- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
12. Технологическое и организационное построение ксзи
12.1 Общее содержание работ по организации ксзи
При создании комплексной системы защиты информации ограниченного доступа необходимо учитывать, что защита информации должна осуществляться на всех стадиях ее жизненного цикла – от создания и до уничтожения, а также во всех видах ее представления - документальном (на материальных носителях - бумага, кино-, фото, видео- и т.п.), электронном, содержащейся и обрабатываемой в автоматизированных системах (АС) и отдельных средствах вычислительной техники (СВТ), включая персонал, который ее обрабатывает - всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа (НСД) к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности АС и СВТ, воздействия на персонал и т.п. Защищать необходимо все компоненты информационной структуры предприятия - документы, сети связи, персонал и т.д.
Целью работы должно являться построение комплексной системы защиты информации. Это предполагает необходимость использования, создания и разработки совокупности методологических, организационных и технических элементов КСЗИ, взаимообусловленных и взаимоувязанных.
Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты:
создание службы защиты информации, включая подбор, расстановку и обучение ее персонала;
создание основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.
Систему КЗИ предприятия целесообразно строить с учетом реальных угроз, в результате осуществления которых предприятию (или в отношении государственной тайны – государству) может быть нанесен ущерб.
Наиболее значимыми угрозами информационной безопасности предприятия являются (в порядке, соответствующем частоте проявления):
непреднамеренные ошибочные действия сотрудников предприятия;
злоумышленные действия сотрудников предприятия;
неправомерные действия третьих лиц (в том числе государственных органов, контрагентов, клиентов предприятия);
проявления ошибок в программном обеспечении, отказы и сбои технических средств, аварии.
КСЗИ предприятия необходимо строить с учетом того, что:
основной задачей обеспечения ЗИ должна быть защита интересов предприятия, его персонала, контрагентов и клиентов от нанесения им ущерба (материального, морального, физического и др.) путем неправомерного использования информации или воздействия на нее;
интересы предприятия в информационной сфере должны быть юридически защищены от противоправных действий со стороны персонала, контрагентов, клиентов и третьих лиц, с учетом и на основании нормативно-правовых актов в информационной сфере;
сотрудники и командированные лица на предприятии должны быть допущены только к той информации и техническим средствам ее обработки, которые необходимы им для выполнения их служебных обязанностей (принцип Need-to-Know);
действия персонала предприятия с носителями и источниками информации ограниченного доступа должны регистрироваться с целью получения объективных данных и определения ответственного за совершение того или иного противоправного действия;
дифференциация защиты информации с учетом ее ценности, реальности реализации угроз (принцип разумной достаточности). Затраты не должны превышать возможный ущерб;
защита информации должна осуществляться на всех этапах ее жизненного цикла, комплексно и всесторонне.
КСЗИ должна обеспечивать:
точную и своевременную реализацию политики информационной безопасности предприятия;
гибкость применения положений политики информационной безопасности, с учетом особенностей функционирования различных подсистем предприятия;
минимизацию затрат на реализацию управляющих воздействий;
соответствие принимаемых мер и применяемых современному уровню развития информационных технологий.
Для эффективного функционирования КСЗИ предприятия необходимо:
наличие системы взаимосвязанных нормативно - методических и организационно - распорядительных документов;
четкое распределение функций и определение порядка взаимодействия подразделений предприятия при решении вопросов ЗИ, зафиксированные в организационно-распорядительных документах;
наличие подразделения защиты информации, наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики информационной безопасности предприятия, осуществляющего контроль и координацию действий других структурных подразделений предприятия по вопросам ЗИ.
С целью выработки и обеспечения единого понимания всеми должностными лицами предприятия проблем и задач по обеспечению защиты информации на предприятии разрабатывается Концепция защиты информации (или, как правило, соответствующие положения предусматриваются в Концепции безопасности предприятия).
Концепция должна определять цели и задачи КСЗИ, принципы и правовые основы ее организации и функционирования, виды угроз информации и ресурсы, подлежащие защите, а также основные направления разработки КСЗИ, включая правовую, организационную и инженерно-техническую защиту.
Примерное содержание разделов Концепции: