Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Лекции / 2004 / 11.doc
Скачиваний:
69
Добавлен:
16.04.2013
Размер:
52.74 Кб
Скачать
  1. Технологическое и организационное построение КСЗИ

Организационное направление работ по созданию ксзи

В рамках организационного направления работ создается организационная компонента КСЗИ - совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.

Включает в себя разработку регламента обеспечения безопасности, применение методологии при работе с персоналом Заказчика, при создании подразделения, ответственного за обеспечение безопасности информации, обучение и консультации сотрудников подразделения, работы по уточнению требований к характеристикам защищенности системы, анализ информационной структуры Заказчика, разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых формы их взаимодействий и т.д.

Определение 1.Регламент обеспечения безопасности - комплект документов, регламентирующий правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности.

В регламенте должен быть определен комплекс методических, административных и технических мер, включающих в себя:

  • создание подразделения, ответственного за обеспечение информации;

  • определение порядка допуска сотрудников к конфиденциальной информации;

  • определение обязанностей, ограничений и условий, накладываемых на сотрудников, допущенных к конфиденциальной информации;

  • установление категории конфиденциальности информации; определение категории конфиденциальности работ, проводимых Заказчиком и информации, содержащейся в документах, связанных с работами; порядок изменения категории конфиденциальности работ и информации;

  • требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация, по категориям;

  • требования к конфиденциальному делопроизводству;

  • требования к учету, хранению и обращению с конфиденциальными документами;

  • меры по контролю за обеспечением конфиденциальности работ и информации;

  • план мероприятий по противодействию атаке на конфиденциальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации);

  • план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пресечения процесса разглашения/утечки информации);

  • определение ответственности за разглашение конфиденциальной информации.

Документы должны определять работу комплексной системы защиты информации:

  • в штатном режиме;

  • изменения в штатном режиме работы;

  • нештатный режим (аварийные ситуации).(30)

Как показывает опыт практической работы, для эффективной защиты автоматизированной системы организации необходимо решить ряд организационных задач:

• создать специальное подразделение, обеспечивающее разработку правил эксплуатации автоматизированной системы, определяющее полномочия пользователей по доступу к ресурсам этой системы, осуществляющее административную поддержку ТСЗИ (правильную настройку, контроль и оперативное реагирование на поступающие сигналы о нарушениях установленных правил доступа, анализ журналов регистрации событий безопасности и т.п.);

• разработать технологию обеспечения информационной безопасности, предусматривающую порядок взаимодействия подразделений организации по вопросам обеспечения безопасности при эксплуатации автоматизированной системы и модернизации ее программных и аппаратных средств;

• внедрить данную технологию путем разработки и утверждения необходимых нормативно-методических и организационно-распорядительных документов (концепций, положений, инструкций и т.п.).

При создании подразделения информационной безопасности надо учитывать, что для эксплуатации средств защиты нужен минимальный штат сотрудников, осуществляющих поддержку функционирования ТСЗИ. В то же время, разработка и внедрение технологии обеспечения информационной безопасности требует значительно большего времени, больших трудозатрат и привлечения квалифицированных специалистов, потребность в которых после ее внедрения в эксплуатацию отпадает. Кроме того, разработка и внедрение такой технологии должны проводиться в сжатые сроки, чтобы не отстать от развития самой автоматизированной системы организации.

Поэтому, для минимизации расходов на разработку и внедрение технологии обеспечения информационной безопасности целесообразно привлекать сторонних специалистов, имеющих опыт в проведении подобного рода работ.

Соседние файлы в папке 2004