Глава 2 Концепция построения системы безопасности предприятия
1. Общая характеристика организационных методов защиты информации
2. Требования к построению систем безопасности предприятия
Основные задачи системы безопасности
Принципы организации и функционирования системы безопасности
3. Концептуальная модель информационной безопасности И
Трехмерная модель комплексной безопасности
4. Виды объектов защиты
5. Классификация угроз информационной безопасности и виды каналов утечки информации на предприятии
Виды угроз информации
Возможные пути утраты информации
6. Основные направления организационной защиты информации на предприятии
Правовой элемент
Организационный элемент
Инженерно-технический элемент
Программно-аппаратный элемент
Криптографический элемент
Контрольные вопросы
288.00K
Категория: ИнформатикаИнформатика

Концепция построения системы безопасности предприятия. Глава 2

1. Глава 2 Концепция построения системы безопасности предприятия

1. Общая характеристика организационных
методов защиты информации
2. Требования к построению систем
безопасности предприятия
3. Концептуальная модель информационной
безопасности
4. Виды объектов защиты
5. Классификация угроз информационной
безопасности и виды каналов утечки
информации на предприятии
6. Основные направления организационной
защиты информации на предприятии

2. 1. Общая характеристика организационных методов защиты информации

Защита информации – это деятельность, направленная на
предотвращение утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий на
защищаемую информацию.
Организационные методы защиты информации включают меры,
мероприятия и действия, которые должны осуществлять должностные
лица в процессе работы с информацией для обеспечения заданного
уровня её безопасности.
Организационная защита информации – это комплекс
направлений и методов управленческого, ограничительного и
технологического характера, определяющих основы и содержание
системы защиты, побуждающих персонал соблюдать правила защиты
конфиденциальной информации.

3. 2. Требования к построению систем безопасности предприятия


При построении системы безопасности следует учитывать следующие
рекомендации:
Обеспечение безопасности не может быть одноразовым актом. Это
непрерывный процесс, заключающийся в обосновании и реализации
наиболее рациональных форм, методов, способов и путей создания,
совершенствования и развития системы безопасности, непрерывном
управлении ею, контроле, выявлении ее узких мест и потенциальных
угроз фирме.
Безопасность может быть обеспечена лишь при комплексном
использовании всего арсенала средств защиты и противодействия во
всех структурных элементах производственной системы и на всех этапах
технологического цикла. Наибольший эффект достигается тогда, когда
все используемые средства, методы и мероприятия объединяются в
единый целостный механизм – систему безопасности предприятия
(СБП).
Никакая СБП не может обеспечить требуемый уровень безопасности без
надлежащий подготовки персонала предприятия и пользователей,
соблюдения ими всех установленных правил, направленных на
обеспечение безопасности.

4. Основные задачи системы безопасности

Задачи
своевременное
выявление и
устранение
угроз персоналу
и ресурсам;
причин и
условий,
способствующи
х нанесению
финансового,
материального
и морального
ущерба
интересам
предприятия
отнесение
информации к
категории
ограниченного
доступа
создание
механизма и
условий
оперативного
реагирования на
угрозы
безопасности и
проявления
негативных
тенденций в
функционирован
ии предприятия
создание условий
для максимально
возможного
возмещения и
локализации
наносимого ущерба
неправомерными
действиями
физических и
юридических лиц,
для ослабления
негативного влияния
последствий
нарушения
безопасности на
достижение
стратегических
целей

5. Принципы организации и функционирования системы безопасности

Предполагается
привлечение к
1. Комплексность
разработке и внедрению
мер и средств защиты
2. Своевременность
специализированных
Обеспечение
организаций,
имеющих
3. Непрерывность
упреждающий
характер
безопасности
персонала,
опыт
практической
Предполагает
мер
обеспечения
Совершенствование.
материальных
и
работы
и
осуществление
мер
4. Активность
безопасности.
Предусматривает
финансовых
ресурсов
Предлагаемые
меры иот
государственную
обеспечения
Своевременность
совершенствование
мери
возможных
угроз
всеми
средства
защиты
должны
лицензию
на
право
безопасности
на
основе
Защищать
интересы
5. Законность
предполагает
постановку
средств
защиты
на
основе
Предполагает
доступными
законными
реализоваться
на
считается,
что
оказания
услуг
в
этой
четкого
взаимодействия
предприятия
необходимо
задач
по
комплексной
собственного
опыта,
Предполагает
разработку
средствами,
методами
современном
уровне и
информационную
исамостоятельное
сопоставимость
области.
Эксплуатация
всех
заинтересованных
с
достаточной
степенью
безопасности
на
6. Обоснованность
появления
новых
системы
безопасности
функционирование
мероприятиями,
аранних
также
развития
науки
и и
безопасность
возможного
необходимо
ущерба
ина
технических
средств
подразделений
и
служб,
настойчивости,
широко
стадиях
разработки
технических
средств
спо
основе
федерального
системы
безопасности
обеспечение
техники,
быть
обеспечивать
затрат
на
обеспечение
непрерывно,
реализация
мер
сторонних
используя
маневр силами
системы
безопасности
учетом
изменений
в на
7. Экономическая целесообразностьзаконодательства
иточки
других
единым
безопасности
обоснованными
с
так
безопасности
как
злоумышленники
(критерий
безопасности
должны
специализированных
и средствами
обеспечения
основе ианализа
и по
методах
средствах
нормативных
актов
организационным,
информационных
зрения
заданного
уровня
"эффективность
только
и
ищут

осуществляться
организаций
в
этой
безопасности
и
прогнозирования
разведки
и
8. Специализация
безопасности.
функциональным
и
ресурсов
в течение
безопасности
ивсего
возможность,
стоимость")
как
бы
профессионально
области,
а
также
нестандартные
меры
обстановки,
угроз на
промышленного
методологическим
их
жизненного
цикла,
соответствовать
обойти
защитные
меры.
подготовленными
интеграцию
деятельности
защиты.
безопасности,
также
шпионажа,
нормативно9. Взаимодействие и координация специалистами
принципам
с
всех
технологических
установленным
службы
с
органами
разработку
эффективных
технических
требований,
централизованным
этапах
их обработки
требованиям
и нормам.
безопасности,
ее и
государственного
мер
предупреждения
накопленного
10. Совершенствование
управлением
использования,
во всех
функциональных
управления инаии
посягательств
отечественного
деятельностью
режимахсистемы
обслуживающих
правоохранительными
законные
интересы.
зарубежного
опыта.
безопасности.
функционирования.
11. Централизация управления
подразделений.
органами.

6. 3. Концептуальная модель информационной безопасности И

Цели угроз
• ознакомление
• модификация
• уничтожение
Угрозы
• целостности
• конфиденциальности
• полноте
• доступности
Защита И
Направления
защиты
• Правовое
• Организационное
• Программноаппаратное
Способы защиты
• упреждение
• предотвращение
• пресечение
• противодействие
защиты И
Источники угроз
• конкуренты
• преступники
• коррупционеры
Способы
НСД
Рубеж
Угрозы И
И
Средства защиты
• физические
• программноаппаратные
• инженерно-тех.
• криптографические
Объект защиты
Сведения о
составе,
состоянии и
деятельности
предприятия
Источники И
• люди
• документы
• технические
носители
• технические
средства
• продукты
• публикации
• отходы

7. Трехмерная модель комплексной безопасности

Трехмерная модель комплексной безопасности
Объекты
защиты
Ка
др
ы
ку
Ин
же мен
ты
не
р
Ин
н
фо з а о-т
рм щи ехн
ац та ич
ес
де ион
ка
я т но
я
ел -а
ьн на
ос ли
т ь ти
че
ск
ая
Информационные ресурсы
м
Ре
жи
ан
а
Организационная
Правовая
Материальные и финансовые
средства
До
Направления
обеспечения
безопасности
Ох
р
Инженернотехническая
Персонал
Функции
службы
безопасности

8. 4. Виды объектов защиты

Объекты защиты
руководящие
работники и
производственный
персонал,
владеющий
информацией
ограниченного
пользования
серийно
выпускаемая
продукция и
опытные
образцы
финансовые
средства и
документы
информационные
ресурсы с
ограниченным
доступом,
составляющие
служебную и
коммерческую
тайну
материальные
ценности
технические,
программноаппаратные
средства защиты
информации и
различные
системы охраны и
защиты
материальных и
информационных
ресурсов
средства
производства и
производственные
ресурсы
средства и
автоматизированные
системы обработки
информатизации

9. 5. Классификация угроз информационной безопасности и виды каналов утечки информации на предприятии

Под угрозой или опасностью утраты информации
понимается единичное или комплексное, реальное или
потенциальное, активное или пассивное проявление
неблагоприятных возможностей внешних или внутренних
источников угрозы создавать критические ситуации, события,
оказывать дестабилизирующее воздействие на защищаемую
информацию, документы и базы данных.
Риск угрозы любым информационным ресурсам создают
стихийные бедствия, экстремальные ситуации, аварии технических
средств и линий связи, другие объективные обстоятельства, а
также заинтересованные и незаинтересованные в возникновении
угрозы лица.

10. Виды угроз информации

Виды угроз информации
единичные
объективные
внутренние
реальные
комплексные
субъективные
внешние
потенциальные
НСД злоумышленника
уничтожение
искажение
подмена

11. Возможные пути утраты информации

Утрата И
переход к злоумышленнику
каналы НСД
сотрудник
переход к III лицу
постороннее лицо
утрата в результате
организационные
легальные
Аналитическая
обработка
«законной»
информации
технические
нелегальные
Нелегальные
способы
получения И
виброакустический
визуально-оптический
электромагнитный
радиоканал
утечка по
техническим
каналам
разглашение
человеком
Воровство, продуманный обман,
подслушивание, подделка документов,
взятничество, шантаж, перехват И,
визуальное наблюдение,анализ
продукции отходов

12. 6. Основные направления организационной защиты информации на предприятии

Система защиты информации — это рациональная совокупность
направлений, методов, средств и мероприятий, снижающих уязвимость
информации и препятствующих несанкционированному доступу к
информации, ее разглашению или утечке.
Основные элементы системы защиты предприятия
Элементы системы
защиты предприятия
Организационная защита информации
Правовая защита
информации
Программно-аппаратная
защита информации
Инженерно-техническая
защита информации
Криптографическая
защита информации

13. Правовой элемент

• наличие в организационных документах предприятия, правилах
внутреннего трудового распорядка, контрактах, заключаемых с
сотрудниками, в должностных и рабочих инструкциях
положений и обязательств по защите конфиденциальной
информации;
• формулирование и доведение до сведения всех сотрудников
предприятия (в том числе не связанных с конфиденциальной
информацией) положения о правовой ответственности за
разглашение конфиденциальной информации,
несанкционированное уничтожение или фальсификацию
документов;
• разъяснение лицам, принимаемым на работу, положения о
добровольности принимаемых ими на себя ограничений,
связанных с выполнением обязанностей по защите информации.

14. Организационный элемент


порядка защиты информации при проведении совещаний, заседаний,
приеме
посетителей,
работе с представителями
рекламных
• переговоров,
формирования
и организации
деятельности
службы безопасности;
средств
массовой информации;
• агентств,
составления
и регулярного
обновления перечня защищаемой информации
оборудования
аттестации помещений
и рабочих
зон,защищаемых
выделенных бумажных,
для работы
предприятия,исоставления
и ведения перечня
описи
с конфиденциальной
лицензирования
технических систем и
машиночитаемых и информацией,
электронных документов
предприятия;
защиты
информации
и охраны,
сертификации
информационных
• средств
наличия
разрешительной
системы
разграничения
доступа
персонала к систем,
предназначенных
для обработки защищаемой информации;
защищаемой информации;
режима
на территории,
в здании
и помещениях
предприятия,
• пропускного
использования
методов
отбора персонала
для
работы с защищаемой
идентификации
и посетителей;
информацией, персонала
методики обучения
и инструктирования сотрудников;
охраны территории,
помещений,
оборудования,
и
• системы
формирования
направленийздания,
и методов
воспитательной
работы транспорта
с персоналом
персонала
предприятия;
и контроля
соблюдения сотрудниками порядка защиты информации;
персонала
экстремальных
ситуациях;
• действий
технологии
защиты,в обработки
и хранения
бумажных, машиночитаемых и
организационных
вопросовпредприятия
приобретения,
установки и эксплуатации
электронных документов
(делопроизводственной,
технических
средств защиты
информации
и охраны;
автоматизированной
и смешанной
технологий);
внемашинной технологии
защиты электронных
документов;
организационных
вопросов
защиты персональных компьютеров,
сетей;
• информационных
порядка защиты систем,
ценной локальных
информации
предприятия от случайных или
умышленных
несанкционированных
действий
персонала;
работы
по управлению
системой защиты
информации;
• критериев
ведения всех
видов проведения
аналитической
работы; мероприятий по установлению
и порядка
оценочных
степени эффективности системы защиты информации.

15. Инженерно-технический элемент

• сооружения инженерной защиты от проникновения посторонних
лиц на территорию, в здание и помещения (заборы, решетки,
стальные двери, кодовые замки, идентификаторы, сейфы и др.);
• средства защиты технических каналов утечки информации,
возникающих при работе ЭВМ, средств связи, копировальных
аппаратов, принтеров, факсов и других приборов и офисного
оборудования, при проведении совещаний, заседаний, беседах с
посетителями и сотрудниками, диктовке документов и т.п.;
• средства защиты помещений от визуальных способов
технической разведки;
• средства обеспечения охраны территории, здания и помещений
(средства наблюдения, оповещения, охранной и пожарной
сигнализации);
• средства обнаружения приборов и устройств технической
разведки (подслушивающих и передающих устройств, тайно
установленной миниатюрной звукозаписывающей и
телевизионной аппаратуры и т.п.).

16. Программно-аппаратный элемент

• автономные программы, обеспечивающие защиту информации и
контроль степени ее защищенности;
• программы защиты информации, работающие в комплексе с
программами обработки информации;
• программы защиты информации, работающие в комплексе с
техническими (аппаратными) устройствами защиты информации
(прерывающими работу ЭВМ при нарушении системы доступа,
стирающие данные при несанкционированном входе в базу
данных и др.).

17. Криптографический элемент

• регламентацию использования различных криптографических
методов в ЭВМ и локальных сетях;
• определение условий и методов криптографирования текста
документа при передаче его по незащищенным каналам
почтовой, телеграфной, телетайпной, факсимильной и
электронной связи;
• регламентацию использования средств криптографирования
переговоров по незащищенным каналам телефонной и радио
связи;
• регламентацию доступа к базам данных, файлам, электронным
документам персональными паролями, идентифицирующими
командами и другими методами;
• регламентацию доступа персонала в выделенные помещение
с помощью идентифицирующих кодов, шифров.

18. Контрольные вопросы

1. Что включают организационные методы защиты
информации?
2. На что направлена деятельность по защите информации?
3. Какие задачи обеспечения информационной
безопасности решаются на организационном уровне?
4. Что такое система безопасности предприятия?
5. На основе каких принципов осуществляется
функционирование системы безопасности предприятия?
6. Каким требованиям должна удовлетворять система
безопасности предприятия?
7. Что является компонентами комплексной модели
информационной безопасности?
8. Перечислите виды объектов защиты.
9. Назовите возможные пути утраты информации.
10. Дайте характеристику основным элементы системы
защиты предприятия.
English     Русский Правила