организационно правовая-защита-11

Организационные методы Организационные методы защиты информации защиты информации

План лекцииПлан лекции

Правовые (законодательные) Правовые (законодательные) меры защитымеры защиты

Организационные меры защитыОрганизационные меры защиты

Правовые меры защитыПравовые меры защиты

К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил.

Правовые меры защиты являются сдерживающим (устрашающим) фактором для потенциальных нарушителей.

Правовые меры защитыПравовые меры защиты

УГРОЗА УЯЗВИМОСТЬ РИСК + =

АТАКА УЯЗВИМОСТЬ НЕЗАЩИЩЕННОСТЬ + =

КОМПРОМЕТАЦИЯ

УЩЕРБ

Правовые меры

Правовые меры


Организационные меры защиты - это меры, регламентирующие:

деятельность персонала процессы создания и функционирования автоматизированной информационной системы (АИС) использование ресурсов АИС порядок взаимодействия пользователей с АИС

Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности.

УГРОЗА УЯЗВИМОСТЬ РИСК + =

АТАКА УЯЗВИМОСТЬ НЕЗАЩИЩЕННОСТЬ + =

КОМПРОМЕТАЦИЯ

УЩЕРБ

Организацион-ные меры





Обеспечивается до 60-80 % защиты

низкая надежность без соответствующей поддержки физическими, техническими и программными средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, если только их можно нарушить)

дополнительные неудобства, связанные с большим объемом рутинной формальной деятельности.

Недостатки:


Организационные меры должны выступать в качестве обеспечения эффективного применения других методов и средств защиты в части, касающейся регламентации действий людей.

Основные группы организационных мер: Политика безопасности организации Инфраструктура информационной безопасности Классификация (категорирование) ресурсов и их контроль Безопасность персонала Физическая безопасность и безопасность окружающей среды Управление эксплуатацией Управление доступом Разработка и сопровождение информационных систем Управление бесперебойной работой организации

Организационные меры Организационные меры защитызащиты

Политика безопасности Политика безопасности организацииорганизации

ОрганизацияОрганизация

Руководство

ОпределяетОпределяет

Как защищается

Переченьсредств испособовзащиты

Что защищается

Переченьобъектовзащиты

От чего защищается

Переченьугроз

Высшее руководство должно сформировать политику в области обеспечения информационной безопасности (отражающую подходы к защите своих информационных ресурсов) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Инфраструктура информационной Инфраструктура информационной безопасностибезопасности

Участие руководства в решении проблем защиты информации:

анализ и утверждение политики информационной безопасности и распределение общих обязанностей отслеживание основных угроз, которым подвергаются информационные ресурсы анализ и слежение за инцидентами в системе безопасности утверждение основных инициатив, направленных на усиление защиты информации


Координация действий по защите информации:согласование конкретных функций и обязанностей по обеспечению информационной безопасности в организациисогласование конкретных методик и процессов защиты информации, например, оценка рисков, система классификации средств защитысогласование и оказание поддержки инициативам по защите информации в организации, например, программе обучения персонала правилам безопасностиобеспечение включения защитных мер в процесс планирования использования информациикоординация действий по реализации конкретных мер по обеспечению информационной безопасности новых систем или сервисовсоздание благоприятных условий для информационной безопасности во всей организации


Распределение обязанностей по обеспечению информационной безопасности

Регламентация процесса утверждения новых информационных систем

Независимый анализ информационной безопасности

Безопасность доступа сторонних организаций

Классификация (категорирование) Классификация (категорирование) ресурсов и их контрольресурсов и их контроль

Ответственность за ресурсыИнвентаризация ресурсовИнформационные ресурсыПрограммные ресурсыФизические ресурсыСервисыКлассификация (категорирование) ресурсов: Конфиденциальность Целостность ДоступностьМаркировка ресурсов в соответствии с классификациейВедение операций с ресурсами: ввод, передача и обработка, вывод и устранение ресурсов в соответствии с классификацией этих ресурсов

Безопасность персоналаБезопасность персонала

Безопасность в должностных инструкциях

Проверка принимаемых на работу

Соглашение о конфиденциальности

Обучение пользователей

Обучение правилам информационной безопасности

Безопасность персоналаБезопасность персонала

Реагирование на события, таящие угрозу безопасности

Уведомление об инцидентах в системе безопасности

Уведомление о слабых местах в системе безопасности

Уведомление об отказах программного обеспечения

Процедура наложения дисциплинарных взысканий

Физическая безопасность и безопасность Физическая безопасность и безопасность средысреды

Защищенные областиФизический периметр безопасностиКонтроль доступа в помещенияЗащита центров данных и компьютерных залов Правила использования рабочего столаВынос имущества за пределы организации

Защита оборудованияРазмещение и защита оборудованияИсточники электропитанияТехническое обслуживание оборудованияЗащита оборудования, используемого за пределами организацииНадежная утилизация оборудования

Управление эксплуатациейУправление эксплуатацией

Операционные процедуры и обязанности

Документированные операционные процедуры Процедуры реагирования на события, таящие угрозу безопасности Разделение обязанностей Разделение программных средств разработки и рабочих программ Работа со сторонними организациями


Планирование систем и их приемка

Планирование нагрузки Приемка систем Планирование перехода на аварийный режим Управление процессом внесения изменений в рабочие системы


Защита от вредоносного программного обеспечения Средства защиты от вирусов

Обслуживание системРезервное копирование данныхАрхивирование данныхЖурналы регистрации событийРегистрация сбоевСлежение за окружающей средой

Сетевое администрирование


Оперирование с носителями информации и их защита

Управление съемными носителями информации Процедуры оперирования c данными Защита системной документации Очистка носителей данных


Обмен данными и программами

Соглашения об обмене данными и программами Защита носителей информации во время транспортировки Защита электронного обмена данными

Управление доступомУправление доступом

Документированная политика управления доступом к информации Управление доступом пользователей Регистрация пользователей Управление привилегиями Управление пользовательскими идентификаторами Пересмотр прав доступа пользователейОбязанности пользователей: Использование идентификаторов Пользовательское оборудование, оставленное без присмотра Управление доступом к приложениям Использование системных утилит Управление доступом к библиотекам исходных текстов программ

Разработка и сопровождение Разработка и сопровождение информационных системинформационных систем

Требования к безопасности систем

Безопасность в прикладных системах

Выделение тестовой среды

Процедуры управления процессом внесения изменений

Управление бесперебойной работойУправление бесперебойной работой

Планирование бесперебойной работы

идентификация критически важных производственных процессов и их ранжирование по приоритетам определение критических ситуаций и их ранжирование определение и согласование всех обязанностей и планов действий в чрезвычайных ситуациях документирование согласованных процедур и процессов подготовка персонала к выполнению согласованных процедур и процессов в чрезвычайных ситуациях тестирование планов пересмотр и обновление планов.

Администратор сети долженАдминистратор сети должен

• устанавливать средства защиты информации устанавливать средства защиты информации на компьютеры;на компьютеры;

• настраивать средства защиты информации настраивать средства защиты информации путем задания прав доступа пользователей к путем задания прав доступа пользователей к ресурсам (как компьютеров, так и сети);ресурсам (как компьютеров, так и сети);

• контролировать состояние защищенности контролировать состояние защищенности компьютерной сети путем оперативного компьютерной сети путем оперативного мониторинга и анализа системных журналов.мониторинга и анализа системных журналов.

УП «Научно-исследовательский институт УП «Научно-исследовательский институт технической защиты информации»технической защиты информации»г. Минск, ул. Первомайская, 26, к.2г. Минск, ул. Первомайская, 26, к.2Тел. 2Тел. 29494 00 11, 2 00 11, 29494 22 54, 2 22 54, 29494 01 71 01 71

Директор – Чурко Олег Васильевич тел. 2Директор – Чурко Олег Васильевич тел. 29494 16 84 16 84

Центр испытаний средств защиты информации Центр испытаний средств защиты информации и аттестации информационных объектови аттестации информационных объектов

[email protected]@niitzi.byЗам. начальника Центра испытанийЗам. начальника Центра испытаний -- Мельник Александр Филиппович тел. 294 30 85 Мельник Александр Филиппович тел. 294 30 85

Начальник испытательной лабораторииНачальник испытательной лаборатории - - Кондрахин Олег ЮрьевичКондрахин Олег Юрьевич

Инженер Инженер I I категории испытательной лабораториикатегории испытательной лаборатории - Андрухович Мария Константиновна- Андрухович Мария Константиновна

Technology

организационно правовая-защита-11