- •Оглавление
- •Введение
- •Характеристика предметной области.
- •Назначение и особенности функционирования ооо «RussiaTvGroup»
- •Структура, состав и размещение основных элементов ас организации, информационные связи с другими объектами
- •Категории информационных ресурсов, подлежащих защите
- •Уязвимость основных компонентов ас организации
- •Категории пользователей ас организации, режимы использования и уровни доступа к информации
- •Анализ объектов защиты
- •Интересы затрагиваемых при эксплуатации ас организации субъектов информационных отношений.
- •Цели и задачи разработки концепции иб организации
- •Цели обеспечения комплексной безопасности ас организации
- •Основные задачи системы обеспечения иб организации
- •Основные пути достижения целей обеспечения безопасности ас организации
- •Разработка комплексной системы защиты иб организации.
- •Выявление основных угроз безопасности информации
- •Основные источники угроз
- •Пути реализации угроз и их последствия.
- •Анализ утечки информации по техническим каналам
- •Неформальная модель возможных нарушителей
- •Политика информационной безопасности организации
- •Основные положения политики иб организации
- •Рекомендуемые меры, осуществляемые в рамках указанных направлений Политики иб организации
- •Формирование режима информационной безопасности
- •Комплекс мер по формированию режима безопасности информации включает:
- •Меры, методы и средства защиты информационных ресурсов
- •Законодательные (правовые) меры защиты
- •Организационные (административные) меры защиты
- •Инженерно-технические средства обеспечения иб организации.
- •Программно-аппаратные средства защиты
- •Соответствие разработанной Концепции основным принципам построения системы комплексной защиты информации
- •Заключение
- •Приложение перечень основных нормативных документов, регламентирующих деятельность в области защиты информации
- •Список литературы
Категории информационных ресурсов, подлежащих защите
В подсистемах АС ОРГАНИЗАЦИИ циркулирует информация различных уровней конфиденциальности (секретности) содержащая сведения ограниченного распространения (государственная тайна, коммерческая тайна, персональные данные) и открытые сведения.
Защите подлежит вся информация, циркулирующая в АС ОРГАНИЗАЦИИ и содержащая:
сведения, составляющие государственную тайну;
сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации (ОРГАНИЗАЦИЕЙ);
персональные данные сотрудников, партнеров и других лиц, с которыми взаимодействует ОРГАНИЗАЦИЯ.
Уязвимость основных компонентов ас организации
Наиболее доступными и уязвимыми компонентами АС ОРГАНИЗАЦИИ являются АРМ сотрудников подразделений ОРГАНИЗАЦИИ, аппаратные, сервера, сейфы с бумажными копиями документов государственной важности. К АРМ сотрудников могут быть предприняты наиболее многочисленные попытки несанкционированного доступа к информации (НСД) в сети и попытки совершения несанкционированных действий (непреднамеренных и умышленных). С АРМ осуществляется управление процессами обработки информации (в том числе на серверах), запуск программ, ввод и корректировка данных, на жестких дисках АРМ могут размещаться важные данные и программы обработки. Нарушения конфигурации аппаратно-программных средств АРМ и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем (отказу в обслуживании).
В особой защите нуждаются такие привлекательные для злоумышленников элементы сетей как выделенные файловые сервера, сервера баз данных и сервера приложений. Здесь злоумышленники, прежде всего, могут искать возможности получения доступа к защищаемой информации и оказания влияния на работу различных подсистем серверов, используя недостатки протоколов обмена и средств разграничения удаленного доступа к ресурсам серверов. При этом могут предприниматься попытки как удаленного (со станций сети) так и непосредственного (с консоли сервера) воздействия на работу серверов и их средств защиты.
Мосты, шлюзы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.
Категории пользователей ас организации, режимы использования и уровни доступа к информации
В ОРГАНИЗАЦИИ имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам АС ОРГАНИЗАЦИИ:
сотрудники организации, использующие АС ОРГАНИЗАЦИИ для выполнения должностных обязанностей;
системные администраторы и специалисты службы тех. поддержки;
разработчики прикладного программного обеспечения;
сотрудники службы информационной безопасности.