостороннимиорганизациямиипартнерами; · организацияконфиденциальногоделопроизводства.
Организационная защита в системе комплексной защиты информации.
Организационные меры защиты информации - комплекс мероприятий, направленный на регламентацию деятельности персонала в процессе обработки информации. Основные цели организационных мер защиты: • Обеспечение правильности функционирования механизмов защиты; • Регламентация автоматизированной обработки информации. Основные направления организационной защиты на объекте: • Защита от не санкционированного доступа; • Защита информации от утечки по техническим каналам; • Защита информации от не задекларированных возможностей (Например, от вредоносного программного обеспечения); • Защита информации от иностранных технических разведок. Основные организационные мероприятия по созданию и обеспечению функционирования комплексной системы защиты информации. Разовые мероприятия - мероприятия, однократно проводимые и повторяемые только при полном пересмотре принятых решений. Эпизодические мероприятия - мероприятия, проводимые при осуществлении или возникновении определенных изменений в защищаемой системе или внешней среде. Периодически проводимые мероприятия. Постоянно проводимые мероприятия. К разовым мероприятиям относятся: • мероприятия по созданию научно-технической и методологической основы защиты системы, в том числе концепции и руководящие документы. • мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектом. • проведение специальных проверок всех технических средств. • разработка и утверждение функциональных обязанностей должностных лиц; • мероприятия по разработке правил управления доступом к ресурсам системы; • организация пропускного режима на предприятии и в отдельных помещениях; • создание подразделений по защите информации. К эпизодическим мероприятиям относятся: мероприятия, осуществляемые при кадровых изменениях в составе персонала, мероприятия, осуществляемые при ремонте и модификации оборудования, ПО и т. д К периодически проводимым мероприятиям относятся: • распределение и разграничение реквизитов разграничения доступа (раздача паролей); • анализ системных журналов и принятие мер по обнаруженным недостаткам и проблемам; • анализ состояния и оценка эффективности мер защиты информации; • мероприятия по пересмотру состава и перестроению системы защиты. К постоянно проводимым мероприятиям относятся: • мероприятия по обеспечению достаточного уровня физической защиты всех элементов объекта (охрана, в том числе и противопожарная, сохранность съемных носителей); • явный или скрытый контроль за работой персонала системы; • контроль за реализацией выбранных мер защиты;
• постоянно осуществляемый анализ состояния системы защиты.
Разработка организационно-распорядительных документов по обеспечению информационной безопасности
Одним из направлений в области услуг по информационной безопасности является разработка организационно-распорядительных документов различного уровня. Документы верхнего уровня - концепция информационной безопасности и политика ИБ определяют общие взгляды и идеологию организации в области защиты информации. Регламентирующие документы - это различные политики и регламенты, в частности политика резервного копирования, регламент доступа пользователей к сети Интернет и т. д., а также различные инструкции и положения. Система управления информационной безопасностью организации строится из двух основных компонентов - регулярной оценки рисков и четкой регламентации принципов, процессов и отдельных процедур, направленных на обеспечение безопасности информационных систем. В этой связи одним из приоритетных направлений является разработка пакета нормативных и организационно-распорядительных документов, описывающих совокупность политик информационной безопасности организации. Такими документами являются: • концепция информационной безопасности; • политики информационной безопасности, включая инструкции, регламенты и другие нормативные документы; • план развития системы информационной безопасности.
Концепция ИБможет включать в себя следующие разделы: • цели и задачи защиты информации; • основные принципы построения системы информационной безопасности; • обобщенное описание объектов защиты; модель угроз и модель нарушителя; • принципы контроля эффективности системы ИБ.
Политики информационной безопасности Политики информационной безопасности представляют собой свод нормативных документов, содержащих требования к обеспечению ИБ и распределение обязанностей и ответственности. Кроме этого, политиками ИБ регламентируются процедуры проектирования, внедрения и поддержки средств и систем защиты организации. Комплект политик информационной безопасности включает в себя следующие документы: • требования по обеспечению И Б; • положение об обеспечении И Б; • описание процессов СУИБ; • политика управления доступом; • политика использования паролей; • политика определения уровня конфиденциальности информации; • политика передачи информации третьим лицам и организациям; • политика использования Интернета; • политика использования электронной почты; • политика резервного копирования; • политика и порядок внесения изменений в систему; операционные инструкции и регламенты в контексте процессов СУИБ; • положения о функциональных обязанностях по обеспечению ИБ, возложенных на персонал организации; • план по обеспечению непрерывности работы и восстановлению систем. Эти документы, в совокупности с организационно-распорядительными документами (приказами и распоряжениями по организации), полностью описывают СУИБ и четко определяют разделение обязанностей и ответственности персонала за обеспечение ИБ.
План развития системы информационной безопасности Данный документ представляет собой перечень основных текущих и перспективных мероприятий по совершенствованию (или созданию) системы защиты информации. В его состав входят следующие разделы: • перечень основных задач и приоритетов; • порядок внедрения дополнительных подсистем информационной безопасности или модернизации существующих; • состав технических средств и порядок их внедрения; • состав организационных мероприятий по повышению уровня защищенности информационных ресурсов. Преимущества:четкое распределение ответственности за информационную безопасность; инструкции и рекомендации на случай возникновения инцидентов безопасности; осведомленность сотрудников о своих обязанностях по обеспечению ИБ; обеспечение непрерывности технологических процессов. Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера. Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться какой-то организационной структурой. Каким-то специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности производственной деятельности и защите информации. Зачастую таким структурным подразделением является служба безопасности предприятия, на которую возлагаются следующие общие функции: • организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации; • обеспечение пропускного и внутри объектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями; • руководство работами по правовому и организационному регулированию отношений по защите информации; • участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих; • разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения; при всех видах работ организация и контроль выполнения требований «Инструкции по защите конфиденциальной информации»; • изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасности, накопление и анализ данных о злоумышленных устремлениях конкурентных организаций, о деятельности предприятия и его клиентов, партнеров, смежников; • организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия; • разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера» и других нормативных актов, регламентирующих порядок обеспечения безопасности и защиты информации; • обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия; • осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциальной информации; • организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности; • ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов; • обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз; • поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе и оказания взаимной помощи в кризисных ситуациях. Служба безопасности является самостоятельной организационной единицей предприятия, подчиняющейся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности. Организационно служба безопасности состоит из следующих структурных единиц: • подразделения режима и охраны; • специального подразделения обработки документов конфиденциального характера; • инженерно-технических подразделений; информационно-аналитических подразделений. В таком составе служба безопасности способна обеспечить защиту конфиденциальной информации от любых угроз.
|
|||||||||
Последнее изменение этой страницы: 2017-02-21; просмотров: 265; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 3.91.11.30 (0.056 с.) |