- •Министерство образования и науки российской федерации федеральное государственное автономное образовательное учреждение высшего профессионального образования
- •Обозначения
- •1. Введение
- •1.1. Краткая характеристика предприятия
- •1.2. Оказываемые услуги
- •2. Общие положения политики информационной безопасности
- •3. Описание объектов защиты
- •4. Цели и задачи деятельности по обеспечению информационной безопасности
- •5. Угрозы информационной безопасности
- •6. Модель нарушителя информационной безопасности Учреждения
- •Основные положения по обеспечению информационной безопасности.
- •7.1. Подсистемы управления доступом, регистрации и учета
- •7.2. Подсистема обеспечения целостности и доступности
- •7.3. Подсистема антивирусной защиты
- •7.4. Подсистема межсетевого экранирования
- •7.5. Подсистема анализа защищенности
- •8.2. Администратор безопасности
- •8.3. Оператор арм
- •8.4. Администратор сети
- •8.5. Технический специалист по обслуживанию периферийного оборудования
- •8.6. Программист-разработчик испДн
- •9. Требования к персоналу по обеспечению защиты пДн
- •10. Ответственность сотрудников испДн Учреждения
3. Описание объектов защиты
Основными объектами защиты в Учреждении являются:
Сведения, отнесенные в соответствии с действующим законодательством к персональным данным.
Средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации;
Программные средства (ОС, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) с помощью которых производится обработка защищаемой информации;
Помещения, в которых расположены средства обработки защищаемой информации;
Технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.
Подлежащая защите информация может находиться в Учреждении в следующей форме:
на бумажных носителях;
в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);
передаваться по телефону, телефаксу и т.п. в виде электрических сигналов.
4. Цели и задачи деятельности по обеспечению информационной безопасности
Основные задачи деятельности по обеспечению информационной безопасности Учреждения:
Определить предмет защиты;
Определить и охарактеризовать факторы, влияющие на защиту информации;
Выявить возможные угрозы защищаемой информации;
Выявить источники, виды и способы дестабилизирующего воздействия на защищаемую информацию;
Выявить причины дестабилизирующего воздействия на защищаемую информацию;
Выявить каналы и методы несанкционированного доступа к защищаемой информации.
5. Угрозы информационной безопасности
Все множество потенциальных угроз безопасности информации делится на три класса по природе их возникновения: антропогенные, техногенные и естественные (природные).
Возникновение антропогенных угроз обусловлено деятельностью человека. Среди них можно выделить угрозы, возникающие вследствие как непреднамеренных (неумышленных) действий: угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п., так и угрозы, возникающие в силу умышленных действий, связанные с корыстными, идейными или иными устремлениями людей. К антропогенным угрозам относятся угрозы, связанные с нестабильностью и противоречивостью требований регуляторов деятельности фирмы и контрольных органов, с действиями в руководстве и управлении (менеджменте), неадекватными целям и сложившимся условиям, с потребляемыми услугами, с человеческим фактором.
Возникновение техногенных угроз обусловлено воздействиями на объект угрозы объективных физических процессов техногенного характера, технического состояния окружения объекта угрозы или его самого, не обусловленных напрямую деятельностью человека. К техногенным угрозам могут быть отнесены сбои, в том числе в работе, или разрушение систем, созданных человеком.
Возникновение естественных (природных) угроз обусловлено воздействиями на объект угрозы объективных физических процессов природного характера, стихийных природных явлений, состояний физической среды, не обусловленных напрямую деятельностью человека. К естественным (природным) угрозам относятся угрозы метеорологические, атмосферные, геофизические, геомагнитные и пр., включая экстремальные климатические условия, метеорологические явления, стихийные бедствия.
Источники угроз по отношению к инфраструктуре Учреждения могут быть как внешними, так и внутренними.