организационно правовая-защита-11
DESCRIPTION
Организационные методы защиты информацииTRANSCRIPT
![Page 1: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/1.jpg)
Организационные методы Организационные методы защиты информации защиты информации
![Page 2: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/2.jpg)
План лекцииПлан лекции
Правовые (законодательные) Правовые (законодательные) меры защитымеры защиты
Организационные меры защитыОрганизационные меры защиты
![Page 3: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/3.jpg)
Правовые меры защитыПравовые меры защиты
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил.
Правовые меры защиты являются сдерживающим (устрашающим) фактором для потенциальных нарушителей.
![Page 4: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/4.jpg)
Правовые меры защитыПравовые меры защиты
УГРОЗА УЯЗВИМОСТЬ РИСК + =
АТАКА УЯЗВИМОСТЬ НЕЗАЩИЩЕННОСТЬ + =
КОМПРОМЕТАЦИЯ
УЩЕРБ
Правовые меры
Правовые меры
![Page 5: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/5.jpg)
Организационные меры защитыОрганизационные меры защиты
Организационные меры защиты - это меры, регламентирующие:
деятельность персонала процессы создания и функционирования автоматизированной информационной системы (АИС) использование ресурсов АИС порядок взаимодействия пользователей с АИС
Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности.
![Page 6: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/6.jpg)
УГРОЗА УЯЗВИМОСТЬ РИСК + =
АТАКА УЯЗВИМОСТЬ НЕЗАЩИЩЕННОСТЬ + =
КОМПРОМЕТАЦИЯ
УЩЕРБ
Организацион-ные меры
Организацион-ные меры
Организацион-ные меры
Организацион-ные меры
Организационные меры защитыОрганизационные меры защиты
Обеспечивается до 60-80 % защиты
![Page 7: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/7.jpg)
низкая надежность без соответствующей поддержки физическими, техническими и программными средствами (люди склонны к нарушению любых установленных дополнительных ограничений и правил, если только их можно нарушить)
дополнительные неудобства, связанные с большим объемом рутинной формальной деятельности.
Недостатки:
Организационные меры защитыОрганизационные меры защиты
Организационные меры должны выступать в качестве обеспечения эффективного применения других методов и средств защиты в части, касающейся регламентации действий людей.
![Page 8: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/8.jpg)
Основные группы организационных мер: Политика безопасности организации Инфраструктура информационной безопасности Классификация (категорирование) ресурсов и их контроль Безопасность персонала Физическая безопасность и безопасность окружающей среды Управление эксплуатацией Управление доступом Разработка и сопровождение информационных систем Управление бесперебойной работой организации
Организационные меры Организационные меры защитызащиты
![Page 9: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/9.jpg)
Политика безопасности Политика безопасности организацииорганизации
ОрганизацияОрганизация
Руководство
ОпределяетОпределяет
Как защищается
Переченьсредств испособовзащиты
Что защищается
Переченьобъектовзащиты
От чего защищается
Переченьугроз
Высшее руководство должно сформировать политику в области обеспечения информационной безопасности (отражающую подходы к защите своих информационных ресурсов) и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
![Page 10: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/10.jpg)
Инфраструктура информационной Инфраструктура информационной безопасностибезопасности
Участие руководства в решении проблем защиты информации:
анализ и утверждение политики информационной безопасности и распределение общих обязанностей отслеживание основных угроз, которым подвергаются информационные ресурсы анализ и слежение за инцидентами в системе безопасности утверждение основных инициатив, направленных на усиление защиты информации
![Page 11: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/11.jpg)
Инфраструктура информационной Инфраструктура информационной безопасностибезопасности
Координация действий по защите информации:согласование конкретных функций и обязанностей по обеспечению информационной безопасности в организациисогласование конкретных методик и процессов защиты информации, например, оценка рисков, система классификации средств защитысогласование и оказание поддержки инициативам по защите информации в организации, например, программе обучения персонала правилам безопасностиобеспечение включения защитных мер в процесс планирования использования информациикоординация действий по реализации конкретных мер по обеспечению информационной безопасности новых систем или сервисовсоздание благоприятных условий для информационной безопасности во всей организации
![Page 12: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/12.jpg)
Инфраструктура информационной Инфраструктура информационной безопасностибезопасности
Распределение обязанностей по обеспечению информационной безопасности
Регламентация процесса утверждения новых информационных систем
Независимый анализ информационной безопасности
Безопасность доступа сторонних организаций
![Page 13: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/13.jpg)
Классификация (категорирование) Классификация (категорирование) ресурсов и их контрольресурсов и их контроль
Ответственность за ресурсыИнвентаризация ресурсовИнформационные ресурсыПрограммные ресурсыФизические ресурсыСервисыКлассификация (категорирование) ресурсов: Конфиденциальность Целостность ДоступностьМаркировка ресурсов в соответствии с классификациейВедение операций с ресурсами: ввод, передача и обработка, вывод и устранение ресурсов в соответствии с классификацией этих ресурсов
![Page 14: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/14.jpg)
Безопасность персоналаБезопасность персонала
Безопасность в должностных инструкциях
Проверка принимаемых на работу
Соглашение о конфиденциальности
Обучение пользователей
Обучение правилам информационной безопасности
![Page 15: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/15.jpg)
Безопасность персоналаБезопасность персонала
Реагирование на события, таящие угрозу безопасности
Уведомление об инцидентах в системе безопасности
Уведомление о слабых местах в системе безопасности
Уведомление об отказах программного обеспечения
Процедура наложения дисциплинарных взысканий
![Page 16: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/16.jpg)
Физическая безопасность и безопасность Физическая безопасность и безопасность средысреды
Защищенные областиФизический периметр безопасностиКонтроль доступа в помещенияЗащита центров данных и компьютерных залов Правила использования рабочего столаВынос имущества за пределы организации
Защита оборудованияРазмещение и защита оборудованияИсточники электропитанияТехническое обслуживание оборудованияЗащита оборудования, используемого за пределами организацииНадежная утилизация оборудования
![Page 17: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/17.jpg)
Управление эксплуатациейУправление эксплуатацией
Операционные процедуры и обязанности
Документированные операционные процедуры Процедуры реагирования на события, таящие угрозу безопасности Разделение обязанностей Разделение программных средств разработки и рабочих программ Работа со сторонними организациями
![Page 18: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/18.jpg)
Управление эксплуатациейУправление эксплуатацией
Планирование систем и их приемка
Планирование нагрузки Приемка систем Планирование перехода на аварийный режим Управление процессом внесения изменений в рабочие системы
![Page 19: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/19.jpg)
Управление эксплуатациейУправление эксплуатацией
Защита от вредоносного программного обеспечения Средства защиты от вирусов
Обслуживание системРезервное копирование данныхАрхивирование данныхЖурналы регистрации событийРегистрация сбоевСлежение за окружающей средой
Сетевое администрирование
![Page 20: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/20.jpg)
Управление эксплуатациейУправление эксплуатацией
Оперирование с носителями информации и их защита
Управление съемными носителями информации Процедуры оперирования c данными Защита системной документации Очистка носителей данных
![Page 21: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/21.jpg)
Управление эксплуатациейУправление эксплуатацией
Обмен данными и программами
Соглашения об обмене данными и программами Защита носителей информации во время транспортировки Защита электронного обмена данными
![Page 22: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/22.jpg)
Управление доступомУправление доступом
Документированная политика управления доступом к информации Управление доступом пользователей Регистрация пользователей Управление привилегиями Управление пользовательскими идентификаторами Пересмотр прав доступа пользователейОбязанности пользователей: Использование идентификаторов Пользовательское оборудование, оставленное без присмотра Управление доступом к приложениям Использование системных утилит Управление доступом к библиотекам исходных текстов программ
![Page 23: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/23.jpg)
Разработка и сопровождение Разработка и сопровождение информационных системинформационных систем
Требования к безопасности систем
Безопасность в прикладных системах
Выделение тестовой среды
Процедуры управления процессом внесения изменений
![Page 24: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/24.jpg)
Управление бесперебойной работойУправление бесперебойной работой
Планирование бесперебойной работы
идентификация критически важных производственных процессов и их ранжирование по приоритетам определение критических ситуаций и их ранжирование определение и согласование всех обязанностей и планов действий в чрезвычайных ситуациях документирование согласованных процедур и процессов подготовка персонала к выполнению согласованных процедур и процессов в чрезвычайных ситуациях тестирование планов пересмотр и обновление планов.
![Page 25: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/25.jpg)
Администратор сети долженАдминистратор сети должен
• устанавливать средства защиты информации устанавливать средства защиты информации на компьютеры;на компьютеры;
• настраивать средства защиты информации настраивать средства защиты информации путем задания прав доступа пользователей к путем задания прав доступа пользователей к ресурсам (как компьютеров, так и сети);ресурсам (как компьютеров, так и сети);
• контролировать состояние защищенности контролировать состояние защищенности компьютерной сети путем оперативного компьютерной сети путем оперативного мониторинга и анализа системных журналов.мониторинга и анализа системных журналов.
![Page 26: организационно правовая-защита-11](https://reader033.vdocuments.site/reader033/viewer/2022061115/54621fddaf79597f198b6f55/html5/thumbnails/26.jpg)
УП «Научно-исследовательский институт УП «Научно-исследовательский институт технической защиты информации»технической защиты информации»г. Минск, ул. Первомайская, 26, к.2г. Минск, ул. Первомайская, 26, к.2Тел. 2Тел. 29494 00 11, 2 00 11, 29494 22 54, 2 22 54, 29494 01 71 01 71
Директор – Чурко Олег Васильевич тел. 2Директор – Чурко Олег Васильевич тел. 29494 16 84 16 84
Центр испытаний средств защиты информации Центр испытаний средств защиты информации и аттестации информационных объектови аттестации информационных объектов
[email protected]@niitzi.byЗам. начальника Центра испытанийЗам. начальника Центра испытаний -- Мельник Александр Филиппович тел. 294 30 85 Мельник Александр Филиппович тел. 294 30 85
Начальник испытательной лабораторииНачальник испытательной лаборатории - - Кондрахин Олег ЮрьевичКондрахин Олег Юрьевич
Инженер Инженер I I категории испытательной лабораториикатегории испытательной лаборатории - Андрухович Мария Константиновна- Андрухович Мария Константиновна