Информационная безопасность / Derbin - Obespecheniye informatsiooonoy bezopasnosti 2013
.pdf
Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования
«ФИНАНСОВЫЙ УНИВЕРСИТЕТ ПРИ ПРАВИТЕЛЬСТВЕ РОССИЙСКОЙ ФЕДЕРАЦИИ»
Кафедра «Информационная безопасность»
УТВЕРЖДАЮ
Ректор
М.А. Эскиндаров
«__» _____ 2013 г.
Е.А. Дербин, С.М. Климов
ОРГАНИЗАЦИОННЫЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРЕДПРИЯТИЯ
Учебное пособие
Для студентов, обучающихся по направлению 090900.68 «Информационная безопасность»
Рекомендовано Ученым советом факультета «Анализ рисков и экономическая безопасность» (протокол №___ от ________ 2013 г.)
Одобрено кафедрой «Информационная безопасность» (протокол №___ от _______ 2013 г.)
Москва 2013
УДК 004.451(073)
ББК 32.973я73
Д 5
Рецензенты: д.т.н. Боданов Ю.В. – начальник управления НИЦ 4 ЦНИИ Минобороны России к.т.н. А.А. Малюк – профессор кафедры «Кибербезопасность» НИЯУ МИФИ
Д 5 Е.А. Дербин, С.М. Климов «Организационные основы обеспечения информационной безопасности предприятия». Учебное пособие для студентов, обучающихся по направлению: 090900.68 «Информационная безопасность» – М.: Финансовый университет, кафедра «Информационная безопасность», 2013 – 266 с.
Учебное пособие «Организационные основы обеспечения информационной безопасности предприятия» содержит материалы лекций по разделу учебной дисциплины «Организационные и правовые основы обеспечения информационной безопасности», исполненные в виде базовых схем и тезисов, представляющих содержание рассматриваемых вопросов в удобной для усвоения форме.
УДК |
004.451(073) |
ББК |
32.973я73 |
Электронное учебное издание Евгений Анатольевич Дербин, Сергей Михайлович Климов
Организационные основы обеспечения информационной безопасности предприятия Учебное пособие
Компьютерный набор, верстка |
Е.А. Дербин |
Формат 60x90/16. Гарнитура Times New Roman |
|
Усл. п.л. 17,0. Изд. № 13.24. – 2013. Тираж – 50 экз. |
|
Заказ № ______ |
|
Отпечатано в Финансовом университете |
|
© |
Е.А. Дербин, 2013 |
© |
Финансовый университет, 2013 |
ОГЛАВЛЕНИЕ
Глава |
НАЗВАНИЕ |
Стр. |
|
Оглавление …………………………………………………………………………………………………………. |
3 |
1.Обеспечение информационной безопасности как комплексная задача реализации правовых,
организационных и технических мер …………………………………………………………………………….. 4
2. Организационные основы обеспечения информационной безопасности …………………………………
28
3.Основы организационного регулирования взаимоотношений администрации и персонала в области обеспечения информационной безопасности ……………………………………………………………………. 47
4.Основы внутриобъектового режима и его организация………………………………………………………. 78
5.Основы организации противопожарной охраны в интересах обеспечения информационной
безопасности………………………………………………………………………………………………………… 119
6. |
Обеспечение информационной безопасности совещаний по конфиденциальным вопросам…………… |
129 |
|
||
7. |
Основы обеспечения информационной безопасности при работе со СМИ ………………………………. |
151 |
8.Основы обеспечения информационной безопасности предприятия в рекламно-выставочной
деятельности………………………………………………………………………………………………………… 165
9.Методика оценки угроз информационной безопасности предприятия…………………………………….. 178
10.Оценка рисков для принятия организационных мер в интересах обеспечения информационной
безопасности предприятия………………………………………………………………………………………… 205
228
11. Организация и проведение аудита информационной безопасности предприятия…………………………
12. Работа руководства по обеспечению информационной безопасности………………………………………. 251
Литература ………………………………………………………………………………………………………… 266
3
Глава 1.
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КАК КОМПЛЕКСНАЯ ЗАДАЧА РЕАЛИЗАЦИИ ПРАВОВЫХ, ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР
1.1.Информационная безопасность: сущность и содержание.
1.2.Угрозы информационной безопасности и задачи по их нейтрализации.
1.3.Содержание обеспечения информационной безопасности.
Литература:
1.Доктрина информационной безопасности Российской Федерации, 2000 г. Поручение Президента РФ 2000 г. № Пр-1895
2.Федеральный закон РФ №310-ФЗ «О безопасности» от 26 декабря 2010 г.
3.Стрельцов А.А. Информационная безопасность Российской Федерации. - М.: Высшая школа, 2003.
Оглавление
4
1.1. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: СУЩНОСТЬ И СОДЕРЖАНИЕ
1.1.1. ПОНЯТИЕ ИНФОРМАЦИИ В АКТАХ ДЕЙСТВУЮЩЕГО ЗАКОНОДАТЕЛЬСТВА
ФЗ «Об информации, информатизации и защите информации», ст. 2:
информация - «сведения о липах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления»;
персональные данные - «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность»;
конфиденциальная информация - «документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ»;
документированная информация (документ) - «зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать»;
информационные ресурсы- «отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах и др.)».
Закон РФ «О средствах массовой информации»:
массовая информация - «предназначенные для неограниченного круга лиц печатные, аудиосообщения, аудиовизуальные и иные сообщения и материалы».
ФЗ «Об участии в международном информационном обмене»:
информационные продукты - «документированная информация, подготовленная в соответствии с потребностями пользователей и предназначенная или применяемая для их удовлетворения»;
информационные услуги - «действия субъектов (собственников и владельцев) по обеспечению пользователей информационными продуктами».
Закон РФ «О государственной тайне», ст. 2:
государственная тайна - «защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ»;
ФЗ «О рекламе», ст. 2:
реклама - «распространяемая в любой форме, с помощью любых средств информация о |
|
физическом или юридическом лице, товарах, идеях и начинаниях, которая предназначена для |
|
неопределенного круга лиц и призвана формировать или поддерживать интерес к этим |
|
физическому, юридическому лицу, товарам, идеям и начинаниям и способствовать реализации |
|
товаров, идей и начинаний» |
5 |
1.1.2. БАЗОВЫЕ ОПРЕДЕЛЕНИЯ
ИНФОРМАЦИЯ
ИНФОРМАЦИОННАЯ
СФЕРА
ИНФОРМАЦИОННОЕ
ОБЩЕСТВО
ИНФОРМАЦИОННЫЙ
РЕСУРС
– сведения о лицах, предметах, фактах, событиях, явлениях и процессах
– область деятельности субъектов, связанная с созданием, преобразованием и потреблением информации;
– совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений и технических взаимодействий
– общество, структуры, техническая база и человеческий потенциал приспособленные для оптимального превращения знаний в информационный ресурс
ипереработки последнего
–отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах – библиотеках, архивах, фондах, банках данных и др.
6
1.1.2а. БАЗОВЫЕ ОПРЕДЕЛЕНИЯ
ИНФОРМАЦИОННЫЙ
ОБЪЕКТ
ИНФОРМАЦИОННАЯ
ОБСТАНОВКА
УГРОЗА
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
ИНФОРМАЦИОННАЯ
ОПАСНОСТЬ
ИНФОРМАЦИОННАЯ
БЕЗОПАСНОСТЬ
–информация или ее носитель
–совокупность условий и факторов, оказывающих влияние на состояние и функционирование информационных объектов
–повышение вероятности ущерба информацион-ному объекту в виде:
утраты элементов его структуры; нарушения его внешних и внутренних связей, а также программ и
функций; потери способности к развитию
– состояние информационной обстановки, характеризуемое обострением угроз в информационной сфере
– состояние информационной обстановки, характеризуемое надежной защищенностью информационного объекта от угроз и его способностью их нейтрализовывать
7
1.1.3.ОСОБЕННОСТИ И СВОЙСТВА ИНФОРМАЦИИ
1.Свойство физической неотчуждаемости. При передаче информации от одного лица
кдругому и юридического закрепления этого факта процедура отчуждения информации должна заменяться передачей прав на ее использование и передаваться вместе с этими правами.
2.Свойство обособляемости. Для включения в оборот информация всегда
овеществляется в виде символов, знаков, волн и обособляется от ее производителя, существует отдельно и независимо как самостоятельный объект правоотношений и предается в такой форме от одного субъекта к другому.
3. Свойство информационной вещи (информационного объекта). Информация
передается и распространяется только на материальном носителе или с помощью материального носителя, что позволяет распространить на информационную вещь (объект) совместное и взаимосвязанное действие института авторского права и института вещной собственности.
4. Свойство тиражируемости (распространяемости). Одна и та же информация |
|
(содержание) может принадлежать одновременно неограниченному кругу лиц. Отсюда следует, |
|
что юридически необходимо закреплять объем прав по использованию информации лицами, |
|
обладающими такой информацией. |
|
5. Свойство организационной формы. Информация, находящаяся в обороте, |
|
представляется в документированном виде. Это дает возможность юридически закреплять факт |
|
«принадлежности» документа конкретному лицу и позволяет относить к информационным вещам |
|
(объектам) как отдельные документы, так и сложные организационные информационные |
|
структуры. |
|
6. Свойство экземплярности. Информация распространяется, как правило, на |
|
материальном носителе, вследствие чего возможен учет экземпляров информации через учет |
|
носителей, содержащих информацию. Это дает возможность учитывать документированную |
|
информацию и связывать ее содержательную сторону информации с ее отображением на |
|
носителе, вводить понятие учитываемой копии документа и механизма регистрации информации |
8 |
|
1.1.4. ИНФОРМАЦИЯ КАК ИНФОРМАЦИОННЫЙ ОБЪЕКТ
|
|
|
|
|
ИНФОРМАЦИЯ |
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Конструктивная (актуальная, полезная) |
|
Деструктивная |
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Необходимая |
|
Достаточная |
|
|
Полная (избыточная) |
|
|
|||||||
Получение
Создание |
Получение |
ОБЪЕКТ- |
|
НОСИТЕЛЬ |
|||
|
|
ИНТЕЛЛЕКТ – свойство психики создавать новую информацию
ИНФОРМИРОВАННОСТЬ – обеспеченность актуальной информацией
Передача
Обработка
Хранение
ЗНАНИЯ – усвоенные и систематизированные
человеком понятия о законах, принципах, образах, Совершенствование явлениях, предметах и процессах
внешнего и внутреннего мира
Осознание
Долг
ПОТРЕБНОСТИ |
МОТИВЫ |
|
Интерес |
ЦЕЛИ |
Страсть
9
1.1.5. КЛАССИФИКАЦИЯ ИНФОРМАЦИОННЫХ РЕСУРСОВ, ПРОДУКТОВ И УСЛУГ
|
по виду |
|
|
|
по способу |
|
|
информации |
|
|
|
доступа |
|
|
|
|
|
|
|
|
|
|
|
|
|
||
• правовая; |
|
|
|
|
||
• научно-техническая; |
|
• открытая |
||||
• политическая; |
|
информация; |
||||
• финансово- |
|
• информация |
||||
экономическая; |
|
ограниченного |
||||
• статистическая; |
|
доступа: |
||||
• о стандартах и |
|
|
государственная |
|||
регламентах; |
|
тайна, |
||||
• метрологическая; |
|
|
конфиденциаль- |
|||
• социальная; |
|
ная информация, |
||||
• о здравоохранении; |
|
|
коммерческая |
|||
• о чрезвычайных |
|
тайна, |
||||
ситуациях; |
|
|
профессиональ- |
|||
• персональная; |
|
ная тайна, |
||||
• кадастры |
|
|
служебная тайна, |
|||
(земельный, |
|
|
персональные |
|||
градостроительный, |
|
данные, |
||||
имущественный, |
|
|
личная тайна |
|||
лесной, другие). |
|
|
|
|
||
|
|
|
|
|
|
|
по виду носителя
•на бумаге;
•на
машиночитаемых носителях;
•в виде изображения на экране ЭВМ;
•в памяти ЭВМ;
•в канале связи;
•на других видах носителей.
по способу формирования
ираспространения
•стационарные;
•передвижные
(мобильные).
по организации хранения
и использования
• традиционные формы:
массив документов,
фонд документов, архив;
• автоматизизированные формы:
Интернет, банк данных,
автоматизированная нформационная система (сеть),
база знаний.
по форме собственности
•общероссийское
национальное достояние;
•государственная собственность;
•федеральная собственность;
•собственность субъектов РФ;
•совместная
(федеральная и субъектов федерации);
•муниципальная собственность:
•частная собственность;
•коллективная собственность.
ИНФОРМАЦИОННЫЕ ПРОДУКТЫ
•документы, данные;
•подборки документов, данных;
•справки, аналитические справки;
•базы данных, банки данных;
•другие виды
УСЛУГИ ПО ИНФОРМАЦИОННОМУ ОБСЛУЖИВАНИЮ
•поиск и обработка информации, выдача данных, хранение;
•услуги по пользованию Интернет, АИС, БД, их сетями:
консультационные, по передаче информации,
по доступу к Интернет, по пользованию электронной почтой и
формированию личных сайтов
10