Организация защиты информации

Организация защиты информации

Организация защиты информации

Организациязащиты информации определяет содержаниеи порядок действий по обеспечению защитыинформации.

Основныенаправления в организации защитыинформации определяются системойзащиты, мероприятиями по защите информациии мероприятиями по контролю заэффективностью защиты информации, где:

  • предлагаемая система защиты информации — это совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно — распорядительными и нормативными документами по защите информации;
    • мероприятие по защите информации определяет совокупность действий по разработке и/или практическому применению способов и средств защиты информации, а мероприятие по контролю эффективности защиты информации — совокупность действий по разработке и/или практическому применению методов (способов) и средств контроля эффективности защиты информации.

Органомзащиты информации выступает административныйорган, осуществляющий организациюзащиты информации.

Объектомзащиты является информация, носительинформации, информационный процесс исоответствующее ЗП, в отношении которыхнеобходимо обеспечить защиту всоответствии с поставленной цельюзащиты информации.

Техникузащиты информации составляют средствазащиты информации, средства контроляэффективности защиты информации,средства и системы управления,предназначенные для обеспечения защитыинформации.

Ксредствам и системам управления защитойинформации можно отнести техническиеи программные средства и системы,используемые для организации иосуществления управления защитойинформации.

Вмероприятия по защите информации входятспособы защиты информации, категорирование,лицензирование, сертификация и аттестация.

Сертификация- это процесс, осуществляемый в отношениитакой категории, как «изделие»(средство).

В результате сертификации,после выполнения комплекса мероприятий,определенных правилами и порядком еепроведения, устанавливается, илиподтверждается качество изделия.

Сертификация средств защиты информации- деятельность изготовителей и потребителейсредств по установлению (подтверждению)соответствия средств ЗИ требованиямнормативных документов по защитеинформации, утвержденных государственнымиорганами по сертификации.

Лицензирование- мероприятия, связанные с предоставлениемлицензий, переоформлением документов,подтверждающих наличие лицензий,приостановлением и возобновлениемдействий лицензий, аннулированиемдействий лицензий и контролем лицензирующихорганов за соблюдением лицензиатамипри осуществлении лицензируемых видовдеятельности соответствующих лицензионныхтребований и условий.

Лицензия- специальное разрешение на осуществлениеконкретного вида деятельности приобязательном соблюдении лицензионныхтребований и условий, выданноелицензирующим органом юридическомулицу или индивидуальному предпринимателю.

Аттестациявыделенных помещений — первичная проверкавыделенных помещений и находящихся вних технических средств на соответствиетребованиям защиты. Наряду с аттестацией,выделенные помещения подвергаютсяпериодическим аттестационным проверкам.

Аттестационнаяпроверка выделенных помещений -периодическая проверка в целях регистрациивозможных изменений состава техническихсредств, размещенных в помещениях,выявления возможных неприятностей,регистрации возможных измененийхарактера и степени конфиденциальностизакрытых мероприятий. График периодическихаттестационных проверок составляется,исходя из следующих сроков: для помещенийпервой и второй групп — не реже 1 раза вгод; для помещений третьей группы — нереже 1 раза в 1,5 года.

Податтестацией объектов информатизациипонимается комплекс организационно-техническихмероприятий, в результате которыхпосредством специального документа -«Аттестата соответствия»подтверждается, что объект соответствуеттребованиям стандартов или иныхнормативно-технических документов побезопасности информации, утвержденныхГостехкомиссией России.

Обязательнойаттестации подлежат объекты информатизации,предназначенные для обработки информации,составляющей государственную тайну,управления экологически опаснымиобъектами, ведения секретных переговоров.

Востальных случаях аттестация носитдобровольный характер (добровольнаяаттестация) и может осуществляться поинициативе заказчика или владельцаобъекта информатизации.

Организационныйконтроль эффективности защиты информациисодержит проверку полноты и обоснованностимероприятий по защите информациитребованиям нормативных документов позащите информации, а технический контрольэффективности защиты информации -контроль эффективности защиты информации,проводимый с использованием техническихсредств контроля.

Организацияи проведение работ по защите информациис ограниченным доступом определяется«Положением о государственной системезащиты информации в РФ от иностранныхтехнических разведок и от её утечки потехническим каналам».

Организацияработ по защите информации

Возлагается на руководителей предприятий и учреждений, руководителей подразделений, осуществляющих разработку проектов объектов информатизации и их эксплуатации.Методическое руководство и и контроль за эффективностью предусмотренных мер защиты возлагается на руководителей служб безопасности.Научно-техническое руководство и непосредственную организацию работ по созданию системы защиты информации (СЗИ) — главный конструктор (или другое лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации).

РазработкаСЗИ может осуществляться как подразделениямипредприятия, так и специализированнымипредприятиями, имеющими лицензию наэтот вид деятельности.

Стадиисоздания СЗИ

Предпроектная стадияСтадия проектирования и создания объекта информатизацииСтадия ввода в действие СЗИ
  • предпроектное обследование объекта;
  • разработка аналитического обоснования необходимости создания СЗИ;
  • частные задания на создание СЗИ.
  • разработка задания на создание объекта информатизации с учётом требований технического задания на разработку СЗИ;
  • проведение строительно-монтажных работ в соответствии с проектной документацией (в т.ч. по разработке СЗИ);
  • разработка организационно- технических мероприятий по защите информации;
  • приобретение сертифицированных технических, программных и программно-технических средств защиты информационных установок:
  • разработка эксплуатационной документации на объект информатизации и средства защиты информации.
  • опытная эксплуатация средств защиты информации в комплексе с другими техническими и программными средствами;
  • приемо-сдаточные испытания средств защиты информации;
  • аттестация объекта информатизации по требованиям безопасности информации.

Система,созданная с использованием такойтехнологии, обладает гибкостью, расширениесистемы и изменение её функций илихарактеристик достигается перестановкой,добавлением или перепрограммированиемеё компонентов.

Источник: https://studfile.net/preview/399823/page:5/

Организация защиты информации на предприятии

Для того чтобы обеспечить защиту интеллектуальной собственности, в каждой компании установлен определенный порядок работы с информацией и доступа к ней, что подразумевает комплекс правовых, административных, инженерно-технических, организационных, социально-психологических, финансовых и прочих мероприятий, что основаны на организационно-распорядительных положениях руководства предприятия или на его правовых нормах.

Организация эффективной защиты информации на предприятии подразумевает обязательное выполнение некоторых условий:

  • единство в принятии решений режимного, производственного, финансового и коммерческого характера;
  • координация мероприятий безопасности между всеми подразделениями предприятия, которые заинтересованы в организации и проведении защиты информации;
  • осуществление научной оценки информации и тех объектов, которые подлежат классификации;
  • разработка всех необходимых режимных мероприятий еще до начала проведения режимных работ;
  • персональная и материальная ответственность руководящих должностей разного уровня и тех исполнителей, принимающих участие в закрытых работах, за обеспечение сохранности конфиденциальной информации и коммерческой тайны предприятия, а также поддержание на должном уровне охранного режима выполняемых работ.

Этапы организации защиты информации и ее способы

Организация защиты информации и коммерческой тайны предприятия включает в себя обязательное выполнение следующих этапов:

  1. Определение предмета защиты. На данном этапе необходимо разработать перечень сведений, которые составляют коммерческую тайну предприятия. Она содержит наиболее ценную информацию, которая нуждается в усиленной охране и защите. Также на данном этапе учитываются требования по защите других организаций, что принимают участие в совместных работах.
  2. На следующем этапе организации защиты информации необходимо установить периоды существования определенных сведений, которые составляют коммерческую тайну.
  3. Далее необходимо определить категории носителей ценной информации: персонал, внутренняя документация, материалы и изделия; физические излучения, а также технические средства обработки, хранения и передачи ценной информации. Для того чтобы организовать правильное восприятие формируемой системы защиты, на данном этапе разрабатывается соответствующая схема, где установлены конкретные сотрудники, что осведомлены о коммерческой тайне.
  4. Далее необходимо перечислить стадии выполняемых работ и время материализации коммерческой тайны применительно к пространственным зонам.
  5. На следующем этапе необходимо составить схему с указанием конкретных сведений в пределах предприятия и вне его.
  6. После этого необходимо рассмотреть допустимые для компании несанкционированные перемещения, что можно использовать с целью овладения конкурентами коммерческой тайной. Эти перемещения корректируются или разрабатываются в процессе осуществления анализа разрешительных подсистем допуска и допуска к определенным сведениям, что составляют коммерческую тайну.
  7. На следующем этапе устанавливается, кто имеет право реализовать мероприятия и, кто несет ответственность за защиту определенной информации. Также планируются координационные меры и назначаются конкретные исполнители.
  8. В завершении намечаются действия, которые направлены на стимулирование и активизацию лиц, что задействованы в организации защиты информации предприятия. Обязательно проверяется надежность мер обеспечения защиты информации, которые приняты к реализации.

Предприниматели России в процессе организации защиты информации используют такие способы:

  • Законодательная защита, которая подразумевает соблюдение тех прав юридического лица на защиту конфиденциальной информации, что предусмотрены действующим законодательством РФ. Если эти права будут нарушены, предприниматель может обратиться в соответствующие органы для того, чтобы восстановить нарушенные права и возместить убытки.
  • Физическая защита информации подразумевает реализацию пропускного режима, который установлен на предприятии, а также охрану и использование специальных гостевых карточек, секретных шкафов и закрывающихся сейфов для посторонних.
  • Организационная защита подразумевает создание должности, которая будет нести ответственность за отнесение определенной информации к категории конфиденциальной, а также за соблюдение правил доступа и пользования этих информационных данных.
  • Техническая защита – это применение технических средств защиты и контроля (микрофоны, видеокамеры, сигнализирующие устройства, средства идентификации и защиту программных комплексов предприятия от несанкционированного вмешательства.

Источник: https://spravochnick.ru/informacionnaya_bezopasnost/zaschita_informacii/organizaciya_zaschity_informacii/

Защита информации в организации

Организация защиты информации

«Кадровик. Трудовое право для кадровика», 2011, N 10

ЗАЩИТА ИНФОРМАЦИИ В ОРГАНИЗАЦИИ

Автор обращается к проблеме обеспечения информационной безопасности организации. Основное внимание уделено коммерческой и служебной тайнам, а также особенностям работы с персоналом, владеющим конфиденциальной информацией.

Обеспечение информационной безопасности организации является одним из приоритетных направлений деятельности администрации компании в настоящее время. Очевидно, что надежность защиты информации напрямую зависит от ее ценности. Для защиты информации компании требуется комплекс мер, образующих систему.

В теории под системой защиты информации понимают рациональную совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке [1, с. 70].

Элементами такой системы являются меры правового, организационного, технического и др. характера.

Правовой элемент является обязательным для любого типа организации и для любой даже самой простой системы защиты информации. При его отсутствии организация не сможет должным образом защитить конфиденциальную информацию, а также привлечь к ответственности лиц, виновных в ее разглашении и утрате.

Правовой элемент, то есть меры юридического характера, направлен в основном на надлежащее оформление документов, а также на грамотную работу с персоналом организации, поскольку в основе системы защиты информации лежит человеческий фактор.

Вообще, в решении проблемы информационной безопасности организации значительное место занимает выбор эффективных методов работы с персоналом, а вопросы управления персоналом включаются в число главных при обеспечении безопасности информации.

В трудовых отношениях работодатель и работник обмениваются большим объемом информации различного характера, в том числе и конфиденциальной. Например, работодатель получает доступ к персональным данным работника, а работнику становится известной закрытая информация работодателя. В настоящей статье речь пойдет именно о конфиденциальной информации работодателя.

Персонал организации

как объект и субъект угроз безопасности

В современных компаниях практически любой сотрудник становится носителем ценных сведений, которые представляют интерес для конкурентов, а иногда и криминальных структур. Разглашение конфиденциальной информации может нанести существенный экономический ущерб организации.

Очевидно, что тайный сбор сведений, информации, хищение документов, материалов, образцов, составляющих коммерческую, промышленную, служебную тайну, организуется с целью завоевать рынок, сэкономить на приобретении ноу-хау и пр.

К сожалению, нередкой является ситуация, когда сотрудник какой-либо организации, желая увеличить зарплату, предлагает свою кандидатуру фирме-конкуренту и одновременно обещает принести с собой базы данных старой компании.

По неофициальным данным, от «промышленного шпионажа» в той или иной форме страдают около 80% организаций.

Итак, в деле защиты конфиденциальной информации организации от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Необходимо внедрять такую систему управления персоналом, которая бы помогала в деле обеспечения информационной безопасности, играла профилактическую роль по отношению к указанным угрозам.

Формы реализации угроз информационной безопасности предприятия разнообразны по своему характеру и содержанию, что объективно затрудняет процесс противодействия им. При этом мотивация сотрудников при разглашении конфиденциальной информации может быть различна.

Реализация мер кадровой службы по защите информации компании предполагает планирование, организацию, мотивацию и контроль персонала в целях создания системы обеспечения информационной безопасности.

Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.

Типичные ошибки предприятий

Мельникова Е. И. приводит данные исследования на тему «Методы и средства защиты коммерческой тайны на предприятии», которое было проведено в Ульяновске [2, с. 40 — 43].

В нем приняли участие 40 предприятий города из числа крупного, среднего и малого бизнеса, и был сделан вывод о том, что эффективная система управления персоналом в целях обеспечения информационной безопасности предприятия отсутствует везде.

Согласно указанному исследованию на 65% всех предприятий не контролируется внос и вынос сотрудниками с территории предприятия бумажных документов, дисков, электронных накопителей и других носителей информации, а также видео — и фотосъемочной аппаратуры.

В 33,5% всех случаев на предприятиях помещения, где расположены компьютеры, не защищены от несанкционированного доступа. На 55% предприятий у сотрудников при увольнении не берется расписка о неразглашении конфиденциальной информации.

На 55% всех предприятий на предприятии не назначено лицо, ответственное за учет работников, имеющих доступ к сведениям, содержащим информацию, составляющую коммерческую тайну, которое обеспечивает хранение документации, выдачу ее работникам под роспись и контроль над своевременным возвратом указанной документации на хранение.

На 47,5% всех предприятий отсутствуют специально организованные места приема посетителей. На 3/4 предприятий были зафиксированы случаи разглашения информации, составляющей коммерческую тайну, при движении персонала (приеме, перемещении, увольнении).

Виды конфиденциальной информации

Конфиденциальная информация, несомненно, относится к информации ограниченного доступа. Кстати, правовой режим последней в нормативных правовых актах недостаточно определен [2]. Какую же информацию можно отнести к конфиденциальной в предпринимательской деятельности? Как именовать такую информацию? Как документально оформить обязанность работника хранить секретную информацию работодателя?

Для определения конфиденциальной информации используются различные термины, каждый из которых не является точным и корректным: «коммерческая тайна», «служебная тайна», «инсайдерская информация», «профессиональная тайна» и пр. Несколько слов следует сказать о каждом из приведенных понятий.

Информация может считаться служебной тайной лишь в том случае, если она обладает рядом признаков:

— ее субъектами могут являться исключительно государственные или муниципальные служащие;

— к ней может относиться лишь та конфиденциальная информация, которая становится известной лицам в силу исполнения профессиональных обязанностей, связанных с государственной или муниципальной службой;

— у нее особый качественный состав [3, с. 16 — 20].

Следует заметить, что в действующем законодательстве отсутствуют четкие ориентиры для определения сущности служебной тайны и приходится руководствоваться научными подходами.

Данный термин не подходит для использования его при определении конфиденциальной информации коммерческой компании, а также государственной организации, где государственная служба не предусмотрена.

Термин «инсайдерская информация» в дословном переводе означает внутреннюю информацию компании.

Словарь трудового права. Инсайдер (inside англ. — внутри) — лицо, в силу служебного положения располагающее конфиденциальной информацией о делах фирмы.

Пункт 1 ст.

1 Директивы 2003/6/ЕС определяет инсайдерскую информацию как информацию, публично не раскрытую, обладающую известной ценностью, относящуюся к одному или нескольким эмитентам финансовых инструментов либо к одному или нескольким таким инструментам, которая в случае раскрытия непременно окажет значительное влияние на котировки финансовых инструментов или соответствующих деривативов [4].

Источник: https://hr-portal.ru/article/zashchita-informacii-v-organizacii

Организация системы защиты информации

Организация защиты информации

Добрый день, уважаемые коллеги.

Организация системы защиты информации сейчас — во время стремительного развития информационных технологий и вхождения их практически во все сферы жизни — стала неотъемлемой частью этого развития.

Не хочу отвлекать ваше внимание на лирику, основные вопросы организации защиты информации мы обязательно рассмотрим в  рамках этой статьи, так что у кого мало времени можно перейти к непосредственному рассмотрению вопроса.  А у кого его совсем нет — сразу к выводам.

С теми же из вас, у кого есть лишняя минута, хотел поделиться своими мыслями в контексте рассматриваемого вопроса.

Наш сайт был запущен в 2012 году. Его основной целью стало помочь сориентироваться в динамично развивающейся отрасли, такой как защита информации. Мы постарались подобрать для вас наиболее востребованную информацию, сгруппировать ее для более удобного повседневного использования.

Подобрали основную нормативную базу по направлениям, которые курируют ФСБ, ФСТЭК, Роскомнадзор. Подготовили образцы организационно-распорядительных документов (инструкции, приказы, журналы и другие типовые формы). Разработали сервис автоматического определения класса защиты и уровня защищенности, для ГИС и ИСПДн соответственно.

И многое другое, с чем вы можете ознакомиться на сайте.

На дворе конец 2017 года и мне стало интересно, что сейчас пишут по вопросу организации системы защиты информации.

И каково же было мое удивление, когда я понял, что на основной массе интернет ресурсов изложено все грамотно и правильно по сути вопроса, но, на мой субъективный взгляд, упущена сама система.

Ведь для человека, который озадачился вопросом — как организовать систему защиты информации — главное уяснить четкую структуру. А структура на самом деле очень проста и я постараюсь в этой статье раскрыть ее. Как это получится — оценивать только вам.

Сразу отмечу, что для зарегистрированных пользователей есть возможность комментировать статьи, задавать вопросы, ну, и конечно, без критики никак. Как говорится — «в споре рождается истина», поэтому буду отвечать всем, по мере сил и возможностей.

Итак, что же нам необходимо понимать когда мы собираемся построить систему защиты чего бы то ни было — будь то организация защиты информации в информационных системах или системах электронного документооборота, ГИС, ИСПДн и т.д.

  1. Защите подлежит вся инфраструктура организации, предприятия, учреждения, в которой циркулирует информация.                                                                                                              
  2. Существует всего 2 основных направления организации защиты информации, это: организационные меры защиты информации и техническая защита информации.                                      
  3. Выделяются 3 основных критерия безопасности. Это: конфиденциальность, целостность и доступность. Раньше (до выхода постановления Правительства Российской Федерации от 1 ноября 2012 г. N 1119 о целостности и доступности) очень часто забывали эти свойства безопасности информации, которые необходимо обеспечить, да и теперь многие не учитывают… Их обеспечение требуется не только в ГИС и это стоит понимать.                                                                                                                                                                                 
  4. Решение о необходимости организации системы защиты информации принимается либо на основании требования того или иного закона РФ, либо исходя из необходимости защиты с целью снижения собственных рисков.                                                                                                                                                                                                                                   
  5. Вопросы защиты информации координируются 3-мя ведомствами, это: ФСБ, ФСТЭК и Роскомнадзор.

Теперь давайте рассмотрим более подробно данные пять пунктов.

  1. Почему я на первое место поставил казалось бы очевидное?!

Дело в том, что за долгие годы работы в области защиты информации я столкнулся с тем, что это все понимают, но когда дело касается защиты конкретной информационной системы, зачастую специалисты по защите рассматривают ее как-то слишком обособленно.

В лучшем случае защищаемую систему техническими мерами отделят от сети организации и проведут ряд простейших мер по технической защите (парольная защита и антивирусная защита). Но ведь очевидно, что эти меры хоть и существенно снижают риски, но никак не защищают от действий некомпетентного сотрудника, допущенного к обработке информации, выхода из строя техники, стихийных бедствий.

Некоторые из вас могут сказать, что очень дорого обеспечить защиту информации, приняв во внимание все риски, и она зачастую этого не стоит. Но на самом деле все не так страшно и дорого. Именно с этой мыслью мы и переходим к рассмотрению второго пункта.

  1. Как мы уже и говорили, существуют 2 основные меры по защите информации (кстати, и не только информации). Представленный ниже алгоритм в целом подходит при организации защиты чего угодно, вплоть до физической защиты объекта или охраняемого лица.

— Организационные меры защиты.

Как бы кто не относился (очень часто иронично), но организационные меры — это основа, что обусловлено двумя факторами: во-первых, это не так дорого, а во-вторых,  как минимум где-то должно быть написано зачем, какие, кем и — наконец — как применяются технические меры защиты.  Как грамотно построить эту часть работы, я думаю, удобней рассмотреть в отдельной статье. Собственно здесь.

— Технические меры защиты — как правило, применяются как в случае невозможности обеспечить защиту организационными мерами (например, перехват информации передаваемой по каналам связи), так и в качестве дополнительной меры, усиливающей, а иногда определяющей эффективность той или иной организационной меры.

 Например, организационная мера «запрещено посещать сайты развлекательной тематики и сайты, не связанные с выполнением должностных обязанностей», «открывать почтовые сообщения, направленные из сомнительных источников» и т.д.

Согласитесь, этого не достаточно, чтобы обеспечить антивирусную защиту, поэтому, как правило, используют средства антивирусной защиты. Кстати, использование антивирусных средств также подкрепляется организационными мерами. Например, разрабатывается и утверждается инструкция по использованию антивирусных средств.

Нельзя не согласиться с тем, что все эти меры не гарантируют защиту от вирусов, но существенно снижают вероятность их появления и распространения.

При построении системы защиты необходимо понимать, что абсолютно защищенных систем не бывает, и наша с вами задача выстроить эту систему так, чтобы она не останавливала саму работу, существенно снижала вероятность нарушения того или иного критерия безопасности. Как достичь этого баланса мы попытаемся рассмотреть в следующей статье.

   3.

Что касается основных критериев безопасности информации, здесь сложно что-либо дополнить, кроме того, что нельзя зацикливаться исключительно на обеспечении конфиденциальности, потому как нарушение целостности или доступности той или иной информации может привести к не менее тяжелым последствиям. Например, неначисление заработной платы, начисление не тому, или не в полном объеме. Это как банальный, приземленный пример.                                                                                                                         

4.Теперь нам необходимо поговорить о том, в соответствии с чем мы будем защищать информацию. Для правильного понимания вопроса я хочу остановиться на понятии информации ограниченного доступа. Это понятие введено 149 ФЗ. Можно ознакомиться здесь.  Это информация доступ, к которой ограничен Федеральным Законом.

На сайте вы можете ознакомиться с перечнем информации ограниченного доступа со ссылкой на закон.

Если проанализировав информацию, которая циркулирует в вашей организации, вы понимаете, что информации, которую вы должны защищать по закону нет (такого практически не бывает — персональные данные сотрудников есть везде), но вам нужна правовая основа для введения тех или иных ограничений, возложение ответственности на сотрудников — ФЗ о коммерческой тайне вам поможет. Есть замечательный принцип в защите коммерческой тайны: вы принимаете меры по защите (тратите на это деньги) исходя исключительно из риска финансовых и репутационных потерь, которые могут быть, если не обеспечить защиту информации.                                 

 5. Ну, и для общего понимания и для того, чтобы Вам проще было ориентироваться в многообразии нормативных актов и ведомственных регламентов, необходимо понимать кто из регуляторов за какое направление отвечает (в контексте рассматриваемого вопроса).

— ФСБ  (защита ГТ, криптографическая защита);

— ФСТЭК (техническая защита информации ограниченного доступа, в том числе и ГТ);

— Роскомнадзор (защита прав субъектов персональных данных).

Это очень общий, укрупненный перечень полномочий, в каких-то аспектах перемежающийся. Но этого достаточно, чтобы легко ориентироваться в руководящих документах.

ГОСТы я особенно не учитываю: в основном их требования уже заложены в НПА регуляторов. Но если кому-то надо что-то подсмотреть, то вам сюда.

Подводя итог — что мы имеем сухим остатком:  для организации системы защиты информации нам необходимо применить комплекс мер организационно и технического характера с учетом вероятности реализации угроз различным свойствам безопасности с учетом требований законодательства и регуляторов.

Общее описание системы защиты информации формируется и излагается в Концепции обеспечения безопасности информации. С примером Концепции можно ознакомиться по ссылке.

В следующих статьях, как я и обещал, мы остановимся непосредственно на организационных мерах защиты информации и технической защите информации.

Источник: https://itsec2012.ru/organizaciya-sistemy-zaschity-informacii

Организация защиты информации (стр. 1 из 2)

Организация защиты информации

Федеральное агентство по образованию

Государственное образовательное учреждение

высшего профессионального образования

Тульский государственный университет

Кафедра технологии полиграфического производства и защиты информации

Контрольная работа по дисциплине

«Теория информационной безопасности и методология защиты информации»

Организация защиты информации

Введение

1. Организационно-правовая защита информации

2. Методологические основы защиты информации

3. Научно-методологический базис защиты информации

Заключение

Список использованной литературы

Введение

Острота проблемы защиты информационных технологий в современных условиях определяется следующими факторами:

· высокими темпами роста парка средств вычислительной техники и связи, расширением областей использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, подлежащих защите;

· вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей;

· отношением к информации, как к товару, переходом к рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем, · концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях;

· наличием интенсивного обмена информацией между участниками этого процесса;

· количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам;

Естественно, в такой ситуации возникает потребность в защите вычислительных систем и информации от несанкционированного доступа, кражи, уничтожения и других преступных и нежелательных действий.

Наблюдается большая разнородность целей и задач защиты — от обеспечения государственной безопасности до защиты интересов отдельных организаций, предприятий и частных лиц, дифференциация самой информации по степени ее уязвимости.

1. Организационно-правовая защита информации

Такая подсистема предназначена для регламентации деятельности пользователей ИС и представляет собой упорядоченную совокупность организационных решений, нормативов, законов и правил, определяющих общую организацию работ по защите информации в ИС.

Достижение высокого уровня безопасности невозможно без принятия должных организационных мер.

С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы.

С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

Организационно-правовую защиту структурно можно представить так:

Организационно-правовые вопросы:

· органы, подразделения и лица, ответственные за защиту;

· нормативно-правовые, методические и другие материалы;

· меры ответственности за нарушение правил защиты;

· порядок разрешения спорных ситуаций.

Регистрационные аспекты:

· фиксация «подписи» под документом;

· фиксация фактов ознакомление с информацией;

· фиксация фактов изменения данных;

· фиксация фактов копирования содержания.

Юридические аспекты:

· Утверждение в качестве законов:

· правил защиты информации;

· мер ответственности за нарушение правил защиты;

· регистрационных решений;

· процессуальных норм и правил.

Морально-психологические аспекты:

· подбор и расстановка кадров;

· обучение персонала;

· система моральных и материальных стимулов;

· контроль за соблюдением правил.

Для организации и обеспечения эффективного функционирования СЗИ должны быть разработаны документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в ИС, а также документы, определяющие права и обязанности пользователей при работе с электронными документами юридического характера (договор об организации обмена электронными документами).

План защиты информации может содержать следующие сведения:

· назначение ИС;

· перечень решаемых ею задач;

· конфигурация;

· характеристики и размещение технических средств и программного обеспечения;

· перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;

· требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;

· список пользователей и их полномочий по доступу к ресурсам системы;

· цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;

· перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;

· основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;

· требования к условиям применения и определение ответственности, установленных в системе технических средств защиты от НСД;

· основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);

· цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и пути ее достижения;

· перечень и классификация возможных кризисных ситуаций;

· требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);

· обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;

· разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

· определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

· определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);

· определение порядка разрешения споров в случае возникновения конфликтов.

Так же стоит проводить организационные и организационно-технические мероприятия по созданию и поддержанию функционирования комплексной системы защиты

Они включают:

· разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

· мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

· периодически проводимые (через определенное время) мероприятия;

· постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

2. Методологические основы защиты информации

Под методологическими основами защиты информации принято понимать, во-первых, совокупность научных принципов, обеспечивающих соблюдение требований системно-концептуального подхода при исследованиях и разработках проблем защиты, и, во-вторых – совокупность методов, необходимых и достаточных для оптимальной реализации этих принципов.

Повышенная актуальность формирования методологических основ защиты информации обуславливается по крайне мере следующими двумя обстоятельствами. В настоящее время весьма остро стоит проблема комплексной защиты информации, для чего совершенно необходим адекватный проблеме научно обоснованный методологический базис.

Второе обстоятельство заключается в том, что в процессе более чем 30-ти летнего развития работ по защите информации разработано большое количество различных методов решения различных задач, связанных с защитой информации, причем многообразие этих методов как по функциональному назначению, так и по используемому по тематическому аппарату настолько большое, что затрудняет ориентацию в этих методах и правильный выбор их при решении конкретных задач; необходима системная классификация и системный анализ методов.

Основополагающим методологическим принципом, гарантирующим соблюдение требований системно-концептуального подхода, очевидно, может быть принцип формирования и системной классификации полной совокупности моделей, необходимых и достаточных для обеспечения решения всех задач возникающих в процессе исследований и практических разработок различных аспектов проблемы защиты. Следующий принцип, который также является почти очевидным, может быть сформулирован как системный учет всей совокупности существенно значимых особенностей самой проблемы защиты информации в современных АСОД. Поскольку исходными являются требования второго из сформулированных принципов, то рассмотрим их в первую очередь. Соблюдение требований принципа формирования полного множества необходимых моделей должно стать гарантией обеспечения рационального выбора методов решения всех задач, возникающих при исследованиях и разработках проблем защиты.

Общий вывод сводится к тому, что системы защиты информации в современных АСОД должны представлять собою стохастические человеко-машинные системы, функционирующие непрерывно и нуждающиеся в активном управлении.

Все эти обстоятельства непременно должны учитываться при построении и практическом использовании моделей систем защиты. о противном случае эти модели будут неадекватными реальным системам защиты.

В то же время нетрудно убедиться, что современная теория систем, сформировавшаяся главным образом на основе классической теории надежности технических систем не содержит достаточных средств для построения достаточно адекватных моделей таких систем, к которым относятся системы защиты информации.

В связи с этим приобретает повышенную актуальность задача разработки новых средств моделирования, ориентированных на такой тип систем, структуры и процессы функционирования которых образуют люди.

Источник: https://mirznanii.com/a/113786/organizatsiya-zashchity-informatsii

Booksm
Добавить комментарий