- •Защита персональных данных учебное пособие
- •Введение
- •Термины и определения
- •Задачи моделирования угроз в системах обработки персональоных данных
- •Классификация угроз безопасности персональных данных
- •Угрозы утечки информации по техническим каналам
- •Типовые модели угроз безопасности персональных данных, обрабатываемых в информационных системах персональных данных
- •Определение перечня требований по обеспечению защищенности персональных данных при их обработке в информационной системе
- •Порядок определения актуальных угроз безопасности персональных данных в информационных системах персональных данных
- •Практическая работа №1 Тема: Создание политики безопасности в помещении
- •Автоматизированная информационная система //полное наименование//
- •Автоматизированная информационная система //полное наименование//
- •Автоматизированная информационная система //полное наименование// перечень защищаемых ресурсов
- •Перечень средств защиты информации, установленных в аис риц
- •Практическая работа № 2
- •Практическая работа №3
- •Практическая работа № 4
- •Обозначения и сокращения
- •Библиографический список
- •Содержание
Практическая работа №1 Тема: Создание политики безопасности в помещении
Цель: Определить перечень защищаемых ресурсов, определить перечень лиц допущенных к обработке КИ, определить перечень оборудования для обработки КИ.
Защита информации представляет собой комплекс целенаправленных мероприятий ее собственников по предотвращению утечки, искажения, уничтожения и модификации защищаемых сведений.
Под системой защиты информации можно понимать государственную систему защиты информации и систему защиты информации на конкретных объектах.
Государственная система защиты информации включает в себя:
Систему государственных нормативных актов, стандартов, руководящих документов и требований;
разработку концепций, требований, нормативно-технических документов и научно-методических рекомендаций по защите информации;
порядок организации, функционирования и контроля за выполнением мер, направленных на защиту информации, являющейся собственностью государства, а также рекомендаций по защите информации, находящейся всобственности физических и юридических лиц;
организацию испытаний и сертификации средств защиты информации;
создание ведомственных и отраслевых координационных структур для защиты информации;
осуществление контроля за выполнением работ по организации защиты информации;
определение порядка доступа юридических и физических лиц иностранных государств к информации, являющейся собственностью государства, или к информации физических и юридических лиц, относительно распространения и использования которой государством установлены ограничения.
Цели защиты информации от технических средств разведки на конкретных объектах информатизации определяются конкретным перечнем потенциальных угроз. В общем случае цели защиты информации можно сформулировать как:
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах при разработке, производстве, применении информационных систем, технологий и средств их обеспечения.
Эффективность защиты информации определяется ее своевременностью, активностью, непрерывностью и комплексностью. Очень важно проводить защитные мероприятия комплексно, то есть обеспечивать нейтрализацию всех опасных каналов утечки информации. Необходимо помнить, что даже один единственный не закрытый канал утечки может свести на нет эффективность системы защиты.
Политика безопасности - это совокупность технических, организационных, административных, юридических, физических мер. Методов, средств, правил и инструкций четко регламентирующих все вопросы обеспечения безопасности информации.
Исходные данные для формирования политики безопасности:
Определение перечня сведений конфиденциального характера, подлежащих защите.
Определение физической и логической топологии средств автоматизации.
Описание административной структуры и категорий легальных пользователей, принятой технологии обработки информации, выделение потенциальных субъектов и объектов доступа.
Определение угроз безопасности информации и построение модели вероятного нарушителя.
Обнаружение известных угроз.
Расположение угроз по убыванию уровня риска.
Используемые средства вычислительной техники и программное обеспечение:
Сведения об используемых СВТ.
Описание аппаратных средств.
Описание коммуникационного оборудования удаленного доступа.
Сведения об используемом общем ПО.
Наименование и назначение.
Разработчик.
Требования к аппаратной платформе.
Размещение.
Сведения об используемом специальном ПО.
Наименование и назначение.
Разработчик.
Требования к аппаратной платформе.
Состав реализуемых функций.
Размещение.
Основные правила, инструкции и требования по
обеспечению ИТ-безопасности организации:
Правила парольной защиты.
Правила защиты от вирусов и злонамеренного программного обеспечения.
Требования контроля за физическим доступом.
Требования по физической защите оборудования.
Инструкция по безопасному уничтожению информации или оборудования.
Инструкция по безопасности рабочего места (документов на рабочем столе и на экране монитора).
Правила осуществления локального и удаленного доступа.
Требования резервного сохранения информации.
Требования мониторинга.
Требования при обращении с носителями данных.
Требования по проверке прав пользователей.
Правила использования системных утилит.
Правила удаленной работы мобильных пользователей.
Распределение ответственности при обеспечении безопасности.
Правила контроля вносимых изменений.
Приложение №1 – Списки допущенных лиц к обработке КИ
|
|
УТВЕРЖДАЮ |
|
|
Должность Название организации |
|
|
И.О. Фамилия |
|
|
« » 2012 г. |