Требования к обеспечению информационной безопасности

Министерство  транспорта Российской Федерации

Федеральное агентство  железнодорожного транспорта

Государственное образовательное учреждение высшего 

профессионального образования

Омский государственный  университет путей сообщения

(ОмГУПС)

 

 

Кафедра “Подвижной состав электрических железных дорог”

 

 

 

 

 

 

 

 

 

 

 

 

Реферат по теме: «Требования к обеспечению информационной безопасности»

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Выполнил: студент  гр.48Д

_________Прудников А.Г.

   Проверил:

____________Бублик А. В.

 

 

 

 

Омск 2012

Организационная структура системы обеспечения информационной безопасности

Цели создания системы  обеспечения информационной безопасности

Конечной целью создания системы обеспечения безопасности информационных технологий является предотвращение или минимизация ущерба (прямого или косвенного, материального, морального или иного), наносимого субъектам информационных отношений посредством нежелательного воздействия на информацию, ее носители и процессы обработки.

Основной задачей системы защиты является обеспечение необходимого уровня доступности, целостности и конфиденциальности компонентов (ресурсов) АС соответствующими множеству значимых угроз методами и средствами.

Обеспечение информационной безопасности - это непрерывный процесс, основное содержание которого составляет управление, - управление людьми, рисками, ресурсами, средствами защиты и т.п. Люди - обслуживающий персонал и конечные пользователи АС, - являются неотъемлемой частью автоматизированной (то есть «человеко-машинной») системы. От того, каким образом они реализуют свои функции в системе, существенно зависит не только ее функциональность (эффективность решения задач), но и ее безопасность.

Рис.1 Субъекты, влияющие на состояние информационной безопасности

•сотрудников структурных подразделений (конечных пользователей АС), решающих свои функциональные задачи с применением средств автоматизации;

•программистов, осуществляющих разработку (приобретение и адаптацию) необходимых прикладных программ (задач) для автоматизации деятельности сотрудников организации;

•сотрудников подразделения внедрения и сопровождения ПО, обеспечивающих нормальное функционирование и установленный порядок инсталляции и модификации прикладных программ (задач);

•сотрудников подразделения эксплуатации ТС, обеспечивающих нормальную работу и обслуживание технических средств обработки и передачи информации и системного программного обеспечения;

•системных администраторов штатных средств защиты (ОС, СУБД и т.п.);

•сотрудников подразделения защиты информации, оценивающих состояние информационной безопасности, определяющих требования к системе защиты, разрабатывающих организационно-распорядительные документы по вопросам ОИБ (аналитиков), внедряющих и администрирующих специализированные дополнительные средства защиты (администраторов безопасности);

•руководителей организации, определяющих цели и задачи функционирования АС, направления ее развития, принимающих стратегические решения по вопросам безопасности и утверждающих основные документы, регламентирующие порядок безопасной обработки и использования защищаемой информации сотрудниками организации.

Кроме того, на информационную безопасность организации могут оказывать  влияние посторонние лица и сторонние организации, предпринимающие попытки вмешательства в процесс нормального функционирования АС или несанкционированного доступа к информации как локально, так и удаленно.

Регламентация действий пользователей и обслуживающего персонала АС

Обслуживающий персонал и пользователи, как неотъемлемая часть АС, сами являются источником внутренних угроз информационной безопасности организации и одновременно могут являться частью системы защиты АС. Поэтому одним из основных направлений ОИБ является регламентация действий всех пользователей и обслуживающего персонала АС, целями которой являются:

• сокращение возможностей лиц из числа пользователей и персонала  по совершению нарушений (как неумышленных, так и преднамеренных);

• реализацию специальных мер противодействия  другим внутренним и внешним для системы угрозам (связанным с отказами и сбоями оборудования, ошибками в программах, стихийными бедствиями и действиями посторонних лиц, не являющихся частью АС).

Кроме того, чтобы персонал и пользователи как часть системы безопасности АС реализовали свои «защитные возможности», регламентации подлежат вопросы исполнения ими дополнительных специальных обязанностей (функций), связанных с усилением режима информационной безопасности. Так, для зашиты от действий посторонних лиц и «подкрепления» вводимых ограничений на действия своих сотрудников на компьютерах АС могут применяться средства защиты, работающие на физическом, аппаратном или программном уровне. Применение таких средств защиты требует регламентации вопросов их использования конечными пользователями и процессов их администрирования сотрудниками подразделений автоматизации и обеспечения информационной безопасности.

С учетом всего сказанного выше, можно  сделать вывод: к обеспечению  безопасности информационных технологий организации (и в определенной степени к управлению ее информационной безопасностью) должны привлекаться практически все сотрудники, участвующие в процессах автоматизированной обработки информации, и все категории обслуживающего АС персонала.

За формирование системы защиты и реализацию единой политики информационной безопасности организации и осуществление контроля и координации действий всех подразделений и сотрудников организации по вопросам ОИБ должно непосредственно отвечать специальное подразделение (служба) защиты информации (обеспечения информационной безопасности).

В силу малочисленности данного  подразделения решение им многих процедурных вопросов и эффективный  контроль за соблюдением всеми сотрудниками требований по ОИБ возможны только при назначении во всех подразделениях, эксплуатирующих подсистемы АС, нештатных помощников - ответственных за обеспечение информационной безопасности.

Эффективное использование штатных (для ОС и СУБД) и дополнительных средств защиты обеспечивается системными администраторами и администраторами средств защиты. Системные администраторы обычно входят в штат подразделений автоматизации (информатизации). Администраторы дополнительных средств защиты, как правило, являются сотрудниками подразделения защиты информации.

Таким образом, организационную структуру системы обеспечения информационной безопасности АС организации можно представить в виде, совокупности следующих уровней:

• уровень 1 - Руководство организации
• уровень 2 - Подразделение ОИБ
• уровень 3 - Администраторы штатных и дополнительных средств защиты
• уровень 4 - Ответственные за ОИБ в подразделениях (на технологических участках)
• уровень 5 - Конечные пользователи и обслуживающий персонал

 

 Основные организационные и организационно-технические мероприятия по созданию и обеспечению функционирования комплексной системы защиты

Организационные меры являются той  основой, которая объединяет различные  меры защиты в единую систему. Они  включают:

• разовые (однократно проводимые и  повторяемые только при полном пересмотре принятых решений) мероприятия;

• мероприятия, проводимые при осуществлении  или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);

• периодически проводимые (через  определенное время) мероприятия;

• постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия

К разовым мероприятиям относят:

• мероприятия по созданию нормативно-методологической базы (разработка концепции и других руководящих документов) защиты АС;

• мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

• мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

• проведение спецпроверок применяемых  в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

• внесение необходимых изменений  и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, технологические инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности ресурсов АС и действиям в случае возникновения кризисных ситуаций;

• создание подразделения защиты информации (компьютерной безопасности) и назначение нештатных ответственных за ОИБ в подразделениях и на технологических участках, осуществляющих организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации; разработка и утверждение их функциональных обязанностей;

• мероприятия по разработке политики безопасности, определение порядка  назначения, изменения, утверждения и предоставления конкретным категориям сотрудников (должностным лицам) необходимых полномочий по доступу к ресурсам системы;

• мероприятия по созданию системы  защиты АС и необходимой инфраструктуры (организация учета, хранения, использования  и уничтожения документов и носителей с закрытой информацией, оборудование служебных помещений сейфами (шкафами) для хранения реквизитов доступа, средствами уничтожения бумажных и магнитных носителей конфиденциальной информации и т.п.);

• мероприятия по разработке правил разграничения доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным;

• определение перечней файлов и баз  данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требований к уровням их защищенности от НСД при передаче, хранении и обработке в АС;

• выявление наиболее вероятных угроз  для данной АС, выявление уязвимых мест процессов обработки информации и каналов доступа к ней, оценка возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

• организация охраны и надежного  пропускного режима;

• определение порядка проектирования, разработки, отладки, модификации, приобретения, специсследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто

• контролирует и что при этом они  должны делать), определение порядка  учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

• определение перечня необходимых  регулярно проводимых превентивных мер и оперативных действий персонала  по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий.

Периодически проводимые мероприятия

К периодически проводимым мероприятиям относят:

• распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

• анализ системных журналов (журналов регистрации), принятие мер по обнаруженным нарушениям правил работы;

• пересмотр правил разграничения  доступа пользователей к ресурсам АС организации;

• осуществление анализа состояния  и оценки эффективности мер и  применяемых средств защиты и разработка необходимых мер по совершенствованию (пересмотру состава и построения) системы защиты.

 

 

Мероприятия, проводимые по необходимости

К мероприятиям, проводимым по необходимости, относят:

• мероприятия, осуществляемые при кадровых изменениях в составе персонала  системы;

• мероприятия, осуществляемые при ремонте  и модификациях оборудования и программного обеспечения (санкционирование, рассмотрение и утверждение изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

• проверка поступающего оборудования, предназначенного для обработки  закрытой информации, на наличие специально внедренных закладных устройств, инструментальный контроль технических средств на наличие побочных электромагнитные излучения и наводок;

• оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;

• мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.);

• оформление юридических документов (договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами) и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с информационным обменом;

• обновление технических и программных  средств защиты от НСД к информации в соответствие с меняющейся оперативной обстановкой.