защита инфосистем. лабы. Министерство образования и науки калужской области
Скачать 1 Mb.
|
Задание Разработать соглашение на обработку персональных данных Практическая работа №19 Успешность реализации политики безопасности (2 часа) Цель Выработка навыков выполнения мероприятий по защите информации Теоретические сведения Хорошо известно, что безопасность настолько сильна, насколько защищено ее самое слабое звено. Практика защиты информации показывет, что сотрудников отечественных компаний часто оказывается легче обмануть или ввести в заблуждение, чем системы или технологии безопасности. Поэтому правильно организованное обучение и учет человеческого фактора является необходимой составляющей процесса разработки политики безопасности. Давайте на примере компании Cisco Systems рассмотрим следующие семь пунктов успешной программы реализации политики безопасности, которые объединяют большинство возможных подходов по информированию, вовлечению и задействованию сотрудников компании к решению данной проблемы. Понимание необходимости защиты информации Сотрудники, партнеры и клиенты, обладающие правами доступа к информационным активам и сервисам компании, должны быть надлежащим образом проинформированы о необходимости обеспечения информационной безопасности. При этом каждый сотрудник компании должен знать, что он должен делать для создания и поддержания требуемого режима информационной безопасности. Обучение и информирование сотрудников компании Новые сотрудники компании должны быть проинформированы о правилах политики безопасности и должны понимать ту важную роль, которую они играют в поддержании режима информационной безопасности. Каждый сотрудник должен быть ознакомлен с тем, что он должен и может делать для усиления и эффективности режима информационной безопасности. В связи с тем, что правила политики безопасности время от времени изменяются сотрудники должны быть своевременно проинформированы о всех текущих изменениях. Также, хорошей идеей является выпуск периодических напоминаний о правилах безопасности для поддержания осведомленности сотрудников компании на должном уровне. Персональная ответственность каждого сотрудника Рекомендуется разделить правила политики безопасности на небольшие документы, каждый из которых должен содержать не больше одной страницы. Таким образом элементы политики безопасности будут затрагивать сотрудников индивидуально, т.е. сотрудники компании будут изучать только те правила политики безопасности, которые применимы к ним. Например, это могут быть правила создания и использования паролей, токенов, других средств систем контроля доступа, правила использования электронной почты и т.д. Юридическая ответственность сотрудников компании После публикации новой или изменения существующей политики безопасности компании, все сотрудники компании должны подписаться под следующим предложением: "Ознакомлен и обязуюсь выполнять требования этого документа". Эти соглашения позволят сотрудникам компании стать ответственными за выполнение требуемого режима информационной безопасности. При приеме на работу новые сотрудники компании также должны подписывать соглашения об обязательности выполнении требований политики безопасности. При изменении служебных обязанностей сотрудников документы должны быть перессмотрены и подписаны заново. Здесь основная идея заключается в том, чтобы сделать сотрудников компании юридически ответственными за надлежащее выполнение режима информационной безопасности. Закрепление ответственности сотрудников компании В политиках безопасности компании должны быть четко прописано, что произойдет, если сотрудник намеренно или непреднамеренно нарушит требования политики безопасности. Последствия должны быть четко оговоренны и должны доводить до сознания сотрудника, что они серьезны и "настоящие". Согласованность во взглядах Иногда строгие правила политики безопасности и ограничивающие средства защиты хуже, чем слабые политики и слабо ограничивающие средства защиты, потому, что они, скорее всего, будут игнорироваться сотрудниками компании. При формулировании политики безопасности компании важно уметь слышать мнение сотрудников и руководства для поиска надлежащего баланса между производительностью, доступностью, удобством работы и безопасностью. Открытость к диалогу, желание найти баланс - ключевые факторы успеха в создании и внедрении реально выполняемой политики безопасности компании. Создание корпоративной культуры безопасности Рядовые сотрудники компании часто являются первыми, кто замечает странные или экстраординарные события и начальные признаки атак в корпоративной информационной системе. Если удается вовремя донести до сознания сотрудников мысль о том, что обеспечение безопасности информационных активов компании является необходимой составляющей повседневной деятельности, то сотрудники будут сами информировать службу безопасности о потенциальных угрозах и нарушениях политики безопасности до того, как атаки достигнут своей цели. Активно привлекая сотрудников компании в процесс обеспечения безопасности можно заметно улучшить общее состояние защищенности информационных активов компании и повысить культуру безопасности в компании. Примеры политик безопасности Прежде, чем мы начнем рассматривать примеры политик безопасности компании - немного о проблеме доверия. Кому и что доверять От правильного выбора уровня доверия к сотрудникам компании зависит успех или неудача реализации политики безопасности компании. При этом слишком большой уровень доверия может привести к возникновению проблем в области безопасности, а слишком малое доверие может заметно затруднить работу сотрудника компании, вызвать у него недоверие, и даже увольнение. Насколько можно доверять сотрудникам компании? Обычно используют следующие модели доверия. Доверять всем и всегда - самая простая модель доверия, но к сожалению не практичная. Не доверять никому и никогда - самая ограниченная модель доверия и также не практичная. Доверять избранным на время - модель доверия подразумевает определение разного уровня доверия на определенное время. При этом доступ к информационным ресурсам компании предоставляется по необходимости для выполнения служебных обязанностей, а средства контроля доступа используются для проверки уровня доверия к сотрудникам компании. Вряд ли существует компания, в которой следуют модели доверия "доверять всем и всегда". В сегодняшнем мире это маловозможно. То же самое относится и ко второй модели доверия"не доверять никому и никогда" (этой модели доверия часто стараются следовать в правительственных и военных организациях). Поэтому самая реалистичная модель доверия должна доверять некоторым из сотрудников компании на некоторое время. Задание Создать план мероприятий по обеспечению комплексной безопасности обучающихся в колледже. Информационное обеспечение обучения Основные источники: Конституция Российской Федерации с учетом поправок, внесенных Законами Российской Федерации о поправках к Конституции Российской Федерации от 30.12.2008 N 6-ФКЗ, от 30.12.2008 N 7-ФКЗ, от 05.02.2014 N 2-ФКЗ, от 21.07.2014 N 11-ФКЗ) Кодекс Российской Федерации об административных правонарушениях от 30.12.2001. № 195-ФЗ (ред. 02.06.2016 N 161-ФЗ) Гражданский кодекс Российской Федерации. Часть четвертая от18.12.2006 Редакция от 28.11.2015(с изм. и доп. Трудовой Кодекс Российской Федерации об от 30.12.2001. № 197-ФЗ Уголовный кодекс Российской Федерации от 13.06.1996 № 63-ФЗ Федеральный закон «О порядке опубликования и вступления в силу федеральных конституционных законов, федеральных законов, актов палат Федерального Собрания» от 14.06.94 г. № 5-ФЗ // Собрание законодательства Российской Федерации. 1994. № 8. Ст. 801. Федеральный закон «О рекламе» от 18.07.95 г. № 108-ФЗ // от 21.07.2005 N 113-ФЗ) Федеральный закон «Об оперативно-розыскной деятельности» от 12.08.95 г. № 144-ФЗ Редакция от 29.06.2015 Федеральный закон «Об электронной цифровой подписи» от 10.01.02 г. №1-ФЗ Федеральный Закон от 27.07. 2006 . № 149–ФЗ «Об информации, информационных технологиях и о защите информации» Редакция от 13.07.2015 Федеральный Закон от 27.07. 2006 . № 152–ФЗ «О персональных данных» Редакция от 21.07.2014 Федеральный закон РФ «О средствах массовой информации» от 27.12. 1991 № 2124-1 Федеральный закон РФ «О государственной тайне» от 21.07.93 г. Постановление Правительства Российской Федерации «О государственном учете и регистрации баз и банков данных» Указ Президента РФ от 06.10.2004 N 1286 "Вопросы Межведомственной комиссии по защите государственной тайны Указ Президента РФ «СТРАТЕГИЯ НАЦИОНАЛЬНОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ» от 31.12.2015г. №683 Указ Президента Российской Федерации «О перечне сведений, отнесенных к государственной тайне» от 30.11.95 г. №1203; ГОСТ 28147-89. Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования. М., 1990. ГОСТ 51241-98. Средства и системы контроля и управления доступом. Классификация. Общие технические требования и методы испытания. М.: Изд-во Стандартов, 1999. ГОСТ 51275-99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М., 2000. ГОСТ Р 50922-96. Защита информации: Основные термины и определения. М., 1996. ГОСТ Р-22.0.04-95. Безопасность в чрезвычайных ситуациях. Биолого-социальные чрезвычайные ситуации. Термины и определения. М., 1995. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010. - 324 c. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c. Жигулин Г.П. Организационное и правовое обеспечение информационной безопасности, – СПб: СПбНИУИТМО, 2014. – 173с. Методы и модели оценки инфраструктуры системы защиты информации в корпоративных сетях промышленных предприятий: монография / Под ред. П.П. Парамонова. СПб: Изд-во ООО «Студия «НП-Принт», 2012. — 115 с. Дополнительные источники В П Мак-Мак. Служба безопасности предприятия. http://www.opvodopad.ru/docs/security_school/busin/16__luzhba_bezopasnosti_predpriyatiya.pdf Алябьева, О. Организация процесса адаптации // Кадровые решения. – 2013. - №6. - С. 81-86. Аминов, В.Л. Кадровая безопасность предприятия // Кадровые решения. – 2012. – № 10. – С.91-99. Бахарева, Е.В. Коммерческая тайна // Секретарь-референт. – 2013. – № 11. – С. 43-50. Громыко, И.А. Общая парадигма защиты информации. Определение терминов: от носителей к каналам утечки информации // Защита информации. Инсайд. – 2012. - № 1. – С.12-15. Зенин, Н. Обеспечение конфиденциальности информации – это всегда комплексный подход // Трудовое право. – 2013. – № 1. – С. 41-42. Камаев, В.А., Натров, В.В. Моделирование и анализ состояния информационной безопасности организации // Защита информации. Инсайд. – 2012. - № 4. – С.16-20. Комлева, А.А. Государственная тайна // Консультант Плюс [Электронный ресурс]: Справочная правовая система. – Версия Проф, сетевая. – Электрон.дан. (76 Кб). – М.: АО Консультант Плюс, 2012. – 1 электрон.опт. диск (CD-ROM). Лагушкин, В.П., Мельникова, Е.И. Коммерческая тайна как правовая категория // Консультант Плюс [Электронный ресурс]: Справочная правовая система. – Версия Проф, сетевая. – Электрон.дан. (74,5 Кб). – М.: АО Консультант Плюс, 2013. – 1 электрон.опт. диск (CD-ROM). Интернет-ресурсы Справочно-поисковые системы информационно-правового обеспечения КОНСУЛЬТАНТ + Центр проблем информационного права - http://www.medialaw.ru/ Институт развития информационного общества в России http://www.iis.ru/index.html 49 |