- •Организационное обеспечение информационной безопасности
- •Введение
- •Раздел 1. Основы организации обеспечения информационной безопасности и зи
- •1.1. Основные положения концепции обеспечения информационной безопасности рф
- •1.2. Распределение полномочий по обеспечению информационной безопасности в рф
- •1.3. Научно-технические проблемы, требующие скоординированных действий различных органов государственной власти
- •1.4. Технологическая схема организации зи
- •1.4.1. Организационно-правовое обеспечение информационной безопасности
- •1.4.2. Инженерно-технические методы и средства защиты информации
- •1.4.3. Программные и программно-аппаратные методы и средства обеспечения информационной безопасности
- •1.5. Сбор информации о защищаемых объектах
- •1.6. Оценка состояния безопасности информации
- •1.7. Определение целей и задач зи. Принятие решений по зи
- •1.8. Планирование и организация выполнения мероприятий по зи
- •Раздел 2. Система документов в области обеспечения информационной безопасности и защиты информации
- •2.1. Обоснование необходимой и достаточной системы документов в области зи. Общегосударственные документы
- •2.2. Организационно-распорядительные документы
- •2.3. Специальные нормативные документы фстэк России по вопросам защиты информации от технических разведок, несанкционированного доступа и несанкционированных воздействий на информацию
- •2.3.1. Комплексная защита
- •2.3.2. Физическая защита объектов
- •2.3.3. Противодействие техническим разведкам
- •2.3.4. Защита информации от ее утечки по техническим каналам
- •2.3.5. Защита информации от несанкционированного доступа
- •2.3.6. Нормативные документы государственной системы стандартизации
- •Раздел 3. Определение целей и задач обеспечения информационной безопасности и защиты информации
- •3.2. Обоснование целей и задач зи. Показатели эффективности достижения целей и решения задач зи
- •3.3. Обоснование перечней охраняемых сведений об объектах защиты. Обоснование перечней защищаемых информационных ресурсов. Обоснование требований по защите объектов
- •Раздел 4. Лицензирование деятельности в области зи
- •4.1. Правовые основы лицензирование деятельности в области зи
- •4.2. Структура системы лицензирования, функции ее органов
- •4.2.1.Организационная структура системы государственного лицензирования деятельности предприятий в области защиты информации
- •4.2.2. Государственные органы по лицензированию в пределах своей компетенции осуществляют следующие функции
- •4.2.3. Лицензионные центры осуществляют следующие функции
- •4.2.4. Лицензиаты обязаны
- •4.3. Порядок проведения лицензирования. Распределений полномочий по лицензированию деятельности в области зи между федеральными органами государственной власти
- •4.3.1. Порядок проведения лицензирования предприятий-заявителей в области защиты информации включает следующие действия
- •4.3.1.1. Экспертиза предприятия-заявителя
- •4.3.1.2. Заявление на получение лицензии
- •4.3.1.3. Оформление лицензии и ее выдача
- •4.3.1.4. Рассмотрение спорных вопросов
- •4.3.1.5. Досрочное приостановление или прекращение действия лицензии
- •4.3.1.6. Учёт лицензиатов
- •4.3.2. Контроль и надзор за полнотой и качеством проводимых лицензиатами работ в области защиты информации
- •Раздел 5. Сертификация средств зи
- •5.1. Правовые основы сертификации зи
- •5.2. Структура системы сертификации, функции ее органов. Распределений полномочий по сертификации средств зи между федеральными органами государственной власти
- •5.3. Порядок сертификации зи
- •Раздел 6. Аттестация объектов информатизации по требованиям безопасности информации
- •6.1. Правовые основы аттестации объектов информатизации по требованиям безопасности информации
- •6.2. Структура системы аттестации, функции ее органов. Распределений полномочий по аттестации между федеральными органами государственной власти
- •6.3. Порядок аттестации объектов информатизации органов управления, промышленных объектов, систем информатизации и связи
- •Раздел 7. Подготовка (переподготовка) и повышение квалификации специалистов в области зи
- •7.1. Правовые основы подготовки специалистов в области зи
- •7.2. Система учебных заведений. Перечень специальностей. Основные нормативные документы по подготовке специалистов в области зи
- •7.2.1. Специальность 090102 "Компьютерная безопасность"
- •7.2.2. Специальность 090105 “Комплексное обеспечение информационной безопасности”
- •7.2.3. Специальность 090106 “Информационная безопасность телекоммуникационных систем”
- •Раздел 8. Организация контроля состояния зи
- •8.1. Правовые основы контроля состояния зи
- •8.2. Основные организационно-распорядительные и нормативные документы по контролю состояния зи
- •8.3. Цели и задачи контроля
- •8.4. Формы контроля: межведомственный контроль; ведомственный контроль; контроль, осуществляемый собственником информации
- •239 8.5. Органы контроля
- •8.6. Контроль организации и эффективности зи
- •8.7. Нарушения установленных требований и норм зи
- •Раздел 9. Организация зи на объектах органов государственной власти и управления
- •9.1. Требования к содержанию Руководств по зи на объекте
- •9.2. Цели и задачи зи. Определение защищаемых информационных ресурсов
- •9.3. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •9.4. Разработка организационных и технических мероприятий по зи
- •9.5. Аттестация объектов информатизации по требованиям безопасности информации.
- •Раздел 10. Организация зи в системах и средствах информатизации и связи
- •10.1. Объекты защиты. Цели и задачи зи
- •10.2. Оценка возможностей технических разведок и других источников угроз безопасности информации
- •10.3. Разработка организационных и технических мероприятий по зи
- •10.4. Контроль состояния зи в системах и средствах информатизации и связи
- •Заключение
- •Библиографический список
- •394026 Воронеж, Московский просп., 14.
2.3.5. Защита информации от несанкционированного доступа
Под доступом к информации в широком смысле понимается получение субъектом возможности ознакомления с информацией и/или воздействия на нее. С учетом этого определения под несанкционированным доступом (НСД) понимается получение субъектом возможности ознакомления с информацией и/или воздействия на нее без соответствующих санкций, то есть с нарушением правил разграничения доступа к информации.
Защита информации от НСД реализуются с использование следующих основных подсистем системы защиты информации:
подсистемы управления доступом;
подсистемы регистрации и учета;
подсистемы обеспечения целостности.
Подсистема управления доступом включает средства идентификации, проверки подлинности (аутентификации) и контроля доступа субъектов и их программ к объектам доступа (ресурсам АС).
Подсистема регистрации и учета. Вопросы обеспечения безопасности информации не могут успешно решаться, если нет средств контроля за происходящими событиями. Только имея хронологическую запись всех производимых пользователем действий, можно оперативно выявлять случаи нарушения режима информационной безопасности, определять причины нарушения, а также находить и потом устранять потенциально слабые места в системе безопасности. Кроме того, наличие регистрации (аудита) в системе играет роль сдерживающего фактора: зная, что действия фиксируются, многие злоумышленники не будут совершать заведомо наказуемых действий.
Подсистема обеспечения целостности средств защиты информации от НСД обязательна и включает программно-аппаратные, организационные и другие средства и методы, обеспечивающие:
недоступность средств управления доступом, учета и контроля со стороны пользователей с целью их модификации, блокирования или отключения;
возможность проведения контроля программных средств АС на предмет их несанкционированного изменения;
противодействие возможным средствам НСД (противодействие отладчикам и дизассемблерам, средствам копирования и т. д.).
Важной составной частью подсистемы обеспечения целостности являются программно-аппаратные средства защиты информации от вирусов и других вредоносных программных закладок.
2.3.6. Нормативные документы государственной системы стандартизации
Стандартизация - это деятельность по установлению норм, правил и в целях обеспечения:
безопасности продукции, работ и услуг для окружающей среды, жизни, здоровья и имущества; технической и информационной совместимости, а также взаимозаменяемости продукции;
качества продукции, работ и услуг в соответствии с уровнем развития науки, техники и технологии; единства измерений;
экономии всех видов ресурсов;
безопасности хозяйственных объектов с учетом риска возникновения природных и техногенных катастроф и других чрезвычайных ситуаций;
обороноспособности и мобилизационной готовности страны.
Нормативные документы государственной системы стандартизации заключены в федеральном законе “О техническом регулировании” N 184-ФЗ.
Статья 13. Документы в области стандартизации.
К документам в области стандартизации, используемым на территории Российской Федерации, относятся:
- национальные стандарты;
- правила стандартизации, нормы и рекомендации в области стандартизации;
- применяемые в установленном порядке классификации, общероссийские классификаторы технико-экономической и социальной информации;
- стандарты организаций.