71312

Основы обеспечения информационной безопасности в ОВД

Лекция

Информатика, кибернетика и программирование

Основной проблемой информационного общества сегодня является проблема защиты информации от ее утечки искажения блокирования систем и средств передачи информации а так же защита сведений конфиденциального характера и государственной тайны.

Русский

2014-11-05

153.5 KB

65 чел.

Министерство внутренних дел Российской Федерации

Санкт-Петербургский университет

Кафедра специальных информационных технологий

УТВЕРЖДАЮ

начальник  кафедры СИТ

полковник полиции

А.И. Примакин

Рабочая лекция по дисциплине Основы информационной безопасности в ОВД

по теме 1/2 «Основы обеспечения информационной безопасности в ОВД»

Обсуждена на заседании кафедры

8 октября  2013 года

протокол № 2

Санкт-Петербург

2013 г.


Содержание

введение

учебные вопросы:

1. Основные термины и определения информационной безопасности.

2. Основные принципы и условия обеспечения информационной безопасности.

3. Понятие политики безопасности.

Заключение

Контрольные вопросы

Литература

Введение

В предыдущей лекции нами были рассмотрены основные направления государственной политики в области информатизации общества. Основной проблемой информационного общества сегодня является проблема защиты информации от ее утечки, искажения, блокирования систем и средств передачи информации, а так же защита сведений конфиденциального характера и государственной тайны. С внедрением в жизнь обывателей информационных технологий мир встал перед проблемой новых информационных отношений связанных с безопасностью информации и информационных процессов.

1.  Основные термины и определения информационной безопасности1

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

Система защиты информации. Совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.

Политика безопасности (информации в организации). Совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Безопасность информации [данных]. Состояние защищенности информации [данных], при котором обеспечены ее [их] конфиденциальность, доступность и целостность.

К видам защиты информации относятся:

1. Физическая защита информации. Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

2. Правовая защита информации. Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

3. Техническая защита информации. ТЗИ: Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

4. Криптографическая защита информации. Защита информации с помощью ее криптографического преобразования.

Примечания

1 Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временны х, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

2 К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.

К способам защиты информации будут относиться:

Способ защиты информации. Порядок и правила применения определенных принципов и средств защиты информации.

1. Защита информации от утечки. Защита информации, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения и несанкционированного доступа к ней, а также на исключение (затруднение) получения защищаемой информации [иностранными] разведками и другими заинтересованными субъектами.

Примечание - Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2. Защита информации от несанкционированного воздействия. ЗИ от НСВ: Защита информации, направленная на предотвращение несанкционированного доступа и воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

3. Защита информации от непреднамеренного воздействия. Защита информации, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

4. Защита информации от разглашения. Защита информации, направленная на предотвращение несанкционированного доведения защищаемой информации до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

5. Защита информации от несанкционированного доступа. ЗИ от НСД: Защита информации, направленная на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации.

Примечание.  

Заинтересованными субъектами, осуществляющими несанкционированный доступ к защищаемой информации, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

6. Защита информации от преднамеренного воздействия. ЗИ от ПДВ: Защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

7. Защита информации от [иностранной] разведки. Защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой.

К объекту защиты информации относятся

Объект защиты информации. Информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации.

1. Защищаемая информация. Информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Примечание  

Собственниками информации могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

2. Носитель защищаемой информации. Физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

3. Защищаемый объект информатизации. Объект информатизации, предназначенный для обработки защищаемой информации с требуемым уровнем ее защищенности.

4. Защищаемая информационная система. Информационная система, предназначенная для обработки защищаемой информации с требуемым уровнем ее защищенности.

К угрозам безопасности информации

Угроза (безопасности информации). Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Фактор, воздействующий на защищаемую информацию.  Явление, действие или процесс, результатом которого могут быть утечка, искажение, уничтожение защищаемой информации, блокирование доступа к ней.

Источник угрозы безопасности информации. Субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

Уязвимость (информационной системы); брешь. Свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации.

Примечания

1. Условием реализации угрозы безопасности обрабатываемой в системе информации может быть недостаток или слабое место в информационной системе.

2. Если уязвимость соответствует угрозе, то существует риск.

1. Вредоносная программа.  Программа, предназначенная для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы информационной системы.

2. Несанкционированное воздействие на информацию: Воздействие на защищаемую информацию с нарушением установленных прав и (или) правил доступа, приводящее к утечке, искажению, подделке, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

3. Преднамеренное силовое электромагнитное воздействие на информацию: Несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

4. Модель угроз (безопасности информации).  Физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

Примечание 

Видом описательного представления свойств или характеристик угроз безопасности информации может быть специальный нормативный документ.

К способам оценки соответствия требованиям по защите информации относятся:

Оценка соответствия требованиям по защите информации. Прямое или косвенное определение степени соблюдения требований по защите информации, предъявляемых к объекту защиты информации.

Лицензирование в области защиты информации. Деятельность, заключающаяся в проверке (экспертизе) возможностей юридического лица выполнять работы в области защиты информации в соответствии с установленными требованиями и выдаче разрешения на выполнение этих работ.

Сертификация на соответствие требованиям по безопасности информации. Форма осуществляемого органом по сертификации подтверждения соответствия объектов оценки требованиям по безопасности информации, установленным техническими регламентами, стандартами или условиями договоров.

Примечание 

К объектам оценки могут относиться: средство защиты информации, средство контроля эффективности защиты информации.

Мониторинг безопасности информации.  Постоянное наблюдение за процессом обеспечения безопасности информации в информационной системе с целью установить его соответствие требованиям безопасности информации.

Анализ информационного риска.  Систематическое использование информации для выявления угроз безопасности информации, уязвимостей информационной системы и количественной оценки вероятностей реализации угроз с использованием уязвимостей и последствий реализации угроз для информации и информационной системы, предназначенной для обработки этой информации.

Эффективность защиты информации.  Степень соответствия результатов защиты информации цели защиты информации.

Требование по защите информации. Установленное правило или норма, которая должна быть выполнена при организации и осуществлении защиты информации, или допустимое значение показателя эффективности защиты информации.

Показатель эффективности защиты информации. Мера или характеристика для оценки эффективности защиты информации.

Норма эффективности защиты информации.  Значение показателя эффективности защиты информации, установленное нормативными и правовыми документами.

2. Основные принципы и условия обеспечения информационной безопасности.

В самом общем смысле информационная безопасность – такое состояние информации и среды, которое исключает вред собственнику или владельцу этой информации. В зависимости от того, кто является собственником, встречаются, например, такие определения:

Анализ того, отчего и в чем может выражаться вред собственнику информации, приводит к стандартной модели безопасности, включающей три категории:

  •  конфиденциальность;
  •  целостность;
  •  доступность.

Конфиденциальность – это доступность информации только определенному кругу лиц.

Целостность – свойство сохранности информация в определенном необходимом виде.

Доступность – возможность использования информации собственником при необходимости.

Информационная безопасность определяется способностью государства, общества, личности:

  •  обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;
  •  противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;
  •  вырабатывать личностные и групповые навыки и умения безопасного поведения;
  •  поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

Цели и задачи системы информационной безопасности

Целью защиты информации является сведение к минимуму потерь, вызванных нарушением целостности данных, их конфиденциальности или недоступности информации для потребителей.

Основными задачами системы информационной безопасности (ИБ) являются:

  •  своевременное выявление и устранение угроз безопасности ресурсам, причин и условий, способствующих финансовому, материальному и моральному ущербу;
  •  создание механизма и условий оперативного реагирования на угрозы безопасности;
  •  эффективное пресечение посягательств на ресурсы и угроз персоналу на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
  •  создание условий для минимизации и локализации возможного ущерба, ослабления негативного влияния последствий.

Для формирования более детального представления необходимо знание основных принципов организации системы информационной безопасности.

Первым и наиболее важным является принцип непрерывного совершенствования системы информационной безопасности. Суть этого принципа заключается в постоянном выявлении слабых мест системы, которые возникают от изменения характера внутренних и внешних угроз.

Вторым является принцип комплексного использования всех доступных средств защиты во всех структурных элементах организации и на всех этапах работы с информацией. Комплексный характер защиты информации проистекает, прежде всего, из того, что злоумышленники всегда ищут самое слабое звено в системе безопасности.

Важными условиями обеспечения безопасности являются:

  •  законность,
  •  достаточность,
  •  соблюдение баланса интересов личности и организации,
  •  профессионализм представителей службы безопасности,
  •  подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности,
  •  взаимная ответственность персонала и руководства,
  •  взаимодействие с государственными правоохранительными органами.

Требования к защите информации

С позиций системного подхода для реализации приведенных принципов процесс, да и сама система защиты информации должны отвечать некоторой совокупности требований.

Защита информации должна быть:

- централизованной;

необходимо иметь в виду, что процесс управления всегда централизован, в то время как структура системы, реализующей этот процесс, должна соответствовать структуре защищаемого объекта;

- плановой;

планирование осуществляется для организации взаимодействия всех подразделений объекта в интересах реализации принятой политики безопасности; каждая служба, отдел, направление разрабатывают детальные планы защиты информации в сфере своей компетенции с учетом общей цели организации;

- конкретной и целенаправленной;

защите подлежат абсолютно конкретные информационной ресурсы, могущие представлять интерес для конкурентов;

- активной;

защищать информацию необходимо с достаточной степенью настойчивости и целеустремленности. Это требование предполагает наличие в составе системы информационной безопасности средств прогнозирования, экспертных систем и других инструментариев, позволяющих реализовать наряду с принципом «обнаружить и устранить» принцип «предвидеть и предотвратить»;

- надежной и универсальной, охватывать весь технологический комплекс информационной деятельности объекта;

методы и средства защиты должны надежно перекрывать все возможные каналы утечки информации и противодействовать способам несанкционированного доступа независимо от формы представления информации, языка ее выражения и вида носителя, на котором она закреплена;

- нестандартной (по сравнению с другими организациями), разнообразной по используемым средствам;

- открытой для изменения и дополнения мер обеспечения безопасности информации;

- экономически эффективной;

затраты на систему защиты не должны превышать размеры возможного ущерба.

3. Понятие политики безопасности.

Политика безопасности организации (англ. оrganizational security policies) – совокупность руководящих принципов, правил, процедур и практических приемов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.

В общем случае такой набор правил представляет собой некий функционал программного продукта, который необходим для его использования в конкретной организации. Если подходить к политике безопасности более формально, то она есть набор неких требований к функционалу системы защиты, закрепленных в ведомственных документах.

Политикой безопасности можно назвать и простые правила использования ресурсов (уровень руководителей), и описания всех соединений и их особенностей (уровень инженерно-технического состава). В данном учебнике рассмотрена только зона ответственности руководителя в формировании политики безопасности, прежде всего, планирование защиты информационной системы. Именно участие руководителя, а не только технических специалистов, в разработке политики безопасности позволяет учесть целесообразное и выверенное, с точки зрения конкретных функциональных обязанностей, распределение информации.

Действия по управлению сложными организационно-техническими системами должны быть спланированы. Планирование информационной безопасности начинается после проведения анализа рисков и выбора средств защиты информации в соответствии с их ранжированием. Планирование – это процесс разработки пакета руководящих документов по реализации избранной политики информационной безопасности.

Принципиально план защиты включает в себя две группы мероприятий – по построению (формированию) системы защиты и по использованию сформированной системы для защиты информации.

Цель планирования:

  •  координация деятельности соответствующих подразделений по обеспечению информационной безопасности;
  •  наилучшее использование всех выделенных ресурсов;
  •  предотвращение ошибочных действий, могущих привести к снижению возможности достижения цели.

Различают два вида планирования: стратегическое или перспективное и тактическое или текущее.

Стратегическое планирование заключается в определении (без детальной проработки) средств и способов достижения конечных целей, в том числе необходимых ресурсов, последовательности и процедуры их использования.

Тактическое планирование заключается в определении промежуточных целей на пути достижения главных. При этом детально прорабатываются средства и способы решения задач, использования ресурсов, необходимые процедуры и технологии.

Точную границу между стратегическим и тактическим планированием провести трудно. Обычно стратегическое планирование охватывает в несколько раз больший промежуток времени, чем тактическое; оно имеет гораздо более отдаленные последствия; шире влияет на функционирование управляемой системы в целом.

С тактическим планированием связано понятие оперативного управления. Оперативное управление обеспечивает функционирование системы в соответствии с намеченным планом и заключается в периодическом или непрерывном сравнении фактически полученных результатов с намеченными планами и последующей их корректировкой.

Отклонения системы от намеченных планов могут оказаться такими, что для эффективного достижения цели целесообразно произвести перепланирование, либо такой исход должен быть предусмотрен на стадии планирования.

Планирование включает в себя определение, разработку или выбор:

  •  конечных и промежуточных целей и обоснование задач, решение которых необходимо для их достижения;
  •  требований к системе защиты информации;
  •  средств и способов функциональной схемы защиты информации с учетом стоимости и привлечения других ресурсов;
  •  совокупности мероприятий защиты, проводимых в различные периоды времени;
  •  порядка ввода в действие средств защиты;
  •  ответственности персонала;
  •  порядка пересмотра плана и модернизации системы защиты;
  •  совокупности документов, регламентирующих деятельность по защите информации.

Политика информационной безопасности определяет облик системы защиты информации – совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий.

Политика безопасности должна гарантировать, что для каждого вида проблем существует ответственный исполнитель. В связи с этим ключевым элементом политики безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.

Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации. В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.

Нужно уметь четко ответить на следующие вопросы:

  •  Сколько компьютеров (вспомогательного оборудования) установлено в организации? Сколько их на рабочих местах, сколько в ремонте, сколько в резерве.
  •  Можно ли узнать каждый компьютер «в лицо»?
  •  Можно ли обнаружить «маскарад» оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены?
  •  Какие задачи и с какой целью решаются на каждом компьютере?
  •  Есть ли уверенность в необходимости каждой единицы контролируемого оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты? Ведь если от оборудования нет пользы, с точки зрения безопасности от него можно ожидать только вреда.
  •  Каков порядок ремонта и технической профилактики компьютеров?
  •  Как проверяется оборудование, возвращаемое из ремонта, перед установкой на рабочее место?
  •  Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу нового оборудования?

Список вопросов можно продолжить. Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.

Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, отмечают следующую особенность – реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы, сменяется на резкое неприятие.

Как правило, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информационной безопасности:

  •  появление дополнительных ограничений для пользователей, затрудняющие использование и эксплуатацию автоматизированной системы организации;
  •  необходимость дополнительных материальных затрат как на проведение таких работ, так и на расширение штата специалистов, занимающихся проблемой информационной безопасности.
  •  Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:
  •  принятие только организационных мер обеспечения безопасности информации;
  •  использование только дополнительных технических средств защиты информации.

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призванные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей технической поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выполняются.

Во втором случае, приобретаются и устанавливаются дополнительные технические средства. Их применение без соответствующей организационной поддержки только усиливает существующий беспорядок.

Комплекс мероприятий, необходимых для реализации защиты информации на объекте по времени проведения 

Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в компьютерных сетях. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

По времени проведения:

  •  разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
  •  периодически проводимые (через определенное время) мероприятия;
  •  мероприятия, проводимые при осуществлении или возникновении определенных условий или изменений в самой защищаемой системе или среде (по необходимости);
  •  постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия:

  •  общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты;
  •  мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов (исключение тайного проникновения в помещения, установки аппаратуры и т. п.);
  •  мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т. п.);
  •  разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;
  •  внесение необходимых изменений и дополнений в организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов и действиям в случае кризисных ситуаций;
  •  оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;
  •  определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
  •  разработка правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием компьютерных средств, а также используемых при их решении режимов доступа к данным; перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну; выявление наиболее вероятных угроз для данной системы, выявление уязвимых мест обработки информации и каналов доступа к ней; оценка возможного ущерба, вызванного нарушением безопасности информации);
  •  организация пропускного режима;
  •  определение порядка учета, выдачи, использования и хранения съемных носителей информации, содержащих эталонные и резервные копии программ, архивные данные и т. п.;
  •  организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;
  •  определение порядка проектирования, разработки, отладки, модификации, приобретения, исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);
  •  создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы;
  •  определение перечня регулярно проводимых мероприятий и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях, возникающих из-за несанкционированного доступа, сбоев и отказов техники, ошибок в программах и действиях персонала, стихийных бедствий.

Периодически проводимые мероприятия:

  •  Распределение и смена реквизитов разграничения доступа (паролей, ключей шифрования и т. п.).
  •  Анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы.
  •  Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации.
  •  Осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты (периодически с привлечением сторонних специалистов). На основе полученной в результате анализа информации принимать меры по совершенствованию системы защиты.
  •  Мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости:

  •  мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;
  •  мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения;
  •  мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).

Постоянно проводимые мероприятия:

  •  противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности техники и носителей информации и т. п.;
  •  явный и скрытый контроль за работой персонала системы;
  •  контроль за применением мер защиты.

Пересмотр «Плана защиты» рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонентов объекта:

Люди. Пересмотр может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имевших доступ к конфиденциальной информации и т. д.

Техника. Пересмотр «Плана защиты» может быть вызван подключением других сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.

Помещения. Пересмотр «Плана защиты» может быть вызван изменением территориального расположения компонентов объекта.

Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов.

Заключение

Итак, мы рассмотрели основные принципы и условия обеспечения информационной безопасности на объекте и связанную с ней политику безопасности. Зарубежный опыт показывает, что эффективной защитой организации от компьютерных преступлений является введение в ней должности специалиста по компьютерной безопасности (администратора по защите информации), либо создание специальных служб безопасности. Наличие такой службы в организации снижает вероятность совершения компьютерных преступлений вдвое. Кроме того, настоятельно рекомендуются следующие организационные меры:

для всех лиц, имеющих право доступа к средствам компьютерной техники (СКТ), должны быть определены категории доступа;

определена ответственность за сохранность информационных ресурсов;

налажен периодический контроль за качеством защиты информации;

проведена классификация информации в соответствии с ее важностью, дифференциация на основе этого мер защиты;

организация физической защиты СКТ.

Помимо организационных мер, существенную роль в борьбе с компьютерными преступлениями могут играть меры технического характера (аппаратные, программные и комплексные). Аппаратные методы предназначены для защиты компьютерной техники от нежелательных случайных физических воздействий и преднамеренных действий с защищаемой информацией. К ним относятся источники бесперебойного питания, устройства экранирования аппаратуры, устройства идентификации личности.

Контрольные вопросы.

  1.  Перечислите виды защиты информации.
  2.  Назовите объекты защиты информации и дайте их определения.
  3.  Назовите способы защиты информации.
  4.  Назовите свойства информации, составляющие модель информационной безопасности.
  5.  Назовите основные принципы информационной безопасности.
  6.  Перечислите условия и требования к защите информации.
  7.  Дайте определения политики безопасности на объекте и сформулируйте требования, предъявляемые к плану защиты информации.

Литература

Основная:

  1.  Аполлонский А. В., Домбровская Л. А., Примакин А. И., Смирнова О. Г., Основы информационной безопасности в ОВД: Учебник для вузов. – СПб.: Университет МВД РФ, 2010.
  2.  Лопатин В. Н. Информационная безопасность России: Человек. Общество. Государство. Фонд «Университет». СПб 2000.

Дополнительная:

  1.  Васильев А.И., Сальников В.П., Степашин С.В. Национальная безопасность России: конституционное обеспечение. Фонд «Университет». СПб 1999.
  2.  Исмагилов Р.Ф., Сальников В.П., Степашин С.В. Экономическая безопасность России: концепция – правовые основы – политика. Фонд «Университет». СПб 2001.
  3.  Доценко С.М., Примакин А.И. Информационная безопасность и применение информационных технологий в борьбе с преступностью: Учебник для вузов. – СПб.: Университет МВД РФ, 2004.

Лекция разработана доцентом кафедры специальных информационных технологий

полковником полиции       О.Г. Смирновой

1 ГОСТ Р 50922-2006 Национальный стандарт РФ «Защита информации. Основные термины и определения»


 

А также другие работы, которые могут Вас заинтересовать

58005. Квадратична функція у=ах2+вх.+с, (а≠0), її графік і властивості 60.5 KB
  Мета: систематизувати та узагальнювати матеріал, опрацьований на попередніх уроках, повторити, уточнити нові поняття; систематизувати та узагальнювати знання, отримані учнями в процесі вивчення теми. Розвивальні: розвивати увагу, мислення, память, культуру математичного мовлення...
58006. Функція у = х2 її властивості, графік 64.5 KB
  Функція у = х2 її властивості графік Мета: домогтися засвоєння учнями властивостей функції у = х2 і властивостей її графіка та способу застосування графіка функції у = х2 для графічного розвязання рівнянь виду х2 = а; формувати вміння відтворювати зміст вивчених понять відпрацювати навички роботи з графіком функції...
58007. Від атома до Галактики 158 KB
  Мета уроку: Узагальнити і систематизувати знання учнів по темі „Степінь з цілим показником”. Формувати в учнів вміння встановлювити головне. Самостійно застосовувати набуті знання в стандартних і не стандартних ситуаціях, а також вміння аналізувати певні математичні твердження, робити висновки.
58008. Чотирикутники. Подібність трикутників. Теорема Піфагора. Площі многокутників Розв’язування прямокутних трикутників 175.5 KB
  Мета уроку: Вдосконалення компентентності учнів з теми: Подібність трикутників, теореми Піфагора; площі многокутників; розв’язування прямокутних трикутників. Формувати вміння застосовувати їх під час розв’язування практичних (прикладних) задач; активізувати пізнавальну діяльність учнів;
58009. Геометрические преобразования 144 KB
  Цель урока: Показать исключительную роль принципа симметрии в научном познании мира в человеческом творчестве и научить различать многообразные проявления симметрии в окружающем мире. Задачи: дать представление о симметрии в геометрии; научить распознавать виды симметрии...
58010. Географічні відкриття на уроках математики 141 KB
  Мета: освітня: підвищення мотивації до вивчення предметів шкільного курсу; повторення тем з математики: пропорції відсотки масштаб; розвинути в учнів уміння реалізовувати практичні звязки курсу математики і географії з майбутньою професією...
58011. Герб и его символика 49 KB
  Художественно-литературное название урока: Рисунок является источником и душой всех видов изобразительного искусства и корнем любой науки итальянский художник Микеланджело Тема урока: Герб и его символика Каждое искусство имеет как бы два...
58012. ES HERBSTET SCHON 365.5 KB
  Цілі уроку: Практична: опрацювати нову лексику по темі «Пори року», активізувати лексичний матеріал в усному і писемному мовленні, навчити учнів говорити про погоду восени, описувати осінній ліс, розвивати навички читання і аудіювання. Освітня: розширити знання учнів про природу рідного краю.
58013. Гидросфера. Обобщающий урок 80.5 KB
  Развивать познавательный интерес и географическое мышление учащихся; воспитывать географическую культуру и эстетическое восприятие географических объектов через литературные произведения.