Організаційно-технічні заходи щодо забезпечення захисту інформації




Скачати 388.11 Kb.
НазваОрганізаційно-технічні заходи щодо забезпечення захисту інформації
Сторінка1/4
Дата04.04.2013
Розмір388.11 Kb.
ТипДокументы
nauch.com.ua > Право > Документы
  1   2   3   4



Організаційно-технічні заходи щодо забезпечення захисту інформації

Цей розділ присвячено організаційно-технічним заходам щодо ЗІ в АС, а саме організації служби безпеки, її технічному забезпеченню, охоронним системам. Розглянуто питання витоку інформації по технічних каналах, а також захисту машинних носіїв інформації.

2.1. Класифікація засобів забезпечення безпеки АС

За способами реалізації всі заходи забезпечення безпеки АС поділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні й технічні (програмні та апаратурні) [2,3].

До правових заходів захисту належать чинні в країні закони, укази і нормативні акти, які регламентують правила поводження з інформацією, закріплюють права та обов'язки учасників інформаційних відносин у процесі її обробки і використання, а також встановлюють відповідальність за порушення цих правил, перешкоджаючи таким чином неправомірному використанню інформації, тобто виступаючи фактором стримування для потенційних порушників.

До морально-етичних заходів протидії належать норми поведінки, які традиційно склалися або складаються паралельно розповсюдженню ЕОМ у країні або суспільстві. Ці норми переважно не є обов'язковими, як, наприклад, законодавчо затверджені нормативні, однак їх недотримання веде звичайно до падіння авторитету, престижу людини, групи осіб або організації. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми чесності, патріотизму і т. ін.), так і писані, тобто оформлені у звід (устав) правил або розпоряджень.

Законодавчі та морально-етичні заходи протидії є універсальними в тому сенсі, що принципово можуть застосовуватися для всіх каналів проникнення і НСД до АС та інформації. В деяких випадках вони є єдиними, як, наприклад, при захисті відкритої інформації від незаконного тиражування або при захисті від зловживань службовим становищем при роботі з інформацією.

Організаційні (адміністративні) заходи захисту - це заходи організаційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів із системою таким чином, щоб наскільки можливо ускладнити або виключити можливість реалізації загроз безпеці.

Очевидно, що в організаційних структурах з низьким рівнем правопорядку, дисципліни й етики ставити питання про захист інформації немає сенсу. Спочатку необхідно вирішити правові та організаційні питання. Як вважають закордонні фахівці, організаційні заходи становлять досить значну частину (більш як 50 %) усієї системи захисту. Вони використовуються тоді, коли КС не може безпосередньо контролювати процес обробки інформації. Крім того, в деяких важливих випадках з метою підвищення ефективності захисту дуже корисно технічні заходи та засоби продублювати організаційними. Це, однак, не означає, що систему захисту необхідно будувати виключно на їх основі, як це іноді намагається робити керівництво, далеке від технічного прогресу. До того ж цим заходам притаманні деякі вади:

  • низька надійність без відповідної підтримки фізичними, технічними та програмними засобами (людина є схильною до порушень обмежень і правил, якщо є можливість їх порушити);

  • додаткові незручності, які пов'язані з великим обсягом рутинної формальної діяльності.

Взагалі, організаційні заходи є ефективними, коли справа стосується саме людини.

Фізичні заходи базуються на застосуванні різного роду механічних, електро- або електронно-механічних пристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонент системи й інформації, а також технічних засобів візуального спостереження, зв'язку та охоронної сигналізації.

Технічні (апаратно-програмні) заходи захисту базуються на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з іншими засобами) функції захисту.

Звичайно всі заходи використовують комплексно, причому вони іноді дуже тісно пов'язані один з одним, тобто:

  • організаційні заходи забезпечують виконання нормативних актів і будуються з урахуванням уже існуючих правил поведінки в організації;

  • виконання організаційних заходів вимагає створення норматив
    них документів;

  • ефективне використання організаційних заходів досягається обов'язковою підтримкою фізичних та технічних заходів;

  • використання технічних засобів захисту вимагає відповідної
    організаційної підтримки.

Надалі для позначення цілої групи заходів буде використовуватися термін організаційно-технічні заходи.

2.2. Організаційні заходи

Застосування організаційно-технічних заходів запобігає значній частині загроз безпеці інформації і блокує їх та поєднує в єдину систему всі заходи захисту.

Організаційні заходи повинні включати:

  • визначення технологічних процесів обробки інформації;

  • обгрунтування та вибір завдань захисту;

  • розробку та впровадження правил реалізації заходів ЗІ;

  • визначення та встановлення обов'язків підрозділів і осіб, щоберуть участь в обробці інформації;

  • вибір засобів забезпечення ЗІ;

  • оснащення структурних елементів АС нормативними документами і засобами забезпечення ЗІ;

  • встановлення порядку впровадження засобів обробки інформації, програмних і технічних засобів захисту інформації та контролю їх ефективності;

  • визначення зон безпеки інформації;

  • обґрунтування структури та технології функціонування СЗІ;

  • розробку правил та порядку контролю функціонування СЗІ;

  • встановлення порядку проведення атестації технічних засобів та систем обробки інформації, систем зв'язку та передачі даних, технічних засобів та систем, що розташовані в приміщеннях, де вона циркулює, приміщень для засідань, а також усієї
    АС у цілому на відповідність вимогам безпеки інформації.

Організаційні заходи щодо ЗІ в АС полягають у розробці і реалізації адміністративних та організаційно-технічних заходів при підготовці та експлуатації системи.

Організаційні заходи щодо захисту системи в процесі її функціонування та підготовки до нього охоплюють рішення та процедури, які приймаються керівництвом організації - користувачем системи. Хоча деякі з них можуть визначатися зовнішніми факторами, наприклад законами або урядовими постановами, більшість проблем вирішується в самій організації в конкретних умовах.

Складовою будь-якого плану заходів захисту має бути чітке визначення цілей, розподіл відповідальності та перелік організаційних заходів захисту. Конкретний розподіл відповідальності та функцій щодо реалізації захисту від одної організації до іншої може змінюватися, але ретельне планування і точний розподіл відповідальності є необхідними умовами створення ефективної та життєздатної системи захисту.

Організаційні заходи щодо ЗІ в АС повинні охоплювати етапи проектування, розробки, виготовлення, випробувань, підготовки до експлуатації, експлуатації системи та виведення з експлуатації.

Відповідно до вимог технічного завдання організація-проектувальник поряд з технічними заходами та засобами розробляє організаційні заходи на етапі створення системи. Під етапом створення розуміється проектування, розробка, виготовлення та випробування системи. При цьому слід чітко розрізняти заходи щодо ЗІ, які проводяться організацією-проектувальником, розробником та виготовлювачем у процесі створення системи і розраховуються на захист від витоку в даній

організації, і заходи, що закладаються в проект та документацію на систему і торкаються принципів організації захисту в самій системі. Саме з них випливають необхідні організаційні заходи щодо ЗІ.

- До організаційних заходів щодо ЗІ в процесі створення системи слід віднести:

її • проведення на необхідних ділянках робіт з режимом секретності;

  • розробка посадових інструкцій щодо забезпечення режиму секретності відповідно до чинного законодавства;

  • виділення у разі потреби окремих приміщень з охоронною сигналізацією та пропускною системою;

• розмежування завдань між виконавцями та щодо випуску документації;

• присвоєння грифів секретності матеріалам та документації і збереження їх під охороною у виділених приміщеннях з урахуванням та контролем доступу виконавців;

• постійний контроль за дотриманням виконавцями режиму та відповідних інструкцій;

  • встановлення і розподіл відповідальних за витік інформації осіб;

  • інші заходи, що встановлюються в конкретних системах.

У процесі підготовки системи до експлуатації з метою ЗІ необхідно:

• при виділенні території, будинків та приміщень визначити контрольовану зону навколо об'єктів АС;

  • встановити та устаткувати охоронну сигналізацію по межах контрольованої зони;

  • створити контрольно-пропускну систему;

  • перевірити схеми розміщення та місця установки об'єктів АС;

• перевірити стан системи життєзабезпечення людей, умови функціонування системи та збереження документації;

• підібрати кадри для обслуговування об'єктів АС, її захисту і створити централізовану службу безпеки (СБ) при керівництві;

  • провести навчання кадрів;

  • організувати розподіл функціональних обов'язків і відповідальності посадових осіб;

  • встановити повноваження посадових осіб щодо доступу до об'єктів та інформації АС;

  • розробити посадові інструкції щодо виконання функціональних обов'язків персоналу всіх категорій, включаючи СБ.

З точки зору способів реалізації основні організаційно-технічні заходи щодо створення і підтримки функціонування КСЗІ включають:

  • разові заходи (проектування АС, створення СЗІ, розробка нормативних документів, створення служби безпеки та ін.);

  • заходи, що проводяться при виникненні певних змін у самій АС, яка захищається, або зовнішньому середовищі (у разі потреби) (ремонти, модифікації АС, кадрові зміни та ін.);

  • періодичні заходи (розподіл паролів, ключів шифрування, ана
    ліз системних журналів і т. ін.);

  • постійні заходи (контроль за роботою персоналу, підтримка
    функціонування СЗІ, забезпечення фізичного захисту тощо).

У процесі експлуатації системи повинен здійснюватися централізований контроль доступу до інформації за допомогою технічних та організаційних заходів. Основна частина цих заходів входить до функцій СБ.

2.3. Служба безпеки

СБ є штатним або позаштатним підрозділом, який створюється для організації кваліфікованої розробки СЗІ і забезпечення її функціонування.

Основні завдання СБ полягають в такому:

  • формування вимог до СЗ у процесі створення АС;

  • участь у проектуванні СЗ, її випробуваннях і прийманні в експлуатацію;

  • планування, організація і забезпечення функціонування СЗІ в процесі функціонування АС;

  • розподіл між користувачами необхідних реквізитів захисту;

  • спостереження за функціонуванням СЗ і її елементів;

  • організація перевірок надійності функціонування СЗ;

  • навчання користувачів і персоналу АС правилам безпечної обробки інформації;

  • контроль за дотриманням користувачами і персоналом АС встановлених правил поводження з інформацією, яка захищається, в процесі її автоматизованої обробки;

  • вживання заходів при спробах НСД до інформації і при порушеннях правил функціонування системи захисту.

Організаційно-правовий статус служби безпеки визначається таким чином:

  • чисельність СБ повинна бути достатньою для виконання всіх перерахованих вище завдань;

  • СБ повинна підпорядковуватися тій особі, що у даних умовах несе персональну відповідальність за дотримання правил користування інформацією, яка захищається;

  • штатний підрозділ СБ не повинен мати інших обов'язків, пов'язаних із функціонуванням АС;

  • співробітники СБ повинні мати право доступу в усі приміщення, де встановлена апаратура АС, і право припиняти автоматизовану обробку інформації за наявності безпосередньої загрози для інформації, яка захищається;

  • керівнику СБ повинно бути надане право забороняти включення в число діючих нових елементів АС, якщо вони не відповідають вимогам захисту інформації;

• СБ мають бути забезпечені всі умови, необхідні для виконання
їхніх функцій.

В основу створення СБ та організації її функціонування традиційно кладеться простий та наочний принцип створення замкнутих, послідовних рубежів, що починаються за межами контрольованої зони і концентрично стягаються до особливо важливих виділених об'єктів захисту, тобто так звана рубіжна система захисту.

На кожному рубежі загрози порушень безпеки мають бути по можливості виявлені і ліквідовані, а у випадку неможливості їх ліквідації be поширенню повинні перешкоджати наступні рубежі. Основу планування та устаткування контрольованих зон складають принципи рівнопотужності і комплексності.

і Використання рубіжної СЗІ зумовлене тим, що вона дозволяє забезпечити безпеку: від широкого спектра різнорідних загроз; при використанні різних технологій обробки інформації шляхом глобального контролю; за рахунок оптимального розподілу ресурсів з урахуванням Пріоритету загрози. Очевидно, що чим складнішим є захист кожного рубежу, тим більше часу буде потрібно ЗЛ для його подолання і тим імовірніше його виявлення. Звідси випливає, що захист кожного рубежу повинен взаємно доповнювати один одного й ефективність усієї системи захистів буде оцінюватися як мінімальний (безпечний) час, який ЗЛ повинен затратити на подолання всіх її рубежів. >,' Врешті-решт джерелом навмисних загроз є людина - ЗЛ. Можливе, порушення ІБ залежить від його можливостей, що аналізуються на основі:

  • невизначеності процесу захисту, викликаної наявністю людського фактора;

  • рубіжної системи захисту;

• можливостей ЗЛ вплинути на діяльність самої організації.
Тому з точки зору рубіжної моделі ЗЛ можна класифікувати у такий спосіб:

• ЗЛ перебуває за межами контрольованої зони;

• ЗЛ знаходиться в межах контрольованої зони, але без доступу у виділені приміщення;

• ЗЛ має доступ у виділені приміщення і працює в них;

  • ЗЛ - співробітник організації, має доступ у виділені приміщення і працює в них;

  • ЗЛ - співробітник СБ.

Знаючи можливі загрози, можна припустити, яким чином кожен вид ЗЛ може порушити безпеку об'єктів захисту на тому чи іншому рубежі. Це дає змогу диференційовано підходити до комплексу засобів і методів захисту, визначаючи необхідні заходи і засоби захисту стосовно кожного виду ЗЛ.

Історично вже склалася світова практика забезпечення безпеки Об'єктів захисту. Вона визначає взаємозв'язок об'єктів захисту з можливою формою ЗЛ і середовищем, у якому він здійснює свої дії. З огляду на специфічні особливості середовища можна формувати основні напрямки захисту, що зумовлюють таку структуру функціональних підрозділів СБ:

  • група режиму;

  • служба охорони;

  • пожежна охорона;

  • аналітична група;

  • детективна група;

  • група протидії технічним розвідкам (ПДТР);

  • група захисту від НСД;

  • криптографічна група.

Залежно від конкретних потреб додатково можуть організовуватися допоміжні підрозділи: консультанти з різних питань діяльності СБ, юридична служба, служба навчання та ін. Зауважимо, що тут представлено всі підрозділи, які можуть входити до складу СБ в принципі. Однак ясно, що цей список може варіюватися залежно від розмірів організації, рівня конфіденційності оброблюваної інформації, можливого обсягу фінансування та інших конкретних умов діяльності організації. Крім того, в деяких випадках різні підрозділи можуть об'єднуватися залежно від конкретних завдань.

Діяльність СБ дуже різноманітна: від роботи із забезпечення безпеки персоналу до вирішення чисто технічних питань, що включають у себе перевірку та атестацію технічних і програмних засобів на відповідність спеціальним вимогам. У цілому основні найбільш загальні функції СБ можна визначити таким чином:

  • попередження;

  • контроль за поточною ситуацією;

  • реєстрація;

  • аналіз результатів реєстрації.

Існують положення про службу безпеки, що регламентують її діяльність. Не вдаючись до детального розгляду цього аспекту, коротко опишемо лише основні завдання кожного з підрозділів СБ.
  1   2   3   4

Схожі:

Організаційно-технічні заходи щодо забезпечення захисту інформації iconОрганізаційно-технічне забезпечення систем захисту інформації
Подайте загальну класифікацію об’єктів захисту та наведіть приклади можливих загроз для кожного типу об’єктів захисту
Організаційно-технічні заходи щодо забезпечення захисту інформації icon4 Основні технічні заходи захисту в електроустановках. Причини ураження...
Випадковий дотик, наближення на небезпечну відстань до струмопровідних частин, що перебувають під напругою
Організаційно-технічні заходи щодо забезпечення захисту інформації iconОрганізаційно-технічні заходи
На підставі аналізу фактичного стану справ з безпекою руху здійснювати активну комплексну роботу з питань забезпечення безпеки руху...
Організаційно-технічні заходи щодо забезпечення захисту інформації iconРозпорядження
Про організаційно-технічні заходи щодо виконання та фінансування у І кварталі 2014 року районної програми індивідуального житлового...
Організаційно-технічні заходи щодо забезпечення захисту інформації iconПлан організаційно-практичних заходів щодо вдосконалення роботи з...
Створювати належні умови для рівного доступу до якісної освіти усім дітям шкільного віку. Вжити заходи для забезпечення організаційно-правових...
Організаційно-технічні заходи щодо забезпечення захисту інформації icon2. Загрози безпеці інформації та стан її технічного захисту
Ця Концепція визначає основи державної політики у сфері захисту інформації інженерно-технічними заходами. Технічний захист інформації...
Організаційно-технічні заходи щодо забезпечення захисту інформації iconПро державну експертизу в сфері технічного захисту інформації
Про затвердження Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах”,...
Організаційно-технічні заходи щодо забезпечення захисту інформації iconНормативний документ системи технічного захисту інформації технічний...
Розроблено І внесено головним управлінням технічного захисту інформації Департаменту спеціальних телекомунікаційних систем та захисту...
Організаційно-технічні заходи щодо забезпечення захисту інформації iconНормативний документ системи технічного захисту інформації Створення...
РОзроблено І внесено головним управлінням технічного захисту інформації Департаменту спеціальних телекомунікаційних систем та захисту...
Організаційно-технічні заходи щодо забезпечення захисту інформації iconГ. П. Лазарєв Перелік засобів забезпечення технічного захисту інформації...
...
Додайте кнопку на своєму сайті:
Школьные материалы


При копіюванні матеріалу обов'язкове зазначення активного посилання © 2013
звернутися до адміністрації
nauch.com.ua
Головна сторінка