Главная страница
Навигация по странице:

  • Правовой режим

  • Механизмы формирования

  • Системный подход

  • Постановка задачи

    		•

    Лабараторная работа 3. Алексеева Ксения 0920


    Скачать 82.17 Kb.
    НазваниеАлексеева Ксения 0920
    Дата03.06.2022
    Размер82.17 Kb.
    Формат файлаdocx
    Имя файлаЛабараторная работа 3.docx
    ТипДокументы
    #567840
    страница3 из 4
    1   2   3   4


    Рекомендации по технической защите информации


    Рекомендации по технической защите информации конкретизированы в СТР-К («Специальных требованиях и рекомендациях по технической защите конфиденциальной информации», приказ № 282 ГТК при Президенте РФ от 30.08.2002,) и зависят от категорийности защиты, уровня секретности, режима обработки данных. Дифференцированный подход считается достаточным для разработки и применения мер противодействия незаконному доступу к информации.


    Лицензирование в области технической защиты информации


    Особенностью технического обеспечения является обязательная сертификация средств защиты. Получение лицензии ФСТЭК для работы с информацией, представляющей коммерческую тайну, обязательно.

    Вид лицензии (СЗКИ, ТЗКИ, ТЗИ ГТ, СЗИ ГТ, ПД ИТР) зависит от сферы деятельности компании (предприятия) и уровня задач, которые ставятся по обеспечению безопасности.

    Для получения лицензии необходимо:

    • выполнить работы по соответствию требований закона;

    • обеспечить защиту, тестирование компьютерных систем и помещений;

    • разработать нормативные документы и ПО;

    • заказать экспертизу.

    Получить лицензию можно за 45 дней с момента подачи документов.

    4.3. Правовое обеспечение информационной безопасности – условно самостоятельный раздел информационного права, формирующийся с помощью набора правовых режимов, норм, принципов, которые закреплены законодательно в России и международном праве.

    В рамках правового обеспечения информационной безопасности осуществляется регулирование общественных отношений в сфере обеспечения защиты информации и информационной инфраструктуры, которая используется отдельными гражданами, юридическими лицами, обществом в целом, государством в целях удовлетворения своих законных интересов, реализации предписанных законодательством прав и реализации юридических обязанностей.

    Правовой режим

    Понятие «правового режима» в современном праве применяется активно. Он представлен в виде порядка регулирования, который выражается в разнообразном комплексе правовых средств, характеризующих специфическую комбинацию разрешений, запретов, обязываний, которые между собой взаимодействуют и создают специфическую направленность регулирования.

    В ситуации с правовым обеспечением информационной безопасности эта специфическая направленность правового регулирования задается за счет применения правовых средств в целях противодействия угрозам кибербезопасности. Подобное находит отражение в стремление применять потенциал права для разрешения наиболее важной задачи – обеспечения защиты информации, информационных технологий и инфраструктур в интересах физических и юридических лиц.

    Правовой режим кибербезопасности определяется:

    • характеристиками объектов безопасности, защита которых обеспечивается;

    • направленностью на противодействие киберугрозам нарушения потребительски важных характеристик объекта безопасности;

    • правомочиями субъектов правоотношений по обладанию данными, безопасность которых обеспечивается;

    • уровнем установленного законами участия государственных структур и исполнительной власти, а также иных органов и юридических лиц в обнаружении киберугроз, в противодействии их проявлениям, в установлении субъектов, выполняющих определенные действия для реализации киберугроз, в профилактике реализации киберугроз информационной безопасности, в устранении последствий их проявления, в использовании определенной законодательством ответственности к лицам, которые признаны виновными в реализации угроз информационной безопасности.

    Механизмы формирования

    Формирование правового режима обеспечения информбезопасности происходит от набора субъективных прав, обязанностей, разрешений, запретов, которые создают функциональную направленность правового регулирования, необходимую для противодействия угрозам безопасности объектов, находящихся в информационной среде, на безопасность удовлетворения законных интересов физических и юридических лиц, государствам в целом.

    По механизму формирования правовые режимы информационной безопасности делятся на два вида:

    • Международные. Формирование международных правовых режимов кибербезопасности происходит на основе комбинации принципов и прав, которые закреплены в международном праве: конвенции, которые устанавливают правила, признанные государствами мира; международные обычаи в качестве доказательства всеобщей практики, которая признается как правовая норма; в общих принципах права, которые признаются цивилизованными нациями. В процессе определения трактовок международного права могут применяться также решения суда, доктрины ведущих экспертов по публичному праву.

    Национальные. Формирование национальных правовых режимов кибербезопасности осуществляется на основе комбинации принципов, норм и институтов, которые закреплены в международном праве, а также в местных законодательных нормах, в актах технико-нормативного регулирования в сфере обеспечения защиты информации, баз данных, информационных технологий и систем, информационной инфраструктуры.
    4.4. Системный подход
    Понятие системности заключается не просто в создании соответствующих механизмов защиты, а представляет собой регулярный процесс, осуществляемый на всех этапах жизненного цикла ИС. При этом все средства, методы и мероприятия, используемые для защиты информации объединяются в единый целостный механизм - систему защиты.

    К сожалению, необходимость системного подхода к вопросам обеспечения безопасности информационных технологий пока еще не находит должного понимания у пользователей современных ИС.

    Сегодня специалисты из самых разных областей знаний, так или иначе, вынуждены заниматься вопросами обеспечения информационной безопасности. Это обусловлено тем, что в ближайшие лет сто нам придется жить в обществе (среде) информационных технологий, куда перекочуют все социальные проблемы человечества, в том числе и вопросы безопасности:
    Каждый из указанных специалистов по-своему решает задачу обеспечения информационной безопасности и применяет свои способы и методы для достижения заданных целей. Самое интересное, что при этом каждый из них в своем конкретном случае находит свои совершенно правильные решения. Однако, как показывает практика, совокупность таких правильных решений не дает в сумме положительного результата - система безопасности в общем и целом работает не эффективно.
    Если собрать всех специалистов вместе, то при наличии у каждого из них огромного опыта и знаний, создать СИСТЕМУ информационной безопасности зачастую так и не удается. Разговаривая об одних и тех же вещах, специалисты зачастую не понимают друг друга поскольку у каждого из них свой подход, своя модель представления системы защиты информации. Такое положение дел обусловлено отсутствием системного подхода, который определил бы взаимные связи (отношения) между существующими понятиями, определениями, принципами, способами и механизмами защиты:

    Постановка задачи

    Одиннадцать отдельно взятых футболистов (даже очень хороших) не составляют команду до тех пор, пока на основе заданных целей не будет отработано взаимодействие каждого с каждым. Аналогично СЗИ лишь тогда станет СИСТЕМОЙ, когда будут установлены логические связи между всеми ее составляющими.

    Как же организовать такое взаимодействие? В футболе команды проводят регулярные тренировки, определяя роль, место и задачи каждого игрока. Качество или эффективность команд оценивается по игре в матчах, результаты которых заносятся в турнирную таблицу. Таким образом, после проведения всех встреч команд (каждой с каждой), можно сделать вывод об уровне состояния мастерства как команды в целом, так и отдельных ее игроков. Побеждает тот, у кого наиболее четко организовано взаимодействие:
    Выражаясь терминами современного бизнеса, для решения вопросов взаимодействия нужно перейти от "чисто" технического на "конкретно" логический уровень представления процессов создания и функционирования СИСТЕМ защиты информации. Хотелось бы, чтобы все специалисты, считающие себя профессионалами в информационных технологиях, поднялись чуть выше "багов" и "кряков" и уже сейчас задумались над тем как их знания и опыт будут логически увязаны со знаниями и опытом других специалистов.
    В "строгой научной постановке" задача автора состоит в предоставлении пользователям вспомогательного инструмента "елки" - (модели СЗИ), а задача читателя (пользователя) - украсить эту "елку" новогодними игрушками - (своими знаниями и решениями). Даже если "игрушек" пока еще нет, наличие "елки" поможет выбрать и приобрести нужные "украшения".

    Конечный результат работы (степень красоты елки) зависит от ваших желаний, способностей и возможностей. У кого-то получится хорошо, у кого-то - не совсем: Но это естественный процесс развития, приобретения знаний и опыта.
    Кстати, оценить красоту елки (эффективность системы защиты) весьма проблематично, поскольку у каждого из нас свои требования и вкусы, о которых, как известно, не спорят, особенно с руководством.
    Таким образом, многообразие вариантов построения информационных систем порождает необходимость создания различных систем защиты, учитывающих индивидуальные особенности каждой из них. В то же время, большой объем имеющихся публикаций вряд ли может сформировать четкое представление о том как же приступить к созданию системы защиты информации для конкретной информационной системы, с учетом присущих ей особенностей и условий функционирования. Как сказал классик юмора: ":многообразие ваших вопросов порождает многообразие наших ответов:"
    Возникает вопрос: можно ли сформировать такой подход к созданию систем защиты информации, который объединил бы в нечто единое целое усилия, знания и опыт различных специалистов? При этом желательно что бы указанный подход был универсальным, простым, понятным и позволял бы в одинаковой степени удовлетворить любые вкусы (требования) гурманов информационной безопасности?

    5. Программа создания системы информационной безопасности Предприятия.

    1. Общие организационные мероприятия по защите.

    1.1. Из всех информационных ресурсов фирмы выделить информацию, которая может представлять коммерческую ценность, а также представлять интерес для правоохранительных и контролирующих органов. В общем плане к такой информации может быть отнесено:

    -  информация управленческого характера;

    -  плановые документы;

    -  финансы;

    -  данные по рынку;

    -  сведения о партнерах;

    информация о переговорах;

    -  контракты;

    -  ценовая информация;

    -  торги, аукционы;

    -  информация технологического характера и т. д.

    В отдельную группу информации с ограниченным доступом выделить бухгалтерскую информацию, доступную только сотрудникам бухгалтерии и руководству.

    Решение о выделении конфиденциальной информации должно принять руководство фирмы. При необходимости данную информацию можно разделить на несколько групп по принципу конфиденциальности, например «для служебного пользования», «конфиденциально» и «строго конфиденциально».

    1.2. На фирме создать две автономные компьютерные сети: сеть, в которой циркулирует конфиденциальная информация и сеть, в которой циркулируют финансовые документы (сеть бухгалтерии). Данные сети должны быть созданы в защищенном варианте, не иметь выход в Интернет и не быть связанными физически с основной сетью организации. В них должен осуществляться контроль выводимой информации.

    1.3. В основной компьютерной сети фирмы исключить циркуляцию конфиденциальной информации.

    1.4. Организовать контроль за средствами копирования информации и средствами перевода компьютерной информации на бумажные носители. Рекомендуется с компьютеров, работающих в сетях, обрабатывающих конфиденциальную или бухгалтерскую информацию снять дисководы и заблокировать порты, через которые можно скачать информацию (за исключением одного, находящегося на компьютере уполномоченного лица, через который в сеть можно будет вводить и выводить информацию). Также в этой сети должен быть только один принтер, контроль за котором возложить на уполномоченное лицо. Возможно применение программных средств, защищающих от копирования.

    1.5. Определить места, предназначенных для обработки конфиденциальной (бухгалтерской) информации и оборудовать их средствами контроля доступа. Определение места предполагает определение помещений и определение конкретных мест расположения оргтехники, обрабатывающей конфиденциальную информацию. Рекомендуется все помещения оснастить средствами контроля доступа. Желательно использовать замки с магнитными картами, таблетками Touch Memory или другими программными средствами контроля доступа. Применение кодовых клавиатур не рекомендуется.

    1.6. Создать контрольно-пропускной режим в организации, исключающий доступ посторонних людей в здание фирмы, а также строгий контроль вноса-выноса средств электронно-вычислительной техники. Рекомендуется установить правила, по которым запретить нахождение неуполномоченных лиц в помещениях, где обрабатывается конфиденциальная информация и определить, что посторонние лица должны находиться в здании фирмы только в присутствии людей, к которым они пришли. Данные и иные требования отразить в соответствующей инструкции.

    1.7. Определить правила работы с конфиденциальной и иной служебной информацией фирмы и закрепить их в соответствующих инструкциях. В частности рекомендуется:

    -  все бумажные носители, на которых печатается служебная информация (не зависимо от того, конфиденциальная она или нет) должны уничтожаться в шредерах, а не находиться в мусорных корзинах;

    -  запретить несанкционированный вынос магнитных и иных носителей, на которых имеется конфиденциальная (бухгалтерская) информация;

    -  обязать хранить все носители конфиденциальных (бухгалтерских) документов в сейфах (если бумажные носители) или в зашифрованном виде (если электронные носители).

    1.8. Провести материально-техническое оборудование фирмы для создания условий по сохранности конфиденциальной информации, в частности, снастить сотрудников фирмы машинками для гарантированного уничтожения бумажных носителей (шредерами), сейфами (металлическими ящиками) для хранения съемных носителей с конфиденциальной информацией и т. д.

    1.9. Организационно исключить раскрытие (ознакомление) сотрудниками фирмы средств, методов и форм работы по созданию системы компьютерной безопасности. В первую очередь это касается вопросов контроля и проверки данной системы.

    1.10. Создать необходимые инструкции, регламентирующие вопросы информационной безопасности в целом и вопросы защиты компьютерной информации в частности. Данные инструкции должны быть утверждены у руководства и доведены до всех сотрудников фирмы под роспись в рамках выполняемых ими функциональных обязанностей.

    1.11. Организационно исключить возможность злоумышленниками получить один и тот же документ в открытом и в зашифрованном виде, так как в этом случае возможно вычислить ключ шифрования.

    2. Кадровые мероприятия по защите

    2.1. Определить перечень должностных лиц, допущенных к работе с конфиденциальными сведениями. Эти люди должны быть надежны, проверены, иметь достойные характеристики, с ними необходимо провести беседы по сохранности конфиденциальной информации, а также предупредить о возможной ответственности за разглашение информации, составляющей конфиденциальную тайну организации (ответственность по Уголовному кодексу РФ, Гражданскому кодексу РФ, Трудовому кодексу РФ и т. д.). Круг данных людей должен быть сведен к минимуму.

    2.2. Возложить на системного администратора обязанности по информационной безопасности компьютерной сети. Данное возложение обязанностей осуществить официальным порядком в виде соответствующего приказа руководителя и утверждения должностных инструкций (права, обязанности и т. д.). Выполнение этих обязанностей предполагает увеличение объема работ и, соответственно, увеличение заработной платы администратору сети. Сотрудники организации обязаны выполнять требования администратора сети в части информационной безопасности. Данное требование также необходимо закрепить в соответствующих инструкциях.

    2.3. Приобрести администратором сети теоретические знания и практические навыки по информационной безопасности. Теоретические знания рекомендуется получать в специализированных учебных заведениях, специализирующихся по подготовке кадров в сфере компьютерной безопасности, например, в учебном центре НПО «Информзащита». Администратор сети должен быть в курсе современных методов защиты компьютерной информации, посещать специализированные выставки и знакомиться с периодической литературой по данной проблеме.

    2.4. Провести инструктивные занятия с сотрудниками фирмы по основам безопасности компьютерной информации. После получения теоретических знаний все сотрудники фирмы должны пройти соответствующее тестирование, сдачу зачетов и расписаться в ведомости. Рекомендуется инструктивные занятия проводить с определенной периодичностью и подкреплять теоретические знания получением практических навыков. В частности определить жесткое правило, по которому сотрудник, покидающий свое рабочее место (даже на небольшое количество времени), обязан отключить свой электронный идентификатор (запоролить машину в случае отсутствия электронного идентификатора). Особое внимание обратить на инструктаж сотрудников, имеющих дело с обработкой конфиденциальной информации (в том числе с бухгалтерской).

    2.5. Разработать систему контроля за соблюдением сотрудниками фирмы правил информационной безопасности. Рекомендуется функции контроля возложить на администратора сети. Контроль должен быть как открытый, так и скрытый. По результатам контрольных проверок целесообразно установить формы и виды ответственности (в том числе материальной) за нарушение установленных правил. Следует иметь в виду, что в большинстве 
    1   2   3   4

    написать администратору сайта