Информационная безопасность / Derbin - Obespecheniye informatsiooonoy bezopasnosti 2013
.pdf
1.2.3. УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЭЛЕМЕНТОВ |
|||||||
|
|
ИНФОРМАЦИОННОГО ОБЪЕКТА |
|
|
|||
|
|
|
|
СОЗДАНИЕ НОРМАТИВНОЙ БАЗЫ, |
|
||
|
|
|
|
ПРОТИВОРЕЧАЩЕЙ ОБЪЕКТИВНЫМ |
|
||
ДЕФОРМАЦИЯ ЦЕЛЕВЫХ ФУНКЦИЙ, |
|
ИНТЕРЕСАМ |
|
ДЛЯ |
|||
|
СМЕЩЕНИЕ АКЦЕНТОВ |
|
ОБЕСПЕЧЕНИЕ НЕЭФФЕКТИВНОГО |
||||
|
|
|
|
ЦЕЛЕВЫХ |
|||
|
|
ВНЕДРЕНИЕ |
|
РЕАГИРОВАНИЯ НА ИЗМЕНЕНИЯ |
|||
|
|
|
|
|
|
|
|
ДЕСТРУКТИВНЫХ ПРОГРАММ |
|
ОБОСТРЕНИЕ ВНУТРИ- И |
|
(СМЫСЛОВЫХ) |
|||
|
|
|
|
|
|
||
УСТРАНЕНИЕ КЛЮЧЕВЫХ |
|
МЕЖСИСТЕМНЫХ ПРОТИВОРЕЧИЙ |
ОСНОВ |
||||
ЭЛЕМЕНТОВ ПРОГРАММЫ |
|
|
|
|
|
||
ПОДМЕНА ИЛИ ДИСКРЕДИТАЦИЯ |
|
РАССОГЛАСОВАНИЕ ДЕЯТЕЛЬНОСТИ |
|
||||
|
МЕЖДУ ЭЛЕМЕНТАМИ И ОБЪЕКТАМИ |
|
|||||
|
ЦЕННОСТЕЙ, ИДЕАЛОВ |
|
|
||||
|
|
|
|
|
|
||
ИСКАЖЕНИЕ ПРИОРИТЕТОВ, |
ДЛЯ |
«РАСКАЧКА» АВТОКОЛЕБАНИЙ ДЛЯ |
|
||||
|
ОБЕССМЫСЛИВАНИЕ |
ПРОГРАММ |
ВЫВОДА СИСТЕМЫ |
|
|
||
|
ДЕЯТЕЛЬНОСТИ И ДР. |
ЗА ПРЕДЕЛЫ УСТОЙЧИВОСТИ |
|
||||
РАЗГЛАШЕНИЕ ПРОГРАМММ |
|
РАЗРЫВ (ПЕРЕКЛЮЧЕНИЕ) |
|
|
|||
|
СИСТЕМНЫХ СВЯЗЕЙ |
|
|
||||
|
|
|
|
|
|
||
|
|
|
|
РАЗРУШЕНИЕ ОСНОВ |
|
|
|
|
|
|
|
КУЛЬТУРЫ И ТРАДИЦИЙ |
|
|
|
|
|
|
|
ВВЕДЕНИЕ В ЗАБЛУЖДЕНИЕ |
|
|
|
|
|
|
|
РАСКРЫТИЕ ЗАМЫСЛА |
|
|
|
|
|
ОГРАНИЧЕНИЕ В ИНФОРМАЦИИ |
|
|
|
|
|
|
|
|
|
|
НЕОБОСНОВАННОЕ РАСШИРЕНИЕ |
||
|
|
ПЕРЕИЗБЫТОК ИНФОРМАЦИИ |
|
ИЛИ СОКРАЩЕНИЕ СТРУКТУРЫ |
|||
ДЛЯ |
|
|
|
|
|
||
|
|
|
|
ЗЛОНАМЕРЕННОЕ МНОГОКРАТНОЕ |
|||
РЕСУРСОВ |
НЕДОПУЩЕНИЕ ОБНОВЛЕНИЯ, |
|
ИЗМЕНЕНИЕ СТРУКТУРЫ |
||||
УСТАРЕВАНИЕ ИНФОРМАЦИИ |
|
|
|
|
|||
|
|
ДЛЯ |
|
ВНЕДРЕНИЕ |
|||
|
|
|
|
|
|||
|
|
НАРУШЕНИЕ ПРОЦЕССОВ |
СТРУКТУР |
ДЕСТРУКТИВНЫХ ЭЛЕМЕНТОВ |
|||
|
|
УСВОЕНИЯ ИНФОРМАЦИИ |
|
УСТРАНЕНИЕ |
|||
|
|
|
|
|
|
||
|
|
РАЗГЛАШЕНИЕ И УТЕЧКА |
|
ЭФФЕКТИВНЫХ ЭЛЕМЕНТОВ И ДР. |
|||
|
|
|
|
|
|
||
|
|
ИНФОРМАЦИИ |
|
|
ИЗНОС, ОПАСНАЯ ЭКСПЛУАТАЦИЯ |
||
|
|
|
|
|
|||
|
|
|
|
|
ИНФРАСТРУКТУРЫ И ДР. |
||
|
|
|
|
|
|
|
21 |
1.2.4. НАПРАВЛЕНИЯ НЕЙТРАЛИЗАЦИИ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
НА СТРУКТУРЫ |
|
НА ПРОГРАММЫ |
|
НА РЕСУРСЫ |
|
НА СИСТЕМ. ОСНОВЫ |
|
|
|
|
|
|
|
Формирование руководства и коллектива, жизнеспособных во всех сферах деятельности и упреждение угроз безопасности
Активизация общественного контроля за действиями руководства
Строгое научное обоснование принимаемых решений, меняющих основы политики предприятия
Установление и соблюдение нормативно-правовых норм
Мониторинг и прогнозирование угроз безопасности
|
|
|
|
|
|
|
|
|
|
|
Оценка критичности угроз безопасности, |
|
|
|
|||
|
|
принятие решений, мобилизация усилий |
|
Организационная, |
|
|||
|
|
и ресурсов |
|
|
||||
|
|
|
физическая, |
|
||||
Неотвратимость |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
инженерно- |
|
|
|
Активизация научных |
|
Создание |
|
|
|
||
наказания за нарушения |
|
|
|
|
|
|||
|
|
|
|
техническая и др. виды |
|
|||
|
|
запасов ресурсов, |
|
|
|
|||
должностных |
|
исследований |
|
|
|
|
||
|
|
развитие |
|
|
защиты объектов |
|
||
обязанностей |
|
|
|
|
|
|
||
|
|
|
информационной |
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
Установление |
|
инфраструктуры |
|
|
|
|
|
|
приоритетов |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
национальных |
|
|
|
|
|
|
|
|
ценностей, культуры |
|
Усиление всех форм |
|
Установление |
|
|
|
|
|
|
контроля над |
|
общественного |
|
|
|
|
|
|
|||||
Установление приоритета духовного над |
|
|||||||
|
ресурсами |
|
контроля |
|
||||
материальным как основы государственной |
|
|
|
|||||
|
|
|
|
|
|
|||
политики |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
Создание обстановки взаимопонимания и взаимной поддержки в коллективе
Противодействие деструктивным проявлениям
Строгая правовая ответственность
22
1.3. СОДЕРЖАНИЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1.3.1. АСПЕКТЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ДЛЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НЕОБХОДИМО:
выявить требования безопасности, специфические для данного объекта;
учесть требования национального и международного Законодательства;
использовать наработанные практики (стандарты) построения СОИБ;
определить подразделения, ответственные за реализацию и поддержку СОИБ;
распределить области ответственности в осуществлении требований СОИБ;
определить общие положения, технические и организационные требования, составляющие Политику информационной безопасности;
реализовать требования Политики, внедрив соответствующие программно-технические способы и средства защиты информации;
реализовать Систему менеджмента (управления) силами и средствами;
организовать регулярный контроль эффективности и корректировку СОИБ
23
1.3.2. МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ПРАВОВЫЕ 1. Изменения в законодательстве в интересах системы обеспечения инф. безопасности
2.Законодательное разграничение полномочий между органами власти
3.Уточнение статуса иностранных информационных агентств
4.Законодательное закрепление приоритета развития национальных сетей связи
ОРГАНИЗАЦИОННО-ТЕХНИЧЕСКИЕ
1. Создание и совершенствование системы обеспечения информационной безопасности
2. Предупреждение и пресечение правонарушений в информационной сфере, привлечение к ответственности лиц, совершивших преступления 3. Совершенствование средств защиты информации и методов контроля эффективности этих
средств, развитие защищенных телекоммуникационных систем, повышение надежности СПО 4. Создание систем и средств предотвращения НСД к обрабатываемой информации 5 Выявление технических устройств и программ, представляющих опасность 6. Предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты
7. Сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации 8. Совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации
|
ЭКОНОМИЧЕСКИЕ |
|
|
|
|
|
|
|
|
1. Разработка программ обеспечения информационной безопасности и определение порядка |
|
|
||
их финансирования |
|
|
||
2. Совершенствование системы финансирования работ, по реализации правовых и |
|
|
||
организационно-технических методов защиты информации, создание системы страхования |
24 |
|
||
информационных рисков |
|
|||
|
|
|||
1.3.3. СУБЪЕКТЫ, ОБЪЕКТЫ И СОДЕРЖАНИЕ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РУКОВОДСТВО
КОЛЛЕКТИВ
ПЕРСОНАЛ
|
|
|
|
БЕЗОПАСНОСТЬ |
БЕЗОПАСНОСТЬ |
|
БЕЗОПАСНОСТЬ |
|
|
|
ИНФОРМАЦИОННО- |
|
ИНФОРМАЦИОННО- |
|
ИНФОРМАЦИОННОГО РЕСУРСА |
|
|
||
|
ПСИХОЛОГИЧЕСКИХ ОБЪЕКТОВ |
|
ТЕХНИЧЕСКИХ ОБЪЕКТОВ |
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
Разработка и реализация нормативно-правовых основ
Сохранность баз данных. Защита государственной
тайны.
Защита информационных коммуникаций от НСД.
Защищенность информации, устойчивость управления
Распространение научного мировоззрения, правосознания, всестороннее образование.
Доступность информации, обусловливающей интересы коллектива.
Сохранность корпоративных сведений от разглашения
Адекватность представлений об окружающем мире, общая образованность.
Профессиональная компетентность.
Сохранность и неприкосновенность личных данных.
Защита от дезинформации
Нравственная чистота потребностей, интересов и мотивов деятельности руководства.
Профессиональная компетентность.
Психологическая устойчивость и др.
Здоровые моральные и нравственные начала.
Развитие социальных и духовных потребностей, интересов, ценностей.
Реализация правовых норм. Сплоченность.
Следование социальным нормам поведения.
Идеалы, нравственное совершенствование, духовность.
Духовная мотивация поведения и деятельности
Способность к противодействию манипуляциям и др.
Обеспечение
надежности работы и защищенности объектов информационной инфраструктуры.
Развитие
информационной инфраструктуры.
Обеспеченность
средствами информатизации.
Обученность персонала.
25
1.3.4. МЕТОДИЧЕСКИЙ АППАРАТ ФОРМИРОВАНИЯ СИСТЕМЫ |
||||||||||||||||||
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ |
|
|||||||||||||||||
|
|
ЗАДАЧИ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ |
|
|||||||||||||||
|
|
|
Формирование |
|
Развитие |
|
Совершен- |
Обеспечение |
Нейтрали- |
|||||||||
ЦЕЛЬ |
Формирование |
национального |
|
|
зация |
|||||||||||||
патриотического, |
современных |
ствование |
целостности,д |
|||||||||||||||
угроз в |
||||||||||||||||||
ОБЕСПЕЧЕНИЯ |
|
эффективной |
корпоративного |
|
|
технико- |
|
образованности |
оступности |
|
||||||||
|
|
|
|
|
информа- |
|||||||||||||
ИНФОРМА- |
|
системы |
мировоззрения, |
|
технологических |
и профессио- |
и конфиден- |
|||||||||||
|
|
ционной |
||||||||||||||||
ЦИОННОЙ |
|
управления |
|
ценностей, |
|
|
основ |
|
|
нальной |
циальности |
|
||||||
|
|
смыслов, |
|
управления |
компетентности |
информации |
сфере и их |
|||||||||||
БЕЗОПАС- |
|
|
|
|
||||||||||||||
|
|
|
|
целей |
|
|
|
|
|
|
|
источников |
||||||
НОСТИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
МЕТОДЫ |
|
Организационные |
Экономические |
Технические |
Специальные |
|||||||||||
|
|
СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ |
||||||||||||||||
|
|
|
|
|
|
Подсистема правового |
|
|
Подсистема |
|
Подсистема |
|||||||
|
|
|
|
|
|
|
обеспечения |
|
|
лингвистического, |
|
|
мер |
|||||
ПОДДЕРЖАНИЕ |
Организационная |
|
|
|
|
|
|
|
|
семантико-логического |
|
|
||||||
УСЛОВИЙ |
|
Подсистема подготовки кадров и |
|
обеспечения |
||||||||||||||
|
структурно- |
|
|
обеспечения |
|
|||||||||||||
|
|
|
|
|
образования |
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
безопасности |
|||||||||
ЭФФЕКТИВНОГО |
|
функциональная |
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
Подсистема |
|
|||||||
УПРАВЛЕНИЯ |
|
подсистема |
|
|
|
Подсистема морально- |
|
|
|
информации |
||||||||
|
|
|
|
психологического обеспечения |
научных исследований |
|
Подсистема |
|||||||||||
|
|
|
|
|
|
|
|
|||||||||||
СОХРАНЕНИЕ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
Подсистема анализа, прогнозирования и контроля |
Подсистема работы со |
|
технического |
||||||||||||||
ПОЗИТИВНЫХ |
|
СМИ и общественностью |
|
обеспечения |
||||||||||||||
ТЕНДЕНЦИЙ |
|
Подсистема взаимодействия с другими предприятиями и конкурентами |
|
|
||||||||||||||
|
|
|
|
|||||||||||||||
РАЗВИТИЯ |
|
ВИДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ |
|
|||||||||||||||
|
|
|
||||||||||||||||
СОХРАНЕНИЕ |
|
Методическое |
|
|
Правовое |
Психологическое |
Информационное |
|||||||||||
ОСНОВ |
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
КУЛЬТУРЫ, |
|
Научно- |
|
|
Лингвистическое |
|
|
|
Защиты |
|
|
|||||||
РАЗВИТИЕ |
|
технологическое |
Математическое |
|
|
|||||||||||||
|
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
(алгоритмическое) |
информации и др. |
|||||||
БИЗНЕСА И |
|
Программное |
|
Аппаратно- |
||||||||||||||
|
|
техническое |
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|||||||||
ПОДДЕРЖАНИЕ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
СПЛОЧЕННОСТИ |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
КОЛЛЕКТИВА |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ |
|
|
|
|
|||||||||
26
ВНЕШНИЕ ДЕСТРУКТИВНЫЕ ИНФОРМАЦИОННЫЕ ВОЗДЕЙСТВИЯ
3.3.4.ПУТИ РЕШЕНИЯ ПРОБЛЕМ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В сфере общественного сознания
Формирование и совершенствование идеи общественного развития. Диалектическое сохранение традиционных мировоззренческих основ
Снижение неадекватности оценки информационной обстановки и интерпретации информационной модели мира. Разработка действенных
методов оценки эффективности обеспечения информационной безопасности
Противодействие дезинформации
Формирование, согласование, а также выявление и нейтрализация ценностей, смыслов, мотивов и целей деятельности, чуждых национальным интересам
Нормативно-правовые
Формирование законодательной и нормативно-правовой базы
Развитие системы обеспечения информационной безопасности РФ
Совершенствование организации информационного противоборства РФ
Подбор и подготовка кадров, организационно-штатной структуры органов государственного управления в соответствие с целями национальной политики
В информационной инфраструктуре
Приведение качества информационной инфраструктуры системы управления в соответствие с целями и задачами государственной политики
Защита государственной тайны
Разработка современных методов и средств, обеспечивающих защиту информации, воспрещение ее утечки, подмены и утраты при передаче, обработке и хранении
Исключение несогласованности программ и параметров автоматизированных систем управления и средств коммуникации
ВНЕШНИЕ ДЕСТРУКТИВНЫЕ ИНФОРМАЦИОННЫЕ ВОЗДЕЙСТВИЯ
27
Глава 2. ОРГАНИЗАЦИОННЫЕ ОСНОВЫ ОБЕСПЕЧЕНИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.1.Принципы организационного обеспечения информационной безопасности и структура системы обеспечения
2.2.Силы и средства обеспечения информационной безопасности. Роль подразделения защиты информации в системе обеспечения информационной безопасности
2.3.Технологии обеспечения информационной безопасности и роли в системе ее обеспечения акционеров, высших корпоративных органов, менеджеров, сотрудников и внешних контролирующих органов
Литература:
1.ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью».
2.ГОСТ Р ИСО/МЭК 13335-1-2006 «Методы и средства обеспечения безопасности. Ч. 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий».
3.OCT 45.127-99 «Система обеспечения информационной безопасности взаимоувязанной сети связи РФ. Термины и определения».
4. http://asher.ru/security/book/its/09 |
Оглавление |
|
|
28 |
|||
|
|
||
|
|
||
|
|
|
2.1. ПРИНЦИПЫ ОРГАНИЗАЦИОННОГО ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ИСТРУКТУРА СИСТЕМЫ ОБЕСПЕЧЕНИЯ
2.1.1.СИСТЕМА ОБЕСПЕЧЕНИЯ (усл. – УПРАВЛЕНИЯ, МЕНЕДЖМЕНТА)
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СИСТЕМА ОБЕСПЕЧЕНИЯ (усл. – УПРАВЛЕНИЯ, МЕНЕДЖМЕНТА) ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ – модель создания, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения защиты информационных активов для достижения целей предприятия, основанную на оценке и принятии уровней риска для эффективного рассмотрения и управления ими
Включает в себя:
организационную структуру, политику, силы обеспечения, методы, процедуры, процессы и ресурсы (средства обеспечения).
Позволяет предприятию:
удовлетворять требования безопасности клиентов и др. заинтересованных лиц; улучшать планы и действия организации; соответствовать целям информационной безопасности организации;
выполнять регулирующие требования, требования законодательства и отраслевые нормативные документы;
организованно управлять информационными активами для облегчения непрерывного совершенствования организационных целей и внешних условий
29
2.1.2. ПРИНЦИПЫ РЕАЛИЗАЦИИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
а) Вовлеченность высшего руководства Предприятия в процесс обеспечения информационной безопасности.
Деятельность по обеспечению информационной безопасности инициирована и контролируется высшим руководством Предприятия. Координация деятельности по обеспечению информационной безопасности осуществляется в рамках действующего на предприятии комитета, в состав которого входят представители высшего руководства. Высшее руководство Предприятия выполняет те же правила по обеспечению информационной безопасности, что и все работники Предприятия.
б) Законность обеспечения информационной безопасности.
Предприятие реализует меры обеспечения информационной безопасности в строгом соответствии с действующим законодательством и договорными обязательствами.
в) Согласованность действий по обеспечению информационной, физической и экономической безопасности.
Действия по обеспечению информационной, физической и экономической безопасности осуществляются на основе четкого взаимодействия заинтересованных подразделений Предприятия и согласованы между собой по целям, задачам, принципам, методам и средствам.
г) Экономическая целесообразность.
Предприятие стремится выбирать меры обеспечения информационной безопасности с учетом затрат на их реализацию, вероятности возникновения угроз информационной безопасности и объема возможных потерь от их реализации.
д) Знание своих работников.
Предприятие стремится тщательно подбирать персонал (работников), вырабатывать и поддерживать корпоративную этику, что создает благоприятную среду для деятельности Предприятия и снижает риски информационной безопасности.
30