Сделай Сам Свою Работу на 5

Разработка программы реализации политики информационной безопасности





На этом этапе выделяются ресурсы, назначаются ответственные, формируется план действий, определяется порядок контроля выполнения программы и т. п.

Итак, политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности информации. Это основной документ корпорации, который доводится до всех сотрудников.

 

 

9.Методы и средства обеспечения информационной
безопасности

Совокупность методов и средств, обеспечивающих целостность, конфиденциальность, достоверность, аутентичность и доступность информации в условиях воздействия на нее угроз естественного или искусственного характера, образует защиту информации (Data protection).

Методы и средства обеспечения информационной безопасности (защиты информации) можно разделить на:

– административные (организационные) меры;

– физические и технические средства и способы;

– аппаратно-программные средства.

 

9.1. Административные (организационные) меры защиты информации

 

Основой мерадминистративного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности. Исходя из нее, руководство организации формулирует цель информационной безопасности, а также методы и средства ее достижения.



На основании выработанной политики или в административном порядке организуются соответствующие службы безопасности, регламентируется порядок их работы. К функциям таких служб, например, можно отнести:

– охрану объектов организации;

– осуществление пропускного режима;

– проведение работы с сотрудниками по вопросам безопасности;

– организация работы с документами, имеющими критические данные;

– организация работы с техническими средствами защиты;

– осуществление финансовых мер защиты.

Однако статистика показывает [4], что 70–80% всех компьютерных преступлений связаны с внутренними нарушениями, осуществляемыми действующими или бывшими сотрудниками организации. Мотивами для совершения противоправных действий являются:

– личная или финансовая выгода;

– действия с целью развлечения;

– чувства самовыражения, эгоизма, зависти, мести;



– желание расположить к себе;

– карьеризм;

– вандализм.

Поэтому важнейшим направлением административных мер является управление персоналом организации в целях обеспечения необходимого уровня безопасности. При управлении персоналом существует два общих принципа: разделение обязанностей и минимизация привилегий. Первый принцип заключается в распределении ролей и ответственности таким образом, чтобы один сотрудник не смог нарушить критическую информацию (сервисы) организации. Принцип минимизации предписывает выделять пользователям права, которые необходимы им для выполнения только служебных обязанностей.

Данные принципы реализуются в штатном разделе политики безопасности или, если она в организации не разработана, то в соответствующих распоряжениях, должностных инструкциях пользователей и руководящих документах для отделов и служб информационной безопасности. Содержание этих документов должно быть направлено на уменьшение риска ошибок персонала, краж, мошенничества или незаконного использования ресурсов. В данных документах должны быть описаны:

– правила проверки принимаемого на работу персонала;

– обязанности и права пользователей по отношению к информационным ресурсам;

– обучение пользователей и порядок допуска к работам с информационными ресурсами;

– права и обязанности администраторов;

– порядок реагирования на события, несущие угрозу информационной безопасности;

– порядок наложения взысканий.

Реализация административных мер безопасности для каждой организации в зависимости от вида ее деятельности и сложившихся инфраструктур осуществляется по-своему и носит индивидуальный характер.



 

 

9.2. Физическая и техническая защита информационных систем

Физическая защита – физическая защита зданий, помещений, подвижных средств, людей, а также аппаратных средств – компьютеров, носителей информации, сетевого оборудования, кабельного хозяйства, поддерживающей инфраструктуры.

Первым шагом в создании системы физической безопасности (как и информационной безопасности вообще) должен стать анализ угроз (рисков), как реальных (действующих в данный момент), так и потенциальных (способных в будущем).

По результатам анализа рисков с использованием средств оптимизации формируются требования к системе безопасности конкретного предприятия и объекта в конкретной обстановке. Завышение требований приводит к неоправданным расходам, занижение – к возрастанию вероятности реализации угроз.

В общем случае система физической безопасности должна включать в себя выполнение следующих функций:

– управления доступом (с функцией досмотра);

– обнаружения проникновения, аварийной и пожарной сигнализации (тревожной сигнализации);

– инженерно-технической защиты (пассивной защиты);

– отображения и оценки обстановки;

– управления в аварийных и тревожных ситуациях;

– оповещения и связи в экстремальных ситуациях;

– личной безопасности персонала.

Для выполнения данных функций применяются следующие средства защиты [10].

Средства против проникновения:

– ограды (заборы) по периметру охраняемой территории;

– двери в закрытые зоны и комнаты;

– замки для дверей, шкафов, сейфов;

– металлические решетки на окна и двери (лучше внутренние и раздвижные);

– пуленепробиваемые прозрачные перегородки внутри помещений;

– сейфы и металлические шкафы, прошедшие испытания на время сопротивления режущим инструментам;

– печати на дверях помещений, сейфов, шкафов для регистрации фактов их вскрытия;

– приспособления для крепления сейфов к полу и стенам, блоков ПК к рабочему столу;

– средства воздействия на физические свойства человека и средства регистрации, срабатывающие при несанкционированном открывании или взломе.

Средства против подсматривания: специальные шторы или жалюзи, специальные покрытия и пленки, зеркальные стекла, дверные замки без сквозных отверстий для ключей.

Средства против подслушивания: звукоизоляционные материалы для покрытия стен, полов, потолков, окон и дверей изнутри; двойные двери с тамбуром; звуковые глушители в вентиляционных каналах; оконные блоки с тройными стеклами разной толщины против снятия акустической информации с помощью лазерных систем.

Средства визуального наблюдения и контроля:

– бинокли и подзорные трубы для наблюдения в любое время суток;

– световые и инфракрасные прожекторы;

– дверные глазки с углом зрения до 130°, с возможностью наблюдения через двойные двери и в помещениях со слабой освещенностью;

– перископические дверные глазки, исключающие возможность искажения через глазок и извлечение глазка снаружи.

Средства перекрытия побочных технических каналов утечки информации:

– экранирующие и поглощающие электромагнитные излучения (ЭМИ) материалы;

– экранированные провода для коммуникаций, охранной и пожарной сигнализации;

– оптоволоконный кабель для локальной сети;

– диэлектрические вставки в водопроводные, отопительные, газовые и канализационные трубы на выходах из закрытых зон.

 

 

9.3. Технические средства и способы защиты информации

 

К техническим средствам защиты относятся различные системы охранной сигнализации, опознавания, разграничения доступа, оповещения о движении объектов охраны, обнаружения радиозакладок, предотвращения утечки информации по побочным техническим каналам, защиты документов и изделий при их транспортировке и другие системы и средства.

С точки зрения выполняемых функций технические средства можно отнести как к средствам физической защиты, так и к аппаратно-програм-мным средствам. В данном случае все зависит от их роли в системе безопасности организации. Если эти средства работают автономно и имеют монопольное подчинение, то они являются больше средствами физической защиты. При работе данных средств в составе автоматизированной компьютерной системы безопасности их необходимо рассматривать в составе аппаратно-программных средств.

 








Не нашли, что искали? Воспользуйтесь поиском по сайту:



©2015 - 2024 stydopedia.ru Все материалы защищены законодательством РФ.