Саратов, 2012 г.


ЛЕКЦИЙ

КУРС

Организационно-техническое обеспечение компьютерной безопасности

Организационное обеспечение – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий.

Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий:

· организационно-административные;

· организационно-технические;

· организационно-экономические.

Организационно-административные мероприятия предполагают (101):

· минимизацию утечки информации через персонал (организация меро­приятий по подбору и расстановке кадров, создание благоприятного климата в коллективе и т. д.);

· организацию специального делопроизводства и документооборота для конфиденциальной информации, устанавливающих порядок подготовки, использования, хранения, уничтожения и учета документированной информации на любых видах носителей;

· выделение специальных защищенных помещений для размещения средств вычислительной техники и связи, а также хранения носителей информации;

· выделение специальных средств компьютерной техники для обработки конфиденциальной информации;

· организацию хранения конфиденциальной информации на промаркированных отчуждаемых носителях в специально отведенных для этой цели местах;

· использование в работе сертифицированных технических и программных средств, установленных в аттестованных помещениях; организацию регламентированного доступа пользователей к работе со средствами компьютерной техники, связи и в хранилище (архив) носителей конфиденциальной информации;

· установление запрета на использование открытых каналов связи для передачи конфиденциальной информации;

· контроль соблюдения требований по защите конфиденциальной информации.

 

8. Аудит информационной безопасности

Современные методики управления рисками, проектирования и сопровождения корпоративных систем защиты информации должны позволять решить ряд задач перспектив-нош стратегического развития компании. Во-первых, количественно оценить текущий уровень информационной безопасности компании, что потребует выявления рисков на правовом, организационно-управленческом, технологическом, а также техническом уровнях обеспечения защиты информации. Во-вторых, разработать и реализовать комплексный план совершенствования корпоративной системы защиты информации для достижения приемлемого уровня защищенности информационных активов компании. Для этого необходимо:

· обосновать и произвести расчет финансовых вложений в обеспечение безопасности на основе технологий анализа рисков, соотнести расходы на обеспечение безопасности с потенциальным ущербом и вероятностью его возникновения;

· выявить и провести первоочередное блокирование наиболее опасных уязвимостей до осуществления атак на уязвимые ресурсы;

· определить функциональные отношения и зоны ответственности при взаимодействии подразделений и лиц по обеспечению информационной безопасности компании создать необходимый пакет организационно-распорядительной документации;

· разработать и согласовать со службами организации, надзорными органами проект внедрения необходимых комплексов защиты, учитывающий современный уровень и тенденции развития информационных технологий;

· обеспечить поддержание внедренного комплекса защиты в соответствии с изменяющимися условиями работы организации, регулярными доработками организационно-распорядительной документации, модификацией технологических процессов и модернизацией технических средств защиты.

 

Аналитические работы в области информационной безопасности могут проводиться по следующим направлениям:

1) «Комплексный анализ информационных систем компании и подсистемы информационной безопасности на правовом, методологическом, организационно-управленческом, технологическом и техническом уровнях. Анализ рисков».

2) «Разработка комплексных рекомендаций по методологическому, организационно-управленческому, технологическому, общетехническому и программно-аппаратному обеспечению режима ИС компании»,

3) «Организационно-технологический анализ ИС компании»;

4) «Экспертиза решений и проектов».

5) «Работы по анализу документооборота и поставке типовых комплектов организационно-распорядительной документации».

6) «Работы, поддерживающие практическую реализацию плана защиты».

7) «Повышение квалификации и переподготовка специалистов».

 

Задачи, решаемые при проведении комплексного обследования:

· сбор и анализ документированной информации;

· анализ и изучение существующей организационно - штатной структуры предприятия, а также структуры и порядка функционирования КИС;

· интервьюирование персонала;

· анализ конфигурации типовых рабочих мест, ключевых устройств и серверов.

 

9. Системы анализа IT-безопасности и управления рисками

 

Управление информационной безопасностью - это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации; оценку информационных рисков; планирование мер по обработке рисков; реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.

Согласно ISO 27001, система управления информационной безопасностью (СУИБ) - это «та часть общей системы управления организации, основанной на оценке бизнес рисков, которая создает, реализует, эксплуатирует, осуществляет мониторинг, пересмотр, сопровождение и совершенствование информационной безопасности». Система управления включает в себя организационную структуру, политики, планирование, должностные обязанности, практики, процедуры, процессы и ресурсы.

Создание и эксплуатация СУИБ требует применения такого же подхода, как и любая другая система управления. Используемая в ISO 27001 для описания СУИБ процессная модель предусматривает непрерывный цикл мероприятий: планирование, реализация, проверка, действие.

Наиболее популярное на сегодняшний день решение для комплексного управления информационной безопасностью — Digital Security Office, которое включает в себя систему анализа и управления информационными рисками ГРИФи систему разработки и управления политикой безопасности информационной системы КОНДОР.

КОНДОР — мощная система разработки и управления политикой безопасности информационной системы компании на основе стандарта ISO 17799. Это современный и удобный инструмент для разработки всех основных положений политики информационной безопасности компании и управления процессом внедрения этих положений на практике.

ГРИФ — мощный и удобный инструмент для анализа защищенности ресурсов информационной системы и эффективного управления рисками. ГРИФ позволяет провести полный анализ рисков — получить полную картину всех угроз, актуальных для информационной системы, оценить, насколько критичны уязвимости и к каким потерям они могут привести. Вы знаете не только уровень риска каждого ценного ресурса информационной системы, но и все причины риска. Вы можете анализировать не только информационные потоки, но и конкретные угрозы и уязвимости системы.

 

10. Правовая защита интеллектуальной собственности

 

В Конституции РФ 1993 г. закреплен принцип защиты законных прав и интересов, а именно каждый вправе защищать свои права и свободы всеми способами, не запрещенными законом (п. 2 ст. 45 Конституции РФ).

В соответствии со ст. 12 ГК РФ гражданско-правовой способ защиты гражданских прав (в том числе на объекты интеллектуальной собственности: изобретения, промышленные образцы, полезные модели, авторские и смежные права и т.п.), осуществляется путем:

- признания права;

- восстановления положения, существовавшего до нарушения права, и пресечения действий, нарушающих право или создающих угрозу его нарушения;

- признания оспоримой сделки недействительной и применения последствий ее недействительности, применения последствий недействительности ничтожной сделки;

- признания недействительным акта государственного органа или органа местного самоуправления;

- самозащиты права;

- присуждения к исполнению обязанности в натуре;

- возмещения убытков;

- взыскания неустойки;

- компенсации морального вреда;

- прекращения или изменения правоотношения;

- неприменения судом акта государственного органа или органа местного самоуправления, противоречащего закону;

- иными способами, предусмотренными законом.

 

Статья 1225 ГК РФ.

Результатами интеллектуальной деятельности и приравненными к ним средствами индивидуализации юридических лиц, товаров, работ, услуг и предприятий, которым предоставляется правовая охрана (интеллектуальной собственностью), являются:

1) произведения науки, литературы и искусства;

2) программы для электронных вычислительных машин (программы для ЭВМ);

3) базы данных;

4) исполнения;

5) фонограммы;

6) сообщение в эфир или по кабелю радио- или телепередач (вещание организаций эфирного или кабельного вещания);

7) изобретения;

8) полезные модели;

9) промышленные образцы;

10) селекционные достижения;

11) топологии интегральных микросхем;

12) секреты производства (ноу-хау);

13) фирменные наименования;

14) товарные знаки и знаки обслуживания;

15) наименования мест происхождения товаров;

16) коммерческие обозначения.

2. Интеллектуальная собственность охраняется законом.

 

Статья 1227 ГК РФ. Интеллектуальные права и право собственности

1. Интеллектуальные права не зависят от права собственности на материальный носитель (вещь), в котором выражены соответствующие результат интеллектуальной деятельности или средство индивидуализации.

2. Переход права собственности на вещь не влечет переход или предоставление интеллектуальных прав на результат интеллектуальной деятельности или на средство индивидуализации, выраженные в этой вещи, за исключением случая, предусмотренного пунктом 2 статьи 1291 настоящего Кодекса.

 

 

Федеральный закон от 27.11.2010 N 311-ФЗ (ред. от 06.12.2011) "О таможенном регулировании в Российской Федерации"

Глава 42. МЕРЫ ПО ЗАЩИТЕ ПРАВ НА ОБЪЕКТЫ ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ

"Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ

Ст. 146. . Нарушение авторских и смежных прав

"Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ

Статья 7.12. Нарушение авторских и смежных прав, изобретательских и патентных прав

По предмету: «Моделирование дорожного движения»

Для специальности 240400 "Организация и безопасность движения"

Составил: доц. каф. ОПТ Горшенина Е.Ю.