- •Поняття інформаційної безпеки
- •Основні задачі інформаційної безпеки
- •Важливість і складність проблеми інформаційної безпеки
- •Об’єктно-орієнтований підхід до інформаційної безпеки
- •Основні положення системи зАхисту інформації
- •Поняття системи захисту інформації
- •Вимоги до захисту інформації
- •Вимоги до системи захисту інформації
- •Види забезпечення системи захисту інформації
- •Основні поняття
- •Загрози безпеці інформації
- •Основні поняття і класифікація загроз
- •Основні загрози доступності
- •Основні загрози цілісності
- •Основні загрози конфіденційності
- •Шкідливе програмне забезпечення
- •Інформація, що підлягає захисту
- •Основні поняття
- •Сфери розповсюдження державної таємниці на інформацію
- •Комерційна таємниця
- •Персональні дані
- •Дії, що призводять до неправомірного оволодіння конфіденційною інформацією
- •Перехоплення даних та канали витоку інформації
- •Порушники інформаційної безпеки
- •Модель поводження потенційного порушника
- •Класифікація порушників
- •Методика вторгнення
- •Умови, що сприяють неправомірному оволодінню конфіденційною інформацією
- •Основні поняття законодавчого рівня інформаційної безпеки
- •Система забезпечення інформаційної безпеки України
- •Правові актИ
- •Структура правових актів
- •Нормативно-правові документи
- •Форми захисту інформації
- •Правові норми забезпечення безпеки і захисту інформації на підприємстві
- •УкраїнськЕ законодавство в галузі інформаційної безпеки
- •Зарубіжне законодавство в галузі інформаційної безпеки
- •Стандарти і специфікації в галузі безпеки інформаційНих систем
- •“Помаранчева книга” як оцінний стандарт
- •Класи безпеки інформаційних систем
- •Технічна специфікація X.800
- •Стандарт iso/iec 15408
- •Поняття політики безпеки
- •Розробка політики безпеки
- •Програма реалізації політики безпеки
- •Синхронізація програми безпеки з життєвим циклом систем
- •Управління ризиками
- •Основні класи заходів організаційного рівня
- •Управління персоналом
- •Фізичний захист
- •Заходи щодо захисту локальної робочої станції
- •Підтримка працездатності
- •Реагування на порушення режиму безпеки
- •Планування відновлювальних робіт
- •Служба безпеки підприємства
- •Поняття інженерно-технічного захисту
- •Фізичні засоби захисту
- •Види фізичних засобів
- •Охоронні системи
- •Охоронне телебачення
- •Охоронне освітлення та засоби охоронної сигналізації
- •Захист елементів будинків і приміщень
- •Апаратні засоби захисту
- •Програмні засоби захисту
- •Криптографічні засоби захисту
- •Основні поняття криптографії
- •Методи шифрування
- •Криптографічні протоколи
- •Контроль цілісності
- •Технологія шифрування мови
- •Стеганографічні засоби захисту
- •Особливості сучасних інформаційних систем з погляду безпеки
- •Принципи Архітектурної безпеки
- •Ідентифікація та автентифікація
- •Логічне управління доступом
- •Протоколювання та аудит
- •Основні поняття
- •Активний аудит
- •Склад засобів активного аудиту
- •Екранування
- •Аналіз захищеності
- •Забезпечення високої доступності
- •Тунелювання
- •Управління інформаційними системами
- •Афоризми і постулати інформаційної безпеки
- •Список літератури
- •Додаткова
- •1 Галузь використання
- •2 Нормативні посилання
- •3 Загальні положення
- •4 Побудова системи захисту інформації
- •4.1 Визначення й аналіз загроз
- •4.2 Розроблення системи захисту інформації
- •4.3 Реалізація плану захисту інформації
- •4.4 Контроль функціювання та керування системою захисту інформації
- •5 Нормативні документи системи тзі
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
- •21021, М. Вінниця, Хмельницьке шосе, 95, внту
Служба безпеки підприємства
Організаційні заходи повинні чітко плануватися, направлятися і здійснюватися спеціально створеним для цих цілей структурним підрозділом, укомплектованим відповідними фахівцями з безпеки підприємницької діяльності і захисту інформації.
Найчастіше таким структурним підрозділом є служба безпеки підприємства (СБ)(фірми, організації), на яку покладаються такі загальні функції:
організація і забезпечення охорони персоналу, матеріальних і фінансових цінностей і захисту конфіденційної інформації;
забезпечення пропускного і внутріоб'єктового режиму на території, у будинках і приміщеннях, контроль за дотриманням вимог режиму співробітниками, суміжниками, партнерами і відвідувачами;
керівництво роботами з правового й організаційного регулювання заходів із захисту інформації;
участь у розробці основних документів з метою закріплення в них вимог забезпечення безпеки і захисту інформації, а також положень про підрозділи, трудових договорів, угод, підрядів, посадових інструкцій і обов'язків керівництва, фахівців, робітників та службовців;
розробка і здійснення разом з іншими підрозділами заходів щодо забезпечення роботи з документами, що містять конфіденційні відомості, під час виконання всіх видів робіт;
вивчення всіх сторін виробничої, комерційної, фінансової й іншої діяльності для виявлення і наступної протидії будь-яким спробам нанесення збитку, ведення обліку й аналізу порушень режиму безпеки, нагромадження й аналіз даних про злочинні спроби конкурентних та інших організацій, про діяльність підприємства і його клієнтів, партнерів, суміжників;
організація і проведення службових розслідувань за фактами розголошення відомостей, втрат документів, витоку конфіденційної інформації й інших порушень безпеки підприємства;
розробка, ведення, відновлення і поповнення “Переліку відомостей конфіденційного характеру” та інших нормативних актів, що регламентують порядок забезпечення безпеки і захисту інформації;
забезпечення строгого виконання вимог нормативних документів із захисту виробничих секретів підприємства;
здійснення керівництва службами і підрозділами безпеки підвідомчих підприємств, організацій, установ і інших структур у частині умов, застережених у договорах;
організація і регулярне проведення обліку співробітників підприємства і служби безпеки в усіх напрямках захисту інформації і забезпечення безпеки виробничої діяльності;
ведення обліку і строгого контролю виділених для конфіденційної роботи приміщень, технічних засобів у них, що мають потенційні канали витоку інформації і канали проникнення до джерел охоронюваних секретів;
забезпечення проведення всіх необхідних заходів щодо припинення спроб нанесення морального і матеріального збитку з боку внутрішніх і зовнішніх загроз;
підтримання контактів із правоохоронними органами і службами безпеки сусідніх підприємств в інтересах вивчення криміногенної обстановки в районі (зоні) і надання взаємної допомоги в кризових ситуаціях.
Служба безпеки є самостійною організаційною одиницею підприємства, що підкоряється безпосередньо керівнику підприємства. Очолює службу безпеки начальник служби в посаді заступника керівника підприємства з безпеки.
Організаційно служба безпеки складається з таких структурних одиниць:
підрозділу режиму й охорони;
спеціального підрозділу обробки документів конфіденційного характеру;
інженерно-технічного підрозділу;
інформаційно-аналітичного підрозділу.
У такому складі СБ здатна забезпечити захист конфіденційної інформації від будь-яких загроз.
Задачами служби безпекипідприємства є:
визначення кола осіб, що у силу їхнього службового становища на підприємстві прямо чи побічно мають доступ до відомостей конфіденційного характеру;
визначення ділянок зосередження конфіденційних відомостей;
визначення кола сторонніх підприємств, зв’язаних з даним підприємством кооперативними зв’язками, на яких у силу виробничих відносин можливий вихід з-під контролю відомостей конфіденційного характеру;
виявлення кола осіб, не допущених до конфіденційної інформації, але що виявляють підвищений інтерес до таких відомостей;
виявлення кола підприємств, у тому числі й іноземних, зацікавлених в оволодінні охоронюваними відомостями з метою нанесення економічного збитку даному підприємству, усунення економічного конкурента або його компрометації;
розробка системи захисту документів, що містять відомості конфіденційного характеру;
визначення на підприємстві ділянок та технологічного устаткування, уразливих в аварійному відношенні, вихід з ладу яких може завдати матеріальної та/або моральної шкоди підприємству;
визначення уразливих місць у технології виробничого циклу, несанкціонована зміна в який може призвести до втрати якості продукції, що випускається, і нанести матеріальний чи моральний збиток підприємству (втрата конкурентоспроможності);
визначення місць на підприємстві, несанкціоноване відвідування яких може привести до вилучення (крадіжки) готової продукції чи напівфабрикатів, заготівель і ін.; організація їхнього фізичного захисту й охорони;
визначення й обґрунтування заходів правового, організаційного й інженерно-технічного захисту підприємства, персоналу, продукції й інформації;
розробка необхідних заходів, спрямованих на удосконалення системи економічної, соціальної й інформаційної безпеки підприємства;
впровадження в діяльність підприємства новітніх досягнень науки і техніки, передового досвіду в галузі забезпечення економічної та інформаційної безпеки;
організація навчання співробітників служби безпеки відповідно до їхніх функціональних обов’язків;
вивчення, аналіз і оцінювання стану забезпечення економічної й інформаційної безпеки підприємства і розробка пропозицій і рекомендацій для їхнього удосконалення;
розробка техніко-економічних обґрунтувань, спрямованих на придбання технічних засобів, одержання консультації у фахівців, розробку необхідної документації з метою удосконалення системи заходів для забезпечення економічної та інформаційної безпеки.
Організаційні заходи є вирішальною ланкою формування і реалізації комплексного захисту інформації і створення системи безпеки підприємства.
КОНТРОЛЬНІ ПИТАННЯ
Дайте означення поняття “організаційний захист”.
Назвіть класи заходів організаційного захисту.
Наведіть основні принципи управління персоналом.
Назвіть основні напрями фізичного захисту інформації.
Охарактеризуйте можливості заходів фізичного управління доступом.
Дайте характеристику заходам щодо захисту локальної робочої станції.
Охарактеризуйте основні організаційні заходи напрямлені на підтримку працездатності.
Яким чином здійснюється реагування на порушення ІБ?
Обґрунтуйте необхідність планування відновних робіт.
Охарактеризуйте задачі та напрямки роботи служби безпеки підприємства.
Практичне завдання 5
Вибрати основні заходи організаційного рівня, що діють на підприємстві.
Обґрунтувати вибір принципів керування персоналом підприємства.
Вибрати заходи фізичного захисту та керування доступом.
Розробити правила заохочення та покарання працівників, що стосуються порушень інформаційної безпеки.
Розробити спрощену структуру служби безпеки заданого підприємства, з урахуванням його структури, діяльності, оцінених ризиків та політики безпеки.
|
ІНЖЕНЕРНО-ТЕХНІЧНИЙ РІВЕНЬ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ |