Файловый архив студентов. Файловый архив студентов.
1312 вуза, 5269 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Южно-Уральский Государственный Университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Курс_лекций_ИБ_ММ_2015.doc
Скачиваний:
0
Добавлен:
01.07.2025
Размер:
1.08 Mб
Скачать
►Содержание►

Раздел 6. Организационно-техническое обеспечение информационной безопасности

6.1 Основные организационные мероприятия по обеспечению иб.

Каждое предприятие, использующее информационную систему, с целью обеспечения надежной защиты информации должно выполнить следующие организационные мероприятия:

  1. Разработать и утвердить внутри предприятия приказ о защите информации.

  2. Разработать и утвердить внутри предприятия приказ о подразделении по ИБ.

  3. Разработать и утвердить внутри предприятия приказ о назначении ответственных лиц за обеспечение информационной безопасности в подразделениях предприятия.

  4. Разработать и утвердить внутри предприятия Концепцию и Политику ИБ.

  5. Разработать и утвердить внутри предприятия приказ об организации контроля над информационными системами, используемыми на предприятии. В отчете о результатах внутренней проверки по данному направлению должны быть отражены:

  • состав и структура объектов защиты;

  • конфигурация и структура информационных систем;

  • информация о разграничении прав доступа к обрабатываемой информации;

  • режим обработки информации;

  • выявленные угрозы безопасности информации;

  • перечень мероприятий обеспечивающих защиту информации;

  • перечень применяемых средств защиты информации, эксплуатационной и технической документации к ним.

  1. Определить состав и категории обрабатываемой информации. Результат оформить в виде перечня.

  2. Осуществить классификацию действующих информационных систем. Результат оформить в виде акта классификации.

  3. Разработать и утвердить внутри предприятия положение о разграничении прав доступа к обрабатываемой информации.

  4. Адаптировать модель угроз к конкретной информационной системе предприятия. Результат оформить в виде документа – «Модель угроз».

  5. Разработать и утвердить план мероприятий по защите информации.

  6. Назначить ответственных за обеспечение информационной безопасности и подготовить должностные инструкции сотрудников, обрабатывающих информацию, в составе:

  • Инструкция администратора ИС;

  • Инструкция администратора безопасности;

  • Инструкция пользователя при работе с ИС;

  • Инструкция пользователя по обеспечению информационной безопасности, при возникновении внештатных ситуаций.

  1. Разработать и утвердить порядок резервирования и восстановления работоспособности ТС и ПО, баз данных и систем защиты информации.

  2. Разработать и утвердить план внутренних проверок состояния ИБ.

  3. Разработать и утвердить перечень по учету применяемых средств защиты информации, эксплуатационной и технической документации к ним.

  4. Разработать и утвердить электронный журнал обращений пользователей к ИС.

  5. Провести необходимые технические мероприятия для обеспечения защиты информации при использовании информационной системы. В их состав входят:

  • обязательные технические мероприятия;

  • технические мероприятия, выполняемые, при выделении дополнительного финансирования.

  1. Декларировать соответствие или провести аттестационные (сертификационные) испытания информационной системы.

6.2 Технические методы обеспечения иб.

Рис.6.1 Организационно-технические методы обеспечения ИБ.

Лицензирование - деятельность лицензирующих органов по предоставлению, переоформлению лицензий, продлению срока действия лицензий в случае, если ограничение срока действия лицензий предусмотрено федеральными законами, осуществлению лицензионного контроля, приостановлению, возобновлению, прекращению действия и аннулированию лицензий, формированию и ведению реестра лицензий, формированию государственного информационного ресурса, а также по предоставлению в установленном порядке информации по вопросам лицензирования.25

Сертификация - это подтверждение компетентным органом соответствия объектов требованиям технических регламентов, стандартов, сводов правил или условиям договоров. Сертифицированные изделия маркируются специальным знаком.

Аттестация объектов информатизации - это комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия» подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по ИБ, утвержденных Гостехкомиссией России.26

Система аттестации объектов информатизации по требованиям безопасности информации (система аттестации) является составной частью единой системы сертификации средств ЗИ и аттестации объектов информатизации по требованиям безопасности информации и подлежит государственной регистрации в установленном Госстандартом России порядке. Деятельность системы аттестации организует федеральный орган по сертификации продукции и аттестации объектов информатизации по требованиям безопасности информации (федеральный орган по сертификации и аттестации), которым является Гостехкомиссия (ФСТЭК) России.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности