- •Введение
- •1. Организационное обеспечение информационной безопасности
- •1.1. Методы, обеспечивающие безопасность информации
- •1.2. Проблема информационной безопасности
- •1.3. Основные составляющие информационной безопасности
- •1.4. Информация конфиденциального характера
- •1.5. Стратегия информационной безопасности и её цели
- •1.6. Административный уровень информационной безопасности
- •2. Концептуальные положения организационного обеспечения информационной безопасности
- •2.1. Концепции национальной безопасности рф
- •3. Угрозы информационной безопасности на объекте
- •3.1. Виды угроз безопасности
- •3.2. Модель угроз безопасности Меры защиты
- •3.3. Принципы комплексной системы защиты информации
- •3.4. Система обеспечения информационной безопасности
- •Литература
- •3.5. Предпосылки появления угроз
- •3.6. Угрозы безопасности информации и их классификация
- •4. Организация службы безопасности объекта
- •4.1. Концептуальная модель информационной безопасности
- •5. Концепция информационной безопасности
- •6. Овладение конфиденциальной информацией
- •6.1. Уязвимые места в информационной безопасности
- •6.2. Направления обеспечения информационной безопасности
- •6.3. Задачи службы безопасности предприятия
- •6.4. Концепция создания физической защиты важных объектов
- •7. Организационная структура системы обеспечения информационной безопасности
- •8. Основные мероприятия по созданию и обеспечению функционирования комплексной системы защиты
- •9. Система организационно-распорядительных документов по организации комплексной системы защиты информации
- •10. Разработка технико-экономического обоснования создания сфз и комплекса итсо
- •10.1. Правовые основы создания службы безопасности
- •10.2. Структура службы экономической безопасности
- •11. Технология защиты от угроз экономической безопасности
- •11.1. Служба безопасности и проверка контрагентов
- •12 . Подбор сотрудников и работа с кадрами
- •12.1. Обеспечение безопасности коммерческих структур
- •12.2. Организация внутриобъектового режима
- •13. Требования и рекомендации по защите информации
- •13.1. Требования по технической защите информации
- •14. Организация охраны объектов
- •14.1. Контрольно-пропускной режим на предприятии
- •14.2. Подготовка исходных данных
- •14.3. Оборудование пропускных пунктов
- •14.4. Организация пропускного режима
- •15. Организационно-правовые способы нарушения безопасности информации
- •15.1. Цель и задачи защиты информации
- •15.2. Основные направления деятельности по защите информации
- •15.3. Основы организации защиты информации
- •16. Система защиты информации и ее задачи
- •16.1. Организационная система защиты информации
- •1) Координационный Совет по защите информации при полномочном представителе Президента Российской Федерации.
- •2) Управление Государственной технической комиссии при Президенте Российской Федерации.
- •17. Государственная политика и общее руководство деятельностью по защите информации
- •17.1. Направления формирования системы защиты информации
- •17.2. Этапы реализации концепции защиты информации
- •17.3. Финансирование мероприятий по защите информации
- •17.4. Результаты реализации концепции защиты информации
- •Контрольные вопросы к экзамену
- •Стандартизованные термины и их определения
- •1. Основные понятия
- •2. Организация защиты информации
- •Информационное законодательство рф
- •Библиографический список
- •Организационное обеспечение информационной безопасности
- •6 80021, Г. Хабаровск, ул. Серышева, 47.
- •Л.П. Березюк
- •Учебное пособие Хабаровск
6.3. Задачи службы безопасности предприятия
Определение круга лиц, которые в силу занимаемого служебного положения на предприятии прямо или косвенно имеют доступ к сведениям конфиденциального характера;
определение участков сосредоточения конфиденциальных сведений;
определение круга сторонних предприятий, связанных с данным предприятием кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера;
выявление круга лиц, не допущенных к конфиденциальной информации, но проявляющих повышенный интерес к таким сведениям;
выявление круга предприятий, в том числе и иностранных, заинтересованных в овладении охраняемыми сведениями с целью нанесения экономического ущерба данному предприятию, устранения экономического конкурента либо его компрометации;
разработка системы защиты документов, содержащих сведения конфиденциального характера;
определение на предприятий участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих предприятиям, связанных с ним договорными обязательствами;
определение на предприятии технологического оборудования, выход (или вывод) которого из строя может привести к большим экономическим потерям;
определение уязвимых мест в технологии производственного цикла, несанкционированное изменение, в которой может привести к утрате качества выпускаемой продукции и нанести материальный или моральный ущерб предприятию;
определение мест на предприятии, несанкционированное посещение которых может привести к изъятию (краже) готовой продукции или полуфабрикатов, заготовок и др., и организация их физической защиты и охраны;
определение и обоснование мер правовой, организационной и инженерно-технической защиты предприятия, персонала, продукции и информации;
разработка необходимых мероприятий, направленных на совершенствование системы экономической, социальной и информационной безопасности предприятия;
внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности;
организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями;
изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для их совершенствования;
разработка технико-экономических обоснований, направленных на приобретение технических средств, получение консультации у специалистов, разработку необходимой документации в целях совершенствования системы мер по обеспечению экономической и информационной безопасности.
6.4. Концепция создания физической защиты важных объектов
Современные системы защиты в корне изменили тактику охраны объектов. В таких системах нет необходимости в организации постовой службы на периметре объекта; вместо этого создаются дежурные тревожные группы, которые начинают немедленные действия по нейтрализации нарушителей после получения сигнала тревоги на центральном пульте управления. В них сведено до минимума влияние человеческого фактора и достигается высокая эффективность защиты объекта при минимальном количестве личного состава сил охраны.
Принципы создания Системы Физической Защиты
Термины и определения
Физическая безопасность объекта – состояние защищенности жизненно-важных интересов (объекта) от угроз, источниками которых являются злоумышленные противоправные действия физических лиц .
Концепция безопасности – общий замысел обеспечения безопасности объекта от прогнозируемых угроз.
Уязвимость (объекта) – степень несоответствия принятых мер защиты (объекта) прогнозируемым угрозам или заданным требованиям безопасности.
Чрезвычайная ситуация (на объекте) – состояние, при котором нарушаются нормальные условия жизни и деятельности людей, возникает угроза их жизни и здоровью, наносится ущерб имуществу и окружающей природной среде.
Эффективность системы физической безопасности – вероятность выполнения системой своей основной целевой функции по обеспечению защиты объекта от угроз, источниками которых являются злоумышленные противоправные (несанкционированные) действия физических лиц (нарушителей).
Структура Системы Физической Защиты
Система физической защиты – совокупность правовых норм, организационных мер и инженерно-технических решений, направленных на защиту жизненно-важных интересов и ресурсов предприятия (объекта) от угроз, источниками которых являются злоумышленные физические воздействия физических лиц – нарушителей (террористов, преступников, экстремистов и др.).
В этом едином комплексе задействованы люди (служба безопасности, силы охраны), и техника – комплекс инженерно-технических средств охраны или комплекс инженерно-технических средств физической защиты. От их четкого взаимодействия зависит эффективность защиты.
Современные системы строятся на базе широкого применения инженерно-технических и программных средств и содержат следующие основные составные части (подсистемы):
система контроля и управления доступом персонала,
система охранной сигнализации,
система телевизионного наблюдения,
система оперативной связи и оповещения
обеспечивающие системы (освещения, электропитания и др.).
При создании современных средств защиты, ставится также и задача защиты жизненно важных центров и систем объекта от непреднамеренных, ошибочных или некомпетентных действий персонала.
Принципы и порядок создания Системы Физической Защиты
Учитывая сложность решаемых задач, создание системы защиты важных объектов, требует комплексного подхода, который подразумевает проектирование объектов защиты в две стадии:
концептуальное (системное) проектирование;
рабочее проектирование.
Основными этапами стадии концептуального проекта являются:
Анализ уязвимости объекта и существующей СФЗ.
Разработка принципов физической защиты объекта.
Разработка технико-экономического обоснования создания СФЗ и комплекса ИТСО.
Концепция физической безопасности объекта
Основной задачей первых двух этапов стадии концептуального проекта является разработка руководства к действию по созданию СФЗ – «Концепции физической безопасности объекта».
Концепция безопасности определяет пути и методы решения основных задач по обеспечению безопасности объекта и должна отвечать на вопросы: «что защищать?», «от кого защищать?», «как защищать?»
Анализ уязвимости объекта. Цели и задачи анализа
Одной из главных задач начальной стадии концептуального проектирования является проведение Анализа уязвимости объекта и существующей системы физической безопасности (защиты).
Целями и задачами проведения анализа уязвимости являются:
определение важных для жизнедеятельности объекта предметов защиты (наиболее вероятных целей злоумышленных акций нарушителей);
определение возможных угроз и моделей вероятных исполнителей угроз (нарушителей);
оценка возможного ущерба от реализации прогнозируемых угроз безопасности;
оценка уязвимости объекта и существующей системы безопасности;
разработка общих рекомендаций по обеспечению безопасности объекта.
Предметы защиты
Реализацию жизненно-важных интересов любого предприятия обеспечивают его корпоративные ресурсы.
Эти ресурсы должны быть надежно защищены от прогнозируемых угроз безопасности.
В большинстве случаев, такими важными для жизнедеятельности ресурсами, а, следовательно, предметами защиты являются:
люди (персонал предприятия); имущество;
конфиденциальная информация на материальных носителях, а также циркулирующая во внутренних коммуникационных каналах связи и информации, в помещениях организации;
финансово-экономические ресурсы, обеспечивающие эффективное и устойчивое развитие предприятия (капитал, коммерческие интересы, бизнес-планы, договорные документы и обязательства и т. п.).
Утрата перечисленных ресурсов может привести:
к большому материальному ущербу, созданию угрозы для жизни и здоровья людей, банкротству предприятия.
Перечисленные предметы защиты размещаются на соответствующих производственных объектах предприятия в зданиях и помещениях.
Эти объекты и являются наиболее уязвимыми местами, выявление которых производится при обследовании.
Таким образом формулируется ответ на вопрос «что защищать?».
Угрозы безопасности
Основными угрозами безопасности, которые могут привести к утрате корпоративных ресурсов предприятия, являются:
чрезвычайная ситуация (пожар, разрушение, затопление, авария, хищение опасных веществ и т. п.);
хищение или порча имущества;
несанкционированный съем конфиденциальной информации;
ухудшение эффективности функционирования, устойчивости развития предприятия.
Самой опасной угрозой безопасности предприятия являются чрезвычайная ситуации, которая может привести к большому материальному ущербу, вызвать угрозу для жизни и здоровья людей, а на потенциально опасных объектах – катастрофические последствия для окружающей среды и населения.
В современных условиях несанкционированные действия физических лиц: диверсантов, террористов, преступников, экстремистов представляют особую опасность, т. к. могут привести к возникновению большинства прогнозируемых угроз.
На этапе анализа угроз совместно со службой безопасности заказчика при предварительном обследовании объекта формируется модель вероятных исполнителей угроз (нарушителей), т. е. их количественные и качественные характеристики (оснащенность, тактика действий и т. п.).
В результате проведенной работы формулируется ответ на вопрос: от кого защищать?
Оценка уязвимости существующей системы физической защиты объекта
Оценка уязвимости существующей системы защиты производится в два этапа:
На первом этапе (при обследовании объекта) методом экспертных оценок производится оценка уязвимости составных частей СФЗ:
комплекса организационных мероприятий, проводимых администрацией и службой безопасности объекта;
комплекса инженерно-технических средств охраны (по основным тактико-техническим характеристикам и степени оснащенности объекта);
сил охраны (по организации, качеству, эффективности действий и др.) На последующем этапе производится количественная оценка уязвимости существующей СФЗ.
Оценка возможного ущерба от реализации прогнозируемых угроз
Оценка возможного ущерба от реализации прогнозируемых угроз безопасности производится методом экспертных оценок совместно с представителями компетентных служб заказчика. Оценка производится для каждого защищаемого объекта предприятия. При этом учитываются варианты прогнозируемых акций нарушителей и сценарии их реализации.
Количественная оценка уязвимости объекта и эффективности существующей СФЗ
Количественная оценка уязвимости объекта и эффективности СФЗ, производится по имеющейся на предприятии компьютерной методике анализа уязвимости и оценки эффективности систем охраны особо важных объектов.
При анализе учитываются прогнозируемые угрозы и модель исполнителей угроз (нарушителей), вероятности обнаружения нарушителя с помощью технических средств, варианты тактики ответных действий сил охраны, временные параметры (времена задержки преодоления нарушителем физических барьеров, время ответных действий сил охраны и др.).
По этой методике в наглядной форме, путем моделирования на ПЭВМ процесса действий нарушителей и сил охраны, производится оценка основного показателя эффективности СФЗ объекта – вероятности перехвата нарушителя силами охраны, действующими по сигналу срабатывания комплекса ИТСО.
Разработка общих рекомендаций по обеспечению безопасности объекта
По результатам анализа уязвимости разрабатываются общие рекомендации по обеспечению безопасности объекта с ориентировочной оценкой стоимости создания предлагаемой СФЗ. При этом сравнивается ориентировочная стоимость предотвращаемого ущерба и затрат на создание предлагаемой СФЗ.
Физическая безопасность
Традиционная безопасность: замки, ограждение и охрана
Физическая безопасность означает лишь:
содержание компьютера и информации в нем от физических опасностей с помощью замков на входах в помещение, где он находится;
строительства ограждения вокруг зданий и размещения охраны вокруг помещения.
Но физическая безопасность сейчас изменилась из-за современной компьютерной среды – среды, которая часто представляет собой офис с большим числом персональных ЭВМ или терминалов.
Физическая безопасность связана с внедрением мер защиты, которые защищают от стихийных бедствий (пожаров, наводнений, и землетрясений), а также всяких случайных инцидентов. Меры физической безопасности определяют, каким будет окружение компьютера, вводимые данные, и результаты обработки информации. Помимо помещений, где размещено компьютерное оборудование, окружение включает в себя библиотеки программ, журналы, магнитные носители, помещения для архивов, и помещения для ремонта техники.
Меры физической защиты должны отвечать требованиям современной действительности и сочетать эффективность с невысокой ценой.
Например, установка дорогой противопожарной системы может быть необходимой для защиты большого компьютера, обрабатывающего критические данные, но оказаться неоправданно дорогой при защите одной персональной ЭВМ.
Преступления и злоупотребления
Компьютеры могут быть повреждены, украдены и специально выведены из строя с помощью короткого замыкания. Диски и ленты могут быть разрушены разлитыми напитками, а компьютеры залиты водой. Также компьютеры могут быть серьезно повреждены пожаром, скачками напряжения, стихийными бедствиями и другими инцидентами.
Информация может быть перехвачена, украдена, продана и использоваться в корыстных целях отдельным человеком или целой компанией.
Персональные ЭВМ особенно привлекают воров. При пожаре диски, не хранящиеся в специальных сейфах или флоппи-диски, оставленные на терминалах, могут быть разрушены системой тушения пожара. Тысячи долларов были потрачены на восстановление информации, которую они содержали.
Но основной причиной разрушений компьютеров является, судя по всему, обычная неосторожность людей и вредное влияние окружающей среды.
Признаки уязвимых мест и меры физической безопасности
Следующие признаки могут указывать на наличие уязвимых мест в физической безопасности:
разрешено курить, есть и пить рядом с компьютерами;
компьютерное оборудование оставляется в незапертых комнатах или является незащищенным по какой-либо другой причине;
не установлена пожарная сигнализация; диски оставляются в ящиках столов, не делается архивных копий дисков;
посетителям не задается вопросов о причине их нахождения в помещениях, где установлены компьютеры;
реестр компьютерного оборудования и программ отсутствует, неполон, не обновляется или не проверяется после его заполнения;
распечатки, микрофиши, диски, содержащие критические данные выбрасываются в обычное мусорное ведро;
замки на входах в помещения, где находится компьютерное оборудование, никогда не менялись;
не производилось аттестации автоматизированной системы организации, т. е. анализа насколько она уязвима к доступу неавторизованных людей, пожару или наводнению.
Меры физической безопасности
Предотвратить злонамеренные разрушения, неавторизованное использование или кражу.
ПЭВМ могут быть заперты в комнатах и доступ к ним может быть ограничен с помощью устройств блокировки клавиатуры и т. п. Удостоверьтесь, что люди соблюдают свои обязанности по использованию компьютеров и их можно проконтролировать.
Если информация обрабатывается на большом вычислительном центре, проверьте, как контролируется физический доступ к вычислительной технике. Могут оказаться уместными такие методы, как журналы, замки и пропуска, а также охрана.
Ввод критической информации требует правильного обращения с исходными документами. Правильное обращение означает соблюдение одинаковых правил работы с документами, независимо от того, используются они в автоматизированной системе или нет. Правила работы могут включать работу в безопасном помещении, учет документов в журналах, гарантии того, что только люди, имеющие соответствующий допуск, могут ознакомиться с этими документами, и использование устройств уничтожения документов.
Внимательно проанализируйте размещение компьютеров. Не слишком ли доступны они неавторизованным людям или чрезмерно уязвимы к стихийным бедствиям?
Должны иметься представления об основных схемах сопровождения посторонних. Например, авторизованный сотрудник должен сопровождать в компьютерной зоне посетителя с компьютерными распечатками или человека, заявляющего, что он техник по ремонту компьютеров.
Необходимо знать, кто имеет право доступа в помещения с компьютерным оборудованием и выгонять оттуда посторонних лиц.
Многие люди полагают, что двери, оснащенные замками и охраняемые людьми, обеспечивают физическую безопасность. Но электромагнитные излучения от компьютеров могут быть перехвачены и таким образом может быть прочитана информация с экрана. Рекомендуемые меры защиты от этого должны учитывать требуемый уровень безопасности и тот факт, что такой перехват крайне редок, но может и произойти.
Могут быть предприняты недорогие предохранительные меры, которые будут гарантировать, что телефонные и компьютерные каналы связи в состоянии выполнять свои функции и являются безопасными. В сети может потребоваться выделенный канал связи – он не выполняет других функций. С другой стороны выделение персональной ЭВМ для работы на ней одного приложения может оказаться самым эффективным средством защиты.
Для любой из основных трех технологий для передачи автоматизированной информации существует технология перехвата : кабель (подключение к кабелю), спутник(антенна приема сигнала со спутника), радиоволны( радиоперехват).
Технологии защиты, которые могут быть использованы, включают шифрование информации, использование выделенных линий, модемы с функциям безопасности, и использование скремблирования голосовых переговоров.
Стихийные бедствия могут нанести большой ущерб как большим, так и маленьким компаниям.
Необходимо принимать меры по предотвращению, обнаружению и минимизации ущерба от пожара, наводнения, загрязнения окружающей среды, высоких температур и скачков напряжения.
Защищаться от пожара с помощью регулярной проверки пожарной сигнализации и систем пожаротушения. Защищать ПЭВМ с помощью кожухов, чтобы они не были повреждены системой пожаротушения. Не хранить горючие материалы в этих помещениях.
Статическое электричество может очистить память в ПЭВМ. Антистатические коврики могут предотвратить это. Пользователям следует напоминать о снятии заряда с себя с помощью прикосновения к заземленному объекту.
Скачки напряжения могут очистить память, изменить программы и разрушить микросхемы. Устройство бесперебойного питания дает достаточно времени, чтобы отключить компьютер без потери данных. Предохранить компьютеры от кратковременных бросков питания могут фильтры напряжения. В грозу незащищенные ПЭВМ могут быть отключены и выключены из сети.
Температура в помещении может контролироваться кондиционерами и вентиляторами, а также хорошей вентиляцией в помещении. Проблемы с чрезмерно высокой температурой могут возникнуть в стойках периферийного оборудования или из-за закрытия вентиляционного отверстия в терминалах или ПЭВМ.
Воздушные фильтры могут очистить воздух от вредных веществ в нем, которые могут нанести вред компьютерам и дискам. Следует запретить курить возле ПЭВМ.
Размещать компьютеры необходимо подальше от того, что может явиться источником большого количества воды, например трубопроводов, обычно затапливаемых помещений или не использовать систему пожаротушения, если есть другие способы защиты от пожара.
Держать еду и напитки подальше от компьютера.
Содержать оборудование в порядке. Следить и учитывать в журналах ремонт техники. Это позволит проконтролировать, кто имел доступ к системе.
Защищать все носители информации( исходные документы, ленты, картриджи, диски, распечатки)
вести, контролировать и проверять реестры носителей информации
обучать пользователей правильным методам очищения и уничтожения носителей информации
делать метки на носителях информации, отражающие уровень критичности информации, которая в них содержится.
уничтожать носители информации в соответствии с планом организации
убедиться, что доступ к носителям информации для их хранения, передачи, нанесения меток, и уничтожения предоставлен только авторизованным людям
довести все руководящие документы до сотрудников
Подумать о возможности публикации следующих рекомендаций в общедоступном месте:
Диски уязвимы:
храните их в конвертах и коробках, не пишите на конвертах,не гните их, не касайтесь самих дисков ,осторожно вставляйте их в компьютер
не разливайте на них напитки, держите их подальше от источников магнитного поля, храните их в металлических сейфах ,работайте с дисками в соответствии с маркировкой критичности на них .
Правильное обращение обеспечивает защиту
убирайте диски и ленты, когда не работаете с ними,
храните их разложенными по полкам в определенном порядке,
не давайте носители информации с критической информацией неавторизованным людям, отдавайте поврежденные диски с критической информацией только после их размагничивания или аналогичной процедуры, уничтожайте критическую информацию на дисках с помощью их размагничивания или физического разрушения в соответствии с порядком в вашей организации, уничтожайте распечатки и красящие ленты от принтеров с критической информацией в соответствии с порядком в вашей организации, обеспечьте безопасность распечаток паролей и другой информации, позволяющей получить доступ к компьютеру.
Удостоверьтесь, что существуют адекватные планы действий при ЧП (планы обеспечения непрерывной работы).
Помните, что целью этих планов являются гарантии того, что пользователи смогут продолжать выполнять самые главные свои обязанности в случае невозможности работы по информационной технологии. Конечные пользователи информационной технологии, а также обслуживающий персонал, должны знать, как им действовать по этим планам.
Планы обеспечения непрерывной работы и восстановления должны быть написаны, проверены и регулярно необходимо доводить до сотрудников.
Планы должны учитывать наличие операций архивации, т. е. как будет обрабатываться информация, если компьютеры, на которых она обрабатывалась обычно, нельзя использовать, и необходимость восстановления потерянной или разрушенной информации.
Особенно для ПЭВМ планы должны учитывать выход из строя той или иной техники, например выход из строя сетевого принтера.
Процедуры и техника должны планироваться в расчете на пожар, затопление и т. д.
Храните архивные копии, включая план ОНРВ, в безопасном месте, удаленном от основных помещений, занимаемых компьютерами.
Процедуры плана должны быть адекватны уровню безопасности и критичности информации.
Знайте, что делать в случае ЧП, и будьте знакомы с планом ОНРВ
Помните, что план ОНРВ может применяться в условиях неразберихи и паники. Тренировки ваших сотрудников жизненно необходимы.