угрозой информации - Ставропольский государственный

реклама
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ
ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ
Дисциплина «Организация и управление защитой
информации на предприятии»
для студентов направления подготовки 230700.68 - Прикладная информатика магистерской
программы «Система корпоративного управления»
Лекция №2
ОСНОВЫ ОРГАНИЗАЦИОННОГО ОБЕСПЕЧЕНИЯ ЗАЩИТЫ
ИНФОРМАЦИИ
Учебные вопросы:
1. Задачи организационного обеспечения защиты
информации.
2. Анализ
и
оценка
угроз
информационной
безопасности объекта.
3. Служба безопасности объекта.
1. Аскеров, Т.М. и др. Защита информации и
информационная безопасность: Учебное пособие /
Под общей редакцией К.И. Курбакова [Текст] / Т.М.
Аскеров и др. – М.: Рос.экон.акад., 2001г. – 387 с.
2. Бабаш, А.В., Баранова, Е.К., Мельников, Ю.Н.
Информационная
безопасность.
Лабораторный
практикум [Текст] / А.В. Бабаш и др. – М.: Кнорус,
2011г. – 136 с.
3. Белов, Е.Б., Лось, В.П., Мещеряков Р.В., Шелупанов,
А.А. Основы информационной безопасности: Учебное
пособие [Текст] / Е.Б. Белов и др. – М.: Горячая Линия Телеком, 2006г. – 544 с.
4. Грушо, А.А., Применко, Э.А., Тимонина Е.Е.
Теоретические основы комплексной безопасности
[Текст] / А.А. Грушо и др. – М.: Академия, 2009г. – 272
с.
5. Корнеев, И., Беляев, А. Информационная безопасность
предприятия [Текст] / И. Корнеев, А. Беляев – С.-Пб.:
БХВ-Петербург, 2003г. – 752 с.
1. Задачи организационного обеспечения защиты
информации.
Организационное
обеспечение
ЗИ
это
регламентация производственной деятельности и
взаимоотношений исполнителей, осуществляемая на
нормативно-правовой основе таким образом, чтобы
сделать невозможным или существенно затруднить
разглашение, утечку и несанкционированный доступ к
конфиденциальной информации за счёт проведения
соответствующих организационных мероприятий.
Цель применения организационных средств защиты
состоит в том, чтобы исключить или, по крайней мере,
свести к минимуму возможности реализации угроз
информационной
безопасности
на
объектах
обработки информации (ООИ).
На организационном уровне решаются следующие задачи
обеспечения безопасности функционирования информации на ООИ:
• организация работ по разработке системы защиты процессов
переработки информации;
• ограничение доступа на объект и к ресурсам ООИ;
• разграничение доступа к ресурсам ООИ;
• планирование мероприятий;
• разработка документации;
• воспитание и обучение обслуживающего персонала и пользователей;
• сертификация средств защиты процессов переработки информации;
• лицензирование деятельности по защите процессов переработки
информации;
• аттестация объектов защиты;
• совершенствование системы защиты процессов переработки
информации;
• оценка эффективности функционирования системы защиты
процессов переработки информации;
• контроль выполнения установленных правил работы на ООИ.
2
Анализ
и
оценка
угроз
информационной безопасности объекта.
Под угрозой информации в системах ее
обработки
понимается
возможность
возникновения
на
каком-либо
этапе
жизнедеятельности ООИ такого явления или
события, следствием которого могут быть
нежелательные воздействия на информацию.
Классификация всех возможных угроз
информационной безопасности ООИ может
быть проведена по ряду базовых признаков .
По природе возникновения:
– Естественные угрозы, вызванные воздействиями
на ООИ объективных физических процессов или
стихийных природных явлений, не зависящих от
человека.
– Искусственные угрозы, т.е. угрозы, вызванные
деятельностью человек
По степени преднамеренности появления.
– Угрозы умышленные (преднамеренные),
обусловленные злоумышленными действиями
людей.
– Угрозы случайного действия (естественные), т.е.
не зависящие от воли людей Классификация
данных угроз представлена на рис.1.
Рисунок 1 – Классификация умышленных и случайных угроз ИБ
•
•
•
•
По непосредственному источнику угроз.
Угрозы, непосредственным источником которых является
природная среда (стихийные бедствия, магнитные бури,
радиоактивное излучение).
Угрозы, непосредственным источником которых является
человек.
Угрозы, непосредственным источником которых являются
санкционированные программно-аппаратные средства.
Угрозы, непосредственным источником которых являются
несанкционированные программно-аппаратные средства.
•
•
•
•
•
•
По положению источника угроз:
Угрозы, источник которых расположен вне контролируемой
зоны территории (помещения), на которой находится ООИ.
Угрозы, источник которых расположен в пределах
контролируемой зоны территории (помещения), на которой
находится ООИ.
Угрозы, источник которых имеет доступ к периферийным
устройствам ООИ (терминалам).
Угрозы, источник которых расположен на ООИ.
По степени зависимости от активности ООИ:
Угрозы, которые могут проявляться независимо от
активности ООИ.
Угрозы, которые могут проявляться только в процессе
автоматизированной обработки данных (например, угрозы
выполнения и распространения программных вирусов).
•
•
•
•
По степени воздействия на ООИ:
Пассивные угрозы, которые при реализации ничего
не меняют в структуре и содержании ООИ
(например, угроза копирования секретных данных).
Активные угрозы, которые при воздействии вносят
изменения в структуру и содержание ООИ.
По способу доступа к ресурсам ООИ:
Угрозы, направленные на использование прямого
стандартного пути доступа к ресурсам ООИ.
Угрозы, направленные на использование скрытого
нестандартного пути доступа к ресурсам ООИ.
•
•
•
•
По текущему месту расположения информации.
Угрозы доступа к информации на внешних
запоминающих устройствах (например, угроза
несанкционированного копирования секретной
информации с жесткого диска).
Угрозы доступа к информации в оперативной памяти.
Угрозы доступа к информации, циркулирующей в
линиях связи.
Угрозы доступа к информации, отображаемой на
терминале или печатаемой на принтере (например,
угроза записи отображаемой информации на скрытую
видеокамеру).
Вне зависимости от конкретных видов угроз или их
проблемно-ориентированной
классификации
ООИ
удовлетворяет потребности эксплуатирующих его лиц,
если обеспечиваются следующие свойства информации
и
систем
ее
обработки:
целостность,
конфиденциальность и доступность.
• Угроза нарушения целостности включает в себя любое умышленное
изменение информации, хранящейся на ООИ или передаваемой из одной
системы в другую. Когда злоумышленники преднамеренно изменяют
информацию, говорится, что целостность информации нарушена. Целостность
также будет нарушена, если к несанкционированному изменению приводит
случайная ошибка программного или аппаратного обеспечения.
Санкционированными изменениями являются те, которые сделаны
уполномоченными
лицами
с
обоснованной
целью
(например,
санкционированным изменением является периодическая запланированная
коррекция некоторой базы данных).
• Угроза нарушения конфиденциальности заключается в том, что
информация становится известной тому, кто не располагает полномочиями
доступа к ней. В терминах компьютерной безопасности угроза нарушения
конфиденциальности имеет место всякий раз, когда получен доступ к
некоторой секретной информации, хранящейся в вычислительной системе
или передаваемой от одной системы к другой. Иногда в связи с угрозой
нарушения конфиденциальности используется термин «утечка».
• Угроза нарушения доступности (ограничения доступа) возникает всякий
раз, когда в результате преднамеренных действий, предпринимаемых другим
пользователем или злоумышленником, блокируется доступ к некоторому
ресурсу ООИ. Реально блокирование может быть постоянным –
запрашиваемый ресурс никогда не будет получен, или оно может вызывать
только задержку запрашиваемого ресурса достаточно долгую для того, чтобы
он стал бесполезным. В этих случаях говорят, что ресурс исчерпан.
3 Служба безопасности объекта.
Многогранность сферы организационной защиты информации требует
создания на предприятии специальной службы безопасности,
обеспечивающей реализацию всех организационных мероприятий в
целях защиты экономических, технологических, коммерческих и других
важных сведений предприятия. Решение о создании такой службы
принимается
руководителем
предприятия
и
оформляется
соответствующим приказом или распоряжением. Служба безопасности
предприятия подчиняется только руководителю предприятия, либо лицу,
которому руководитель предприятия делегировал эти полномочия.
К числу основных задач службы безопасности относятся:
1) определение перечня сведений, составляющих коммерческую
тайну;
2) определение круга лиц, которые в силу занимаемого служебного
положения имеют прямой или косвенный доступ к сведениям,
предоставляющим для предприятия коммерческую тайну;
3) обеспечение безопасности выполнения всех видов деятельности
предприятия и сохранности информации и сведений, составляющих
служебную и коммерческую тайну;
4) выявление и принятие мер, направленных на предотвращение
возможности постороннего неправомерного вмешательства в
деятельность структурных подразделений предприятия;
5) пресечение возможных каналов утечки информации и сведений,
составляющих служебную и коммерческую тайну;
6) защита документов и переписки от фальсификации и подделок;
7) организация в зданиях предприятия (фирмы), включая склады, архивы и
др., надежного пропускного и внутриобъектового режима и их охраны,
внедрение имеющихся средств технического оснащения и охранной
сигнализации;
8) обеспечение физической сохранности имущества предприятия, в том
числе материальных носителей информации, содержащей коммерческие и
иные секреты (документов, изделий, материалов, магнитных носителей и
т.п.), а также личной безопасности персонала и клиентуры предприятия;
9) обеспечение режима безопасности при проведении всех видов
деятельности, включая: встречи, переговоры, совещания, заседания и т.п. как
на федеральном, так и на международном уровне;
10) предотвращение утечки информации, содержащей коммерческую
тайну, в процессе производственной и иной деятельности предприятия, в том
числе по техническим каналам утечки при использовании электронновычислительной техники и других технических средств;
11) организация учета, хранения и уничтожения документов, содержащих
коммерческую тайну, а также постоянного контроля за соблюдением
установленного
порядка
размножения
документов,
составляющих
коммерческую тайну предприятия;
12) разработка и осуществление комплекса мероприятий по
ограничению круга лиц, имеющих доступ к сведениям, составляющим
коммерческую тайну предприятия;
13) получение совместно с другими подразделениями аналитическим
и другим законным путем информации о конкурентах, клиентах и лицах
из числа персонала, в действиях которых содержится угроза интересам
предприятия, в частности, признаки возможной подготовки и
осуществления неправомерных действий, связанных с недобросовестной
конкуренцией, и подготовка предложений руководству по нейтрализации
этих угроз;
14) оценка маркетинговых ситуаций и неправомерных действий
злоумышленников и конкурентов;
15) разработка и проведение мероприятий по обеспечению защиты
коммерческой тайны предприятия при осуществлении внешних связей
(международных, научно-технических, торгово-экономических и иных);
16) проведение воспитательно-профилактической работы с
персоналом (а также его обучение) по вопросам обеспечения
безопасности предприятия и защиты коммерческих секретов;
17) организация взаимодействия с правоохранительными
организациями по вопросам безопасности персонала и имущества
предприятия.
Для решения поставленных задач служба защиты информации предприятия в
общем плане осуществляет:
— административно-распорядительную функцию, которая реализуется путем
подготовки решений по установлению и поддержанию режимов безопасности,
определению полномочий, прав, обязанностей и ответственности должностных лиц по
вопросам обеспечения защиты информации предприятия, а также по осуществлению
представительских функций предприятия в данной области его деятельности;
— хозяйственно-распределительную функцию, которая реализуется путем
участия службы в определении ресурсов, необходимых для решения задач защиты
информации предприятия, в подготовке и проведении мероприятий по обеспечению
сохранности имущества и интеллектуальной собственности предприятия, их
рациональному использованию;
— учетно-контрольную функцию, которая реализуется выделением критически
важных направлений финансово-коммерческой деятельности и организацией
своевременного обнаружения угроз финансовой стабильности и устойчивости
предприятия, оценкой их источников, налаживанием контроля за опасными
ситуациями, ведением учета негативных факторов, влияющих на безопасность
предприятия, а также накоплением информации о недобросовестных конкурентах,
ненадежных партнерах, лицах и организациях, посягающих на жизненно важные
интересы государственного предприятия;
— социально-кадровую функцию, которая реализуется участием службы в
расстановке кадров, выявлении негативных тенденций в трудовых коллективах,
возможных причин и условий социальной напряженности, в предупреждении и
локализации конфликтов, инструктаже работников предприятия по вопросам
безопасности, формировании у них чувства ответственности за соблюдение
установленных режимов безопасности.
— организационно-управленческую функцию, которая реализуется путем
оказания управленческого воздействия на создание, поддержание и своевременную
реорганизацию постоянной организационной структуры и управления процессом
обеспечения защиты информации предприятия, гибких временных структур по
отдельным направлениям работы, организации взаимодействия и координации
между их отдельными звеньями для достижения заданных программных целей;
— планово-производственную функцию, которая реализуется разработкой
комплексной программы и отдельных целевых планов обеспечения защиты
информации предприятия, подготовкой и проведением мероприятий по их
осуществлению, установлению и поддержанию режимов информационной
безопасности;
— организационно-техническую функцию, которая реализуется путем
материально-технического
и
технологического
обеспечения
режимов
информационной безопасности на предприятии, освоением специальной техники и
достижений соответствующего потребностям обеспечения безопасного уровня,
содействием в освоении новых прогрессивных видов техники и технологий режимносекретной и другой специальной деятельности;
— научно-методическую функцию, которая реализуется путем накопления и
распространения передового опыта обеспечения защиты информации предприятия,
организацией обучения его штатного контингента, научной разработки возникающих
перед предприятием проблем обеспечения информационной безопасности и
методического сопровождения его деятельности в этой сфере;
— информационно-аналитическую функцию, которая реализуется путем
целенаправленного сбора, накопления и обработки информации, относящейся к сфере
защиты информации, создания и использования, необходимых для этого технических
и методических средств аналитической обработки информации, организации
информационного обеспечения заинтересованных подразделений и отдельных лиц
предприятия в сведениях, имеющихся в службе.
Скачать