Главная страница
Навигация по странице:

  • системообразующими

  • руководящих, нормативных и методических документах

  • Основные задачи группы

  • Организационные меры

  • Регламентация

  • Технические меры

  • Системный подход

  • Системное мышление

  • систему защиты информации

    		•

    Лекция. Лекция 16052020. Системообразующими


    Скачать 82.44 Kb.
    НазваниеСистемообразующими
    АнкорЛекция
    Дата15.05.2022
    Размер82.44 Kb.
    Формат файлаdocx
    Имя файлаЛекция 16052020.docx
    ТипИнструкция
    #530119


    Системообразующие факторы

    Любая система создается под заданные требования с учетом существующих ограничений. Факторы, влияющие на структуру и функционирование системы, называются системообразующими. К ним относятся:

    • перечни защищаемых сведений, составляющих государственную (по тематике государственного заказа, если он выполняется организацией) и коммерческую тайну;

    • требуемые уровни безопасности информации, обеспечение которых не приведет к превышению ущерба над затратами на защиту информации;

    • угрозы безопасности информации;

    • ограничения, которые надо учитывать при создании или модернизации системы защиты информации;

    • показатели, по которым будет оцениваться эффективность системы защиты.

    Руководящие документы

    Структура и алгоритм функционирования системы защиты организации определяются в руководящих, нормативных и методических документах. К руководящим документам относятся:

    • руководство (инструкция) по защите информации в организации;

    • положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации;

    • инструкции по работе с грифованными документами;

    • инструкции по защите информации о конкретных изделиях;

    В различных организациях эти документы могут иметь разные наименования, отличающиеся от указанных. Но сущность этих документов остается низменной, так как необходимость в них объективна.

    Инструкция по защите информации в организации

    Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Оно может содержать следующие разделы:

    • общие положения;

    • перечень охраняемых сведений;

    • демаскирующие признаки объектов организации;

    • демаскирующие вещества, создаваемые в организации;

    • оценки возможностей органов и средств добывания информации;

    • организационные и технические мероприятия по защите информации;

    • порядок планирования работ службы безопасности;

    • порядок взаимодействия с государственными органами, решающими задачи по защите материальной и интеллектуальной собственности, государственной и коммерческой тайны.

    На каждом этапе и стадии к работе подключаются новые люди, разрабатываются новые документы, создаются узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющиеся в различные моменты времени.

    Для защиты информации об изделии на каждом этапе его создания разрабатывается соответствующая инструкция. Инструкция должна содержать необходимые для обеспечения безопасности информации сведения, в том числе:

    • общие сведения о наименовании образца,

    • защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации,

    • замысел и меры по защите,

    • порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля),

    • фамилии лиц, ответственных за безопасность информации.

    Работа по защите информации в организации проводится всеми его сотрудниками, но степень участия различных категорий существенно отличается. Любой сотрудник, подписавший обязательство о неразглашении тайны, участвует в защите информации хотя бы путем выполнения руководящих документов о защите информации.

    Группа инженерно-технической защиты

    Ответственность за состояние защиты информации возлагается на соответствующее подразделение и лиц службы безопасности. Применительно к типовой структуре службы безопасности коммерческой структуры инженерно-техническая защита обеспечивается группой инженерно-технической защиты, которая, как вариант, может состоять из старшего инженера (инженера) - руководителя группы и инженера (техника) по специальным измерениям.

    Основные задачи группы:

    • обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования;

    • выявление и оценка степени опасности технических каналов утечки информации;

    • разработка мероприятий по ликвидации (предотвращению утечки) потенциальных каналов утечки информации;

    • организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий, анализ результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты;

    • подготовка заявок на приобретение технических средств защиты информации, участие в их установке, эксплуатации и контроле состояния.

    Кроме того, на группу инженерно-технической защиты информации целесообразно возложить также технические вопросы охраны носителей информации.

    В организациях работа по инженерно-технической защите информации включает два этапа:

    • построение или модернизация системы зашиты;

    • поддержание защиты информации на требуемом уровне.

    Построение (модернизация) системы защиты информации

    Построение системы защиты информации проводится во вновь создаваемых организациях, в остальных - модернизация существующей.

    Построение (модернизация) системы защиты информации на требуемом уровне ее защиты в организации предусматривают проведение следующих основных работ:

    • уточнение перечня защищаемых сведений в организации, определение источников и носителей информации, выявление и оценка угрозы ее безопасности;

    • определение мер по защите информации, вызванных изменениями целей и задач защиты, перечня защищаемых сведений, угроз безопасности информации;

    • контроль эффективности мер по инженерно-технической защите информации в организации.

    Меры по защите информации целесообразно разделить на 2 группы: организационные и технические.


    Организационные меры инженерно-технической защиты информации включают в себя, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом.

    Регламентация - это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации.

    Регламентация предусматривает:

    • установление границ контролируемых и охраняемых зон;

    • определение уровней защиты информации в зонах;

    • регламентация деятельности сотрудников и посетителей (разработка распорядка дня, правил поведения сотрудников в организации и вне ее т. д.);

    • определение режимов работы технических средств, в том числе сбора, обработки и хранения защищаемой информации на ПЭВМ, передачи документов, порядка складирования продукции и т. д.

    Управление доступом к информации включает следующие мероприятия:

    • идентификацию лиц и обращений;

    • проверку полномочий лиц и обращений;

    • регистрацию обращений к защищаемой информации;

    • реагирование на обращения к информации.

    Технические меры предусматривают применение способов и средств, по противодействию ТСР с помощью технических средств.

    В общем случае способы и средства технической зашиты информации должны создать вокруг объекта защиты преграды, препятствующие реализации угроз безопасности информации как при непосредственном контакте злоумышленников с ее источниками, так и при ее утечке. Учитывая активность, непрерывность, скрытность разведки, большое количество потенциальных источников информации в организациях, многообразие побочных полей и электрических сигналов, возникающих при обработке, хранении и передаче информации и способных уносить ее за пределы объекта защиты, проблема защиты информации относится к числу сложных, так называемых слабоформализуемых проблем. Эти проблемы не имеют, как правило, формальных методов решения.

    Системный подход к защите информации.

    Системный подход - это концепция решения сложных слабоформализуемых проблем, рассматривающая объект изучения (исследования) или проектирования в виде системы.

    Основные принципы системного подхода состоят в следующем:

    • любая система является подсистемой более сложной системы, которая влияет на структуру и функционирование рассматриваемой;

    • любая система имеет иерархическую структуру, элементами и связями которой нельзя пренебрегать без достаточных оснований;

    • при анализе системы необходим учет внешних и внутренних влияющих факторов, принятие решений на основе их небольшого числа без рассмотрения остальных может привести к нереальным результатам;

    • накопление и объединение свойств элементов системы приводит к по¬явлению качественно новых свойств, отсутствующих у ее элементов.

    Эффективность реализации системного подхода на практике зависит от умения специалиста выявлять и объективно анализировать все многообразие факторов и связей достаточно сложного объекта исследования, каким является, например, организация как объект защиты. Необходимым условием такого умения является наличие у специалиста так называемого системного мышления, формируемого в результате соответствующего обучения и практики решения слабоформализуемых проблем. Системное мышление - важнейшее качество не только специалиста по защите информации, но любого организатора и руководителя.

    Системный анализ предусматривает применение комплекса методов, методик и процедур, позволяющих выработать количественные рекомендации по решению любых, прежде всего, слабоформализуемых проблем. Математической основой для системного анализа является аппарат исследования операций.

    С позиции системного подхода совокупность взаимосвязанных элементов, функционирование которых направлено на обеспечение безопасности информации, образует систему защиты информации. Такими элементами являются люди (руководство и сотрудники организации, прежде всего, службы безопасности), инженерные конструкции и технические средства, обеспечивающие защиту информации. Следует подчеркнуть, что речь идет не о простом наборе взаимосвязанных элементов, а объединенных целями и решаемыми задачами.

    Система задается (описывается) следующими параметрами (характеристиками):

    • целями и задачами (конкретизированными в пространстве и во времени целями);

    • входами и выходами системы;

    • ограничениями, которые необходимо учитывать при построении (модернизации, оптимизации) системы;

    • процессами внутри системы, обеспечивающими преобразование входов в выходы.

    Решение проблемы защиты информации с точки зрения системного подхода можно сформулировать как трансформацию существующей системы в требуемую.

    написать администратору сайта