71312

Основы обеспечения информационной безопасности в ОВД

Лекция

Информатика, кибернетика и программирование

Основной проблемой информационного общества сегодня является проблема защиты информации от ее утечки искажения блокирования систем и средств передачи информации а так же защита сведений конфиденциального характера и государственной тайны.

Русский

2014-11-05

153.5 KB

47 чел.

Министерство внутренних дел Российской Федерации

Санкт-Петербургский университет

Кафедра специальных информационных технологий

УТВЕРЖДАЮ

начальник  кафедры СИТ

полковник полиции

А.И. Примакин

Рабочая лекция по дисциплине Основы информационной безопасности в ОВД

по теме 1/2 «Основы обеспечения информационной безопасности в ОВД»

Обсуждена на заседании кафедры

8 октября  2013 года

протокол № 2

Санкт-Петербург

2013 г.


Содержание

введение

учебные вопросы:

1. Основные термины и определения информационной безопасности.

2. Основные принципы и условия обеспечения информационной безопасности.

3. Понятие политики безопасности.

Заключение

Контрольные вопросы

Литература

Введение

В предыдущей лекции нами были рассмотрены основные направления государственной политики в области информатизации общества. Основной проблемой информационного общества сегодня является проблема защиты информации от ее утечки, искажения, блокирования систем и средств передачи информации, а так же защита сведений конфиденциального характера и государственной тайны. С внедрением в жизнь обывателей информационных технологий мир встал перед проблемой новых информационных отношений связанных с безопасностью информации и информационных процессов.

1.  Основные термины и определения информационной безопасности1

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Система защиты информации. Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Политика безопасности (информации в организации). Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Безопасность информации [данных]. Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

К видам защиты информации относятся:

1. Физическая защита информации. Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

2. Правовая защита информации. Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

3. Техническая защита информации. ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

4. Криптографическая защита информации. Защита информации с помощью ее криптографического преобразования.

Примечания

1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временны х, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

К способам защиты информации будут относиться:

Способ защиты информации. Порядок и правила применения определенных принципов и средств защиты информации.

1. Защита информации от утечки. Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2. Защита информации от несанкционированного воздействия. ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

3. Защита информации от непреднамеренного воздействия. Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

4. Защита информации от разглашения. Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

5. Защита информации от несанкционированного доступа. ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Примечание.  

Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

6. Защита информации от преднамеренного воздействия. ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

7. Защита информации от [иностранной] разведки. Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

К объекту защиты информации относятся

Объект защиты информации. Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

1. Защищаемая информация. Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание  

Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2. Носитель защищаемой информации. Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

3. Защищаемый объект информатизации. Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

4. Защищаемая информационная система. Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

К угрозам безопасности информации

Угроза (безопасности информации). Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Фактор, воздействующий на защищаемую информацию.  Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

Источник угрозы безопасности информации. Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Уязвимость (информационной системы); брешь. Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Примечания

1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2. Если уязвимость соответствует угрозе, то существует риск.

1. Вредоносная программа.  Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

2. Несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

3. Преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

4. Модель угроз (безопасности информации).  Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание 

Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

К способам оценки соответствия требованиям по защите информации относятся:

Оценка соответствия требованиям по защите информации. Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.

Лицензирование в области защиты информации. Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.

Сертификация на соответствие требованиям по безопасности информации. Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.

Примечание 

К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации.

Мониторинг безопасности информации.  Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

Анализ информационного риска.  Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.

Эффективность защиты информации.  Степень соответствия результатов защиты информации цели защиты информации.

Требование по защите информации. Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

Показатель эффективности защиты информации. Мера или характеристика для оценки эффективности защиты информации.

Норма эффективности защиты информации.  Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

2. Основные принципы и условия обеспечения информационной безопасности.

В самом общем смысле информационная безопасность – такое состояние информации и среды, которое исключает вред собственнику или владельцу этой информации. В зависимости от того, кто является собственником, встречаются, например, такие определения:

Анализ того, отчего и в чем может выражаться вред собственнику информации, приводит к стандартной модели безопасности, включающей три категории:

  •  конфиденциальность;
  •  целостность;
  •  доступность.

Конфиденциальность – это доступность информации только определенному кругу лиц.

Целостность – свойство сохранности информация в определенном необходимом виде.

Доступность – возможность использования информации собственником при необходимости.

Информационная безопасность определяется способностью государства, общества, личности:

  •  обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;
  •  противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;
  •  вырабатывать личностные и групповые навыки и умения безопасного поведения;
  •  поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

Цели и задачи системы информационной безопасности

Целью защиты информации является сведение к минимуму потерь, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.

Основными задачами системы информационной безопасности (ИБ) являются:

  •  своевременное выявление и устранение угроз безопасности ресурсам, причин и условий, способствующих финансовому, материальному и моральному ущербу;
  •  создание механизма и условий оперативного реагирования на угрозы безопасности;
  •  эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
  •  создание условий для минимизации и локализации возможного ущерба, ослабления негативного влияния последствий.

Для формирования более детального представления необходимо знание основных принципов организации системы информационной безопасности.

Первым и наиболее важным является принцип непрерывного совершенствования системы информационной безопасности. Суть этого принципа заключается в постоянном выявлении слабых мест системы, которые возникают от изменения характера внутренних и внешних угроз.

Вторым является принцип комплексного использования всех доступных средств защиты во всех структурных элементах организации и на всех этапах работы с информацией. Комплексный характер защиты информации проистекает, прежде всего, из того, что злоумышленники всегда ищут самое слабое звено в системе безопасности.

Важными условиями обеспечения безопасности являются:

  •  законность,
  •  достаточность,
  •  соблюдение баланса интересов личности и организации,
  •  профессионализм представителей службы безопасности,
  •  подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности,
  •  взаимная ответственность персонала и руководства,
  •  взаимодействие с государственными правоохранительными органами.

Требования к защите информации

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.

Защита информации должна быть:

- централизованной;

необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;

- плановой;

планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;

- конкретной и целенаправленной;

защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;

- активной;

защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;

- надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта;

методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;

- нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;

- открытой для изменения и дополнения мер обеспечения безопасности информации;

- экономически эффективной;

затраты на систему защиты не должны превышать размеры возможного ущерба.

3. Понятие политики безопасности.

Политика безопасности организации (англ. оrganizational security policies) – совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах.

Политикой безопасности можно назвать и простые правила использования ресурсов (уровень руководителей), и описания всех соединений и их особенностей (уровень инженерно-технического состава). В данном учебнике рассмотрена только зона ответственности руководителя в формировании политики безопасности, прежде всего, планирование защиты информационной системы. Именно участие руководителя, а не только технических специалистов, в разработке политики безопасности позволяет учесть целесообразное и выверенное, с точки зрения конкретных функциональных обязанностей, распределение информации.

Действия по управлению сложными организационно-техническими системами должны быть спланированы. Планирование информационной безопасности начинается после проведения анализа рисков и выбора средств защиты информации в соответствии с их ранжированием. Планирование – это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.

Принципиально план защиты включает в себя две группы мероприятий – по построению (формированию) системы защиты и по использованию сформированной системы для защиты информации.

Цель планирования:

  •  координация деятельности соответствующих подразделений по обеспечению информационной безопасности;
  •  наилучшее использование всех выделенных ресурсов;
  •  предотвращение ошибочных действий, могущих привести к снижению возможности достижения цели.

Различают два вида планирования: стратегическое или перспективное и тактическое или текущее.

Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их использования.

Тактическое планирование заключается в определении промежуточных целей на пути достижения главных. При этом детально прорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.

Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом.

С тактическим планированием связано понятие оперативного управления. Оперативное управление обеспечивает функционирование системы в соответствии с намеченным планом и заключается в периодическом или непрерывном сравнении фактически полученных результатов с намеченными планами и последующей их корректировкой.

Отклонения системы от намеченных планов могут оказаться такими, что для эффективного достижения цели целесообразно произвести перепланирование, либо такой исход должен быть предусмотрен на стадии планирования.

Планирование включает в себя определение, разработку или выбор:

  •  конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
  •  требований к системе защиты информации;
  •  средств и способов функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
  •  совокупности мероприятий защиты, проводимых в различные периоды времени;
  •  порядка ввода в действие средств защиты;
  •  ответственности персонала;
  •  порядка пересмотра плана и модернизации системы защиты;
  •  совокупности документов, регламентирующих деятельность по защите информации.

Политика информационной безопасности определяет облик системы защиты информации – совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий.

Политика безопасности должна гарантировать, что для каждого вида проблем существует ответственный исполнитель. В связи с этим ключевым элементом политики безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.

Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации. В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.

Нужно уметь четко ответить на следующие вопросы:

  •  Сколько компьютеров (вспомогательного оборудования) установлено в организации? Сколько их на рабочих местах, сколько в ремонте, сколько в резерве.
  •  Можно ли узнать каждый компьютер «в лицо»?
  •  Можно ли обнаружить «маскарад» оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены?
  •  Какие задачи и с какой целью решаются на каждом компьютере?
  •  Есть ли уверенность в необходимости каждой единицы контролируемого оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты? Ведь если от оборудования нет пользы, с точки зрения безопасности от него можно ожидать только вреда.
  •  Каков порядок ремонта и технической профилактики компьютеров?
  •  Как проверяется оборудование, возвращаемое из ремонта, перед установкой на рабочее место?
  •  Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?

Список вопросов можно продолжить. Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.

Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, отмечают следующую особенность – реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы, сменяется на резкое неприятие.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

  •  появление дополнительных ограничений для пользователей, затрудняющие использование и эксплуатацию автоматизированной системы организации;
  •  необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.
  •  Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:
  •  принятие только организационных мер обеспечения безопасности информации;
  •  использование только дополнительных технических средств защиты информации.

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.

Во втором случае, приобретаются и устанавливаются дополнительные технические средства. Их применение без соответствующей организационной поддержки только усиливает существующий беспорядок.

Комплекс мероприятий, необходимых для реализации защиты информации на объекте по времени проведения 

Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в компьютерных сетях. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

По времени проведения:

  •  разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
  •  периодически проводимые (через определенное время) мероприятия;
  •  мероприятия, проводимые при осуществлении или возникновении определенных условий или изменений в самой защищаемой системе или среде (по необходимости);
  •  постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия:

  •  общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты;
  •  мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов (исключение тайного проникновения в помещения, установки аппаратуры и т. п.);
  •  мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т. п.);
  •  разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;
  •  внесение необходимых изменений и дополнений в организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов и действиям в случае кризисных ситуаций;
  •  оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;
  •  определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
  •  разработка правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием компьютерных средств, а также используемых при их решении режимов доступа к данным; перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну; выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест обработки информации и каналов доступа к ней; оценка возможного ущерба, вызванного нарушением безопасности информации);
  •  организация пропускного режима;
  •  определение порядка учета, выдачи, использования и хранения съемных носителей информации, содержащих эталонные и резервные копии программ, архивные данные и т. п.;
  •  организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
  •  определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);
  •  создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы;
  •  определение перечня регулярно проводимых мероприятий и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях, возникающих из-за несанкционированного доступа, сбоев и отказов техники, ошибок в программах и действиях персонала, стихийных бедствий.

Периодически проводимые мероприятия:

  •  Распределение и смена реквизитов разграничения доступа (паролей, ключей шифрования и т. п.).
  •  Анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы.
  •  Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации.
  •  Осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты (периодически с привлечением сторонних специалистов). На основе полученной в результате анализа информации принимать меры по совершенствованию системы защиты.
  •  Мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости:

  •  мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
  •  мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения;
  •  мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).

Постоянно проводимые мероприятия:

  •  противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности техники и носителей информации и т. п.;
  •  явный и скрытый контроль за работой персонала системы;
  •  контроль за применением мер защиты.

Пересмотр «Плана защиты» рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонентов объекта:

Люди. Пересмотр может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т. д.

Техника. Пересмотр «Плана защиты» может быть вызван подключением других сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.

Помещения. Пересмотр «Плана защиты» может быть вызван изменением территориального расположения компонентов объекта.

Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов.

Заключение

Итак, мы рассмотрели основные принципы и условия обеспечения информационной безопасности на объекте и связанную с ней политику безопасности. Зарубежный опыт показывает, что эффективной защитой организации от компьютерных преступлений является введение в ней должности специалиста по компьютерной безопасности (администратора по защите информации), либо создание специальных служб безопасности. Наличие такой службы в организации снижает вероятность совершения компьютерных преступлений вдвое. Кроме того, настоятельно рекомендуются следующие организационные меры:

для всех лиц, имеющих право доступа к средствам компьютерной техники (СКТ), должны быть определены категории доступа;

определена ответственность за сохранность информационных ресурсов;

налажен периодический контроль за качеством защиты информации;

проведена классификация информации в соответствии с ее важностью, дифференциация на основе этого мер защиты;

организация физической защиты СКТ.

Помимо организационных мер, существенную роль в борьбе с компьютерными преступлениями могут играть меры технического характера (аппаратные, программные и комплексные). Аппаратные методы предназначены для защиты компьютерной техники от нежелательных случайных физических воздействий и преднамеренных действий с защищаемой информацией. К ним относятся источники бесперебойного питания, устройства экранирования аппаратуры, устройства идентификации личности.

Контрольные вопросы.

  1.  Перечислите виды защиты информации.
  2.  Назовите объекты защиты информации и дайте их определения.
  3.  Назовите способы защиты информации.
  4.  Назовите свойства информации, составляющие модель информационной безопасности.
  5.  Назовите основные принципы информационной безопасности.
  6.  Перечислите условия и требования к защите информации.
  7.  Дайте определения политики безопасности на объекте и сформулируйте требования, предъявляемые к плану защиты информации.

Литература

Основная:

  1.  Аполлонский А. В., Домбровская Л. А., Примакин А. И., Смирнова О. Г., Основы информационной безопасности в ОВД: Учебник для вузов. – СПб.: Университет МВД РФ, 2010.
  2.  Лопатин В. Н. Информационная безопасность России: Человек. Общество. Государство. Фонд «Университет». СПб 2000.

Дополнительная:

  1.  Васильев А.И., Сальников В.П., Степашин С.В. Национальная безопасность России: конституционное обеспечение. Фонд «Университет». СПб 1999.
  2.  Исмагилов Р.Ф., Сальников В.П., Степашин С.В. Экономическая безопасность России: концепция – правовые основы – политика. Фонд «Университет». СПб 2001.
  3.  Доценко С.М., Примакин А.И. Информационная безопасность и применение информационных технологий в борьбе с преступностью: Учебник для вузов. – СПб.: Университет МВД РФ, 2004.

Лекция разработана доцентом кафедры специальных информационных технологий

полковником полиции       О.Г. Смирновой

1 ГОСТ Р 50922-2006 Национальный стандарт РФ «Защита информации. Основные термины и определения»


 

А также другие работы, которые могут Вас заинтересовать

79054. Проблема «опыта» и истины в философии науки нач. 20 в. (Э. Мах, Авинариус, А. Пуанкаре) 34.5 KB
  Проблема опыта и истины в философии науки нач. Эмпириокритицизм философская система чистого опыта критический эмпиризм который стремиться ограничить философию изложением данных опыта при полном исключении всякой метафизики с целью выработки и естественного понятия о мире. Нейтральный элемент опыта одновременное включение духовного и материального начала. Авенариусом буквально означает критику опыта.
79055. Вклад неопозитивизма в развитии логики и методологии науки 37 KB
  Вклад неопозитивизма в развитии логики и методологии науки. Логика науки – применение идей методов и аппарата логики в анализе научного познания. Развитие логики всегда было тесно связано с практикой теоретического мышления и прежде всего с развитием науки. Методология науки в традиционном понимании это учение о методах и процедурах научной деятельности а также раздел общей теории познания в особенности теории научного познания эпистемологии и философии науки.
79056. Концепция философии науки Т. Куна 25.5 KB
  Концепция философии науки Т. Важнейшей характеристикой знания является его динамика его рост изменение развитие В современной западной философии проблема роста развития знания является центральной в философии науки. переход к новому периоду нормальной науки . Причем последние гораздо более редки в истории развития науки по сравнению с первыми.
79057. Концепция философии науки К. Поппера 28.5 KB
  Карл Поппер предложил в 1967 году различать следующие три мира: во-первых мир физических объектов или физических состояний; во-вторых мир состояний сознания мыслительных ментальных состояний в-третьих мир объективного содержания мышления мир научных идей проблем поэтических мыслей и произведений искусства. Этот третий мир вполне объективен и осязаем. Это мир книг библиотек географических карт мир произведений живописи. Концепция Поппера подчёркивает своеобразие и загадочность знания как объекта исследования: для того чтобы...
79058. Развитие философии науки постпозитивизмом (И.Локатос, П. Фейерабенд, М. Полани) 38.5 KB
  В 60-70 годы 20 века в зап. философии науки развивается течение постпозитивизма. Постпозитивисты (Поппер, Мун, Лакатос, Фейрабенб, Полани) подвергли критике позитивистский идеал факта, введя в анализ науки историческое
79059. Право цивильное и право преторское. Римские магистраты и значение их эдиктов для выработки новой системы права. Процесс взаимодействия права цивильного и преторского. Кодификация эдиктов 28.54 KB
  Римские магистраты и значение их эдиктов для выработки новой системы права. Процесс взаимодействия права цивильного и преторского. civilis – гражданский или квиритское право римляне называли себя квиритами в честь бога войны Яна Квирина – совокупность норм права исходящих от народного собрания позднее – сената. Источники цивильного права – обычаи и законы.
79060. Понятие наследования. Сущность и происхождение наследования. Виды наследования 24.25 KB
  Подобно тому как собственность в экономическом смысле существовала и до образования государства и права а право собственности появилось только с образованием государства так и наследственное право в качестве завершения права собственности появилось только с возникновением государства. Универсальный характер наследования проявляется в том что к наследнику переходят сразу и права и обязанности входящие в состав наследства в том что наследник может приобрести в составе наследства даже такие права и обязанности о существовании которых он...
79061. Понятие права собственности. Содержание права собственности 27.13 KB
  Содержание права собственности. Понятие права собственности и развитие этого института в Риме. Римское право было системой права построенного на начале частной собственности.
79062. Понятие римского частного права. Отличие частного права от права публичного. Основные системы римского частного права 20.29 KB
  Отличие частного права от права публичного. Основные системы римского частного права. Один из римских юристов классического периода Ульпиан проводит разграничение этих двух областей права следующим образом.