Московский финансово-промышленный университет «Синергия». Литература по теме Тема Нормативноправовые аспекты информационной безопасности и защиты информации Вопрос Основы нормативноправовой защиты информации

Напомним, что разглашение - это умышленные или неосторожные действия должностных лиц и граж явилось неправомерное оглашение конфиденциальных сведений, и как следствие — ознакомление с ними л сведениям. Выражается разглашение в сообщении, передаче, предоставлении, пересылке, опубликовании обмена деловой и научной информацией.
К факторам и обстоятельствам, приводящим к разглашению информации, относятся:
•
недостаточное знание сотрудниками правил защиты конфиденциальной информации и непонимани необходимости тщательного их выполнения;
•
слабый контроль за соблюдением правил работы со сведениями конфиденциального характера;
•
текучесть кадров, в том числе знающих сведения конфиденциального характера.
В основу защиты информации от разглашения целесообразно положить:
1.
Принцип максимального ограничения числа лиц, допущенных к работе с конфиденциальной инф ее сохранности находится в прямой зависимости от числа допущенных к ней лиц.
2.
Принцип персональной ответственности за сохранность информации предполагает разраб сотрудников хранить секреты не только из-за боязни последствий за вольное или невольное раскрыти заинтересованность каждого конкретного работника в сохранении тайны.
Отсюда одним из направлений работы является работа с кадрами, воспитательно-профилактическ включает в себя совокупность методов воздействия на сознание, чувство, волю и характер сотрудников в и них умения хранить тайну и строго соблюдать установленные правила работы с закрытой информацией. Г
деятельности:
а)
привитие навыков предупреждения разглашения конфиденциальной информации;
б)
повышение ответственности за сохранение секретов;
в)
создание обстановки нетерпимости к фактам нарушения установленного порядка обеспечения инф безопасности;
г)
строгий контроль за всеми видами переговоров со сторонними организациями и их представителя д)
контроль публикаций, выступлений, интервью и других форм общения по вопросам деятельности е)
контроль разговоров в служебных помещениях и телефонных переговоров сотрудников на служебн ж)
изучение действий и поведения сотрудников во внеслужебное время, мест их пребывания, наклонн пагубных привычек, трудового удовлетворения и другие.
Естественно, что все эти действия должны проводиться в строгом соответствии с законодател соблюдением прав и обязанностей сотрудников предприятия, без какого-либо вмешательства в личную жизн
Деятельность руководства предприятия и сотрудников службы безопасности по предупреждению сведений включает в себя и обучение сотрудников, ознакомление их с законами, постановлениями, пол определяющими правовое отношение с государством и предприятием.
Организация защиты документов, содержащих сведения, относящиеся к коммерческой тайне, начи данных документов и реализуется с использованием различных средств защиты, рассмотренных в теме 1.
На каждом этапе экспертизы ценности документов применяется в комплексе система общих и специф
К таким общим относятся критерии:
•
происхождение: организация, роль и место организации в системе организаций страны или в конкре выполняемых ею функций; время и место создания; авторство документов;
•
содержание: значимость проблемы и объекта, отраженного в документах; значение содержащейся в ее повторение в других документах; целевое назначение, вид и разновидность документа;
•
внешние особенности: юридическая содержательность документа — наличие подписей, дат, печ помет; особенности передачи документа, текста, подлинность; особенности материальной основы физического состояния, полноты, сохранности документа.
К специфическим относятся критерии:
•
принципиальная новизна, уникальность, оригинальность решения проблемы, конструкции, техноло
•
степень отражения уровня науки и техники, производства на данном этапе развития общества;
•
значимость проблемы, проекта, модели, конструкции, технологии на момент внедрения для развити производственной и хозяйственной деятельности;
•
экономическая эффективность внедрения результатов исследования или технической идеи;
•
социальная эффективность исследования или разработки.
При оценке ценности документов выделяют следующие виды соответствующих экспертиз.
Экспертиза ценности конструкторской документации.
Экспертизе подвергаются:
•
на стадии «эскизный проект» — ведомости эскизного проекта и пояснительные записки;
•
на стадии «технический проект» — чертежи общих видов изделий; ведомости технического проект записки; патентный формуляр; карты технического уровня и качества продукции; технико-экономические п
•
на стадии «рабочая документация» — сборные чертежи изделия; габаритные и монтажные чертежи условия, расчеты экономической эффективности изделия, спецификации, акты (государственных, отраслевы испытаний и приемки изделия групповые конструкторские чертежи; кино-фотодокументы отражающие пр

изготовления и испытания изделия; спецификации по видам обеспечения; инструкции по ведению массивов каталоги баз данных, тексты программ, описания языков; положения о службе САПР и другие.
Экспертиза ценности технологической документации.
Экспертизе подвергаются:
•
технологические документы, отражающие новые технологические процессы, методы организации п экономии материалов;
•
чертежи универсального технологического оснащения для механической обработки деталей, сборки применяться для нескольких изделий, цехов, предприятий;
•
документация по технологической оснастке, отличающаяся новизной и совершенством конструкции
•
технические документы на приспособления для совершенствования технологических процессов.
Особое внимание уделяется экспертизе таких документов как:
•
маршрутные карты, технологические инструкции, правила, рецептура, описания, диаграммы, харак режимы производства, ведомости технологической оснастки, карты основных и типовых технологических п аттестуемой продукции, регламенты;
•
технические условия на изготовление изделий основного производства, альбомы технологических п измерительных и контрольных приборов и инструментов;
•
технико-экономические показатели, нормы расходов материалов, технологические паспорта, специф технологического оборудования.
Экспертиза ценности проектной документации.
Экспертизе подвергаются:
•
задания на проектирование продукции;
•
проекты размещения строительства, проекты планировки, отчеты об изысканиях;
•
генеральный план, ситуационный план, общая (сводная) пояснительная записка, схемы и описания процессов и оборудования;
•
основные чертежи архитектурно-строительной части, чертежи цехов;
•
фотографии общего вида зданий, корпусов и цехов, чертежи уникального характера;
•
планы расположения зданий, транспортных путей, подземных сетей и ограждений;
•
планы размещения оборудования, генеральные сметы к проектам реконструкции, сметно-финансов
Вопрос 3. Функции службы безопасности.
К основным функциям службы безопасности организации относятся следующие:
1.
Организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты к информации.
2.
Обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, ко требований режима сотрудниками, смежниками, партнерами и посетителями.
3.
Руководство работами по правовому и организационному регулированию отношений по защите ин
4.
Участие в разработке основополагающих документов с целью закрепления в них требований обесп защиты информации, а также положений о подразделениях, трудовых договоров, соглашений, подрядов, дол обязанностей руководства, специалистов, рабочих и служащих.
5.
Разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению содержащими конфиденциальные сведения; при всех видах работ организация и контроль выполнения треб защите конфиденциальной информации».
6.
Изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для вы противодействия любым попыткам нанесения ущерба, ведения учета и анализа нарушений режима безопасн анализ данных о злоумышленных устремлениях конкурентной и других организаций, о деятельности предп партнеров, смежников.
7.
Организация и проведение служебных расследований по фактам разглашения сведений, утрат Доку конфиденциальной информации и других нарушений безопасности предприятия.
8.
Разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера»
актов, регламентирующих порядок обеспечения безопасности и защиты информации.
9.
Обеспечение строгого выполнения требований нормативных документов по защите производствен предприятия.
10.
Осуществление руководства службами и подразделениями безопасности подведомственных предп учреждений и другими структурами в части оговоренных в договорах условий по защите конфиденциально
11.
Организация и регулярное проведение учета сотрудников предприятия и службы безопасности по защиты информации и обеспечения безопасности производственной деятельности.
12.
Ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, техни обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охран
13.
Обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения мор ущерба со стороны внутренних и внешних угроз.
14.
Поддержание контактов с правоохранительными органами и службами безопасности соседних пр изучения криминогенной обстановки в районе (зоне) и оказания взаимной помощи в кризисных ситуациях

Вопрос 4. Классификация способов защиты информации.
Обеспечение информационной безопасности достигается системой мер, направленных:
а)
на предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению инф безопасности в интересах упреждения возможности их возникновения;
б)
на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможн или потенциальных угроз и своевременных мерах по их предупреждению;
в)
на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных прес г)
на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных пре д)
на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.
В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельн на основе глубокого анализа рисков информационной безопасности, в частности криминогенной об конкурентов и злоумышленников.
Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработ подготовке преступных действий со стороны криминальных структур или конкурентов на рынке произв продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотру быть и недовольные, и неопытные, и «внедренные».
Обнаружение угроз — это действия по определению конкретных угроз и их источников, приносящих
К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а так конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих се
Пресечение или локализация угроз — это действия, направленные на устранение действующ преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет аку информации по вентиляционным системам.
Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению у долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуще разрушенного здания от подрыва, и другое.
Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств
•
предотвращение разглашения и утечки конфиденциальной информации;
•
воспрещение несанкционированного доступа к источникам конфиденциальной информации;
•
сохранение целостности, полноты и доступности информации;
•
соблюдение конфиденциальности информации;
•
обеспечение авторских прав.
Защита от разглашения сводится в общем плане к разработке перечня сведений, составляющ предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного к ним, с обязате сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью
Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возм конкретных условиях и к проведению организационных, организационно-технических и техническ ликвидации.
Защита от несанкционированного доступа к конфиденциальной информации обеспечивается пут контроля возможных способов несанкционированного доступа и проникновения к источникам конфиден реализацией организационных, организационно-технических и технических мероприятий по противодейств
На практике в определенной степени все мероприятия по использованию технических сред подразделяются на три группы:
а)
организационные (в части технических средств);
б)
организационно-технические;
в)
технические.
Организационные мероприятия — это мероприятия ограничительного характера, сводящиеся в о доступа и использования технических средств обработки информации. Они, как правило, проводятся с путем использования простейших организационных мер.
В общем плане организационные мероприятия предусматривают проведение следующих действий:
•
определение границ охраняемой зоны (территории) (контролируемой зоны);
•
определение технических средств, используемых для обработки конфиденциальной информации в территории;
•
определение «опасных», с точки зрения возможности образования каналов утечки информации, тех конструктивных особенностей зданий и сооружений;
•
выявление возможных путей проникновения к источникам конфиденциальной информации со стор
•
реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации все средствами.
Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выдели меры, как территориальные, пространственные и временные.

Территориальные ограничения сводятся к умелому (рациональному) расположению источников на м помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств
Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигнал возможности их перехвата злоумышленниками.
Временные ограничения проявляются в сокращении до минимума времени работы технических скрытых методов связи, шифровании и других мерах защиты.
Одной из важнейших задач организационной деятельности является определение состояния техничес его помещений, подготовка и выполнение организационных мер, исключающих возможность не конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к
Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки кон через технические средства обеспечения производственной и трудовой деятельности, а также прот средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых зданий, помещений и технических средств, потенциально образующих каналы утечки информации.
В этих целях возможно использование:
а)
технических средств пассивной защиты, например, фильтров, ограничителей и тому подобных сред акустических, электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжени б)
технических средств активной защиты: датчиков акустических шумов и электромагнитных помех.
Организационно-технические мероприятия по защите информации можно подразделить на простр энергетические.
Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаб лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС).
Режимные меры сводятся к использованию скрытых методов передачи информации по средс квазипеременные частоты передачи и других.
Энергетические — это снижение интенсивности излучения и работа РЭС на пониженных мощностях.
Технические мероприятия — это мероприятия, обеспечивающие приобретение, установку и и производственной деятельности специальных, защищенных от побочных излучений (безопасных) техниче
ПЭМИН которых не превышают границу охраняемой территории.
Технические мероприятия по защите конфиденциальной информации можно подразделить на дезинформацию.
Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средств
Подавление — это создание активных помех средствам злоумышленников.
Дезинформация — это организация ложной работы технических средств связи и обработки информ использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и опозна
Защитные меры технического характера могут быть направлены на конкретное техническое уст аппаратуру и выражаться в таких мерах, как отключение аппаратуры на время ведения конфиденци использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устро
Таким образом, достигается снижение вероятности возникновения рисков нарушения целостност доступности информации.
Вопрос 5. Основные действия по защите информации.
Защитные действия ориентированы на пресечение разглашения, защиту информации от ут несанкционированному доступу.
Защитные действия, способы и мероприятия по обеспечению информационной безопасности мож основным характеристикам и объектам защиты по таким параметрам, например, как ориентация, хара способы действий, охват, масштаб и другим.
Защитные действия по ориентации можно классифицировать как действия, направленные на защиту п финансовых средств и информации как ресурса.
По направлениям — это правовая, организационная и инженерно-техническая защита.
По способам — это предупреждение, выявление, обнаружение, пресечение и восстановление.
По охвату защитные меры могут быть ориентированы на защиту территории фирмы, зданий, помещений, конкретных видов аппаратуры, или технических средств и систем, или отдельных элеме аппаратуры, опасных с точки зрения несанкционированного доступа к ним, или оборудования каналов утечк
Источником информации могут быть люди, документы, технические средства, отходы и другое. Носи быть либо поле (электромагнитное, акустическое), либо вещество (бумага, материал, изделие и т. д.). Ср пространство, жесткие среды (стены, коммуникации).
Злоумышленник обладает необходимыми средствами приема акустической и электромагнитн воздушного наблюдения и возможностью обрабатывать материально-вещественные формы представления и
В каждом конкретном случае реализации информационного контакта используются и свои специфиче как на источник, так и на среду и на злоумышленника. В качестве примера рассмотрим матрицу, характериз защиты информации и механизмов ее защиты в процессе телекоммуникационного обмена в распределен системах (табл. 2). Одновременно на ней отражены и защитные возможности тех или иных механизмов.

Взаимосвязь целей и средств защиты информации
Цели защиты
Содержание
Механизмы защиты
Шифрование
Цифровая
подпись
Управление
доступом
Обеспечение
целостности
данных
Аутентификация
обмена
Под
п
соо
фи
инф
Соблюдение конфиденциальности
Область безопасности
•
-
-
-
-
Предварительное засекречивание
•
-
-
-
-
Линейное засекречивание
•
-
-
-
-
Безопасность обмена
•
-
-
-
-
Обеспечение целостности
Безотносительные области безопасности
•
•
-
•
-
Безотносительная целостность
•
•
-
•
-
Относительная область безопасности
•
-
-
•
-
Связанная целостность с восстановлением
•
-
-
•
-
Связанная целостность без восстановления
•
-
-
•
-
Подтверждение целостности
Каждого источника
•
•
-
-
•
Источника информации
•
•
-
-
-
Управления доступом
-
-
•
-
-
Подтверждение
Факта отправления
-
•
-
•
-
Местонахождения отправителя
-
•
-
•
-
Вопросы для самопроверки:
1.
Что относится к основным организационным мероприятиям по защите информации?
2.
Чем в значительной мере обусловливаются возможности несанкционированного использования кон сведений?
3.
Какие основные направления включает в себя работа с конфиденциальной информацией?
4.
В чем заключаются основные принципы защиты конфиденциальной информации?
5.
Какие существуют общие и специфические критерии экспертизы ценности документов, содержащи информацию?
6.
В чем заключаются основные функции службы безопасности организации?
7.
Какие меры могут предприниматься в отношении угроз информационной безопасности?
8.
Как классифицируются основные действия по защите информации?
Литература по теме:
Основная литература:
1.
Загинайлов Ю.Н. Теория информационной безопасности и методология защиты информации: учебн
Директ-Медиа, 2015. – 253 с. http://biblioclub.ru
Дополнительная литература:
1.
Аверченков В.И. Аудит информационной безопасности: учебное пособие. – 3-е изд., стер. – М.: Фли http://biblioclub.ru
2.
Аверченков В.И. Служба защиты информации: организация и управление: учебное пособие / В.И. А
– 3-е изд., стер. – М.: Флинта, 2016. –186 с. http://biblioclub.ru
3.
Кияев В. Безопасность информационных систем: курс / В. Кияев, О. Граничин. – М.: Национальный
«ИНТУИТ», 2016. – 192 с. http://biblioclub.ru
4.
Системы защиты информации в ведущих зарубежных странах: учебное пособие / В.И. Аверченков,
Кондрашин, М.В. Рудановский. – 4-е изд., стер. – М.: Флинта, 2016. http://biblioclub.ru