ТОП 10:

Тема3.Организационноеобеспечениеинформационнойбезопасности.



СогласноДоктринеинформационнойбезопасностиРоссийскойФедерацииhttp://www.credogarant.ru/основнымифункциямисистемыорганизационногообеспеченияинформационнойбезопасностиявляются:

· разработканормативнойправовойбазывобластиобеспеченияинформационнойбезопасностиРФ;

· созданиеусловийдляреализацииправгражданиобщественныхобъединенийнаразрешеннуюзакономдеятельностьвинформационнойсфере;

Системаорганизационногообеспеченияинформационнойбезопасности включает в себя:

· контрользадеятельностьюфедеральныхоргановгосударственнойвластииоргановгосударственнойвластисубъектовРФ,государственныхимежведомственныхкомиссий,участвующихврешениизадачобеспеченияинформационнойбезопасности;

· предупреждение,выявлениеипресечениеправонарушений,связанныхспосягательстваминазаконныеинтересыграждан,обществаигосударствавинформационнойсфере,наосуществлениесудопроизводстваподеламопреступленияхвэтойобласти;

· развитиеотечественнойинформационнойинфраструктуры,атакжеиндустриителекоммуникационныхиинформационныхсредств,повышениеихконкурентоспособностинавнутреннемивнешнемрынке;

· организацияразработкифедеральнойирегиональныхпрограммобеспеченияинформационнойбезопасностиикоординациядеятельностипоихреализации;

· проведениеединойтехническойполитикивобластиобеспеченияинформационнойбезопасности;

· организацияфундаментальныхиприкладныхнаучныхисследованийвобластиобеспеченияинформационнойбезопасности;

· защитагосударственныхинформационныхресурсов,преждевсеговфедеральныхорганахгосударственнойвластииорганахгосударственнойвластисубъектовРФ,напредприятияхоборонногокомплекса;

· обеспечениеконтролянадсозданиемииспользованиемсредствзащитыинформациипосредствомобязательноголицензированиядеятельностивданнойсфереисертификациисредствзащитыинформации;

· совершенствованиеиразвитиеединойсистемыподготовкикадров,используемыхвобластиинформационнойбезопасности;

· осуществлениемеждународногосотрудничествавсфереобеспеченияинформационнойбезопасности,представлениеинтересовРФвсоответствующихмеждународныхорганизациях.

Компетенцияфедеральныхоргановгосударственнойвласти,органовгосударственнойвластисубъектовРФ,другихгосударственныхорганов,входящихвсоставсистемыорганизационногообеспеченияинформационнойбезопасностииееподсистем,определяетсяфедеральнымизаконами,нормативнымиправовымиактамиПрезидентаиПравительстваРФ.

Функцииорганов,координирующихдеятельностьфедеральныхоргановгосударственнойвласти,органовгосударственнойвластисубъектовРФ,другихгосударственныхорганов,входящихвсоставсистемыобеспеченияинформационнойбезопасностииееподсистем,определяютсяотдельныминормативнымиправовымиактамиРФ.

Системаорганизационногообеспеченияинформационнойбезопасностистроитсянаосноверазграниченияполномочийоргановзаконодательной,исполнительнойисудебнойвластивданнойсфере,атакжепредметовведенияфедеральныхоргановгосударственнойвластииоргановгосударственнойвластисубъектовРФ.

Межведомственныеигосударственныекомиссии,создаваемыеПрезидентомРФиПравительствомРФ,решаютвсоответствииспредоставленнымиимполномочиямизадачиобеспеченияинформационнойбезопасности.

 

КчислутакихоргановотносятсяГосударственнаятехническаякомиссияприПрезидентеРФ(ГостехкомиссияРоссии)иФедеральноеагентствоправительственнойсвязииинформацииприПрезидентеРФ(ФАПСИ).

 

ГостехкомиссияРоссии,созданнаяУказомПрезидентаРФот19февраля1999г.№212,осуществляетмежотраслевуюкоординациюифункциональноерегулированиедеятельностипообеспечениюзащитыинформации,содержащейсведения,составляющиегосударственнуюилислужебнуютайну.ОнаорганизуетдеятельностьгосударственнойсистемызащитыинформацииоттехническихразведокнатерриторииРоссиииотееутечкипотехническимканалам,отнесанкционированногодоступакней,отспециальныхвоздействийнаинформациювцеляхееуничтожения,искаженияиблокирования.ГостехкомиссияРоссиипроводитединуюгосударственнуюнаучно-техническуюполитикувобластизащитыинформацииприразработке,производстве,эксплуатациииутилизациинеинформационныхизлучающихкомплексов,системиустройств.

 

ГостехкомиссияРоссииосуществляетширокийспектрфункций:

· утверждаетнормативно-методическиедокументыпотехническойзащитеинформации;

· разрабатываетисогласовываетпрограммустандартизацииипроектыгосударственныхстандартоввобластитехническойзащитыинформации;

· проводитработупопрогнозированиюразвитиясил,средствивозможностейтехническихразведок,пооценкеихосведомленностиобинформации,составляющейгосударственнуютайну;

· осуществляетлицензированиедеятельности,связаннойсоказаниемуслугвобластитехническойзащитыинформации,созданиемсредствтехническойзащитыинформации,атакжесредствтехническогоконтроляэффективностизащитыинформации;

· участвуетсовместносФСБвпроведениинадоговорнойосновеспециальныхэкспертизподопускупредприятий,учрежденийиорганизацийкпроведениюработ,связанныхсиспользованиемсведений,составляющихгосударственнуютайну;

· осуществляетработыпосертификациисредствтехническойзащитыинформации;организуетпроведениерадиоконтролязасоблюдениемустановленногопорядкапередачислужебныхсообщенийдолжностнымилицамипредприятий,учрежденийиорганизаций,выполняющимиработы,связанныесосведениями,составляющимигосударственнуюилислужебнуютайну,идр.

Подразделенияправительственнойсвязииинформации(бывшееФАПСИ)всоставеФСБРоссииобеспечиваютспециальнымивидамисвязииинформацииорганыгосударственнойвласти.Ониосуществляюткриптографическуюиинженерно-техническуюбезопасностьшифрованнойсвязивРФ.РегламентацияэтойдеятельностиосуществляетсяЗакономРФ«Офедеральныхорганахправительственнойсвязииинформации».

ОрганыисполнительнойвластисубъектовРоссийскойФедерации:взаимодействуютсфедеральнымиорганамиисполнительнойвластиповопросамисполнениязаконодательстваРФ,решенийПрезидентаиПравительстваРФвобластиобеспеченияинформационнойбезопасности,атакжеповопросамреализациифедеральных программ в этой области.


 

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации в любой государственной или коммерческой организации.

Организационнаязащитаинформации—эторегламентациядеятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальнойинформациейипроявлениевнутреннихивнешнихугроз.

Организационная защита обеспечивает: охрану, режим, работу с кадрами, с документами; использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз производственной деятельности.

Возможности несанкционированного использования конфиденциаль­ных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежно­стью и халатностью пользователей или персонала защиты.

Влияния этих аспектов практически невозможно избежать с помощью технических средств.

Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или, по крайней мере, сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

Организация режима и охраны (Рис. 2).

 

Организационнаязащитавключаетвсебярегламентацию:

1) Формированияиорганизациидеятельностислужбыбезопасности,обеспечениядеятельностиэтихслужбнормативно-методическимидокументамипоорганизациизащитыинформации.

2) Составленияирегулярногообновлениясоставазащищаемойинформациикомпании,составленияиведенияперечнязащищаемыхбумажныхиэлектронныхдокументов.

3) Разрешительнойсистемыразграничениядоступаперсоналакзащищаемойинформации.

4) Методовотбораперсоналадляработысзащищаемойинформацией,методикиобученияиинструктированиясотрудников.

5) Направленийиметодоввоспитательнойработысперсоналом,контролясоблюдениясотрудникамипорядказащитыинформации.

6) Технологиизащиты,обработкиихранениябумажныхиэлектронныхдокументов.

7) Порядказащитыценнойинформациикомпанииотслучайныхилиумышленныхнесанкционированныхдействийперсонала.

8) Ведениявсехвидованалитическойработы.

9) Порядказащитыинформацииприпроведениисовещаний,заседаний,переговоров,приемепосетителей,работеспредставителямиСМИ.

10) Оборудованияиаттестациипомещенийирабочихзон,выделенныхдляработысконфиденциальнойинформацией.

11) Пропускногорежиманатерритории,вздании,помещениях,идентификациитранспортаиперсоналакомпании.

12) Системыохранытерритории.

13) Действийперсоналавэкстремальныхситуациях.

14) Организационныхвопросовприобретения,установкииэксплуатациитехническихсредствзащитыинформациииохраны.

15) Работыпоуправлениюсистемойзащитыинформации.

16) Критериевипорядкапроведенияоценочныхмероприятийпоустановлениюстепениэффективностисистемызащитыинформации.

 

Системаорганизационныхмерпозащитеинформациипредставляютсобойкомплексмероприятий,включающихчетыреосновныхкомпонента:

—изучениеобстановкинаобъекте;

—разработкупрограммызащиты;

—деятельностьпопроведениюуказаннойпрограммывжизнь;

—контрользаеедейственностьюивыполнениемустановленныхправил.

Выделяютследующиеорганизационныемероприятия:

· ознакомлениессотрудниками,ихизучение,обучениеправиламработысконфиденциальнойинформацией,ознакомлениесмерамиответственностизанарушениеправилзащитыинформацииидр;

· организациянадежнойохраныпомещенийитерриториипрохождениялиниисвязи;

· организация,храненияииспользованиядокументовиносителейконфиденциальнойинформации,включаяпорядокучета,выдачи,исполненияивозвращения;

· созданиештатныхорганизационныхструктурпозащитеценнойинформацииилиназначениеответственногозазащитуинформациинаконкретныхэтапахеѐобработкиипередачи;

· созданиеособогопорядкавзаимоотношенийсостороннимиорганизациямиипартнерами;

· организацияконфиденциальногоделопроизводства.

 

Организационная защита в системе комплексной защиты информации.

 

Организационные меры защиты информации - комплекс мероприя­тий, направленный на регламентацию деятельности персонала в процессе обработки информации.

Основные цели организационных мер защиты:

• Обеспечение правильности функционирования механизмов защиты;

• Регламентация автоматизированной обработки информации.

Основные направления организационной защиты на объекте:

• Защита от не санкционированного доступа;

• Защита информации от утечки по техническим каналам;

• Защита информации от не задекларированных возможностей (На­пример, от вредоносного программного обеспечения);

• Защита информации от иностранных технических разведок.

Основные организационные мероприятия по созданию и обес­печению функционирования комплексной системы защиты информации.

Разовые мероприятия- мероприятия, однократно проводимые и повторяемые только при полном пересмотре принятых решений.

Эпизодические мероприятия- мероприятия, проводимые при осу­ществлении или возникновении определенных изменений в защищаемой системе или внешней среде.

Периодически проводимые мероприятия.

Постоянно проводимые мероприятия.

К разовым мероприятиям относятся:

• мероприятия по созданию научно-технической и методологической основы защиты системы, в том числе концепции и руководящие доку­менты.

• мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектом.

• проведение специальных проверок всех технических средств.

• разработка и утверждение функциональных обязанностей должност­ных лиц;

• мероприятия по разработке правил управления доступом к ресурсам системы;

• организация пропускного режима на предприятии и в отдельных помещениях;

• создание подразделений по защите информа­ции.

К эпизодическим мероприятиям относятся:

мероприятия, осуществляемые при кадровых изменениях в составе персонала, мероприятия, осуществляемые при ремонте и модификации оборудования, ПО и т. д

К периодически проводимым мероприятиям относятся:

• распределение и разграничение реквизитов разграничения доступа (раздача паролей);

• анализ системных журналов и принятие мер по обнаруженным недостаткам и проблемам;

• анализ состояния и оценка эффективности мер защиты информации;

• мероприятия по пересмотру состава и перестроению системы защиты.

К постоянно проводимым мероприятиям относятся:

• мероприятия по обеспечению достаточного уровня физической защи­ты всех элементов объекта (охрана, в том числе и противопожарная, сохранность съемных носителей);

• явный или скрытый контроль за работой персонала системы;

• контроль за реализацией выбранных мер защиты;

• постоянно осуществляемый анализ состояния системы защиты.

 

Разработка организационно-распорядительных документов по обеспечению информационной безопасности

 

Одним из направлений в области услуг по информационной безопас­ности является разработка организационно-распорядительных докумен­тов различного уровня. Документы верхнего уровня - концепция информационной безопасности и политика ИБ определяют общие взгляды и идеологию организации в области защиты информации.

Регламентирующие документы - это различные политики и регла­менты, в частности политика резервного копирования, регламент доступа пользователей к сети Интернет и т. д., а также различные инструкции и положения. Система управления информационной безопасностью организации строится из двух основных компонентов - регулярной оценки рисков и четкой регламентации принципов, процессов и отдельных процедур, направленных на обеспечение безопасности информационных систем.

В этой связи одним из приоритетных направлений является разработка пакета нормативных и организационно­-распорядительных документов, описывающих совокупность политик информационной безопасности организации.

Такими документами являются:

• концепция информационной безопасности;

• политики инфор­мационной безопасности, включая инструкции, регламенты и другие нормативные документы;

• план развития системы информационной безопасности.

 

Концепция ИБможет включать в себя следующие разделы:

• цели и задачи защиты информации;

• основные принципы построения системы информационной безо­пасности;

• обобщенное описание объектов защиты; модель угроз и модель нарушителя;

• принципы контроля эффективности системы ИБ.

 

Политики информационной безопасности

Политики информационной безопасности представляют собой свод нормативных документов, содержащих требования к обеспечению ИБ и распределение обязанностей и ответственности. Кроме этого, политика­ми ИБ регламентируются процедуры проектирования, внедрения и поддержки средств и систем защиты организации.

Комплект политик информационной безопасности включает в себя следующие документы:

• требования по обеспечению И Б;

• положение об обеспечении И Б;

• описание процессов СУИБ;

• политика управления доступом;

• политика использования паролей;

• политика определения уровня конфиденциальности информации;

• политика передачи информации третьим лицам и организациям;

• политика использования Интернета;

• политика использования электронной почты;

• политика резервного копирования;

• политика и порядок внесения изменений в систему; операционные инструкции и регламенты в контексте процессов СУИБ;

• положения о функциональных обязанностях по обеспечению ИБ, возложенных на персонал организации;

• план по обеспечению непрерывности работы и восстановлению сис­тем.

Эти документы, в совокупности с организационно-­распорядительными документами (приказами и распоряжениями по организации), полностью описывают СУИБ и четко определяют разделе­ние обязанностей и ответственности персонала за обеспечение ИБ.

 

План развития системы информационной безопасности

Данный документ представляет собой перечень основных текущих и перспективных мероприятий по совершенствованию (или созданию) системы защиты информации.

В его состав входят следующие разделы:

• перечень основных задач и приоритетов;

• порядок внедрения дополнительных подсистем информационной безопасности или модернизации существующих;

• состав технических средств и порядок их внедрения;

• состав организационных мероприятий по повышению уровня защи­щенности информационных ресурсов.

Преимущества:четкое распределение ответственности за информационную безопас­ность; инструкции и рекомендации на случай возникновения инцидентов безопасности; осведомленность сотрудников о своих обязанностях по обеспечению ИБ; обеспечение непрерывности технологических процессов.

Одним из важнейших организационных мероприятий является созда­ние специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Очевидно, что организационные мероприятия должны четко плани­роваться, направляться и осуществляться какой-то организационной структурой.

Каким-то специально созданным для этих целей структурным под­разделением, укомплектованным соответствующими специалистами по безопасности производственной деятельности и защите информации.

Зачастую таким структурным подразделением является служба безопасности предприятия, на которую возлагаются следующие общие функции:

• организация и обеспечение охраны персонала, материальных и фи­нансовых ценностей и защиты конфиденциальной информации;

• обеспечение пропускного и внутри объектового режима на террито­рии, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями;

• руководство работами по правовому и организационному регулиро­ванию отношений по защите информации;

• участие в разработке основополагающих документов с целью закреп­ления в них требований обеспечения безопасности и защиты информа­ции, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

• разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения; при всех видах работ организация и контроль выполнения требований «Инструкции по защите конфиденци­альной информации»;

• изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и последующего противодействия любым попыткам нанесения ущерба, ведения учета и анализа наруше­ний режима безопасности, накопление и анализ данных о злоумышлен­ных устремлениях конкурентных организаций, о деятельности предпри­ятия и его клиентов, партнеров, смежников;

• организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия;

• разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера» и других нормативных актов, регламен­тирующих порядок обеспечения безопасности и защиты информации;

• обеспечение строгого выполнения требований нормативных докумен­тов по защите производственных секретов предприятия;

• осуществление руководства службами и подразделениями безопас­ности подведомственных предприятий, организаций, учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциальной информации;

• организация и регулярное проведение учета сотрудников предпри­ятия и службы безопасности по всем направлениям защиты информа­ции и обеспечения безопасности производственной деятельности;

• ведение учета и строгого контроля выделенных для конфиденциаль­ной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникнове­ния к источникам охраняемых секретов;

• обеспечение проведения всех необходимых мероприятий по пресе­чению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз;

• поддержание контактов с правоохранительными органами и служба­ми безопасности соседних предприятий в интересах изучения кримино­генной обстановки в районе и оказания взаимной помощи в кризисных ситуациях.

Служба безопасности является самостоятельной организационной единицей предприятия, подчиняющейся непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы в должности заместителя руководителя предприятия по безопасности.

Организационно служба безопасности состоит из следующих структурных единиц:

• подразделения режима и охраны;

• специального подразделения обработки документов конфиденциаль­ного характера;

• инженерно-технических подразделений; информационно-аналитических подразделений.

В таком составе служба безопасности способна обеспечить защиту конфиденциальной информации от любых угроз.

­


 







Последнее изменение этой страницы: 2017-02-21; Нарушение авторского права страницы

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 34.204.202.44 (0.02 с.)