- •Основные концептуальные положения системы защиты информации (сзи).
- •Концептуальная модель информационной безопасности.
- •Угрозы конфиденциальной информации.
- •Правовая защита.
- •Организационная защита информации.
- •Инженерно – техническая защита.
- •Физические средства защиты.
- •Аппаратные средства защиты.
- •Программные средства защиты.
- •Идентификация и аутентификация.
- •Криптография.
- •Контроль целостности.
- •Биометрическая идентификация в криптосистемах.
- •Способы защиты информации.
- •Защита информации от утечки по техническим каналам.
Организационная защита информации.
Организационная защита это регламентация производственной деятельности и взаимоотношение исполнителей на нормативно-правовой основе исключающей или существенно затрудняющей доступ к конфиденциальной информации и проявление внутренних и внешних угроз.
Организационная защита обеспечивает:
Организация режима и охраны
Работа с кадрами и документами
Использование технических средств безопасности
Информационно-аналитическая деятельность по выявлению и ликвидации угроз
К основным организационным мероприятиям относятся:
Организация режима и охраны. Их цель исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение контроля прохода, перемещения сотрудников и посетителей на территории предприятия; создание отдельных производственных зон по типу конфиденциальности работ с самостоятельными системами доступа; соблюдение временного режима труда и пребывания на территории сотрудников и посетителей.
Организация работы с сотрудниками предусматривающая знакомства с ними, их изучение, ознакомление с правилами работы и мерами ответственности, а так же подбор и расстановку персонала на рабочих местах.
Организация работы с документами и техническими носителями информации их учет, возврат, хранение и уничтожение.
Организация использования технических средств сбора, обработки, хранения и передачи информации.
Организация работ по анализу внутренних и внешних угроз и выработка мер по обеспечению защиты информации.
Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде службы администрирования включающая в себя следующие должности.
Системный администратор
Сетевой администратор
Администратор БД
Администратор безопасности
Операторская служба
Все организационные мероприятия должны четко планироваться, направляться, и осуществляться специальным структурным подразделением предприятия укомплектованным соответствующими специалистами по безопасности. Таким подразделением на предприятии является служба безопасности (СБ), на которую возлагаются следующие функции:
Организация и обеспечение охраны персонала, материальных, финансовых и информационных ресурсов
Обеспечение пропускного и внутри объектного режима на территории предприятия. Контроль соблюдения требования режима.
Участие в разработке нормативных документов, содержащих требования обеспечения безопасности и защиты информации.
Разработка и осуществление мероприятий по обеспечению регламента работы с документами, техническими носителями содержащие конфиденциальные сведения.
Изучение всех сторон производственной, коммерческой, финансовой деятельности предприятия для выявления и противодействия любым попыткам нанесения ущерба; выявление, учет и анализ нарушения режима безопасности.
Организация проведения служебных расследований по фактам нарушения политики безопасности.
Ведение учета и строгого контроля выделенных для конфиденциальной работы помещений и технических средств в них.
Поддержание контактов с правоохранительными органами, службами безопасности других предприятий, в интересах изучения криминогенной обстановки и оказания взаимной помощи.
Служба безопасности является самостоятельной организационной единицей предприятия, подчиняющиеся только руководителю предприятия, возглавляет СБ начальник службы должности зам директора по безопасности.
Служба безопасности из следующих структурных единиц:
Подразделение режима и охраны.
Подразделение обработки конфиденциальных документов.
Инженерно – техническое подразделение.
Информационно – аналитический отдел.
К задачам СБ относятся:
Определение круга лиц, которые в силу занимаемого положения прямо или косвенно имеют доступ к сведениями конфиденциального характера.
Определение участков и зон сосредоточения конфиденциальных сведений.
Определение круга сторонних предприятий, на которых в силу кооперативных связей и производственных отношений возможен неконтролируемый выход информации.
Выявление круга лиц и организаций, не имеющих доступ к конфиденциальной информации, но проявляющей к ней повышенный интерес.
Разработка специальной системы защиты документов и технических носителей содержащих конфиденциальные сведения.
Определение участков и зон, уязвимых в отношении безопасности информации.
Определение технологического оборудования, выход из строя которых приводит к экономическим потерям, утрате качества продукции, и наносит материальный и моральный ущерб предприятию.
Определение мест, несанкционированное посещение которых может привести к краже любых ресурсов и организация их физической защиты и охраны.
Определение и обоснование мер правовой, организационной, инженерно-технической защиты предприятия, а так же персонала, продукции и информации.
Разработка мероприятий направленных на совершенствование экономических, социальных и информационных систем безопасности предприятия; внедрение новейших достижений науки и техники, передового опыта, технологий, в области обеспечения безопасности предприятия.
Организация обучения сотрудников службой безопасности в соответствии с их функциональными обязанностями; изучение анализ и оценка состояния обеспечения текущей безопасности предприятия и разработка рекомендаций для их совершенствования; разработка технико-экономических обоснований, необходимой документации в целях совершенствования системы мер по обеспечению экономической и информационной безопасности.
05.03.12