Security
.pdf
Информация, являющаяся собственностью государства
В случае, если в АС планируется обработка информации, порядок обработки и
защиты которой регламентируется законами Украины или другими нормативно-правовыми актами (например, информация, которая составляет государственную тайну), то для обработки такой информации в этой АС
необходимо иметь разрешение соответствующего уполномоченного
государственного органа. Основанием для выдачи такого разрешения является вывод экспертизы АС, то есть проверки соответствия реализованной КСЗИ установленным нормам.
Создание КСЗИ является обязательным для государственных органов, Вооружённых Сил, других военных формирований, МВД, Совета Министров Автономной республики Крым и органов местного самоуправления, а также предприятий, учреждений и организаций всех форм собственности, в АС которых обрабатывается конфиденциальная информация, являющаяся собственностью государства.
Государственная тайна
Правовой режим сведений, которые составляют государственную тайну, регулируется Законом Украины «Про державну таємницю» от
21.01.1994г.
Государственная тайна — это вид секретной информации, которая
включает сведения в сфере обороны, экономики, внешних отношений,
государственной безопасности и охраны правопорядка, разглашение которых может причинить вред жизненно важным интересам Украины и которые определены законом как государственная тайна и подлежат охране со стороны государства.
Государственным комитетом Украины по вопросам государственных секретов утверждён перечень сведений, которые составляют государственную тайну.
Коммерческая тайна
Термин «коммерческая тайна» был введён у правовой оборот Законом Украины «Про підприємства в Україні» от 27.03.1991г.
Под коммерческой тайной предприятия подразумеваются сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия,
которые не являются государственной тайной, разглашение которых
может причинить ущерб его интересам.
Предметом «коммерческой тайны» являются сведения, связанные с коммерческой и хозяйственной деятельностью предприятия. Это могут быть документы о коммерческих переговорах предприятия и способы ценообразования, документы связанные с маркетинговыми исследованиями рынка, сведения об организации труда и подборе сотрудников, информация о условиях сохранения документов, т. е. сведения, которые составляют коммерческую ценность.
Организационные меры
Выработка официальной политики предприятия в области информационной безопасности
1.Составление должностных инструкций для пользователей и обслуживающего персонала, а также инструкций, которыми регламентируется порядок выполнения работ другими лицами, из числа тех, которые имеют доступ к АС.
2.Создание правил администрирования отдельных компонентов АС и процессов,
использования ресурсов АС, а также их распределение между разными
категориями администраторов.
3.Создание правил учёта, хранения, размножения, уничтожения носителей конфиденциальной информации.
4.Создание правил идентификации пользователей и лиц других категорий, которые имеют доступ к АС.
5.Создание плана действий в случае выявления попыток несанкционированного доступа к ресурсам АС, нарушения правил эксплуатации средств защиты информации.
6.Создание плана действий в случае выхода со строя средств защиты информации и носителей информации.
7.Создание плана действий в случае возникновения чрезвычайной ситуации.
8.Обучение пользователей правилам информационной безопасности.
Обеспечение физической безопасности
1.Периметр безопасности должен соответствовать ценности защищаемых ресурсов и сервисов.
2.Периметр безопасности должен быть четко определен.
3.Вспомогательное оборудование (например, фотокопировальные аппараты, факс-машины) должны быть размещены так, чтобы уменьшить риск несанкционированного доступа.
4.Компьютерное оборудование, принадлежащее организации, следует
размещать в специально предназначенных для этого местах, отдельно от оборудования, контролируемого сторонними организациями.
5.В нерабочее время защищенные области должны быть физически недоступны и периодически проверяться охраной.
6.В пределах периметра безопасности использование фотографической, звукозаписывающей и видео аппаратуры должно быть запрещено.
7.За посетителями защищенных областей необходимо установить надзор, а дата и время их входа и выхода должны регистрироваться. Посетителям должен быть предоставлен доступ для конкретных, разрешенных целей.
8.Необходимо немедленно изымать права доступа в защищенные области у сотрудников, увольняющихся с данного места работы.
Обеспечение физической безопасности
9.Необходимо размещать ключевые системы подальше от общедоступных мест.
10.Резервное оборудование и носители информации, на которых хранятся резервные копии, следует разместить на безопасном расстоянии, чтобы избежать их повреждение в случае аварии на основном рабочем месте.
11.Бумажная документация и магнитные носители, когда они не используются, должны храниться в специальных шкафах, особенно в нерабочее время.
12.Конфиденциальная или критически важная производственная информация,
когда она не используется, должна храниться отдельно (лучше всего в несгораемом шкафу), особенно в нерабочее время.
13.Должен быть установлен контроль за использованием устройств хранения и ввода/вывода информации таких как: магнитные накопители, оптические накопители, порты ввода/вывода на компьютерном и коммуникационном оборудовании.
14.Следует установить соответствующее сигнальное и защитное оборудование, например, тепловые и дымовые детекторы, пожарную сигнализацию, средства пожаротушения, а также предусмотреть пожарные лестницы.
Критерии гарантии Правильно ли защищаем?
Кроме функциональных критериев, которые позволяют оценить наличие услуг безопасности в компьютерной системе, существуют критерии гарантии, которые позволяют оценить корректность реализации услуг. Критерии гарантии включают требования к архитектуре комплекса средств
защиты, среды разработки, последовательности разработки, испытания
комплекса средств защиты, среды функционирования и эксплуатационной документации.
Нужно ли защищать?
Оценка ущерба от реализации прогнозируемых угроз
Применение тех или иных организационных или технических средств защиты зависит не от типа пользователя: домашний или корпоративный, большая это компания или маленькая, а от стоимости информации, которую нужно защищать, т.е. от потерь которые понесёт пользователь в случае нарушения одной или нескольких функций защиты – нарушения конфиденциальности, целостности или доступности информации. Как правило, действительно, чем больше компания, тем больше у неё информации, которая носит конфиденциальный характер и потери компании в этом случае выше. Но и обычный пользователь, например,
руководитель той же компании на своём домашнем компьютере может содержать информацию, компрометация которой может обойтись очень дорого. Соответственно, его компьютер должен быть защищён не хуже, чем корпоративная сеть.
Выбор средств защиты и их стоимость определяются стоимостью защищаемой информации. Т.е., не имеет смысла тратиться на средства защиты больше, чем стоит сама информация.
OПacнoctь зa yглom !!!
