Организационная защита информации
(Кармановский)
Оценка будет складываться из:
1) Лекции
2) Практика (предстоит выполнить одну боооольшую работу)
Практика по структуре схожа с курсовым проектом.
Разработка организационных мер по защите информации на реальном (или вымышленном предприятии)
· Название
· Характер деятельности
· Форма собственности
· Где находится
· Кому подчиняется
· Чем занимается
· Кол-во кадров
Лекция (8.02.2012)
Производственное предприятие, как объект защиты
Под предприятием будем понимать любой объект обрабатывающий материальные и(или) информационные потоки.
Структура предприятия
В общем случае предприятие включает в себя одно или несколько зданий и прилегающих к ним территорий. Границы этих территорий могут быть обозначены физической преградой или закреплены законодательно. Предприятие включает в себя различные помещения и участки. Например, кабинет руководящего состава, совещательные кабинеты, кабинеты сотрудников и основных служб, представительственные и переговорные помещения, технические помещения (узлы энерго-, водо-, газо-, снабжения, телефонный узел, серверная), склады (материальные ценности, вредные вещества), хранилища информации (хранилища информации на магнитных носителях, архив и т.д.), производственные помещения с оборудованием, хранилища ценностей и оружия. Между помещениями и внутри их циркулируют материальные потоки, ценности, информация, энергоносители. Аналогичные потоки перемещаются через границу предприятия. Особенностью информационных потоков является то, что они протекают через персонал предприятия (????). Порядок перемещения и обработки информационных потоков устанавливается правилами внутреннего распорядка и должностными инструкциями. Документ с правилами внутреннего распорядка должен быть на каждом предприятии, с правилами внутреннего распорядка сотрудник знакомится при устройстве на работу. Документами определяющим размещение подразделений и служб являются генеральные планы территорий и поэтажные планы зданий. На планах нужно (обязательно!) обозначать линии энергоснабжения, каналы связи. Для анализа движения бумажной информации составляется схема документооборота. Предметом организационной защиты информации является персонал предприятия, посетители, материальные ценности, энергоносители, информация в различных её видах.
Лекция (15.02.2012)
Естественные и искусственные угрозы
Угрозы бывают:
1) Естественные
2) Искусственные
| № | Виды угроз | Субъекты угроз | |||
| Стихия | Нарушитель | Злоумышленник на территории | Злоумышленник вне территории | ||
| Травмы, гибель людей | + | + | + | + | |
| Повреждение оборудования | + | + | + | + | |
| Повреждение системы жизнеобеспечения | + | + | + | + | |
| Несанкционированное изменение технологического процесса | + | + | |||
| Использование нерегламентированных технических и программных средств | + | + | |||
| Дезорганизация функционирования предприятия | + | + | |||
| Хищение материальных ценностей | + | ||||
| Уничтожение или перехват информации путём хищения носителей | + | ||||
| Устное разглашение конфиденциальной информации | + | ||||
| Несанкционированный съем информации | + | + | |||
| Нарушение правил эксплуатации средств защиты | + | + |
Классификация средств защиты
По функциональному значению средства защиты делятся на группы:
1) Средства обнаружения угрозы
2) Средства отражения угрозы
3) Средства ликвидации угрозы
Средства обнаружения угрозы - технические средства и организационные мероприятия, позволяющие обнаружить факт наличия злоумышленника или разрушающего воздействия (средства Сигнализации, средства оповещения, средства проверки информационных потоков). По режиму работы эти средства можно разделить на средства постоянного (непрерывного действия) и периодического действия
Средства отражения угрозы: ограждение территории, специальная планировка помещений, защита средств коммуникации.
Средства ликвидации угрозы: охрана, связи с охранными структурами (милиция, военные части, пожарная охрана).
Средства охраны можно разделить на:
1) Основные
2) Дополнительные (для повышения эффективности основных средств)
3) Специальные (предназначенные для безопасности с учётом специфики функционирования предприятия)
Границы пространства, защищаемого от угрозы, называются рубежами защиты. Рубежей может быть несколько (чем больше, тем лучше). Область внутри пространства (внутри замкнутого рубежа) называется зоной безопасности. Выделение зон безопасности и рубежей защиты является краеугольным камнем организационной защиты информации. Применение этого принципа позволяет повысить эффективность эффективности защиты и снизить затраты на создание и поддержание работоспособности систем защиты.
Лекция (22.02.2012)
К организационным методам ЗИ относятся организационно-технические и организационно-правовые. Для проведения этих мероприятий создается СБ (служба безопасности). Для более мелких – группа безопасности. Для еще более мелких – сотрудник, отвечающие за безопасности. Еще более мелкие – обязанности возлагаются на одного из сотрудников.
СБ подчиняется руководителю предприятия.
Задачи СБ.
1. Определение основных направлений работы по обеспечению безопасности деятельности предприятия и его персонала, а также соблюдение сохранности информации.
2. Организация системы защиты предприятия, разработка системы защиты на предпроектной стадии, участие в разработке технического проекта и его реализации, приемка всех элементов защиты, поддержание системы защиты в работоспособном состоянии.
3. Разработка нормативов работы с информацией всех категорий, контроль за соблюдением правил обработки, хранения и пересылки конфиденциальной информации.
4. Разработка мер безопасности, правил обработки, хранения и транспортировки материальных ценностей.
5. Организация и обучение персонала предприятия правилам соблюдения и поддержания режима безопасности.
6. Организация и проведение силами СБ и совместно с другими подразделениями мероприятий по защите.
7. Взаимодействие с правоохранительными органами по вопросам безопасности.
Структура СБ.
