ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ




Техническое обеспечение безопасности должно базироваться:

на системе стандартизации и унификации;

на системе лицензирования деятельности;

на системах сертификации средств защиты;

на системе сертификации ТС и ПС объектов информатизации;

на системе аттестации защищенных объектов информатизацией.

Основными составляющими обеспечения безопасности ресурсов предприятия являются:

система физической защиты объектов предприятия и его финансовых ресурсов;

система безопасности информационных ресурсов.

Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:

систему инженерно-технических и организационных мер охраны;

систему контроля и регулирования доступа;

систему мер (режима) выявления и контроль за вероятными каналами утечки информации;

систему мер возврата материальных ценностей (или компенсации).

Система охранных мер должна предусматривать:

несколько рубежей построения охраны (территории, здания, помещения) по нарастающей;

комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;

надежную инженерно-техническую защиту вероятных путей несанкционированного проникновения на охраняемые объекты;

устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;

высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителям;

Система контроля и регулирования доступа должна предусматривать:

объективное определение "надежности" лиц, допускаемых к работе;

максимальное ограничение количества лиц, допускаемых на объекты;

установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;

четкое определение порядка выдачи разрешений и оформление документов для входа (въезда) на объект;

определение объемов контрольно-пропускных функций на каждом проходном и проездном пункте;

оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;

высокую подготовленность и защищенность персонала (нарядов) контрольно- пропускных пунктов.

Система мер (режим) сохранности ценностей и контроля должна предусматривать:

строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения ТМЦ);

максимальное ограничение посещений режимных зон лицами, не участвующими в работе;

максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;

организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля за соблюдением режима безопасности;

организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон;

обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;

соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;

организацию тщательного контроля на каналах возможной утечки информации;

оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны.

На объектовую службу безопасности возлагается:

обнаружение факта незаконного изъятия ТМЦ из обращения или хранения;

оперативное информирование правоохранительных органов о событиях и критических ситуациях;

возможность установления субъекта и время акции;

проведение поиска возможного места хранения утраченных средств в районе объекта.

Дальнейший поиск и возврат пропавших ресурсов организуется в установленном порядке через соответствующие органы правопорядка и безопасности.

Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.

При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности являются:

защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД) и специальных воздействий;

защита информации от утечки вследствие наличия физических полей за счет акустических и побочных электромагнитных излучений и наводок (ПЭМИН);

В рамках указанных направлений технической политики обеспечения информационной безопасности необходима:

реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;

ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;

разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;

учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль за несанкционированным доступом и действиями пользователей;

криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;

снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;

снижение уровня акустических излучений;

электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;

активное зашумление в различных диапазонах;

противодействие оптическим и лазерным средствам наблюдения;

проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;

предотвращение внедрения в автоматизированные информационные системы программ вирусного характера.

Защита информационных ресурсов от несанкционированного доступа должна предусматривать:

обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;

персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;

надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;

разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;

контроль за действиями исполнителей (пользователей) с документацией и сведениями, а также в автоматизированных системах и системах связи;

очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями;

целостность технической и программной среды, обрабатываемой информации и средств защиты, заключающаяся в физической сохранности средств информатизации, неизменности программной среды, определяемой предусмотренной технологией обработки информации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.

Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы) для каких действий или для какого вида доступа может предоставить и при каких условиях, и которая предполагает определение для всех пользователей автоматизированных систем информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.

Положение о персональной ответственности сотрудников реализуется с помощью:

росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;

индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;

проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

Условие надежности хранения реализуется с помощью:

хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;

выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;

использования криптографического преобразования информации в автоматизированных системах.

Правило разграничения информации по уровню конфиденциальности реализуется с помощью:

предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.

Система контроля за действиями исполнителей реализуется с помощью:

организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;

регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;

сигнализации о несанкционированных действиях пользователей.



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-02-13 Нарушение авторских прав и Нарушение персональных данных
 

Поиск по сайту:

Читайте также:

Деталирование сборочного чертежа

Когда производственнику особенно важно наличие гибких производственных мощностей?

Собственные движения и пространственные скорости звезд

Тема 11. Банковские риски и способы их оценки

Опросник «Активность повседневной жизни»

Интересно:

Что такое цифровой прототип?

Что такое безоговорочная любовь?

Что такое метод «Елочки»?

Что такое комплекс маркетинга. Описание и определение термина

Обратная связь