- •Южно-уральский государственный университет
- •Курс лекций
- •Информационная безопасность.
- •Челябинск
- •5.3 Система информационной безопасности предприятия. 16
- •Введение
- •5. Система информационной безопасности предприятия.
- •5.1 Основные определения. Информация1 и ее свойства.
- •5.2 Стандарты обеспечения информационной безопасности.
- •5.2.1 Роль стандартов информационной безопасности.
- •5.2.2 Документирование деятельности по обеспечению иб предприятия.11
- •Документы второго уровня
- •Документы третьего уровня
- •Документы четвертого уровня
- •5.3 Система информационной безопасности предприятия.
- •5.3.1 Основные положения.
- •5.3.2 Защита коммерческой тайны на предприятии.
- •5.3.3 Защита персональных данных на предприятии.
- •Глава 14 (ст. 85 - 90). Защита персональных данных работника.
- •5.3.4 Электронный документооборот. Электронная подпись.
- •Преследуемые цели39
- •Сущность цифровой подписи.
- •Удостоверяющий центр
- •Формирование и проверка эп
- •Секретные и открытые ключи
- •Средства эп
- •Криптографические хэш-функции
- •Комплексная защита сообщений
- •5.3.5 Ответственность за нарушения правил обращения с конфиденциальной информацией.
- •5.4 Создание системы информационной безопасности предприятия.
- •5.4.1 Основные цели, методы и принципы.
- •5.4.2 Методическое направление работ по созданию ксзи
- •5.4.3 Организационное направление работ по созданию ксзи
- •Регламент обеспечения безопасности.
- •Общие документы
- •Документы по работе с кадрами
- •Документы по защите ас и свт
- •5.4.4 Техническое направление работ по созданию ксзи
- •5.4.5 Выводы. Как построить защищенную информационную систему?
- •5.5 Современные технологии защиты данных.43
- •5.5.1 Технология криптографической защиты информации.
- •5.5.2 Технологии аутентификации.
- •Приложение
- •Положение о коммерческой тайне
5.4.2 Методическое направление работ по созданию ксзи
В рамках методического направления необходимо разработать концепцию (политику) безопасности, которая призвана сформулировать цель и обеспечить поддержку информационной безопасности руководством организации. Высшее руководство должно поставить четкую цель и всесторонне оказывать свою поддержку в реализации информационной безопасности посредством распространения политики безопасности среди сотрудников организации. Мероприятия по созданию КСЗИ, реализуемые вне единого комплекса мер, прописанных в рамках концепции безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности.
Под концепцией безопасности понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов, решающих задачи защиты конфиденциальной информации.
Концепция (Политика) безопасности - документ, в котором:
применяется методика определения и описания информационных потоков, описанная в методологии, представляющая собой формальное и точное описание работы с информацией в подразделениях, с учетом их изменения со временем. Определены критерии, по которым принимается решение о появлении или прекращении конкретного информационного потока;
анализируются, описываются и фиксируются информационные потоки, существующие при работе с информацией на текущий момент;
определяются для каждого информационного потока фазы существования информации (например, бумажный документ, электронный документ, запись в базе данных);
определяются категории конфиденциальной информации, разрабатывается классификация информации по категориям конфиденциальности;
проводится категорирование информации по категориям и фазам, создается матрица конфиденциальности;
определяются возможные пути разглашения конфиденциальной информации (модель угроз);
для каждой угрозы и атаки определяется модель нарушителя;
определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски);
определяются порядок изменения Концепции безопасности и Регламента обеспечения безопасности.
Письменный документ о политике безопасности должен быть доступен всем сотрудникам, отвечающим за обеспечение режима информационной безопасности. Высшее руководство должно предоставить за документированную политику информационной безопасности всем подразделениям организации.
5.4.3 Организационное направление работ по созданию ксзи
Цель - управлять информационной безопасностью в организации.
В рамках организационного направления работ создается организационная компонента КСЗИ - совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.
Включает в себя:
разработку Регламента обеспечения безопасности;
применение методологии при работе с персоналом, при создании службы безопасности;
обучение и консультации сотрудников службы безопасности;
работы по уточнению требований к характеристикам защищенности системы;
анализ информационной структуры;
разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых форм их взаимодействий и т.д.
Чтобы инициировать и контролировать процесс обеспечения информационной безопасности, необходимо создать в организации соответствующую структуру управления. В организации должны проводиться регулярные совещания руководства для разработки и утверждения политики безопасности, распределения обязанностей по обеспечению защиты и координации действий по поддержанию режима безопасности. В случае необходимости следует привлечь специалистов по вопросам защиты информации для консультаций. Необходимо вступать в контакты со специалистами других организаций, чтобы быть в курсе современных направлений и промышленных стандартов, а также, чтобы установить соответствующие деловые отношения при рассмотрении случаев нарушения защиты. Следует всячески поощрять комплексный подход к проблемам информационной безопасности, например, совместную работу аудиторов, пользователей и администраторов для эффективного решения проблем.