- •3.Ооиб как один из основных инструментов обеспечения безопасности организации.
- •5. Требования к системе би.
- •2Й вопрос. Уязвимые места в информационной безопас. Организации.
- •3Й вопрос. Основные методические рекомендации о составлении перечня сведений, составляющих служебную тайну
- •4Й вопрос. Характеристика работ по составлению перечня сведений, составляющих служебную тайну предприятия.
- •5Й вопрос. Характеристика работ по составлению предварительного перечня сведений, составляющих служебную тайну для структурных подразделений организации
- •6Й вопрос. Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, составляющих служебную тайну
- •7Й вопрос. Определение преимуществ открытого использования сведений, составляющих служебную тайну
- •8Й вопрос. Определение затрат на защиту сведений, составляющих служебную тайну
- •9Й вопрос. Принятие решения о включении сведений в окончательный вариант перечня и оформление проекта перечня
- •24.10.2011 Организационное обеспечение информационной безопасности при проведении совещаний.
- •Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица
- •Введение
- •Структура внутренних документов по обеспечению информационной безопасности юридического лица
- •Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)
- •Характеристика документов второго уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов третьего уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов четвертого уровня по обеспечению информационной безопасности юридического лица
- •14.11.11 Организационное обеспечение разработки частных политик безопасности
- •Политика организации рабочего места
- •Политика организации дистанционной работы
- •Политика безопасности электронного документооборота
- •Политика криптографической защиты информации
- •Политика использования программного обеспечения
- •Политика использования мобильных устройств обработки информации
- •Политика управления доступом к информационным ресурсам
- •Политика классификации информации
- •Политика управления ролями.
- •Особенности организации и обеспечения хранения скзи.
- •Основные обязанности сотрудников органов криптографической защиты
- •Основные обязанности пользователей скзи
- •Вопрос 1. Содержание процедур по обработке персональных данных. Содержание процедур по обработке персональных данных.
- •Часть 7я статьи 14. Субъект пд имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных:
- •2. Принципы защиты прав юридических лиц, ип при осуществлении государственного контроля.
- •Вопрос 1. Назначение и структура стандарта
- •Вопрос 2. Основные термины и определения
5. Требования к системе би.
К СБИ предъявляется требования: 1. Четкость определения полномочий правил и прав пользователей на доступ к определенному виду информации.
1.Предоставление любому пользователю минимальных полномочий, необходимых ему для выполнения порученной работы.
3.Сведение к минимуму числа общих для нескольких пользователей средств защиты.
4.Обязательный учет случаев и попыток НСД к конфиденциальной информации.
5.Обеспечение оценки степени конфиденциальности информации. Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя(ФЗ 149).
6.Обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.
Для выполнения этих требований СЗИ может иметь следующие виды собственного обеспечения:
Организационное. Реализация процедур ЗИ осуществляется определенными структурными единицами фирмы. Служба защиты информации, служба режима, служба конфиденциального документооборота, информационно-аналитический отдел, отдел кадров.
Правовое обеспечение. Федеральные нормативные акты и документы, межведомственные документы уполномоченных органов(ФСТЭК, ФСБ, РосТехНадзор). Положения, инструкции, руководства, требования которых является обязательным.
Нормативно-методическое обеспечение. Стандарты, регламенты деятельности органов, служб, средств, реализующие функции защиты информации, различные методики, которые обеспечивают деятельность пользователей при выполнении функциональных обязанностей в интересах ЗИ.
Аппаратное обеспечение. Широкое использование ТС для защиты информации и для обеспечения деятельности СЗИ.
Программное обеспечение. Различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам ЗИ.
Информационное обеспечение. Включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающие функционирование СЗИ. Показатели доступа, учета, хранения.
Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере ЗИ.
Математическое обеспечение. Использование математических методов для различных расчетов, связанных с оценкой опасностей технических средств злоумышленников, зон и норм необходимой защиты.
Организационная структура системы ООБ.
Цель создания СОИБ – предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или другого ущерба), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.
Основная задача СЗИ – обеспечение необходимого уровня целостности, доступности, конфиденциальности компонентов(ресурсов) АС соответствующими множеству значимых угроз методами и средствами.
Субъекты, которые влияют на состояние информационной безопасности, можно разделить на следующие группы:
Сотрудники структурных подразделений (конечные пользователи АС). Они решают свои функциональные задачи с применением средств автоматизации.
Программисты, осуществляющие разработку, приобретение и адаптацию необходимых прикладных программ для автоматизации деятельности сотрудников организации.
Сотрудники подразделения внедрения и сопровождения программного обеспечения, которые осуществляют (обеспечивают) нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ.
Сотрудники подразделений эксплуатации ТС, которые обеспечивают нормальную работу и обслуживание ТС обработки и передачи информации и системного программного обеспечение.
Системные администраторы штатных средств защиты.
Сотрудники подразделения ЗИ, которые оценивают состояние ИБ, определяют требования к СЗИ, разрабатывают организационно-распорядительные документы по вопросам ООИБ, внедряют и администрируют дополнительные средства защиты(администраторы безопасности).
Руководители различных уровней. Определяют цели и задачи функционирования АС и СЗИ, направление дальнейшего развития, принимают стратегические решения по вопросам безопасности, утверждают основные документы, которые регламентируют порядок безопасной обработки и использования ЗИ сотрудниками. Примечание: на ИБ организации могут оказывать влияние посторонние лица, сторонние организации, предпринимающие попытки вмешательства в процесс функционирования АС или осуществляющие НСД к информации, как локально, так и удаленно. Для успешного решения задач по ЗИ, действия пользователей и обслуживающего персонала должны быть регламентированы.
Цели регламентации действий:
Сокращение возможностей лиц из числа пользователей и персонала по совершению правонарушений.
Реализация специальных мер противодействия другим угрозам, связанным с отказами и сбоями оборудования, ошибками программ, стихийными бедствиями, действиями посторонних лиц, не являющихся частью АС.
Обеспечение выполнения персоналом и пользователями дополнительных специальных функций в интересах режима ИБ.
Для защиты действий от посторонних лиц необходимо использовать весь комплекс безопасности. Такие многоплановые задачи требуют в организации наличие структурного подразделения.
В целом, организационная структура СОИБ автоматизированной системы организации может быть представлена в виде совокупности следующих уровней:
Руководство организации.
Подразделения обеспечения ИБ.
Администраторы штатных и дополнительных средств защиты.
Ответственные за ИБ подразделения.
Конечные пользователи и обслуживающий персонал.
В процессах реализации должна соблюдаться определенная технология ОИБ, при этом, под технологией ОИБ в АС понимается определенное распределение функций и регламентация исполнения требований сотрудниками, а также порядок взаимодействия подразделений и должностных лиц по обеспечению комплексной защиты ресурсов АС в процессе ее эксплуатации.
Требования к технологии в управлении безопасности включают следующие компоненты:
Соответствие управления ИБ современному уровню развития.
Учет особенностей построения и функционирования различных подсистем автоматизированной системы.
Точная и своевременная реализация политики безопасности организации ГОСТ Р 53.114.2008.
Минимизация затрат на реализацию самой технологии обеспечения безопасности.
Для реализации технологии обеспечения безопасности необходимо наличие следующих составляющих:
Наличие полной и непротиворечивой правовой базы по вопросам безопасности.
Должно быть осуществлено распределение функций должностных лиц и порядок их взаимодействий по вопросам ИБ на всех этапах жизненного цикла с обеспечением разделения полномочий и ответственностей.
Наличие специального органа или подразделения ЗИ, наделенного полномочиями, непосредственно отвечающего за реализацию политики безопасности. При этом данный орган должен осуществлять контроль и координацию действий всех подразделений сотрудников по вопросам ИБ.
В практическом плане реализации технологии ООИБ включает проведение следующих мероприятий:
Назначение и подготовка должностных лиц, ответственных за организацию и проведение конкретных мероприятий в интересах обеспечения БИ и процессов ее обработки.
Строгий учет всех подлежащих защите ресурсов, а также определение требований к организационно-техническим мерам и средствам защиты ресурсов.
Разработка реально выполнимых и непротиворечивых организационно-распорядительных документов по вопросам обеспечения ИБ.
Реализация или реорганизация технологических процессов обработки информации в АС с учетом требований по вопросам ИБ.
Принятие эффективных мер сохранности и обеспечение физической целостности ТС и поддержка необходимого уровня защищенности компонентов АС.
Применение физических и технических средств защиты ресурсов и непрерывная административная поддержка их использования.
Регламентация всех процессов обработки защищаемой информации и действий сотрудников, использующих АС.
Регламентация всех действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, основанных на организационно-распорядительных документах.
Четкое знание и строгое соблюдение всеми сотрудниками требований организационно-распорядительных документов по вопросам безопасности АС.
Персональная ответственность за свои действия каждого сотрудника
Осуществление и ведение контроля за соблюдением сотрудников и обслуживающего персонала всех требований по обеспечению БИ.
Проведение постоянного анализа эффективности и достаточности всех принятых мер и применяемых средств ЗИ.
Разработка рекомендаций и предложений по совершенствованию СЗИ в АС.
Таким образом,перечисленное регламентирует процессы функционирования:
Системы обработки данных
Использование ее ресурсов
Деятельность персонала
Порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить, блокировать или исключить возможность реализации угроз безопасности.
Следовательно, организационные меры ИБ – меры по обеспечению ИБ, предусматривающие установление временных, территориальных, пространственных, правовых, методических и иных ограничений на условии использования режима работы объекта информатизации. ГОСТ Р 5314-2008.
7. Источники и литература по курсу.
ФЗ о безопасности 2010.
Закон о ЦП 2011. ФЗ о лицензировании отдельных видов деятельности 2011.
Лекция 2 О владении конфиденциальной информацией
Объекты, обладающие конфиденциальной информацией, интересы субъекта, стремящегося получить эту информацию – прямо противоположны. Эти противоположности в информационном процессе можно рассматривать с позиции активности в действиях, которые приводят к овладению конфиденциальных сведений. В этом случае возможны следующие ситуации:
1.Владелец не предпринимает никаких мер по сохранению конфиденциальной информации. Это позволяет злоумышленнику легко получить конфиденциальную информацию
2. Источник информации в этом случае злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям. Для этого злоумышленник использует всю совокупность способов несанкционированного проникновения (легальные и нелегальное проникновение).
3.Промежуточная ситуация. Утечка информации по техническим каналам, при которой владелец информации еще не знает об утечке (иначе принял бы меры), а злоумышленник легко, без особых усилий может использовать технические каналы утечки в своих целях. Факт получения охраняемых сведений называют утечкой – неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа и получения защищаемой информации иностранными разведками (ГОСТ Р 53114-2008).
Утечка информации по техническому каналу – неконтролируемое распространение информации от носителя защищаемой информации через физическую среду до технического средства, осуществляющего перехват информации (Р 50.1.053.-2005)
Вместе с тем, в значительной части законодательных актов используются такие понятия, как «разглашение сведений» или НСД к конфиденциальной информации. Разглашение информации – несанкционированное доведение защищаемой информации до лиц, не имеющих права доступа к этой информации (ГОСТ Р 53114-2008 )
Разглашение информации, составляющей коммерческую тайну – действие или бездействие, в результате которого, информация, составляющая коммерческую тайну в любой возможной форме (устной, письменной, иной форме, в том числе, с использованием технических средств), становится известной третьим лицам без согласия обладателя такой информации, либо вопреки трудовому или гражданско-правовому договору (федеральныйзакон о коммерческой тайне).
Несанкционированный доступ – доступ людей или объектов, не имеющих право доступа (ГОСТ Р 51241-98)
Несанкционированный доступ – доступ к информации или к ресурсам автоматизированной информационной системы (АИС), осуществляемый с нарушением установленных прав и (или) правил доступа (ГОСТ Р 53114-2008)
Примечание. Несанкционированный доступ может быть осуществлен как преднамеренно, так и непреднамеренно.
Примечание 2. Права и правила доступа к информации и ресурсам АИС устанавливается для процессов обработки информации, обслуживания АИС, изменения программных, технических, информационных ресурсов, а также получения информации о них.
Несанкционированные действия – действия, целью которых является несанкционированное проникновение через преграждающие управляемые устройства (ГОСТ 51241-98)