24759

Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов

Шпаргалка

Информатика, кибернетика и программирование

Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов. Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России бывш. Объект информатизации совокупность информационных ресурсов средств и систем обработки информации используемых в соответствии с заданной информационной технологией средств обеспечения объекта информатизации помещений или объектов зданий сооружений технических средств в...

Русский

2013-08-09

75.83 KB

25 чел.

Билет №25

1. Правовой порядок установления соответствия параметров объектов информатизации и средств защиты информации требованиям нормативных документов.

Деятельность по аттестации объектов информатизации по требованиям безопасности информации осуществляет ФСТЭК России (бывш. Гостехкомиссия России). Для начала дадим определение объекта информатизации.

Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Аттестация объектов информатизации (далее аттестация) - комплекс организационно-технических мероприятий, в результате которых посредством специального документа - "Аттестата соответствия" подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утвержденных ФСТЭК России (Гостехкомиссией России). Наличие аттестата соответствия в организации дает право обработки информации с уровнем секретности (конфиденциальности) на период времени, установленный в аттестате.

Аттестация производится в порядке, установленном "Положением по аттестации объектов информатизации потребованиям безопасности информации" от 25 ноября 1994 года. Аттестация должна проводится до начала обработки информации, подлежащей защите. Это необходимо в целях официального подтверждения эффективности используемых мер и средств по защите этой информации на конкретном объектеинформатизации.

Аттестация является обязательной в следующих случаях:

  1.  государственная тайна;
  2.  при защите государственного информационного ресурса;
  3.  управление экологически опасными объектами;
  4.  ведение секретных переговоров.

Во всех остальных случаях аттестация носит добровольный характер, то есть может осуществляться по желанию заказчика или владельца объекта информатизации.

Аттестация предполагает комплексную проверку (аттестационные испытания) объекта информатизации в реальных условиях эксплуатации. Целью является проверка соответствия применяемых средств и мер защиты требуемому уровню безопасности. К проверяемым требованиям относится:

  1.  защита от НСД, в том числе компьютерных вирусов;
  2.  защита от утечки через ПЭМИН;
  3.  защита от утечки или воздействия информацию за счет специальных устройств, встроенных в объект информатизации.

Аттестация проводится органом по аттестации в соответствии со схемой, выбираемой этим органом, и состоит из следующего перечня работ:

  1.  анализ исходных данных по аттестуемому объекту информатизации;
  2.  предварительное ознакомление с аттестуемым объектом информатизации;
  3.  проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
  4.  проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
  5.  проведение испытаний отдельных средств и систем защиты информации в испытательных центрах (лабораториях) по сертификации средств защиты информации по требованиям безопасности информации;
  6.  проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
  7.  анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации и утверждение заключения по результатам аттестации.

Органы по аттестации должны проходить аккредитацию ФСТЭК в соответствии с "Положением об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации".

Все расходы по проведению аттестации возлагаются на заказчика, как в случае добровольной, так и обязательной аттестации.

Органы по аттестации несут ответственность за выполнение своих функций, за сохранение в секрете информации, полученной в ходе аттестации, а также за соблюдение авторских прав заказчика.

В структуру системы аттестации входят:

  1.  федеральный орган по сертификации средств защиты информации и аттестации объектов информатизации по требованиям безопасностиинформации – ФСТЭК России;
  2.  органы по аттестации объектов информатизации по требованиям безопасности информации;
  3.  испытательные центры (лаборатории) по сертификации продукции по требованиям безопасности информации;
  4.  заявители (заказчики, владельцы, разработчики аттестуемых объектов информатизации).

В качестве заявителей могут выступать заказчики, владельцы или разработчики аттестуемых объектов информатизации.

В качестве органов по аттестации могут выступать отраслевые и региональные учреждения, предприятия и организации по защите информации, специальные центры ФСТЭК России, которые прошли соответствующую аккредитацию.

Органы по аттестации:

  1.  аттестуют объекты информатизации и выдают "Аттестаты соответствия";
  2.  осуществляют контроль за безопасностью информации, циркулирующей на аттестованных объектах информатизации, и за их эксплуатацией;
  3.  отменяют и приостанавливают действие выданных этим органом "Аттестатов соответствия";
  4.  формируют фонд нормативной и методической документации, необходимой для аттестации конкретных типов объектов информатизации, участвуют в их разработке;
  5.  ведут информационную базу аттестованных этим органом объектов информатизации;
  6.  осуществляют взаимодействие с ФСТЭК России и ежеквартально информируют его о своей деятельности в области аттестации.

ФСТЭК осуществляет следующие функции в рамках системы аттестации:

  1.  организует обязательную аттестацию объектов информатизации;
  2.  создает системы аттестации объектов информатизации и устанавливает правила для проведения аттестации в этих системах;
  3.  устанавливает правила аккредитации и выдачи лицензий на проведение работ по обязательной аттестации;
  4.  организует, финансирует разработку и утверждает нормативные и методические документы по аттестации объектов информатизации;
  5.  аккредитует органы по аттестации объектов информатизации и выдает им лицензии на проведение определенных видов работ;
  6.  осуществляет государственный контроль и надзор за соблюдением правил аттестации и эксплуатацией аттестованных объектов информатизации;
  7.  рассматривает апелляции, возникающие в процессе аттестации объектов информатизации, и контроля за эксплуатацией аттестованных объектовинформатизации;
  8.  организует периодическую публикацию информации по функционированию системы аттестации объектов информатизации по требованиям безопасности информации.

Испытательные лаборатории проводят испытания несертифицированной продукции, используемой на аттестуемом объекте информатизации.

Со списком органов по аттестации и испытательных лабораторий, прошедших аккредитацию, можно ознакомиться на официальном сайте ФСТЭК России в разделе "Сведения о Системе сертификации средств защиты информации по требованиям безопасности информации".

Заявители:

  1.  проводят подготовку объекта информатизации для аттестации путем реализации необходимых организационно-технических мероприятий по защите информации;
  2.  привлекают органы по аттестации для организации и проведения аттестации объекта информатизации;
  3.  предоставляют органам по аттестации необходимые документы и условия для проведения аттестации;
  4.  привлекают, в необходимых случаях, для проведения испытаний несеpтифициpованных средств защиты информации, используемых на аттестуемом объекте информатизации, испытательные центры (лаборатории) по сертификации;
  5.  осуществляют эксплуатацию объекта информатизации в соответствии с условиями и требованиями, установленными в "Аттестате соответствия";
  6.  извещают орган по аттестации, выдавший "Аттестат соответствия", о всех изменениях в информационных технологиях, составе и размещении средств и систем информатики, условиях их эксплуатации, которые могут повлиять на эффективность мер и средств защиты информации(перечень характеристик, определяющих безопасность информации, об изменениях которых требуется обязательно извещать орган по аттестации, приводится в "Аттестате соответствия");
  7.  предоставляют необходимые документы и условия для осуществления контроля и надзора за эксплуатацией объекта информатизации, прошедшего обязательную аттестацию.

Для проведения испытаний заявитель предоставляет органу по аттестации следующие документы и данные:

  1.  приемо-сдаточную документацию на объект информатизации;
  2.  акты категорирования выделенных помещений и объектов информатизации;
  3.  инструкции по эксплуатации средств защиты информации;
  4.  технический паспорт на аттестуемый объект;
  5.  документы на эксплуатацию (сертификаты соответствия требованиям безопасности информации) ТСОИ;
  6.  сертификаты соответствия требованиям безопасности информации на ВТСС;
  7.  сертификаты соответствия требованиям безопасности информации на технические средства защиты информации;
  8.  акты на проведенные скрытые работы;
  9.  протоколы измерения звукоизоляции выделенных помещений и эффективности экранирования сооружений и кабин (если они проводились);
  10.  протоколы измерения величины сопротивления заземления;
  11.  протоколы измерения реального затухания информационных сигналов до мест возможного размещения средств разведки;
  12.  данные по уровню подготовки кадров, обеспечивающих защиту информации;
  13.  данные о техническом обеспечении средствами контроля эффективности защиты информации и их метрологической поверке;
  14.  нормативную и методическую документацию по защите информации и контролю эффективности защиты. (Приведенный общий объем исходных данных и документации может уточняться заявителем в зависимости от особенностей аттестуемого объекта информатизации по согласованию с аттестационной комиссией.)
  15.  пояснительную записку, содержащую информационную характеристику и организационную структуру объекта защиты, сведения об организационных и технических мероприятиях по защите информации от утечки по техническим каналам;
  16.  перечень объектов информатизации, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
  17.  перечень выделенных помещений, подлежащих защите, с указанием мест их расположения и установленной категории защиты;
  18.  перечень устанавливаемых ТСОИ с указанием наличия сертификата (предписания на эксплуатацию) и мест их установки;
  19.  перечень устанавливаемых ВТСС с указанием наличия сертификата и мест их установки;
  20.  перечень устанавливаемых технических средств защиты информации с указанием наличия сертификата и мест их установки;
  21.  схему (в масштабе) с указанием плана здания, в котором расположены защищаемые объекты, границы контролируемой зоны, трансформаторной подстанции, заземляющего устройства, трасс прокладки инженерных коммуникаций, линий электропитания, связи, пожарной и охранной сигнализации, мест установки разделительных устройств и т.п.;
  22.  технологические поэтажные планы здания с указанием мест расположения объектов информатизации и выделенных помещений и характеристиками их стен, перекрытий, материалов отделки, типов дверей и окон;
  23.  планы объектов информатизации с указанием мест установки ТСОИ, ВТСС и прокладки их соединительных линий, а также трасс прокладки инженерных коммуникаций и посторонних проводников;
  24.  план-схему инженерных коммуникаций всего здания, включая систему вентиляции;
  25.  план-схему системы заземления объекта с указанием места расположения заземлителя;
  26.  план-схему системы электропитания здания с указанием места расположения разделительного трансформатора (подстанции), всех щитов и разводных коробок;
  27.  план-схему прокладки телефонных линий связи с указанием мест расположения распределительных коробок и установки телефонных аппаратов;
  28.  план-схему систем охранной и пожарной сигнализации с указанием мест установки и типов датчиков, а также распределительных коробок;
  29.  схемы систем активной защиты (если они предусмотрены)

Порядок проведения аттестации объектов информатизации по требованиям безопасности информации включает следующие действия:

  1.  подача и рассмотрение заявки на аттестацию. Заявка имеет установленную форму, с которой можно ознакомиться в "Положении об аттестации объектов информатизации по требованиям безопасности". Заявитель направляет заявку в орган по аттестации, который в месячный срок рассматривает заявку, выбирает схему аттестации и согласовывает ее с заявителем.
  2.  предварительное ознакомление с аттестуемым объектом – производится в случае недостаточности предоставленных заявителем данных до начала аттестационных испытаний;
  3.  испытание в испытательных лабораториях несертифицированных средств и систем защиты информации, используемых на аттестуемом объекте.
  4.  разработка программы и методики аттестационных испытаний. Этот шаг является результатом рассмотрения исходных данных и предварительного ознакомления с аттестуемым объектом. Орган по аттестации определяет перечень работ и их продолжительность, методику испытаний, состав аттестационной комиссии, необходимость использования контрольной аппаратуры и тестовых средств или участия испытательных лабораторий. Программа аттестационных испытаний согласовывается с заявителем.
  5.  заключение договоров на аттестацию. Результатом предыдущих четырех этапов становится заключение договора между заявителем и органом по аттестации, заключением договоров между органом по аттестации и привлекаемыми экспертами и оформлением предписания о допуске аттестационной комиссии к проведению аттестации.
  6.  проведение аттестационных испытаний объекта информатизации. В ходе аттестационных испытаний выполняется следующее:
  7.  анализ организационной структуры объекта информатизации, информационных потоков, состава и структуры комплекса технических средств и программного обеспечения, системы защиты информации на объекте, разработанной документации и ее соответствия требованиям нормативной документации по защите информации;
  8.  определяется правильность категорирования объектов ЭВТ и классификации АС (при аттестации автоматизированных систем), выбора и применения сертифицированных и несеpтифициpованных средств и систем защиты информации;
  9.  проводятся испытания несертифицированных средств и систем защиты информации на аттестуемом объекте или анализ результатов их испытаний в испытательных центрах (лабораториях) по сертификации;
  10.  проверяется уровень подготовки кадров и распределение ответственности персонала за обеспечение выполнения требований по безопасности информации;
  11.  проводятся комплексные аттестационные испытания объекта информатизации в реальных условиях эксплуатации путем проверки фактического выполнения установленных требований на различных этапах технологического процесса обработки защищаемой информации;
  12.  оформляются протоколы испытаний и заключение по результатам аттестации с конкретными рекомендациями по устранению допущенных нарушений, приведению системы защиты объекта информатизации в соответствие с установленными требованиями и совершенствованию этой системы, а также рекомендациями по контролю за функционированием объекта информатизации.

К заключению прилагаются протоколы испытаний, подтверждающие полученные при испытаниях результаты и обосновывающие приведенный в заключении вывод.

Протокол аттестационных испытаний должен включать:

  1.  вид испытаний;
  2.  объект испытаний;
  3.  дату и время проведения испытаний;
  4.  место проведения испытаний;
  5.  перечень использованной в ходе испытаний аппаратуры (наименование, тип, заводской номер, номер свидетельства о поверке и срок его действия);
  6.  перечень нормативно-методических документов, в соответствии с которыми проводились испытания;
  7.  методику проведения испытания (краткое описание);
  8.  результаты измерений;
  9.  результаты расчетов;
  10.  выводы по результатам испытаний

Протоколы испытаний подписываются экспертами – членами аттестационной комиссии, проводившими испытания, с указанием должности, фамилии и инициалов.

Заключение по результатам аттестации подписывается членами аттестационной комиссии, утверждается руководителем органа аттестации и представляется заявителю. Заключение и протоколы испытаний подлежат утверждению органом по аттестации.

  1.  оформление, регистрация и выдача "Аттестата соответствия" (если заключение по результатам аттестации утверждено).
  2.  осуществление государственного контроля и надзора, инспекционного контроля за проведением аттестации и эксплуатацией аттестованных объектов информатизации;
  3.  рассмотрение апелляций. В случае, если заявитель не согласен с отказом в выдаче "Аттестата соответствия", он может подать апелляцию в вышестоящий орган по аттестации или в ФСТЭК. Апелляция рассматривается в срок, не превышающий один месяц с привлечением заинтересованных сторон.

Аттестат соответствия должен содержать:

  1.  регистрационный номер;
  2.  дату выдачи;
  3.  срок действия;
  4.  наименование, адрес и местоположение объекта информатизации;
  5.  категорию объекта информатизации;
  6.  класс защищенности автоматизированной системы;
  7.  гриф секретности (конфиденциальности) информации, обрабатываемой на объекте информатизации;
  8.  организационную структуру объекта информатизации и вывод об уровне подготовки специалистов по защите информации;
  9.  номера и даты утверждения программы и методики, в соответствии с которыми проводились аттестационные испытания;
  10.  перечень руководящих документов, в соответствии с которыми проводилась аттестация;
  11.  номер и дата утверждения заключения по результатам аттестационных испытаний;
  12.  состав комплекса технических средств обработки информации ограниченного доступа, перечень вспомогательных технических средств и систем, перечень технических средств защиты информации, а также схемы их размещения в помещениях и относительно границ контролируемой зоны, перечень используемых программных средств;
  13.  организационные мероприятия, при проведении которых разрешается обработка информации ограниченного доступа;
  14.  перечень действий, которые запрещаются при эксплуатации объекта информатизации;
  15.  список лиц, на которых возлагается обеспечение требований по защите информации и контроль за эффективностью реализованных мер и средств защиты информации.

Аттестат соответствия подписывается руководителем аттестационной комиссии и утверждается руководителем органа по аттестации.

Аттестат соответствия выдается на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, могущих повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года.

2. Основные требования, предъявляемые к межсетевым  экранам. Основные функции МЭ. Основные компоненты МЭ.

Межсетевой экран (firewall) - это устройство контроля доступа в сеть, предназначенное для блокировки всего трафика, за исключением разрешенных данных. Прохождение трафика на межсетевом экране можно настраивать по службам, IP-адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью. В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.

Рассмотрим требования к реальной системе, осуществляющей межсетевое экранирование. В большинстве случаев экранирующая система должна:

• Обеспечивать безопасность внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;

• Обладать мощными и гибкими средствами управления для полного и, насколько возможно, простого воплощения в жизнь политики безопасности организации. Кроме того, экранирующая система должна обеспечивать простую реконфигурацию системы при изменении структуры сети;

• Работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;

• Работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в «пиковых» режимах. Это необходимо для того, чтобы МЭ нельзя было, образно говоря, «забросать» большим количеством вызовов,  которые привели бык нарушению работы;

• Обладать свойствами самозащиты от любых несанкционированных воздействий, поскольку межсетевой экран является ключом к конфиденциальной информации в организации.

КЛАССИФИКАЦИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ

Существует несколько схем классификации МЭ, отличающихся типом критерия, положенного в основу классификации.

По способу реализации различают

• программные и

• аппаратно-программные МЭ.

По типу защищаемого объекта различают:

• сегментные МЭ, устанавливаемые на границе двух или более сетей (или фрагментов сетей),

• встраиваемые МЭ, функционирующие на одной платформе с защищаемыми серверами и

• персональные МЭ. предназначенные для защиты отдельных рабочих станций.

Часто в качестве критерия принимается уровень эталонной модели взаимодействия

ISO/OSI, на котором функционирует конкретный тип МЭ. Такая классификация достаточно условна, поскольку современные МЭ работают сразу на нескольких уровнях. Тем не менее в литературе часто различают следующие типы МЭ:

• управляемые коммутаторы,

• пакетные фильтры,

• инспекторы состояния,

• МЭ сеансового уровня,

• МЭ прикладного уровня,

• МЭ экспертного уровня.

Управляемые коммутаторы функционируют на канальном уровне модели ISO/OSI.

Пакетные фильтры контролируют заголовки сетевого и транспортного уровня.

Причем каждый пакет проверяется независимо от предыдущих. Пакетные фильтры являются неотъемлемой частью более сложных МЭ.

Инспекторы состояния (МЭ сеансового уровня - StateFull-Inspection FW) осуществляют фильтрацию пакетов с учетом информации о текущей фазе виртуального соединения (ТCP-соединения или искусственного UDP- и/или ICMP-соединения). Для этого при фильтрации каждого пакета учитываются результаты обработки предыдущих пакетов данного соединения.

МЭ прикладного уровня осуществляют фильтрацию на основе контроля заголовков и/или данных прикладного уровня.

МЭ экспертного уровня реализуют все или большинство перечисленных технологий МЭ. В дополнение к ним МЭ этого типа реализуют дополнительные функции защиты информации: имеют встроенные механизмы обнаружения вторжений, системы поддержки VPN, усиленные системы аутентификации и др.

Отдельно выделяют особую группу межсетевых экранов – посредников. В отличие от рассмотренных выше МЭ, МЭ-посредники вместо прямого соединения клиента с сервером формируют два соединения «клиент–посредник» и «посредник-сервер». При запросе соединения с каким-либо сервером посредник сначала проверяет права клиента на доступ к указанному сервису и (только при положительном результате) – устанавливает соединение с запрашиваемым узлом.

Обычно различают МЭ-посредники следующих типов

• посредники сеансового уровня,

• посредники прикладного уровня.

Основные функции аппаратных и программно-аппаратных МЭ:

• Режим «stealth» для выполнения скрытной фильтрации,

• Пакетная фильтрация,

• Фильтрация протоколов с учетом состояния виртуального соединения,

• Трансляция адресов NAT,

• Поддержка VLAN,

• Поддержка VPN,

• Возможность регистрации и зеркалирования трафика,

• Мониторинг трафика и анализ файлов регистрации событий,

• Поддержка горячего резервирования.

3. Организационная компонента КСЗИ.

В рамках организационного направления работ создается организационная компонента КСЗИ - совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.

Организационная компонента КСЗИ включает в себя разработку регламента обеспечения безопасности, применение методологии при работе с персоналом Заказчика, при создании подразделения, ответственного за обеспечение безопасности информации, обучение и консультации сотрудников подразделения, работы по уточнению требований к характеристикам защищенности системы, анализ информационной структуры Заказчика, разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых формы их взаимодействий и т.д.

Определение 1.  Регламент обеспечения безопасности  - комплект документов, регламентирующий правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности.

В регламенте должен быть определен комплекс методических, административных и технических мер, включающих в себя:

  1.  создание подразделения, ответственного за обеспечение  информации;
  2.  определение порядка допуска сотрудников к конфиденциальной информации;
  3.  определение обязанностей, ограничений и условий, накладываемых на сотрудников, допущенных к конфиденциальной информации;
  4.  установление категории конфиденциальности информации; определение категории конфиденциальности работ, проводимых Заказчиком и информации, содержащейся в документах, связанных с работами; порядок изменения категории конфиденциальности работ и информации;
  5.  требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация, по категориям;
  6.  требования к конфиденциальному делопроизводству;
  7.  требования к учету, хранению и обращению с конфиденциальными документами;
  8.  меры по контролю за обеспечением конфиденциальности работ и информации;
  9.  план мероприятий по противодействию атаке на конфиденциальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации);
  10.  план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пресечения процесса разглашения/утечки информации);
  11.  определение ответственности за разглашение конфиденциальной информации.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

К основным организационным мероприятиям можно отнести:

  1.  организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
  2.  организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
  3.  организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
  4.  организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
  5.  организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
  6.  организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера.

Очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться какой-то организационной структурой, каким то специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности предпринимательской деятельности и защите информации.

Зачастую таким структурным подразделением является служба безопасности предприятия (фирмы, организации), на которую возлагаются следующие общие функции:

  1.  организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;
  2.  обеспечение пропускного и внутриобъектового режима
  3.  руководство работами по правовому и организационному регулированю отношений по защите информации;
  4.  участие в разработке основополагающих документов, положений о подразделениях, трудовых договоров, соглашений, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
  5.  разработка и осуществление совместно с другими подразделениями мероприятий по обеспечению работы с документами, содержащими конфиденциальные сведения;
  6.  организация и проведение служебных расследований по фактам разглашения сведений, утрат документов, утечки конфиденциальной информации и других нарушений безопасности предприятия;
  7.  разработка, ведение, обновление и пополнение «Перечня сведений конфиденциального характера» и других нормативных актов
  8.  обеспечение строгого выполнения требований нормативных документов по защите производственных секретов предприятия;
  9.  ведение учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам охраняемых секретов;
  10.  поддержание контактов с правоохранительными органами и службами безопасности соседних предприятий в интересах изучения криминогенной обстановки в районе (зоне) и оказания взаимной помощи в кризисных ситуациях.

Организационно служба безопасности состоит из следующих структурных единиц:

  1.  подразделения режима и охраны;
  2.  специального подразделения обработки документов конфиденциального характера;
  3.  инженерно-технических подразделений;
  4.  информационно-аналитических подразделений.

В таком составе служба безопасности способна обеспечить защиту конфиденциальной информации от любых угроз. .

 Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.


 

А также другие работы, которые могут Вас заинтересовать

31313. Строительство электрической сети и расчет капитальных вложений 5.39 MB
  Без учета влияния cosφ определим по формуле: β стоимость потерянного кВтч равная 105 руб. кВтч или 1050 руб. На распределительном силовом щите РСЩ отключить рубильник блока профилактируемой камеры. На рукоятке рубильника повесить плакат Не включать Работают люди.
31314. Особенности обращения взыскания на заработок и иные доходы должника-гражданина 325 KB
  Целью дипломного исследования является комплексное рассмотрение теоретических и практических проблем, формулирование предложений по совершенствованию законодательства, касающегося вопросов обращения взыскания на заработок и иные доходы должника - гражданина, и практики его применения.
31316. СУЧАСНИЙ СТАН УПРАВЛІННЯ МАТЕРІАЛЬНИМИ РЕСУРСАМИ НА ПІДПРИЄМСТВІ на прикладі КП «Березанського ККП» 819.5 KB
  ТЕОРЕТИЧНІ ОСНОВИ УПРАВЛІННЯ МАТЕРІАЛЬНИМИ РЕСУРСАМИ НА ПІДПРИЄМСТВІ Характеристика матеріальних ресурсів підприємства. Аналіз виробничо економічних показників підприємства. Аналіз фінансового стану підприємства 2. Зростання потреби підприємства в матеріальних ресурсах може бути задоволений екстенсивним шляхом придбанням або виготовленням більшої кількості матеріалів та енергії або інтенсивним більш економним використанням наявних запасів в процесі виробництва продукції.
31317. Анализ существующего состояния транспортного рынка Республики Беларусь и описание механизма функционирования транспортно-логистического центра на основе накопленного опыта зарубежных стран, включая Россию 2.45 MB
  Организация транспортно-экспедиционного обслуживания грузовладельцев при существующей технологии выполнения услуг Анализ схем доставки грузов Зарубежный опыт организации транспортно-логистических систем. Возникает необходимость формирования нового мировоззрения прежде всего в сфере взаимодействия с грузовладельцами замены системы и методов управления развития информационной базы.
31319. Проектирование специализированного завода по производству железобетонных цельных предварительно напряженных свай сплошного сечения с поперечным армированием ствола типа С80.35AIV по агрегатно-поточной технологии 1.44 MB
  Производство бетона по своему технологическому содержанию — это химическое производство, так как твердение бетона осуществляется через протекание сложных химических реакций, поэтому прочность затвердевшего бетона существенно зависит от качества использованных для его приготовления исходных материалов.
31320. Влияния поточно-цеховой системы содержания на физиологическое состояние и продуктивность животных в условиях ОАО «Племзавод Октябрьский» Ферзиковского района Калужской области 291.5 KB
  Скотоводство является основным поставщиком высококачественного кожевенного сырья, получаемого при убое скота (впрочем, и в подсобном хозяйстве из выделанных телячьих шкур нередко шьют зимнюю одежду, чехлы для сидений автомобиля и другие изделия) и побочных продуктов (кости, рога, волос и др.), источником получения ценного органического удобрения (от каждой коровы за год получают более 10 тонн навоза).
31321. Организационное и правовой механизм обеспечения качества работы персонала в организации «ООО Алан» 369 KB
  Специфичность цели отражает количественную ясность цели, ее точность, определенность. Доказано, что более конкретные и определенные цели ведут к лучшим результатам, чем цели имеющие широкий смысл, с нечетко определенным содержанием и границами. Поэтому работа человека, имеющего широкий смысл цели, будет иметь тот же результат, что и работа человека совершенно не имеющего целей.