Главная страница
Навигация по странице:

  • 1. Комплексность

  • 10. Совершенствование

  • Способы НСД И Объект защиты

  • Средства защиты

  • Правовое

  • Угрозы

  • Система защиты информации

  • Глава 2. Концепция построения системы безопасности предприятия


    Скачать 0.61 Mb.
    НазваниеКонцепция построения системы безопасности предприятия
    Дата30.12.2022
    Размер0.61 Mb.
    Формат файлаpptx
    Имя файлаГлава 2.pptx
    ТипГлава
    #869712

    Глава 2 Концепция построения системы безопасности предприятия

        • Общая характеристика организационных методов защиты информации
        • Требования к построению систем безопасности предприятия
        • Концептуальная модель информационной безопасности
        • Виды объектов защиты
        • Классификация угроз информационной безопасности и виды каналов утечки информации на предприятии
        • Основные направления организационной защиты информации на предприятии

    1. Общая характеристика организационных методов защиты информации

    Защита информации – это деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

    Организационные методы защиты информации включают меры, мероприятия и действия, которые должны осуществлять должностные лица в процессе работы с информацией для обеспечения заданного уровня её безопасности. Организационная защита информации – это комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации.

    2. Требования к построению систем безопасности предприятия

    При построении системы безопасности следует учитывать следующие рекомендации:

    • Обеспечение безопасности не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных форм, методов, способов и путей создания, совершенствования и развития системы безопасности, непрерывном управлении ею, контроле, выявлении ее узких мест и потенциальных угроз фирме.
    • Безопасность может быть обеспечена лишь при комплексном использовании всего арсенала средств защиты и противодействия во всех структурных элементах производственной системы и на всех этапах технологического цикла. Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый целостный механизм – систему безопасности предприятия (СБП).
    • Никакая СБП не может обеспечить требуемый уровень безопасности без надлежащей подготовки персонала предприятия и пользователей, соблюдения ими всех установленных правил, направленных на обеспечение безопасности.

    Основные задачи системы безопасности


    Задачи

    своевременное выявление и устранение угроз персоналу и ресурсам; причин и условий, способствующих нанесению финансового, материального и морального ущерба интересам предприятия

    отнесение информации к категории ограниченного доступа

    создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций в функционировании предприятия

    создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, для ослабления негативного влияния последствий нарушения безопасности на достижение стратегических целей

    Принципы организации и функционирования системы безопасности


    1. Комплексность

    2. Своевременность

    3. Непрерывность

    4. Активность

    5. Законность

    6. Обоснованность

    7. Экономическая целесообразность

    8. Специализация

    9. Взаимодействие и координация

    10. Совершенствование

    11. Централизация управления

    Обеспечение безопасности персонала, материальных и финансовых ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями, а также обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки и использования, во всех режимах функционирования.

    упреждающий характер мер обеспечения безопасности. Своевременность предполагает постановку задач по комплексной безопасности на ранних стадиях разработки системы безопасности на основе анализа и прогнозирования обстановки, угроз безопасности, также разработку эффективных мер предупреждения посягательств на законные интересы.

    считается, что информационную безопасность необходимо обеспечивать непрерывно, так как злоумышленники только и ищут возможность, как бы обойти защитные меры.

    Защищать интересы предприятия необходимо с достаточной степенью настойчивости, широко используя маневр силами и средствами обеспечения безопасности и нестандартные меры защиты.

    Предполагает разработку системы безопасности на основе федерального законодательства и других нормативных актов по безопасности.

    Предлагаемые меры и средства защиты долж­ны реализоваться на современном уровне развития науки и техники, быть обоснованными с точки зрения заданного уровня безопасности и соответствовать установленным требованиям и нормам.

    и сопоставимость возможного ущерба и затрат на обеспечение безопасности (критерий "эффективность – стоимость")

    Предполагается привлечение к разработке и внедрению мер и средств защиты специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация технических средств и реализация мер безопасности должны осуществляться профессионально подготовленными специалистами службы безопасности, ее функциональных и обслуживающих подразделений.

    Предполагает осуществление мер обеспечения безопасности на основе четкого взаимодействия всех заинтересованных подразделений и служб, сторонних специализированных организаций в этой области, а также интеграцию деятельности с органами государственного управления и правоохранительными органами.

    Совершенствование. Предусматривает совершенствование мери средств защиты на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, накопленного отечественного и зарубежного опыта.

    Предполагает самостоятельное функционирование системы безопасности по единым организационным, функциональным и методологическим принципам с централизованным управлением деятельностью системы безопасности.

    3. Концептуальная модель информационной безопасности И


    Рубеж защиты И

    Способы НСД

    И

    Объект защиты

    Сведения о составе, состоянии и деятельности предприятия

    Источники И
    • люди
    • документы
    • технические носители
    • технические средства
    • продукты
    • публикации
    • отходы

    Средства защиты
    • физические
    • программно- аппаратные
    • инженерно-тех.
    • криптографические

    Способы защиты
    • упреждение
    • предотвращение
    • пресечение
    • противодействие

    Направления защиты
    • Правовое
    • Организационное
    • Программно-аппаратное

    Защита И

    Угрозы И

    Цели угроз
    • ознакомление
    • модификация
    • уничтожение

    Источники угроз
    • конкуренты
    • преступники
    • коррупционеры

    Угрозы
    • целостности
    • конфиден-циальности
    • полноте
    • доступности

    4. Виды объектов защиты


    Объекты защиты

    руководящие работники и производственный персонал, владеющий информацией ограниченного пользования

    финансовые средства и документы

    материальные ценности

    средства производства и производственные ресурсы

    серийно выпускаемая продукция и опытные образцы

    информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну

    средства и автоматизированные системы обработки информатизации

    технические, программно-аппаратные средства защиты информации и различные системы охраны и защиты материальных и информационных ресурсов

    5. Классификация угроз информационной безопасности и виды каналов утечки информации на предприятии

    Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

    Виды угроз информации


    Виды угроз информации

    единичные

    объективные

    комплексные

    субъективные

    внутренние

    внешние

    реальные

    потенциальные

    уничтожение

    искажение

    подмена

    НСД злоумышленника

    Возможные пути утраты информации


    переход к III лицу

    переход к злоумышленнику

    Утрата И

    каналы НСД

    утечка по техническим каналам

    технические

    организационные

    нелегальные

    разглашение человеком

    утрата в результате

    постороннее лицо

    сотрудник

    легальные
    • виброакустический
    • визуально-оптический
    • электромагнитный
    • радиоканал

    Воровство, продуманный обман, подслушивание, подделка документов, взятничество, шантаж, перехват И, визуальное наблюдение,анализ продукции отходов

    Нелегальные способы получения И

    Аналитическая обработка «законной» информации

    6. Основные направления организационной защиты информации на предприятии

    Система защиты информации — это рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке.
    Основные элементы системы защиты предприятия

    Организационная защита информации

    Правовая защита информации

    Инженерно-техническая защита информации

    Программно-аппаратная защита информации

    Криптографическая защита информации

    Элементы системы

    защиты предприятия

    Правовой элемент

    • наличие в организационных документах предприятия, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
    • формулирование и доведение до сведения всех сотрудников предприятия (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
    • разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

    Организационный элемент

    • формирования и организации деятельности службы безопасности;
    • составления и регулярного обновления перечня защищаемой информации предприятия, составления и ведения перечня описи защищаемых бумажных, машиночитаемых и электронных документов предприятия;
    • наличия разрешительной системы разграничения доступа персонала к защищаемой информации;
    • использования методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;
    • формирования направлений и методов воспитательной работы с персоналом и контроля соблюдения сотрудниками порядка защиты информации;
    • технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов предприятия (делопроизводственной, автоматизированной и смешанной технологий); внемашинной технологии защиты электронных документов;
    • порядка защиты ценной информации предприятия от случайных или умышленных несанкционированных действий персонала;
    • ведения всех видов аналитической работы;
    • порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;
    • оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;
    • пропускного режима на территории, в здании и помещениях предприятия, идентификации персонала и посетителей;
    • системы охраны территории, здания, помещений, оборудования, транспорта и персонала предприятия;
    • действий персонала в экстремальных ситуациях;
    • организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;
    • организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
    • работы по управлению системой защиты информации;
    • критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

    Инженерно-технический элемент

    • сооружения инженерной защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
    • средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т.п.;
    • средства защиты помещений от визуальных способов технической разведки;
    • средства обеспечения охраны территории, здания и помеще­ний (средства наблюдения, оповещения, охранной и пожарной сигнализации);
    • средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.).

    Программно-аппаратный элемент

    • автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;
    • программы защиты информации, работающие в комплексе с программами обработки информации;
    • программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.).

    Криптографический элемент

    • регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;
    • определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;
    • регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радио связи;
    • регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;
    • регламентацию доступа персонала в выделенные помещение с помощью идентифицирующих кодов, шифров.

    Контрольные вопросы

      • Что включают организационные методы защиты информации?
      • На что направлена деятельность по защите информации?
      • Какие задачи обеспечения информационной безопасности решаются на организационном уровне?
      • Что такое система безопасности предприятия?
      • На основе каких принципов осуществляется функционирование системы безопасности предприятия?
      • Каким требованиям должна удовлетворять система безопасности предприятия?
      • Что является компонентами комплексной модели информационной безопасности?
      • Перечислите виды объектов защиты.
      • Назовите возможные пути утраты информации.
      • Дайте характеристику основным элементы системы защиты предприятия.


    написать администратору сайта