- •Безопасность и управление доступом в Информационных системах
- •Раздел 1 - Автоматизированные системы обработки информации и управления как объекты безопасности информации.
- •Раздел 2 - Методы обеспечения безопасности информации в информационных системах
- •Раздел 3 - Проектирование системы обеспечения безопасности информации в автоматизированных системах обработки информации и данных.
- •Раздел 4 - Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки
- •Раздел 5 - Безопасность информации в информационных сетях и автоматизированных системах управления.
- •Раздел 6 - Оценка уровня безопасности информации в информационных системах.
- •Раздел 7 - Обеспечение безопасности информации в персональных компьютерах и локальных сетях.
- •Раздел 8 - Организационно-правовое обеспечение информационной безопасности.
- • Глава 3 - Персональные данные. Аннотация
- •Предисловие
- •Раздел I. Автоматизированные системы обработки информации и управления как объекты безопасности информации
- •Глава 1. Предмет безопасности информации
- •Глава 2. Объекты информационной безопасности
- •Глава 3. Потенциальные угрозы безопасности информации в информационных системах
- •Раздел II. Методы обеспечения безопасности информации в информационных системах Глава 1. Краткий обзор методов обеспечения безопасности информации
- •Глава 2. Ограничение доступа
- •Глава 3. Контроль доступа к аппаратуре
- •Глава 4. Разграничение и контроль доступа к информации в системе
- •Глава 5. Разделение привилегий на доступ.
- •Глава 6. Идентификация и установление подлинности объекта (субъекта)
- •Глава 7. Криптографическое преобразование информации.
- •Глава 8. Защита информации от утечки за счет побочного электромагнитного излучения и наводок (пэмин)
- •Глава 9. Методы и средства защиты информации от случайных воздействий
- •Глава 10. Методы обеспечения безопасности информации при аварийных ситуациях
- •Глава 11. Организационные мероприятия по обеспечению безопасности информации
- •Глава 2. Основные принципы проектирования систем обеспечения безопасности информации в автоматизированных системах обработки информации.
- •Раздел IV. Построение системы обеспечения безопасности информации в комплексах средств автоматизации ее обработки Глава 1. Исходные предпосылки
- •Глава 2. Состав средств и структура системы обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации
- •Глава 4. Обеспечение безопасности информации и программного обеспечения от преднамеренного несанкционированного доступа (пнсд) при вводе, выводе и транспортировке
- •Глава 5. Средства управления обеспечения безопасности информации от несанкционированного доступа в комплексе средств автоматизации обработки информации информационной системы
- •Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
- •Раздел V. Безопасность информации в информационных сетях и автоматизированных системах управления
- •Глава 1. Анализ объектов обеспечения безопасности информации и постановка задачи
- •Глава 2. Принципы построения системы безопасности информации в информационных сетях и автоматизированных системах управления
- •Глава 3. Эталонная модель открытых систем
- •Глава 4. Механизмы безопасности информации в трактах передачи данных и в каналах связи
- •Глава 5. Рекомендации по безопасности информации в телекоммуникационных каналах связи
- •Глава 6. Система безопасности информации в трактах передачи данных автоматизированной системы управления
- •Глава 7. Управление доступом к информации в сети передачи и в автоматизированной системе управления
- •Глава 8. Организационные мероприятия по обеспечению безопасности информации в сетях передачи информации и автоматизированных системах управления
- •Раздел VI. Оценка уровня безопасности информации в информационных системах
- •Глава 1. Анализ методов оценки защищенности информации
- •Глава 2. Принципиальный подход к оценке уровня безопасности информации от преднамеренного несанкционированного доступа в информационной системе
- •Глава 3. Метод оценки уровня безопасности информации в комплексе средств автоматизации обработки информации
- •Глава 4. Метод оценки уровня безопасности информации в информационных сетях и в автоматизированных системах управления
- •Раздел VII. Обеспечение безопасности информации в персональных компьютерах и локальных сетях
- •Глава 1. Безопасность информации в персональных компьютерах
- •Оценка уровня безопасности информации от преднамеренного несанкционированного доступа в персональных компьютерах
- •Глава 2. Обеспечение безопасности информации в локальных сетях
- •Раздел VIII. Организационно-правовое обеспечение информационной безопасности
- •Глава 1. Информация как объект права собственности.
- •Глава 2. Информация как коммерческая тайна
- •Глава 3. Персональные данные
- •Тема 5: Угрозы информационной безопасности в ас
- •Особенности современных ас как объекта защиты
- •Уязвимость основных структурно-функциональных элементов распределенных ас
- •Угрозы безопасности информации, ас и субъектов информационных отношений
- •Источники угроз безопасности
- •Классификация угроз безопасности
- •Основные непреднамеренные искусственные угрозы
- •Основные преднамеренные искусственные угрозы
- •Классификация каналов проникновения в систему и утечки информации
- •Неформальная модель нарушителя
- •Тема 8: Организационная структура системы обеспечения информационной безопасности Цели создания системы обеспечения информационной безопасности
- •Регламентация действий пользователей и обслуживающего персонала ас
- •Понятие технологии обеспечения информационной безопасности
- •Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •Разовые мероприятия
- •Периодически проводимые мероприятия
- •Мероприятия, проводимые по необходимости
- •Постоянно проводимые мероприятия
- •Распределение функций по оиб
- •Служба безопасности (отдел защиты информации)
- •Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций
- •Управление автоматизации (фонд алгоритмов и программ - фап
- •Все Управления и отделы (структурные подразделения) организации
- •Система организационно-распорядительных документов по организации комплексной системы защиты информации
Глава 6. Организационные мероприятия по обеспечению безопасности информации в комплексах средств автоматизации информационных систем
В процессе подготовки системы к эксплуатации в целях обеспечения безопасности информации в ней необходимо:
при выделении территории, зданий и помещений обозначить контролируемую зону вокруг размещения комплекса средств автоматизации обработки информации средств автоматизации;
установить и оборудовать охранную сигнализацию по границам контролируемой зоны;
создать контрольно-пропускную систему;
проверить схему размещения и места установки аппаратуры комплекса средств автоматизации обработки информации;
проверить состояние системы жизнеобеспечения людей, условия функционирования аппаратуры и хранения документации.
Параллельно с указанными мероприятиями провести:
перестройку структуры организации-потребителя в соответствии с потребностями внедряемой системы;
подобрать кадры для технического и оперативного обслуживания комплекс средств автоматизации обработки информации;
при необходимости подобрать специальные кадры для работы по защите информации в автоматизированной системе управления и создать централизованную систему безопасности информации при руководстве организации - потребителе информационной системы;
провести обучение персонала;
организовать распределение функциональных обязанностей и ответственности должностных лиц;
установить полномочия должностных лиц по доступу к техническим средствам и информации;
разработать должностные инструкции по выполнению функциональных обязанностей технического, оперативного состава должностных лиц, включая службу безопасности информации.
После выполнения указанных мероприятий и приема аппаратуры необходимо выполнить:
постановку на учет аппаратуры, носителей информации и документации;
проверку отсутствия посторонней аппаратуры;
контроль размещения аппаратуры в соответствии с требованиями по разграничению доступа, побочного электромагнитного излучения и наводок информации;
проверку функционирования подсистемы контроля вскрытия технических средств;
проверку функционирования комплекса средств автоматизации обработки информации с помощью средств функционального контроля;
верификацию программного обеспечения;
проверку побочного излучения и наводок информации аппаратурой комплекса средств автоматизации обработки информации на границах контролируемой зоны;
проверку на отсутствие штатных и посторонних коммуникаций, выходящих за пределы контролируемой зоны;
проверку функционирования информационной системы, комплекса средств автоматизации обработки информации, включая систему защиты информации, автономно и в составе автоматизированной системы управления по специальным программам испытаний;
тренировку оперативного состава должностных лиц, включая службу безопасности информации, по специальным программам.
По положительным результатам указанных проверок и тренировок можно приступать к загрузке штатных прикладных программ и действительной информации, проверке готовности остальных комплексов средств автоматизации обработки информации автоматизированной система управления, после чего начинается непосредственная эксплуатация системы.
В процессе эксплуатации системы служба безопасности информации осуществляет централизованный контроль доступа к информации с помощью терминала и организационными средствами; выполняются функции, перечисленные выше.
В процессе эксплуатации может возникнуть необходимость в доработках комплекса средств автоматизации обработки информации, которые должны проводиться под контролем службы безопасности. Контроль при этом заключается в проверке полномочий лиц, осуществляющих доработку.
Кроме того, в процессе эксплуатации системы рекомендуется проводить:
периодические проверки полномочий лиц, работающих на комплексе средств автоматизации обработки информации;
инспектирование правильности и полноты выполнения персоналом мер по обеспечению сохранности необходимых дубликатов файлов, библиотеки программ, оборудования комплекса средств автоматизации обработки информации;
практическую проверку функционирования отдельных мер защиты;
контроль недозволенных изменений программ и оборудования;
контроль всех процедур с библиотеками файлов на носителях и т. д.;
стимулирование персонала в вопросах обеспечения защиты;
разработку и обеспечение всех противопожарных мероприятий и обучение персонала действиям по тревоге;
консультирование всех сотрудников, работающих с комплексом средств автоматизации обработки информации, по вопросам обеспечения защиты информации.
Одна из обязанностей службы безопасности — организация и проведение обучения персонала методам обеспечения защиты информации. Обучение необходимо для всех сотрудников, начиная с момента их поступления на работу, включая руководящий состав организации - потребителя информационной системы.
Все служащие должны знать, что данные и файлы, с которыми они работают, могут быть в высшей степени конфиденциальны. Программы и документы с информацией, подлежащей защите, не следует брать для работы на дом. В детальной степени должны быть определены и идентифицированы все функции и ограничения при выполнении каждой работы. Это связано с необходимостью минимизировать сведения, которыми обладает каждый сотрудник, сохранив при этом их эффективное взаимодействие.
По окончании эксплуатации комплекса средств автоматизации обработки информации (когда-то наступает и такое событие, связанное с заменой информационной системы на более современную) необходимо провести ревизию остатков хранимой информации в комплексе средств автоматизации обработки информации, ценную информацию с обеспечением режима ограниченного доступа переписать на более современные носители, а остальную — уничтожить.