Система защиты информации в России

Размещено на http://www.allbest.ru/

Лекция

по дисциплине «История и современная система защиты информации в России»

Содержание

1. Цели задачи системы защиты информации в Российской Федерации

2. Перечень направления работ по созданию системы защиты информации

3. Структура систем защиты информации

4. Методы (виды обеспечения) защиты информации

защита информация россия

1. Цели задачи системы защиты информации в Российской Федерации

Одним из первоначальных этапов создания системы защиты информации является определение целей и постановка задач, которые позволят обеспечить успешное развитие предприятие.

Среди целей в соответствии законодательством Российской Федерации могут быть:

Защита интеллектуальных форм собственности акционерного общества, а также интеллектуальную форму собственности её работников;

Сохранение и эффективное использование финансовых, материальных и информационных ресурсов;

Выявление и устранение причин и условий, способствующих реализации угроз безопасности интеллектуальной, материальной и финансовой собственности акционерного общества;

Своевременное выявление и перекрытие возможных каналов утечки, несанкционированного доступа, а также исключение негативных последствий в случаях реализации угроз безопасности интеллектуальной, материальной и финансовой собственности акционерного общества;

Исключение необоснованного допуска и доступа лиц к сведениям, составляющим коммерческую тайну, и иной информации, доступ к которой ограничивается в соответствии с законодательством Российской федерации.

При разработке задач по защите информации необходимо исходить от объектов (предметов), подлежащих защите, технологии её обработки, с учётом целей обществом по обеспечению безопасности информации.

Если носителями конфиденциальной информации являются: человек, физические носители информации, в том числе и физическое поле, информация (носители информации) хранится, обрабатывается с использованием технических средств, в том числе на СВТ, производится передача конфиденциальной информации между объектами по открытым каналам связи, то в этом случае необходимо выполнение следующих задач:

Создание эффективной системы защиты конфиденциальной информации, и иной информации, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

Организация и проведения комплекса работ по обеспечению безопасности интеллектуальной собственности, материальных и финансовых ресурсов, предотвращения несанкционированных действий по разглашению передаче, утрате, копированию, уничтожению, искажению, модификации, фальсификации, блокированию информации (носителей информации) предотвращения других форм незаконного вмешательства в информационные ресурсы и банки данных;

Обеспечение режима безопасности и защиты информации при проведении всех видов работ с конфиденциальной информацией, исключение несанкционированного доступа к информации посторонних лиц во время хранения, обработки, передачи, ведения конфиденциальных переговоров, совещания и других закрытых мероприятий;

Добывание информации о событиях или действиях, создающих угрозу утраты или разглашения сведений, составляющих коммерческую тайну;

Контроль эффективности защиты информации включающего контроль технических средств защиты, контроль организации и проведения мероприятий по защите информации, контроль выполнения работниками требований нормативных документов при работе со сведениями конфиденциального характера.

2. Перечень направления работ по созданию системы защиты информации

Для построения системы защиты информации необходимо провести работы по:

Обеспечению режима безопасности при проведении всех видов работ со сведениями конфиденциального характера, проведение работ по допуску и доступу лиц к сведениям конфиденциального характера.

Разработке перечня сведений конфиденциального характера, проведение специальных экспертиз информации, (в том числе издательской деятельности), материалов, изделий, предназначенных для передачи (опубликования) «третьим лицам».

Организации пропускного режима на охраняемую территорию акционерного общества, обеспечение безопасности работников, материального имущества, информационных систем, информационных ресурсов.

Оборудованию периметра территории объекта общества, зданий, помещений инженерно-техническими средствами охранной сигнализации от физического доступа посторонних лиц на охраняемую территорию общества.

Организации и ведению специального делопроизводства, исключающего несанкционированный доступ посторонних лиц к конфиденциальной информации.

Созданию и обеспечению защиты информации при её обработке на СВТ, предотвращение несанкционированных действий по уничтожению, искажению, модификации (фальсификации), копированию, несанкционированному блокированию информации, предотвращения других форм незаконного вмешательства в информационные ресурсы и банки данных.

Организации и проведению работ по аттестации объектов информатизации, на соответствие требованиям по безопасности информации, проведение технической защиты информации, специальных исследований технических средств, инструментального контроля и установки средств защиты от утечки информации по техническим каналам.

Проведению защитно-поисковых мероприятий, проведение обследований помещений, зданий, сооружений, участков местности, технических и транспортных средств, по выявлению специальных технических средств съёма информации, технических каналов утечки информации, в том числе контроль радиоэфира.

Анализу состояния защиты информации общества, аналитическое и организационно-плановое обеспечение режима безопасности и защиты информации общества.

Разработке и обеспечению работников предприятия нормативными методическими и руководящими документами, оказание помощи в получении (обучение) знаний практического опыта в обеспечении безопасности информации.

Контроль работоспособности технических средств обработки и защиты информации, организации и выполнения работ по защите информации, выполнения работниками требований нормативных документов по обеспечению безопасности информации, проведение служебных расследований по фактам нарушений режима безопасности и защиты информации.

3. Структура систем защиты информации

защита информация материальный ресурс

Типовая структура защиты информации представлена на рис 4 и состоит из следующих подсистем защиты информации:

1. Защита объектов (источников информации) от физического доступа посторонних лиц (охрана объектов).

2. Защита информации от утечки по техническим каналам.

3. Защита информации от несанкционированного доступа при ее обработке с использованием технических средств.

4. Криптографическая защита информации.

5. Защита документированной информации от доступа посторонних лиц. (делопроизводство).

6. Защита информации от разглашения при проведение работ со сведениями конфиденциального характера (режимные мероприятия).

1. Подсистема физической защиты состоит из:

1.1. Средств инженерной защиты

1.2. Средств технической охраны

1.3. Охрана объекта (комендантская служба)

1.4. Комплекса управления силами и средствами

2. Подсистема защиты информации от утечки по техническим каналам состоит из:

2.1. Средства защиты информации от наблюдения

2.2. Средства защиты информации от подслушивания

2.3. Средства защиты от утечки информации за счет ПЭМИН

2.4. Средства защиты от съема (перехвата) информации за счет использования средств съема информации (закладных устройств).

2.4. Средств защиты вещественных признаков.

2.5. Органа управления силами и средствами.

3. Подсистема защиты информации от несанкционированного доступа (НСД) при её обработке с использованием СВТ состоит из:

3.1. Аппаратно-программных средств защиты от несанкционированного доступа посторонних лиц при работе на СВТ

3.2. Аппаратно-программных средств защиты от несанкционированного доступа посторонних лиц при работе на АС.

3.3. Аппаратно-программных средств защиты от удаленного доступа посторонних лиц при работе в ВС (межсетевые экраны).

3.4. Проверка и выявление в программном обеспечении наличие недекларированных возможностей (программные закладки)

3.5. Программные средства защиты от воздействия вредоносных программ.

3.6. Органа управления и контроля за работоспособностью аппаратно-программных средств и правильностью их использования.

4. Подсистема криптографической зашиты информации обеспечивает:

4.1. Криптографическую защиту информации (шифрование / дешифрование)

4.2. Защиту электронного документа (системы электронной подписи).

4.3. Управление ключами.

5. Подсистема защиты документированной информации обеспечивает:

5.1. Работники по обеспечению единой системы делопроизводства документооборота в Обществе, включая единый порядок учета и регистрации приема, передачи входящих и исходящих документов, электронных документов.

5.2. Работники обеспечивающие учет и контроль за прохождением, исполнением и оформлением документов в установленные сроки в соответствии с требованиями делопроизводства; систематический анализ исполнительской дисциплины и состояния делопроизводства, в структурных подразделениях Общества.

5.3. Средства автоматизированного учета и регистрации, оргтехника, предназначенная для размножения, уничтожения, хранения носителей информации

6. Подсистема защиты информации от разглашения при проведении работ со сведениями конфиденциального характера (обеспечение режима):

6.1. Система разграничения доступа работников к сведениям конфиденциального характера.

6.2. Выявление и исключения случаев необоснованного допуска и доступа лиц к конфиденциальным сведениям и их носителям.

6.3. Обеспечение режима конфиденциальности при работе со сведениями конфиденциального характера, при проведении всех видов конфиденциальных работ и услуг.

6.4. Проведение профилактических работ по исключению работниками случаев разглашения конфиденциальной информации.

6.5. Исключение противоправных действий (коррупции) со стороны работников, которые могут нанести материальный или моральный вред предприятию.

6.6. Оказание методической помощи (обучение) и контроль выполнения работниками требований режима конфиденциальности при выполнении работ со сведениями конфиденциального характера.

4. Методы (виды обеспечения) системы защиты информации

Методы защиты информации представлены на рис 5

1. правовая защита информации - защита информации, базирующаяся на применении статей конституции и законов государства, положений гражданского и уголовного кодексов и других нормативно-правовых документов в области информатики, информационных отношений и защиты информации. Правовая защита информации регламентирует права и обязанности субъектов информационных отношений, правовой статус органов, технических средств и способов защиты информации и является основой для морально - этических норм в области защиты информации.

2. Организационная защита информации - это комплекс направлений и методов управленческого, ограничительного и технологического характера, определяющих основы и содержание системы защиты, побуждающих персонал соблюдать правила защиты конфиденциальной информации. Организационные меры связаны с установлением режима конфиденциальности в организации.

3. Техническая или инженерно-техническая защита, основывающаяся на использовании технических устройств, узлов, блоков, элементов, систем, как в виде отдельных средств, так и встроенных в процессе единого технологического цикла создания средств обработки информации, сооружений и т.д.;

4 Программно-аппаратная защита, предполагающая использование программного обеспечения информационных систем, комплексов и систем, а также аппаратных устройств, встроенных в состав технических средств и систем обработки информации.

В качестве отдельного вида наиболее эффективных средств защиты информации выделяются математические или криптографические методы, которые могут быть реализованы в виде технических устройств, программ и программно-аппаратных средств.

Рассмотренные виды в основном обеспечивают надежную защиту информации в различных системах ее обработки и различных условиях их функционирования. Однако опыт практического обеспечения безопасности информации в России и за рубежом показывает, что для надежной защиты, в условиях обязательного участия человека, массовости решения задач защиты необходимо использовать психологические и морально-этические виды, а в ряде случаев и страховые.

5. Под психологическими видами защиты понимаются допускаемые нормами права и морали методы и средства изучения психофизиологических особенностей и возможностей людей, а также психологического воздействия на людей с целью оценки соответствия их требованиям для допуска к обработке защищаемой информации.

6. Под морально-этическими видами защиты понимаются нормы и правила, которые не имеют юридической силы, но их нарушение ведет к потере авторитета, возникновению дополнительных трудностей и другим негативным последствиям для человека и организации.

7. Страховая защита информации - защита информации, предусматривающая возмещение убытков от её уничтожения или модификации путем получения страховых выплат.

Очевидно, что в ряде стран при построении систем защиты в типовую модель вносят изменения. Так, во Франции элементы правовой и организационной защиты информации рассматривают в едином ракурсе, а в программно-аппаратной защите наоборот выделяют отдельно программные и аппаратные методы и средства защиты информации. Морально-этические и психологические элементы защиты информации практически во всех странах до настоящего времени рассматривались лишь в теории.

8. Материально-техническое и финансового обеспечения работ.

Планирование потребности подразделений в материальных средствах по закрепленной номенклатуре . Приобретение запланированных материальных средств с учетом конъюктуры рынка, а также целесообразного и экономного расходования бюджетных ассигнований, выделенных на эти цели. Получение, хранение и передача средств защиты информации (СЗИ) специальных технических средств (СТС) и других материальных средств в подразделения. Формирование резервного фонда СЗИ, СТС, и других материальных средств и расходных материалов. Подготовка к списанию СЗИ, СТС и иных технических средств.

Размещено на Allbest.ru