- •Оглавление
- •Введение
- •Характеристика предметной области.
- •Назначение и особенности функционирования ооо «RussiaTvGroup»
- •Структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами
- •Категории информационных ресурсов, подлежащих защите
- •Уязвимость основных компонентов ас организации
- •Категории пользователей ас организации, режимы использования и уровни доступа к информации
- •Анализ объектов защиты
- •Интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений.
- •Цели и задачи разработки концепции иб организации
- •Цели обеспечения комплексной безопасности ас организации
- •Основные задачи системы обеспечения иб организации
- •Основные пути достижения целей обеспечения безопасности ас организации
- •Разработка комплексной системы защиты иб организации.
- •Выявление основных угроз безопасности информации
- •Основные источники угроз
- •Пути реализации угроз и их последствия.
- •Анализ утечки информации по техническим каналам
- •Неформальная модель возможных нарушителей
- •Политика информационной безопасности организации
- •Основные положения политики иб организации
- •Рекомендуемые меры, осуществляемые в рамках указанных направлений Политики иб организации
- •Формирование режима информационной безопасности
- •Комплекс мер по формированию режима безопасности информации включает:
- •Меры, методы и средства защиты информационных ресурсов
- •Законодательные (правовые) меры защиты
- •Организационные (административные) меры защиты
- •Инженерно-технические средства обеспечения иб организации.
- •Программно-аппаратные средства защиты
- •Соответствие разработанной Концепции основным принципам построения системы комплексной защиты информации
- •Заключение
- •Приложение перечень основных нормативных документов, регламентирующих деятельность в области защиты информации
- •Список литературы
Рекомендуемые меры, осуществляемые в рамках указанных направлений Политики иб организации
В рамках указанных направлений Политики осуществляются:
реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации конфиденциального характера;
реализация системы инженерно-технических и организационных мер охраны, предусматривающей многоуровневую систему защиты территории, здания, помещения с комплексным применением современных технических средств, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
организация программно-аппаратной защиты информации от существующих угроз;
ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защита информации в подсистемах различного уровня и назначения, входящих в АС ОРГАНИЗАЦИИ;
учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
предотвращение внедрения в автоматизированные подсистемы вредоносного ПО;
организация криптографической защиты информации;
организация защиты локальной сети;
надежное хранение физических и электронных носителей информации, ключей (ключевой документации) и их обращение, исключающее хищение, подмену и уничтожение;
организация резервного копирования;
снижение уровня и информативности ПЭМИН, создаваемых различными элементами автоматизированных подсистем;
обеспечение акустической защиты помещений, в которых обсуждается информация конфиденциального характера;
электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;
активное зашумление в различных диапазонах;
противодействие оптическим и лазерным средствам наблюдения.[8]
Формирование режима информационной безопасности
С учетом выявленных угроз безопасности информации АС ОРГАНИЗАЦИИ режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизированной системе информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Комплекс мер по формированию режима безопасности информации включает:
установление в ОРГАНИЗАЦИИ организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство);
выполнение мер обеспечения информационной безопасности ОРГАНИЗАЦИИ по организационному и программно-аппаратному направлению;
выполнение мероприятий обеспечения информационной безопасности ОРГАНИЗАЦИИ по инженерно-техническому направлению.
Организационно-правовое направление обеспечения информационной безопасности предусматривает создание и поддержание правовой базы безопасности информации и разработку (введение в действие) следующих организационно-распорядительных документов:
Положение о сохранности конфиденциальной информации. Указанное положение регламентирует организацию, порядок работы с конфиденциальными сведениями, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения конфиденциального характера.
Перечень сведений, составляющих коммерческую тайну.
Приказы и распоряжения по установлению режима безопасности информации:
о вводе в эксплуатацию объектов АС;
о назначении выделенных помещений;
о допуске сотрудников к работе с конфиденциальной информацией;
о назначении лиц ответственных за обеспечение сохранности конфиденциальной информации в АС ОРГАНИЗАЦИИ и др.;
Инструкции и функциональные обязанности сотрудникам:
по организации контрольно-пропускного режима;
по организации работы с информацией на съемных носителях, жестких дисках и серверах;
о защите конфиденциальной информации вАС ОРГАНИЗАЦИИ;
по организации настройки и конфигурации ПО и средств обработки информации;
другие нормативные документы.
Меры обеспечения информационной безопасности ОРГАНИЗАЦИИ по организационному и программно-аппаратному направлению защиты предусматривают:
определение актуальных угроз безопасности информации;
применением программно-аппаратных средств по обеспечению безопасности защищаемой информации;
применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценка эффективности принимаемых мер по обеспечению защищаемой информации до ввода в эксплуатацию АС;
учетом машинных носителей защищаемой информации;
обнаружение фактов несанкционированного доступа к защищаемой информации и принятие мер защиты;
восстановление защищаемой информации, модифицированной или уничтоженной вследствие несанкционированного доступа;
установление правил доступа к защищаемой информации, обеспечение регистрации и учета всех действий, совершаемых с ней;
контроль за принимаемыми мерами по обеспечению безопасности информации в АС ОРГАНИЗАЦИИ.
Мероприятия обеспечения информационной безопасности ОРГАНИЗАЦИИ по инженерно-техническому направлению защиты предусматривают:
комплекс мер и соответствующих технических средств, ослабляющих утечку речевой информации - пассивная защита (защита);
комплекс мер и соответствующих технических средств, создающих помехи при съеме информации - активная защита (противодействие);
комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации - поиск (обнаружение).
организацию системы охранно-пропускного режима и системы контроля допуска на объект;
введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые и электронные замки и т.д.);
визуальный и технический контроль объекта защиты;
применение систем охранной и пожарной сигнализации и т.д.
разграничение допуска к информационным ресурсам ограниченного распространения;
разграничение допуска к программно-аппаратным ресурсам АС ОРГАНИЗАЦИИ;
ведение учета ознакомления сотрудников с конфиденциальной информацией;
включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности конфиденциальной информации;
организация уничтожения информационных отходов (бумажных, магнитных и т.д.);
оборудование служебных помещений сейфами, шкафами для хранения бумажных носителей информации и т.д.
комплекс мер технического контроля предусматривают:
контроль за проведением технического обслуживания, ремонта носителей информации и средств ЭВТ;
проверки поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств;
инструментальный контроль технических средств на наличие побочных электромагнитные излучения и наводок;
оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;
защита выделенных помещений при проведении закрытых (секретных) работ (переговоров), создание акустических, виброакустических и электромагнитных помех для затруднения съема информации;
постоянное обновление технических и программных средств защиты от несанкционированного доступа к информации в соответствие с меняющейся оперативной обстановкой.