Конспект (11)
.docxЛабораторная работа 11.
Изучение методов построения комплексной системы организационных и технических мер по защите информации
Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Существует множество причин и мотивов, по которым одни люди хотят шпионить за другими. Имея немного денег и старание, злоумышленники могут организовать ряд каналов утечки сведений, используя собственную изобретательность и (или) халатность владельца информации. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.
Все возможные способы защиты информации сводятся к нескольким основным методикам: воспрепятствование непосредственному проникновению к источнику информации с помощью инженерных конструкций технических средств охраны; скрытие достоверной информации; предоставление ложной информации.
Самыми распространенными способами несанкционированного получения конфиденциальной информации являются: прослушивание помещений с помощью технических средств; наблюдение (в т. ч. фотографирование и видеосъемка); перехват информации с использованием средств радиомониторинга информативных побочных излучений технических средств; хищение носителей информации и производственных отходов; чтение остаточной информации в запоминающих устройствах системы после выполнения санкционированного запроса, копирование носителей информации; несанкционированное использование терминалов зарегистрированных пользователей с помощью хищения паролей; внесение изменений, дезинформация, физические и программные методы разрушения (уничтожения) информации.
Разработка и внедрение системы защиты информации осуществляется соответствии с требованиями Федерального закона РФ от 27 июля 2006 г. № 149-ФЗ "Об информации, информационных технологиях и защите информации" и нормативными документами РФ в области защиты информации, с последующей аттестацией в системе сертификации ФСТЭК России.
Этапы создания системы защиты информации:
Предпроектный этап, включающий предпроектное обследование объекта информатизации, разработку аналитического обоснования необходимости создания СЗИ и технического (частного технического) задания на ее создание
Проектирование (разработки проектов) систем защиты информации
Основными организационно-техническими мероприятиями, которые проводятся государственной системой защиты информации, следует считать: государственное лицензирование деятельности предприятий в области защиты информации; аттестация объектов информации по требованиям безопасности информации, предназначенная для оценки подготовленности систем и средств информатизации и связи к обработке информации, содержащей государственную, служебную или коммерческую тайну; сертификация систем защиты информации;
Мероприятия по обеспечению защиты информации.
Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации. Защита от несанкционированного доступа к конфиденциальной информации обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию нсд.
Организационная защита информации - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией, и включает в себя организацию режима охраны, организацию работы с сотрудниками, с документами, организацию использования технических средств и работу по анализу угроз информационной безопасности.
Система безопасности - это организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, в задачи которой входит разработка и осуществление мер по защите информации, формирование, обеспечение и продвижение средств обеспечения безопасности и восстановление объектов защиты, пострадавших в результате каких-либо противоправных действий.
Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.
Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации.
Технические мероприятия - это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не превышают границу охраняемой территории.