Пиши Дома Нужные Работы

Обратная связь

Категории:
Археология
Архитектура
Биология
Ботаника
Бухгалтерский учет
Генетика
География
Государство
Информатика
История
Кулинария
Культура
Литература
Маркетинг
Математика
Машиностроение
Медицина
Менеджмент
Металлургия
Механика
Охрана Труда
Педагогика
Политология
Правоотношение
Промышленность
Психология
Разное
Социология
Статистика
Технологии
Физика
Философия
Финансы
Химия
Экология
Экономика

Лекція №9. ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ЗАХОДИ ЩОДО

ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ. Класифікація засобів забезпечення безпеки АС

 

План

1. Класифікація заходів забезпечення безпеки АС за способами реалізації.

2. Суть правових заходів забезпечення безпеки в АС.

3. Суть морально-етичних заходів забезпечення безпеки в АС.

4. Суть організаційних заходів забезпечення безпеки в АС.

5. Суть фізичних та технічних заходів забезпечення безпеки в АС.

6. Основні задачі служби безпеки організації.

7. Рубіжна модель системи захисту інформації.

8. Основні функції служби безпеки організації.

9. Підрозділи, що входять до складу служби безпеки організації.

 

ОРГАНІЗАЦІЙНО-ТЕХНІЧНІ ЗАХОДИ ЩОДО

ЗАБЕЗПЕЧЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ

Цей розділ присвячено організаційно-технічним заходам щодо ЗІ в АС, а саме, організації служби безпеки, її технічному забезпеченню, охоронним системам.

Класифікація засобів забезпечення безпеки АС

За способами реалізації всі заходи забезпечення безпеки АС підрозділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні і технічні ( програмні та апаратурні).

До правових заходів захисту відносяться діючі в країні закони, укази і нормативні акти, які регламентують правила поводження з інформацією, закріплюють права та обов’язки учасників інформаційних відносин в процесі її обробки і використання, а також установлюють відповідальність за порушення цих правил, заважаючи таким чином неправомірному використанню інформації, тобто з’являючись стримуючим фактором для потенційних порушників.

До морально-етичних заходів протидії відносяться норми поведінки, які традиційно склалися або складаються паралельно розповсюдженню ЕОМ в країні або суспільстві. Більшою частиною ці норми не є обов’язковими, як, наприклад, законодавчо затверджені нормативні, однак їх недотримання веде звичайно до падіння авторитету, престижу людини, групи осіб або організації. Морально-етичні норми бувають як неписані (наприклад, загальновизнані норми чесності, патріотизму і т.д.), так і писані, тобто оформлені у звід (устав) правил або розпоряджень.



Законодавчі та морально-етичні заходи протидії є універсальними в тому сенсі, що принципово можуть застосовуватися для всіх каналів проникнення і НСД до АС і інформації. В деяких випадках вони є єдиними, як, наприклад, при захисті відкритої інформації від незаконного тиражування або при захисті від зловживань службовим положення при роботі з інформацією.

Організаційні (адміністративні) заходи захисту – це заходи організаційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів з системою таким чином, щоб в найбільшому ступені утруднити або виключити можливість реалізації загроз безпеці.

Очевидно, що в організаційних структурах з низьким рівнем правопорядку, дисципліни і етики ставити питання про захист інформації немає сенсу. Спочатку необхідно вирішити правові та організаційні питання.

Як вважають закордонні фахівці, організаційні заходи складають досить значну частину (більш як 50%) всієї системи захисту. Вони використовуються тоді, коли КС не може безпосередньо контролювати процес обробки інформації. Крім того, в деяких важливих випадках з метою підвищення ефективності захисту дуже корисно іноді технічні заходи та засоби продублювати організаційними. Це, однак, не означає, систему захисту необхідно будувати виключно на їх основі, як це іноді спробує робити керівництво, далеке від технічного прогресу. Крім того, цим заходам притаманні деякі вади:

· низька надійність без відповідної підтримки фізичними, технічними та програмними засобами (людина завжди є схильною до порушень обмежень та правил аби їх можна було б порушити);

· додаткові незручності, які пов’язані з великим об‘ємом рутинної формальної діяльності.

Взагалі, організаційні заходи є ефективними, коли справа торкається саме людини.

Фізичні заходи базуються на застосування всілякого роду механічних, електро- або електронно-механічних пристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонент системи і інформації, а також технічних засобів візуального спостереження, зв’язку та охоронної сигналізації.

Технічні (апаратно-програмні) заходи захисту основані на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з іншими засобами) функції захисту.

Звичайно всі заходи використовують комплексно, причому вони іноді дуже тісно пов’язані один з одним, тобто:

· організаційні заходи забезпечують виконання нормативних актів і будуються з урахування уже існуючих правил поведінки в організації;

· виконання організаційних заходів вимагає створення нормативних документів;

· ефективне використання організаційних заходів досягається обов’язковою підтримкою фізичних та технічних заходів;

· використання технічних засобів захисту вимагає відповідної організаційної підтримки.

В подальшому для означення цілої групи заходів буде використовуватися термін організаційно-технічні заходи.

Організаційні заходи

Застосування організаційно-технічних заходів запобігає і блокує значну частину загроз безпеці інформації та поєднує в єдину систему усі заходи захисту.

Організаційні заходи повинні включати:

· визначення технологічних процесів обробки інформації;

· обгрунтування та вибір задач захисту;

· розробку та впровадження правил реалізації заходів ЗІ;

· визначення та встановлення обов’язків підрозділів та осіб, що приймають участь в обробці інформації;

· вибір засобів забезпечення ЗІ;

· оснащення структурних елементів АС нормативними документами і засобами забезпечення ЗІ;

· встановлення порядку впровадження засобів обробки інформації, програмних та технічних засобів захисту інформації та контролю його ефективності;

· визначення зон безпеки інформації;

· обгрунтування структури та технології функціонування СЗІ;

· розробку правил та порядку контролю функціонування СЗІ;

· встановлення порядку проведення атестації технічних засобів та систем обробки інформації, систем зв’язку та передачі даних, технічних засобів та систем, що розташовані в приміщеннях, де вона циркулює, приміщень для засідань, а також всієї АС в цілому на відповідність вимогам по безпеці інформації.

Організаційні заходи щодо ЗІ в АС полягають в розробці і реалізації адміністративних та організаційно-технічних заходів при підготовці та експлуатації системи.

Організаційні заходи щодо захисту системи в процесі її функціонування та підготовки до нього охоплюють рішення та процедури, які приймаються керівництвом організації – користувачем системи. Хоча деякі з них можуть визначатися зовнішними факторами, наприклад законами або урядовими постановами, більшість проблем розв’язується в самій організації в конкретних умовах.

Складовою частиною будь-якого плану заходів щодо захисту має бути чітка вказівка цілей, розподіл відповідальності та перелік організаційних заходів захисту. Конкретний розподіл відповідальності та функцій по реалізації захисту від одної організації до іншої може змінюватися, але ретельне планування і точний розподіл відповідальності є необхідними умовами створення ефективної та життєздатної системи захисту.

Організаційні заходи щодо ЗІ в АС повинні охоплювати етапи проектування, розробки, виготовлення, випробувань, підготовки до експлуатації, експлуатації системи та виведення з експлуатації.

Відповідно до вимог технічного завдання організація – проектувальник поряд з технічними заходами та засобами розробляє організаційні заходи на етапі створення системи. Під етапом створення розуміється проектування, розробка, виготовлення та випробування системи. При цьому слід чітко розрізняти заходи щодо ЗІ, що проводяться організацією-проектувальником, розробником та виготовлювачем в процесі створення системи і розраховуються на захист від витоку в даній організації, і заходи, що закладаються в проект та документацію на систему і торкаються принципів організації захисту в самій системі. Саме з них випливають необхідні організаційні заходи щодо ЗІ.

До організаційних заходів щодо ЗІ в процесі створення системи слід віднести:

* проведення на необхідних ділянках робіт з режимом секретності;

* розробка посадових інструкцій по забезпеченню режиму секретності відповідно до діючого законодавства;

* виділення при необхідності окремих приміщень з охоронною сигналізацією та пропускною системою;

* розмежування задач по виконавцям та випуску документації;

* присвоєння грифів секретності матеріалам та документації і збереження їх під охороною в виділених приміщеннях з урахуванням та контролем доступу виконавців;

* постійний контроль за дотриманням виконавцями режиму та відповідних інструкцій;

* встановлення і розподіл відповідальних осіб за витік інформації;

* інші заходи, що встановлюються в конкретних системах.

В процесі підготовки системи до експлуатації з метою ЗІ необхідно:

* при виділенні території, будинків та приміщень визначить контрольовану зону навколо об’єктів АС;

* встановити та устаткувати охоронну сигналізацію по границях контрольованої зони;

* створити контрольно-пропускну систму;

* перевірити схеми розміщення та місця установки об’єктів АС;

* перевірити стан системи життєзабезпечення людей, умови функціонування системи та збереження документації;

* підібрати кадри для обслуговування об’єктів АС, її захисту, і створити централізовану службу безпеки (СБ) при керівництві;

* провести навчання кадрів;

* організувати розподіл функціональних обов’язків і відповідальності посадових осіб;

* встановити повноваження посадових осіб щодо доступу до об’єктів та інформації АС;

* розробити посадові інструкції по виконанню функціональних обов’язків персоналу всіх категорій, включаючи СБ.

З точки зору способів реалізації основні організаційно-технічні заходи щодо створення і підтримки функціонування КСЗІ включають:

· разові заходи (проектування АС, створення СЗІ, розробка нормативних документів, створення служби безпеки та іе.);

· заходи, що проводяться при виникненні певних змін у самій АС, яка захищається або зовнішньому середовищі (за необхідністю) (ремонти, модифікації АС, кадрові зміни та ін.);

· періодичні заходи (розподіл паролів, ключів шифрування, аналіз системних журналів і т.д.);

· постійні заходи (контроль за роботою персоналу, підтримка функціонування СЗІ, забезпечення фізичного захисту і т.д.).

В процесі експлуатації системи повинен здійснюватися централізований контроль доступу до інформації за допомогою технічних та організаційних заходів. Основна частина цих заходів входить до функцій СБ.

Служба безпеки

СБ є штатним або позаштатним підрозділом, який створюється для організації кваліфікованої розробки СЗІ і забезпечення її функціонування.

Основні задачі СБ полягають в наступному:

· формування вимог до СЗ в процесі створення АС;

· участь у проектуванні СЗ, її випробуваннях і прийманні в експлуатацію;

· планування, організація і забезпечення функціонування СЗІ в процесі функціонування АС;

· розподіл між користувачами необхідних реквізитів захисту;

· спостереження за функціонуванням СЗ і її елементів;

· організація перевірок надійності функціонування СЗ;

· навчання користувачів і персоналу АС правилам безпечної обробки інформації;

· контроль за дотриманням користувачами і персоналом АС встановлених правил поводження з інформацією, яка захищається, в процесі її автоматизованої обробки;

· вживання заходів при спробах НСД до інформації і при порушеннях правил функціонування системи захисту.

Організаційно-правовий статус служби безпеки визначається наступним чином:

· чисельність СБ повинна бути достатньою для виконання усіх перерахованих вище задач;

· СБ повинна підпорядковуватися тій особі, що у даних умовах несе персональну відповідальність за дотримання правил користування з інформацією, яка захищається;

· штатний СБ не повинен мати інших обов'язків, пов'язаних із функціонуванням АС;

· співробітники СБ повинні мати право доступу в усі помешкання, де встановлена апаратура АС, і право припиняти автоматизовану обробку інформації при наявності безпосередньої загрози для інформації, яка захищається;

· керівнику СБ повинно бути надане право забороняти включення в число діючих нових елементів АС, якщо вони не відповідають вимогам захисту інформації;

· СБ має бути забезпечені усі умови, необхідні для виконання своїх функцій.

В основу створення СБ та організації її функціонування традиційно кладеться простий та наочний принцип створення замкнутих, послідовних рубежів, що починаються за межами контрольованої зони і концентрично стягаються до особливо важливих виділених об'єктів захисту, тобто так звана рубіжна система захисту.

На кожному рубежі загрози порушень безпеки мають бути по можливості виявлені і ліквідовані, а у випадку неможливості їхньої ліквідації, їх поширенню повинні перешкоджати наступні рубежі. Основу планування та устаткування контрольованих зон складають принципи рівнопотужності і комплексності.

Використання рубіжної СЗІ обумовлене тим, що вона дозволяє забезпечити безпеку: від широкого спектра різнорідних загроз; при використанні різних технологій обробки інформації шляхом глобального контролю; за рахунок оптимального розподілу ресурсів з урахуванням пріоритету загрози. Очевидно, що чим складніше захист кожного рубежу, тим більше часу буде потрібно ЗЛ для його подолання, і тем імовірніше його виявлення. Звідси випливає, що захист кожного рубежу повинен взаємно доповнювати один одного й ефективність усієї системи захистів буде оцінюватися як мінімальний (безпечний) час, який ЗЛ повинен затратити на подолання всіх її рубежів.

Врешті-решт джерелом навмисних загроз є людина – ЗЛ. Можливе порушення ІБ залежить від його можливостей, що аналізуються на основі:

* невизначеності процесу захисту, викликаної наявністю людського фактора;

* рубіжної системи захисту;

* можливостей ЗЛ уплинути на діяльність самої організації.

Тому з точки зору рубіжної моделі ЗЛ можна класифікувати у такий спосіб:

* ЗЛ перебуває за межами контрольованої зони;

* ЗЛ знаходиться в межах контрольованої зони, але без доступу у виділені приміщення;

* ЗЛ має доступ у виділені приміщення і працює в них;

* ЗЛ – співробітник організації, має доступ у виділені приміщення і працює в них;

* ЗЛ – співробітник СБ.

Знаючи можливі загрози, можна припустити, яким чином кожен вид ЗЛ може порушити безпеку об'єктів захисту на тім чи іншому рубежі. Це дозволяє диференційовано підходити до комплексу засобів і методів захисту, визначаючи необхідні заходи і засоби захисту стосовно для кожного виду ЗЛ.

Історично вже склалася світова практика забезпечення безпеки об'єктів захисту. Вона визначає взаємозв'язок об'єктів захисту з можливою формою ЗЛ і середовищем, у якій він здійснює свої дії. Внаслідок специфічних особливостей середовища можна формувати основні напрямки захисту, що призводять до наступної структурі функціональних підрозділів СБ:

* група режиму;

* служба охорони;

* пожежна охорона;

* аналітична група;

* детективна група;

* група протидії технічним розвідкам (ПДТР);

* група захисту від НСД;

* криптографічна група.

Залежно від конкретних потреб додатково можуть організовуватися допоміжні підрозділи: консультантів з різних питань діяльності СБ, юридична служба, служба навчання та ін. Помітимо, що тут представлено всі підрозділи, що можуть існувати та входити до складу СБ в принципі. Однак ясно, що цей список може варіюватися залежно від розмірів організації, рівня конфіденційності оброблюваної інформації, можливого обсягу фінансування та інших конкретних умов діяльності організації. Крім того, в деяких випадках різні підрозділи можуть об’єднуватися залежно від конкретних задач.

Діяльність СБ дуже різноманітна: від роботи з забезпечення безпеки персоналу до рішення чисто технічних питань, що включають у себе перевірку та атестацію технічних і програмних засобів на відповідність спеціальним вимогам. У цілому основні найбільш загальні функції СБ можна визначити наступним чином:

* попередження;

* контроль за поточною ситуацією;

* реєстрація;

* аналіз результатів реєстрації.

Існують положення про службі безпеки, що регламентують її діяльність. Не вдаючись в детальний розгляд цього аспекту, опишемо коротенько основні задачі кожного з підрозділів СБ.

Група режиму є самостійним підрозділом СБ, підпорядковується начальнику СБ і в своїй діяльності керується «Інструкцією з режиму й охорони». В основні функції групи режиму входить:

* організація пропускного і внутріоб'єктового режиму;

* організація і ведення конфіденційного діловодства;

* розробка відповідних положень та інструкцій;

* розробка нормативів по безпеці і перевірка їх виконання;

* контроль за режимом доступу до документів;

* забезпечення користування і збереження документації;

* контроль за порядком засекречування і розсекречування документів;

* періодичний контроль вхідних і вихідних документів;

* регламентне знищення носіїв інформації;

* участь у кадровій діяльності.

У цілому можна сказати, що основний об'єкт діяльності групи режиму - це персонал організації, а метою є створення робочої атмосфери в організації.

Діяльність служби охорони традиційна і спрямована в основному на забезпечення пропускного і внутріоб'єктового режиму.

Головною задачею групи пожежної охорони є створення протипожежної обстановки на основі роботи з персоналом, використання засобів протипожежної сигналізації, роботи з органами держтехнадзору, пожежно-технічними службами.

Наявність несумлінної конкуренції і можливих злочинних дій вимагають активної протидії. Вона можлива тільки в тому випадку, коли СБ має про них інформацію. Збором, аналізом і оцінкою ступеня небезпеки для організації займається аналітична група. Основна функція аналітичної служби полягає в роботі на перспективу, тобто в прогнозуванні можливих негативних та інших подій.

Детективна група займається проведенням заходів щодо спостереження за окремими співробітниками, бере участь у перевірці кадрів при прийомі на роботу, підтримує контакти з правоохоронними органами, сприяє забезпеченню повернення прострочених кредитів.

Перш, ніж описати основні функції групи ПДТР, звернемо увагу на те, що в будь-якій організації існують технічні канали витоку інформації, які обумовлені властивостями технічних засобів і навколишнього середовища. Це й електромагнітні випромінювання, і акустичні коливання, і візуальні спостереження. Тому загальна постановка даного напрямку захисту інформації представляється схемою: «Джерело інформації-Середовище-Сигнал-Приймач ЗЛ».

Виходячи з цієї схеми визначаються основні задачі групи ПДТР:

* визначення джерел інформації;

* визначення середовищ, де може існувати інформація;

* визначення небезпечних сигналів у виявлених середовищах;

* вимір величини небезпечного сигналу;

* зменшення чи приховання величини небезпечного сигналу відповідно до існуючих нормативних документів.

Група захисту від НСД має своєю метою захист інформації, яка оброблюється в самій КС і передається по лініях зв'язку. В групу можуть входити співробітники з різними функціональними обов'язками щодо КС. Звичайно виділяють чотири групи співробітників (за зростанням ієрархії):

· Співробітник групи безпеки. У його обов'язки входить забезпечення належного контролю за захистом наборів даних і програм, допомога користувачам і організація загальної підтримки груп керування захистом і менеджменту у своїй зоні відповідальності.

· Адміністратор безпеки системи. У його обов'язки входить щомісячне опублікування нововведень в області захисту, нових стандартів, а також контроль за виконанням планів безперервної роботи і відновлення (якщо в цьому виникає необхідність) і за зберіганням резервних копій.

· Адміністратор безпеки даних. У його обов'язки входить реалізація і зміна засобів захисту даних, контроль за станом захисту наборів даних, жорсткість захисту в разі потреби, а також координування роботи з іншими адміністраторами.

· Керівник (начальник) групи по керуванню обробкою інформації і захистом. У його обов'язки входить розробка і підтримка ефективних мір захисту при обробці інформації для забезпечення цілісності даних, устаткування і програмного забезпечення; контроль за виконанням плану відновлення і загальне керівництво адміністративними групами в підсистемах АС.

Група криптографічного захисту забезпечує захист інформації при передачі її по каналах зв'язку шляхом криптографічних перетворень інформації.

До інших функцій СБ належить також діяльність, яка пов’язана з терористичною діяльністю щодо державних та комерційних організацій.

Програма забезпечення безпеки СБ в цілому може складатися з наступних розділів:

1) забезпечення охорони керівництва;

2) забезпечення безпеки інших категорій службовців і схоронності матеріально-технічних цінностей (валюта, цінні папери, устаткування, зразки експортно-імпортних товарів і сировини і т.д.);

3) збір даних про можливі диверсійно-терористичні прояви;

4) тактика дій адміністрації і служби безпеки підприємства у випадку виникнення надзвичайного стану, критичної ситуації.

Практична діяльність сучасної СБ нерозривно пов'язана з двома основними факторами – людським і технічним. При цьому визначальним є наявність людського фактора, тому що ніякі технічні засоби без відповідної організації їх використання працівниками охорони не можуть гарантувати її надійність.

 

Контрольні запитання

1. Як можна класифікувати всі заходи забезпечення безпеки АС за способами реалізації?

2. В чому полягає суть правових заходів забезпечення безпеки в АС?

3. В чому полягає суть морально-етичних заходів забезпечення безпеки в АС?

4. В чому полягає суть організаційних заходів забезпечення безпеки в АС?

5. В чому полягає суть фізичних та технічних заходів забезпечення безпеки в АС?

6. Основні задачі служби безпеки організації.

7. Що таке рубіжна модель системи захисту інформації?

8. В чому полягають основні функції служби безпеки організації?

9. Які підрозділи входять до складу служби безпеки організації?

 




 
ТОП 5 статей:
Экономическая сущность инвестиций - Экономическая сущность инвестиций – долгосрочные вложения экономических ресурсов сроком более 1 года для получения прибыли путем...
Тема: Федеральный закон от 26.07.2006 N 135-ФЗ - На основании изучения ФЗ № 135, дайте максимально короткое определение следующих понятий с указанием статей и пунктов закона...
Сущность, функции и виды управления в телекоммуникациях - Цели достигаются с помощью различных принципов, функций и методов социально-экономического менеджмента...
Схема построения базисных индексов - Индекс (лат. INDEX – указатель, показатель) - относительная величина, показывающая, во сколько раз уровень изучаемого явления...
Тема 11. Международное космическое право - Правовой режим космического пространства и небесных тел. Принципы деятельности государств по исследованию...



©2015- 2024 pdnr.ru Все права принадлежат авторам размещенных материалов.