502.18K
Категория: ИнформатикаИнформатика

Организационная структура системы обеспечения информационной безопасности

1.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Программа повышения квалификации
«Основы информационной безопасности.
Базовый уровень»
Раздел 3. Методы и способы обеспечения
информационной безопасности.
Лекция по теме 3.1. Организационная структура
системы обеспечения информационной
безопасности

2.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Учебные вопросы:
Вопрос 1. Понятие и классификация организационных
мер защиты информации.
Вопрос 2. Организационная структура обеспечения
защиты информации в организации.
Вопрос 3. Основные организационные мероприятия по
созданию и обеспечению функционирования
комплексной системы защиты информации.

3.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Используемая литература:
1.
2.
3.
4.
ГОСТ Р 50922-2006. «Национальный стандарт Российской
Федерации. Защита информации. Основные термины и
определения».
Основы информационной безопасности в МЧС России: учебник
/ Хабибулин Р.Ш., Прокопенко А.Н., Жукова П.Н. и [др.] М.:
Академия ГПС МЧС России, 2023. 649 с.
Завгородний В.И. Комплексная защита информации в
компьютерных системах: учеб. пособие. - М.: Логос, 2001. 264 с.
Коноплева И.А., Богданов И.А. Управление безопасностью и
безопасность бизнеса: учебное пособие. - Москва: ИНФРА-М,
2008. 446 с.

4.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Вопрос 1. Понятие и классификация
организационных мер защиты
информации

5.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Организационные (административные) меры защиты – это
комплекс мероприятий управленческого, ограничительного и
контрольного характера, определяющих организационные
основы и процедуры защиты, побуждающих (обязывающих)
персонал соблюдать установленные требования
информационной безопасности.
Организационные меры называются административными
поскольку они реализуются посредством издания локальных
правовых актов, регламентирующих порядок обработки
информации, функционирования информационных систем и
информационно-телекоммуникационной инфраструктуры,
деятельность сотрудников и работников в области обработки
информации и обеспечения информационной безопасности.

6.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Основой организационных мер защиты является принимаемый
в организации документ «Политика информационной
безопасности».
Организационные меры защиты включают в себя не только
меры управленческого характера, но и технологические меры,
направленные на выполнения мероприятий затрудняющих или
исключающих нарушение системы ЗИ в организации. Также
организационные меры включают в себя меры
ограничительного и режимного характера, обеспечивающие
выполнение установленных физических и технических мер ЗИ.
Кроме того, организационные меры обеспечивают
установление и соблюдение режима конфиденциальности
информации в организации.

7.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Направления деятельности по функционированию
системы обеспечения информационной безопасности:
организация и нормативное обеспечение деятельности службы
информационной безопасности и разрешительной системы
доступа к конфиденциальной информации;
организация идентификации, аутентификации и разграничения
доступа сотрудников организации и внешних лиц к
информационным системам и компьютерной сети организации;
организация защиты информации ограниченного доступа,
информационных систем и информационнотелекоммуникационной инфраструктуры от
несанкционированных действий сотрудников;
контроль соблюдения всеми лицами правил информационной
безопасности;

8.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Направления деятельности по функционированию
системы обеспечения информационной безопасности:
инструктаж персонала по соблюдению правил информационной
безопасности, его дальнейшее обучение и повышение
квалификации;
организация защиты помещений для проведения совещаний и
заседаний, аттестации объектов информатизации,
лицензирования деятельности по защите информации;
организация системы охраны территории организации,
транспорта, пожарной сигнализации, системы видеонаблюдения
и видеоаналитики;
организация пропускного режима в организации, разграничения
зон, выделения контролируемой зоны;
организация функционирования технических средств защиты
информации и охраны;

9.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Направления деятельности по функционированию
системы обеспечения информационной безопасности:
организация защиты автоматизированных рабочих мест,
серверного оборудования, сетевой инфраструктуры;
регламентация деятельности сотрудников и работников
организации, в том числе службы ИБ и службы охраны, в
штатных и нештатных ситуациях;
организация действий по ликвидации последствий нештатных
ситуаций и восстановлению работоспособности информационной
инфраструктуры;
организация работы по управлению и функционированию
системы защиты информации.

10.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Организационные задачи при создании системы
информационной безопасности выполняются в четыре
этапа:
1.
2.
3.
4.
Изучение обстановки в организации или на объекте
информатизации.
Разработка программы защиты информации.
Реализация разработанной программы защиты информации.
Контроль эффективности реализации программы защиты
информации и ее корректировка в случае необходимости.

11.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Выявление
угроз
Предупреждение
угроз
Обнаружение
угроз
Ликвидация
последствий
Ликвидация
противоправной
деятельности

12.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
ЗОНА 1. ПЕРИМЕТР ТЕРРИТОРИИ
Территория организации, внешние телекоммуникации
ЗОНА 2. ПЕРИМЕТР ЗДАНИЙ
Здания организации, телекоммуникации между зданиями
ЗОНА 3. ПРИЕМ ПОСЕТИТЕЛЕЙ
Кабинеты для приема посетителей, АРМ, локальная сеть
ЗОНА 4. СЛУЖЕБНЫЕ ПОМЕЩЕНИЯ
Кабинеты сотрудников, АРМ, локальная сеть
ЗОНА 5. ОСОБО ВАЖНЫЕ ПОМЕЩЕНИЯ
Кабинеты руководства, категорированные помещения, АРМ
и телекоммуникации внутри этих помещений
ЗОНА 6. СЕРВЕРНАЯ ЗОНА
Серверное оборудование, базы и банки данных

13.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Вопрос 2. Организационная структура
обеспечения защиты информации в
организации

14.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Для обеспечения работы системы защиты информации в
организации выстраивается специальная организационная
структура. Она включает, как лиц и подразделения,
непосредственно занимающихся защитой информации, так и
других сотрудников и внешних лиц, которые принимают в ней
участие.
Система защиты информации применительно к органу
управления, организации, учреждению – это совокупность
органов и (или) исполнителей, используемой ими техники
защиты информации, а также объектов защиты,
организованная и функционирующая по правилам и нормам,
установленным соответствующими документами в области
защиты информации.

15.

АКAДЕМИЯ
ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
РУКОВОДСТВО
Постоянно
действующие
Белгородский юридический
институт
МВД
России
Кафедра информационных технологий (в составе УНК АСиИТ)
коллегиальные органы в области ЗИ
СЛУЖБА
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
Руководитель и аналитики
службы ИБ
СЛУЖБА
ИНФОРМАЦИОННЫХ
ТЕХНОЛОГИЙ И СВЯЗИ
Сотрудники службы ИБ
и администраторы
средств защиты
информации
СТРУКТУРНЫЕ
ПОДРАЗДЕЛЕНИЯ
Сотрудники (конечные
пользователи)
Ответственные за
обеспечение ИБ
ИНФОРМАЦИОННАЯ
ИНФРАСТРУКТУРА
ОРГАНИЗАЦИИ
ОРГАНИЗАЦИИ
Внешние
пользователи
(граждане и
организации)
Программисты
Сотрудники
подразделения
информационных
технологий
Сотрудники
подразделения
эксплуатации ТС и
связи
Администраторы
информационных систем

16.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
В службе информационной безопасности могут быть
задействованы следующие категории сотрудников:
специалисты по защите информации в ИС;
специалисты по защите от побочных электромагнитных
излучений и наводок;
специалисты по аттестации объектов информатизации;
специалисты по категорированию и др.

17.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Руководитель
организации
Руководитель
службы
безопасности
Отдел режима
и охраны
Группа внешней
безопасности
Сектор
охраны
Сектор
режима
- охрана помещений
- охрана объектов
- наблюдение внутри
объекта
- учет персонала
- разработка и
организация
пропускного
режима
Отдел защиты
информации
Инженернотехническая
группа

18.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Руководитель
организации
Руководитель
подразделения ИБ
Аналитическая
группа
Группа
контроля
Организационноплановая группа
Группа
средств
защиты

19.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Руководство принимает стратегические решения по вопросам
обеспечения информационной безопасности и утверждает
основные документы, регламентирующие порядок
функционирования и развития информационных систем и
информационной инфраструктуры организации.
Руководство определяет критичность процессов, ресурсов и
степень их защиты, а также координирует деятельность по
управлению и распределению обязанностей по обеспечению
ИБ между службами информационной безопасности,
информационных технологий и связи, другими структурными
подразделениями.

20.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Как сказано в стандарте ISO 27002 (BS 7799) высшее
руководство должно поставить чёткую цель и показать свою
поддержку и заинтересованность в вопросах ИБ,
распространение политики ИБ среди сотрудников
организации.
Руководство организации должно осознавать важность
обеспечения ИБ и быть осведомленным о сути и целях
запланированных и проводимых мероприятий в области
информационной безопасности. Руководство должно
проводить периодические совещания по вопросам защиты
информации, разбирать инциденты информационной
безопасности, корректировать политику ИБ.

21.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Постоянно действующий коллегиальный орган
управления в области ЗИ выполняет следующие функции:
разрабатывает предложения руководству организации при
формировании и корректировке политики информационной
безопасности;
разрабатывает предложения по распределению обязанностей между
подразделениями организации;
разрабатывает предложения по формулированию прав и обязанностей
сотрудников в области защиты информации;
организует планирование и выполнение технического обслуживания
информационной инфраструктуры;
осуществляет методическое руководство в области защиты
информации;
организует контроль и анализ эффективности работы КСЗИ;
организует подбор, расстановку и обучение специалистов.

22.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Служба информационной безопасности (отдел защиты
информации).
Служба информационной безопасности является отдельным
подразделением, которое не должно подчиняться службе
информационных технологий и связи. Это обусловлено тем,
что сотрудники службы ИБ проверяют деятельность
сотрудников службы ИТ и связи в области защиты
информации.
Руководитель службы ИБ, а также ее аналитики (при наличии)
отвечают за анализ состояния ИБ, определение требований к
защищённости различных подсистем ИС и информационной
инфраструктуры, выбор методов и средств ЗИ.

23.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Служба информационной безопасности (отдел защиты
информации).
Администраторы средств защиты, контроля и управления
безопасностью отвечают за эффективное применение
специализированных средств защиты информации.
Если постоянно действующие коллегиальные органы
координируют всю плановую деятельность в сфере ЗИ, то
служба ИБ осуществляет координацию всей операционной
деятельности в сфере защиты информации. Служба ИБ
возглавляет систему внутриорганизационных подразделений и
нештатных сотрудников, обеспечивающих КСЗИ. В ее
обязанности входит выполнение различных мероприятий по
созданию и поддержанию работоспособности системы защиты
информации.

24.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Служба информационных технологий и связи.
В зависимости от имеющихся задач и численности
личного состава служба может иметь различный состав.
Если сотрудники осуществляющие эксплуатацию ТС и
администраторы информационных систем в службе есть
всегда, то программисты и подразделения
информационных технологий могут отсутствовать.
Программисты осуществляют разработку (адаптацию)
необходимых прикладных программ для информатизации
деятельности сотрудников организации.

25.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Сотрудники подразделения информационных технологий
обеспечивают нормальное функционирование
прикладных программ (задач):
ведут общий перечень задач, решаемых в организации;
по заявкам руководителей подразделений проводят анализ
возможности решения задач на конкретных АРМ и уточнение
содержания необходимых для этого изменений в конфигурации
аппаратных и программных средств АРМ;
осуществляют резервное копирование и контроль целостности
лицензионных дистрибутивов или эталонных носителей используемого
ПО;
производят установку (обновление версий) программных средств,
необходимых для решения на АРМ конкретных задач;
осуществляют удаление программного обеспечения, необходимость в
использовании которого отпала.

26.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Сотрудники подразделения эксплуатации технических
средств и связи обеспечивают нормальную работу и
обслуживание технических средств, средств
телекоммуникации и системного программного
обеспечения:
производят установку новых АРМ или подключение
дополнительных устройств, необходимых для решения на АРМ
конкретных задач;
осуществляют обновление отдельных устройств, узлов, блоков;
проводят затирание остаточной информации на изымаемых
машинных носителях.

27.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Администраторы информационных систем отвечают за
эффективное применение встроенных средств защиты и
разграничения доступа всех используемых ОС и СУБД.
В целях обеспечения информационной безопасности
необходимо осуществлять чёткое разделение
обязанностей и регламентацию всех действий
сотрудников служб информационной безопасности и
информационных технологий и связи.

28.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Руководители структурных подразделений:
определяют функциональные задачи, которые должны решаться
в подразделении с использованием ИТ;
контролируют проведение необходимых изменений в
конфигурации АРМ и полномочиях пользователей
подразделения;
обеспечивают надлежащую эксплуатацию установленных на
АРМ средств защиты информации.

29.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Сотрудники структурных подразделений (конечные
пользователи системы) решают свои функциональные
задачи с применением информационных технологий.
Как сказано в стандарте ISO 27002 (BS 7799) – весь
персонал организации и пользователи ИР из сторонних
организаций должны подписать обязательство о
конфиденциальности, а в должностных инструкциях
сотрудников должна быть отражена вся присущая данной
должности ответственность за информационную
безопасность.

30.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Каждый сотрудник обязан:
хранить конфиденциальную информацию, ставшую ему
известной в при исполнении служебных обязанностей;
во время работы в организации и после увольнения не
раскрывать ставшие ему известными конфиденциальные
сведения;
соблюдать требования и правила обеспечения безопасности
информации в организации;
в случае прекращения работы в организации, сразу же возвратить
организации носители информации и другие материалы
полученные в ходе выполнения своих служебных обязанностей;
ознакомиться и соблюдать требования по защите информации.

31.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Ответственный за обеспечение безопасности информации обязан:
знать перечень установленных в его подразделении компьютеров
и перечень задач, решаемых с их использованием;
обеспечивать постоянный контроль за выполнением
сотрудниками подразделения установленного комплекса
мероприятий по обеспечению безопасной автоматизированной
обработки информации;
контролировать целостность печатей (пломб) на устройствах
защищённых компьютеров подразделения;
немедленно сообщать руководителю подразделения и
сотрудникам подразделения обеспечения ИБ об обнаруженных
фактах (попытках) несанкционированного доступа к информации
и техническим средствам, и принимать необходимые меры по
пресечению нарушений;

32.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Ответственный за обеспечение безопасности информации обязан:
обеспечивать соблюдение сотрудниками «Инструкции по
установке, модификации и техническому обслуживанию
программного обеспечения и аппаратных средств АИС», при их
техническом обслуживании и отправке в ремонт (контролировать
затирание конфиденциальной информации на магнитных
носителях) и лично присутствовать при выполнении данных
работ (участвовать в работах);
хранить формуляры защищённых рабочих станций,
контролировать их соответствие реальным конфигурациям
рабочих станций и вести учёт изменений их аппаратнопрограммной конфигурации;
вести «Журнал учёта нештатных ситуаций, фактов вскрытия и
опечатывания ПЭВМ, выполнения профилактических работ,
установки и модификации аппаратных и программных средств
рабочих станций подразделения»;

33.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Ответственный за обеспечение безопасности информации обязан:
вести «Журнал учёта ключевых носителей подразделения»,
хранить, осуществлять приём и выдачу ключевых носителей;
осуществлять контроль за порядком учёта, создания, хранения и
использования резервных и архивных копий массивов данных,
машинных (выходных) документов;
проводить работу по выявлению возможных каналов
неправомерного вмешательства в процесс функционирования
АИС и осуществления НСД. При выявлении таковых сообщать о
них руководству и специалистам подразделения обеспечения ИБ;
инструктировать сотрудников подразделения по вопросам
обеспечения безопасности информации и правилам работы с
используемыми СЗИ.

34.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Регламентация работы сотрудников предполагает
определение для каждой категории пользователей и
обслуживающего персонала:
обязательных знаний, действий и процедур, необходимых для
обеспечения информационной безопасности при
автоматизированной обработке информации и обслуживании
компонент АИС;
запрещённых действий, которые могут привести к нарушению
нормальной работы АИС, вызвать непроизводительные затраты
ресурсов, нарушить конфиденциальность или целостность
хранимой и обрабатываемой информации, нарушить интересы
других пользователей;
ответственности за нарушение установленных требований и
ограничений.

35.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Регламентация предусматривает введение таких ограничений и
внедрение таких приёмов работы сотрудников, которые, не
создавая помех для исполнения ими своих функциональных
обязанностей (технологических функций), минимизируют
возможности совершения ими случайных или преднамеренных
нарушений.
Обеспечение информационной безопасности возможно только
при выработке у сотрудников и работников дисциплины по
соблюдению установленных ограничений и правил работы в
информационных системах и информационнотелекоммуникационной инфраструктуре. Это достигается
установлением персональной ответственности за нарушение
установленного порядка безопасной обработки информации.

36.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Вопрос 3. Основные организационные
мероприятия по созданию и
обеспечению функционирования
комплексной системы защиты
информации

37.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Основой Комплексной системы защиты информации
являются следующие мероприятия:
1.
2.
3.
Мероприятия при проектировании (строительстве,
оборудовании) служебных помещений, исключающие
возможность несанкционированного проникновения.
Организация охраны и пропускного режима. Регламентация и
осуществление деятельности, направленная на защиту внешнего
и внутреннего периметра организации.
Подбор персонала, включая работу по повышению
квалификации сотрудников организации. Подбор сотрудников
осуществляется в соответствии с необходимым уровнем
квалификации, установленным требованиями, предъявляемыми
к замещаемой должности.

38.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Основой Комплексной системы защиты информации
являются следующие мероприятия:
4.
5.
6.
Организация документооборота. Регулирование создания,
движения, уничтожения, учета, хранения и уничтожения
документов и носителей информации, возникающих в процессе
деятельности организации.
Организация контроля за работой сотрудников. Осуществление
контроля за выполнением сотрудниками требований по
обеспечению ИБ; соблюдения пропускного режима, соблюдения
правил работы с документами и т.д.
Аттестация объектов информатизации. Оценка соответствия
объектов информатизации организации и проведения работ по
аттестации объектов информатизации на соответствие
требованиям о защите информации ограниченного доступа.

39.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Организационные меры являются той основой, которая
объединяет различные меры защиты в единую систему.
Они включают:
разовые (однократно проводимые и повторяемые только при
полном пересмотре принятых решений) мероприятия;
мероприятия, проводимые при осуществлении или
возникновении определённых изменений в самой защищаемой
АИС или внешней среде (по необходимости);
периодически проводимые (через определённое время)
мероприятия;
постоянно (непрерывно или дискретно в случайные моменты
времени) проводимые мероприятия.

40.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
К разовым мероприятиям относят:
создание службы информационной безопасности и назначение
ответственных за обеспечение ИБ;
разработка политики информационной безопасности, определение
порядка назначения, изменения, утверждения и предоставления
должностным лицам необходимых полномочий по доступу к ИР;
разработка правил разграничения доступа к ИС;
разработка и утверждение функциональных обязанностей сотрудников
и работников в области ИБ;
мероприятия, осуществляемые при проектировании (строительстве,
оборудовании) объектов организации;
мероприятия, осуществляемые при проектировании, разработке и вводе
в эксплуатацию технических средств и программного обеспечения;
проведение спецпроверок применяемых в ИС технических средств и
проведения мероприятий по защите информации от утечки по каналам
побочных электромагнитных излучений и наводок;

41.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
К разовым мероприятиям относят:
мероприятия по организации учета, хранения, использования и
уничтожения документов и носителей с закрытой информацией,
оборудование служебных помещений сейфами (шкафами) для
хранения реквизитов доступа, средствами уничтожения бумажных и
магнитных носителей конфиденциальной информации и т.п.;
определение состава ИР, содержащих сведения, составляющие
конфиденциальную информацию, а также требований к уровням их
защищенности;
выявление наиболее вероятных угроз для ИС, выявление уязвимых
мест процессов обработки информации и каналов доступа к ней,
оценка возможного ущерба, вызванного нарушением безопасности
информации, разработка адекватных требований по основным
направлениям защиты;
организация охраны и надежного пропускного режима;

42.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
К разовым мероприятиям относят:
определение порядка учета, выдачи, использования и хранения
съемных магнитных носителей информации;
определение перечня необходимых регулярно проводимых
превентивных мер и оперативных действий сотрудников по
обеспечению непрерывной работы и восстановлению
работоспособности ИС в критических ситуациях;
определение порядка проектирования, разработки, отладки,
модификации, приобретения, специсследования, приема в
эксплуатацию, хранения и контроля целостности программных
продуктов, а также порядок обновления версий используемых и
установки новых системных и прикладных программ на АРМ.

43.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
К мероприятиям, проводимым по необходимости,
относят:
мероприятия, осуществляемые при кадровых изменениях в составе
персонала системы;
мероприятия, осуществляемые при ремонте и модификациях
оборудования и программного обеспечения (санкционирование,
рассмотрение и утверждение изменений, проверка их на
удовлетворение требованиям защиты, документальное отражение
изменений и т.п.);
проверка поступающего оборудования, предназначенного для
обработки закрытой информации, на наличие специально внедрённых
закладных устройств, инструментальный контроль технических
средств на наличие побочных электромагнитные излучения и наводок;
оборудование систем информатизации устройствами защиты от сбоев
электропитания и помех в линиях связи;

44.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
К мероприятиям, проводимым по необходимости,
относят:
мероприятия по подбору и расстановке кадров (проверка принимаемых
на работу, обучение правилам работы с информацией, ознакомление с
мерами ответственности за нарушение правил защиты, обучение,
создание условий, при которых персоналу было бы невыгодно
нарушать свои обязанности и т.д.);
оформление юридических документов (договоров, приказов и
распоряжений руководства организации) по вопросам регламентации
отношений с пользователями (клиентами) и третьей стороной
(арбитражем, третейским судом) о правилах разрешения споров,
связанных с информационным обменом;
обновление технических и программных средств защиты от НСД к
информации в соответствие с меняющейся оперативной обстановкой.

45.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
К периодически проводимым мероприятиям относят:
распределение реквизитов разграничения доступа (паролей, ключей
шифрования и т.п.);
анализ системных журналов (журналов регистрации), принятие мер по
обнаруженным нарушениям правил работы;
пересмотр правил разграничения доступа пользователей к ресурсам
АИС организации;
осуществление анализа состояния и оценки эффективности мер и
применяемых средств защиты и разработка необходимых мер по
совершенствованию (пересмотру состава и построения) системы
защиты.

46.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Постоянно проводимые мероприятия включают:
мероприятия по обеспечению достаточного уровня физической защиты
всех компонентов АИС (противопожарная охрана, охрана помещений,
пропускной режим, обеспечение сохранности и физической
целостности СВТ, носителей информации и т.п.);
мероприятия по непрерывной поддержке функционирования и
управлению используемыми средствами защиты;
организацию явного и скрытого контроля за работой пользователей и
персонала системы;
контроль за реализацией выбранных мер защиты в процессе
проектирования, разработки, ввода в строй, функционирования,
обслуживания и ремонта АИС;
постоянно (силами службы безопасности) и периодически (с
привлечением сторонних специалистов) проведение анализа состояния
и оценка эффективности мер и средств защиты.

47.

АКAДЕМИЯ ГОСУДАРСТВЕННОЙ
ПРОТИВОПОЖАРНОЙ
СЛУЖБЫ
МЧС РОССИИ
Белгородский юридический
институт
МВД России
Кафедра информационных технологий (в составе УНК АСиИТ)
Подготовил:
Прокопенко Алексей
Николаевич
профессор кафедры
информационных технологий
(в составе учебно-научного
комплекса
автоматизированных систем и
информационных технологий),
кандидат технических наук,
доцент
Email: [email protected]
Тел.: +7-903-642-65-97
English     Русский Правила