Постоянно проводимые мероприятия.
Периодически проводимые мероприятия.
Основные организационные мероприятия по созданию и обеспечению функционирования комплексной системы защиты информации
Организационная защита в системе комплексной защиты информации.
ОРГАНИЗАЦИЯ СЛУЖБЫ БЕЗОПАСНОСТИ ОБЪЕКТА
Цели и задачи организационной защиты информации (ЗИ)
Организационные меры защиты информации – комплекс мероприятий, направленный на регламентацию деятельности персонала в процессе обработки информации.
Основные цели организационных мер защиты:
Обеспечение правильности функционирования механизмов защиты;
Регламентация автоматизированной обработки информации.
Основные направления организационной защиты на объекте:
· Защита от не санкционированного доступа;
· Защита информации от утечки по техническим каналам;
· Защита информации от не задекларированных возможностей (Например, от вредоносного программного обеспечения);
· Защита информации от иностранных технических разведок.
Разовые мероприятия – мероприятия, однократно проводимые и повторяемые только при полном пересмотре принятых решений.
Эпизодические мероприятия – мероприятия, проводимые при осуществлении или возникновении определенных изменений в защищаемой системе или внешней среде.
К разовым мероприятиям относятся:
Мероприятия по созданию научно-технической и методологической основы защиты системы, в том числе концепции и руководящие документы.
Мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектом.
Проведение специальных проверок всех технических средств.
Разработка и утверждение функциональных обязанностей должностных лиц; Мероприятия по разработке правил управления доступом к ресурсам системы;Организация пропускного режима на предприятии и в отдельных помещениях; Создание подразделений по защите информации.
К эпизодическим мероприятиям относятся:
мероприятия, осуществляемые при кадровых изменениях в составе персонала мероприятия, осуществляемые при ремонте и модификации оборудования, ПО и т. д.
К периодически проводимым мероприятиям относятся:
Распределение и разграничение реквизитов разграничения доступа (раздача паролей); анализ системных журналов и принятие мер по обнаруженным недостаткам и проблемам; анализ состояния и оценка эффективности мер защиты информации; мероприятия по пересмотру состава и перестроению системы защиты.
К постоянно проводимым мероприятиям относятся:
мероприятия по обеспечению достаточного уровня физической защиты всех элементов объекта (охрана, в том числе и противопожарная, сохранность съемных носителей); явный или скрытый контроль за работой персонала системы; контроль за реализацией выбранных мер защиты; постоянно осуществляемый анализ состояния системы защиты.
4.1. Концептуальная модель
информационной безопасности
Понимая информационную безопасность как «состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, страны», правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность.
Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере.
Первая составляющая национальных интересов Российской Федерации в информационной сфере