Общее содержание работ по организации КСЗИ

date image 2018-01-21
views image 1012
Поделись с друзьями: 
44454647484950

Как говорилось ранее (см. гл. 5), при создании комплексной системы зашиты информации ограниченного доступа защищать необходимо все компоненты информационной структуры предприятия — документы, сети связи, персонал и т.д.

Основные организационно-методические мероприятия по созданию и поддержанию функционирования комплексной системы защиты:

• создание службы защиты информации, включая подбор, расстановку и обучение ее персонала;

• создание основных нормативных и организационно-распорядительных документов, необходимых для организации комплексной системы защиты информации.

КСЗИ предприятия целесообразно строить с учетом реальных угроз, в результате осуществления которых предприятию (или в отношении государственной тайны — государству) может быть нанесен ущерб.

Наиболее значимыми угрозами информационной безопасности предприятия являются (в порядке, соответствующем частоте проявления):

• непреднамеренные ошибочные действия сотрудников предприятия;

• злоумышленные действия сотрудников предприятия;

• неправомерные действия третьих лиц (в том числе государственных органов, контрагентов, клиентов предприятия);

• проявления ошибок в программном обеспечении, отказы и сбои технических средств, аварии.

КСЗИ предприятия необходимо строить с учетом того, что:

• основной задачей обеспечения ЗИ должна быть защита интересов предприятия, его персонала, контрагентов и клиентов от нанесения им ущерба (материального, морального, физического и др.) путем неправомерного использования информации или воздействия на нее;

• интересы предприятия в информационной сфере должны быть юридически защищены от противоправных действий со стороны персонала, контрагентов, клиентов и третьих лиц е учетом и на основании нормативно-правовых актов в информационной сфере;

• сотрудники и командированные лица на предприятии должны быть допущены только к той информации и техническим средствам ее обработки, которые необходимы им для выполнения служебных обязанностей (принцип Need-to-Know);

• действия персонала предприятия с носителями и источниками информации ограниченного доступа должны регистрироваться в целях получения объективных данных и определения ответственного за совершение того или иного противоправного действия;

• дифференциация зашиты информации с учетом ее ценности, реальности реализации угроз (принцип разумной достаточности), затраты не должны превышать возможный ущерб;

• зашита информации должна осуществляться на всех этапах её жизненного цикла, комплексно и всесторонне.

КСЗИ должна обеспечивать:

• точную и своевременную реализацию политики информационной безопасности предприятия;

• гибкость применения положений политики информационной безопасности с учетом особенностей функционирования различных подсистем предприятия;

• минимизацию затрат на реализацию управляющих воздействий;

• соответствие принимаемых мер и применяемых современному уровню развития информационных технологий.

Для эффективного функционирования КСЗИ предприятия необходимо:

• наличие системы взаимосвязанных нормативно-методические, и организационно-распорядительных документов;

• четкое распределение функций и определение порядка взаимодействия подразделений предприятия при решении вопросов ЗИ, зафиксированные в организационно-распорядительных документах;

• наличие подразделения защиты информации, наделенного необходимыми полномочиями и непосредственно отвечающего за формирование и реализацию единой политики информационной безопасности предприятия, осуществляющего контроль и координацию действий других структурных подразделений предприятия по вопросам ЗИ.

В целях выработки и обеспечения единого понимания всеми должностными лицами предприятия проблем и задач по обеспечению зашиты информации на предприятии разрабатывается Концепция защиты информации (или, как правило, соответствующие положения предусматриваются в Концепции безопасности предприятия — см. гл. 10).

Концепция должна определять цели и задачи КСЗИ, принципы и правовые основы ее организации и функционирования, виды угроз информации и ресурсы, подлежащие защите, а также основные направления разработки КСЗИ, включая правовую, организационную и инженерно-техническую защиту.

 

Примерное содержание разделов Концепции:

1. Характеристика предприятия как объекта зашиты.

2. Цели КСЗИ. Они формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.

3. Типовые задачи КСЗИ:

• прогнозирование, своевременное выявление и устранение угроз информационным ресурсам, причин и условий, способствующих нанесению ущерба, нарушению нормального функционирования и развитию;

«отнесение информации к категории ограниченного доступа (государственной, служебной, коммерческой тайнам, иной информации, подлежащей защите от неправомерного использования;

• создание механизма и условий оперативного реагирования на угрозы и проявления негативных тенденций в функционировании;

• эффективное пресечение угроз на основе правовых, организационных и инженерно-технических мер и средств защиты информации;

• создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения на достижение стратегических целей предприятия.

4. Принципы создания и функционирования КСЗИ (типовые):

• Комплексность, т.е.:

— обеспечение зашиты информации от возможных угроз всеми доступными законными средствами, методами и мероприятиями;

— обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки (преобразования) и использования, во всех режимах функционирования;

— способность системы к развитию и совершенствованию в соответствии с изменениями условий функционирования.

• Своевременность — упреждающий характер мер ЗИ. Своевременность предполагает постановку задач по КЗ И на ранних стадиях разработки системы на основе анализа и прогнозирования обстановки, угроз, а также разработку эффективных мер предупреждения.

• Непрерывность — считается, что злоумышленники только и ищут возможность, как бы обойти защитные меры, прибегая для. этого к легальным и нелегальным методам.

• Активность — проведение мероприятий ЗИ с достаточной степенью настойчивости, с широким использованием маневра силами и средствами зашиты.

• Законность — разработка КСЗИ на основе законодательства в области информатизации и зашиты информации и других нормативных актов в данной области, с применением всех дозволенных методов обнаружения и пресечения правонарушений.

• Обоснованность — реализация используемых возможностей и средств зашиты на современном уровне развития науки и техники, обоснованными с точки зрения заданного уровня зашиты и соответствующими установленным требованиям и нормам.

»Экономическая целесообразность и сопоставимость возможного ущерба и затрат (критерий «эффективность — стоимость») — во всех случаях стоимость системы должна быть меньше размера возможного ущерба.

• Специализация — привлечение к разработке и внедрению мер и средств защиты специализированных организаций, имеющих опыт практической работы и государственную лицензию на, право оказания услуг в этой области. Эксплуатация технических средств и реализация мер ЗИ должны осуществляться профессионально подготовленными специалистами.

• Взаимодействие и координация — осуществление мер обеспечения безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, сторонних специализированных;; организаций в этой области, координации их усилий для достижения поставленных целей, а также сотрудничества с заинтересованными организациями и взаимодействия с органами государственного управления и правоохранительными органами.

• Совершенствование — совершенствование мер и средств зашиты на основе собственного опыта, появления новых технических средств, с учетом изменений в методах и средствах разведки и промышленного шпионажа, нормативно-технических требований, достигнутого отечественного и зарубежного опыта.

• Централизация управления — функционирование системы ЗИ по единым правовым, организационным, функциональным и методологическим принципам.

5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:

• общие внешние и внутренние воздействующие факторы;

• опасные факторы и угрозы на объектах (подсистемах);

• способы и средства реализации угроз;

• модель возможного нарушителя;

• подход к оценке риска.

6. Организация зашиты информации на предприятии:

• объекты зашиты;

• основные меры и методы (способы, средства) зашиты, от угроз;

• структура системы зашиты информации предприятия;

• особенности зашиты сети связи (телекоммуникации);

• содержание мероприятий по защите информации;

• реализация технической политики по защите информации.

 

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

44454647484950

double arrow
Сейчас читают про:
article image
ВИДЫ ОРУЖИЯ МАССОВОГО ПОРАЖЕНИЯ И ПОСЛЕДСТВИЯ ЕГО ПРИМЕНЕНИЯ
article image
Методика обучения ребенка строевым упражнениям
article image
Средства ЛФК. Классификация физических упражнений в ЛФК и их характеристика
article image
Пара сил. Момент пары сил. Теоремы о парах
article image
Правила хранения, приготовления и использования дезинфицирующих средств
article image
Правила транспортировки биологического материала в лабораторию
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Опасаться следует не тех, кто вам противоречит, а тех, кто с вами не согласен и слишком труслив, чтобы высказать вам свое несогласие. © Наполеон ==> читать все изречения...
like icon 7384
like icon 7011
Понравился сайт? Поделись им с друзьями: