Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Склад СЗІ

Читайте также:
  1. V складова
  2. VI складова
  3. А) гранулометричний склад
  4. Акт введення в господарський оборот об'єкта права інтелектуальної власності у складі нематеріальних активів № 2
  5. Акт вибуття (ліквідації) об'єкта права інтелектуальної власності у складі нематеріальних активів № 20.
  6. Аналіз різних видів меню та дотримання вимог щодо його складання і оформлення. Участь у прийманні й оформленні замовлення на обслуговування бенкетів, організація їх проведення.
  7. Аналітичний складський облік матеріалів

Рис.10.Скад служби захисту інформації

 

 

Керівник служби захисту інформації відповідає за:

· організацію робіт з захисту інформації в АС, ефективність захисту інформації відповідно до діючих нормативно-правових актів;

· своєчасне розроблення і виконання “Плану захисту інформації в автоматизованій системі”;

· якісне виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених у цьому Положенні, посадових інструкціях, а також планових заходів з захисту інформації, затверджених керівником організації;

· координацію планів діяльності підрозділів та служб АС (організації) з питань захисту інформації;

· створення системи навчання співробітників, користувачів, персоналу АС з питань захисту інформації;

· виконання особисто та співробітниками СЗІ розпоряджень керівника організації, правил внутрішнього трудового розпорядку, встановленого режиму, правил охорони праці та протипожежної охорони.

 

Обов’язки адміністратора безпеки:

· підтримку системи в рамках обраної політики безпеки;

· забезпечення належного рівня конфіденційності і цілісності даних;

· підготовка і збереження резервних копій даних, їх періодична перевірка і знищення;

· створення і підтримка в актуальному стані призначених для користувача облікових записів;

· відповідальність за інформаційну безпеку;

· відстеження інформації про уразливість системи і своєчасне вжиття заходів;

· періодичне практичне тестування захищеності системи;

· документування своєї роботи;

· усунення неполадок в системі;

· дотримання вимог інформаційної телекомунікаційної системи;

· вести та зберігати журнал обліку паролів;

· вносити користувачів до журналу обліку паролів;

· контролювати процедуру заміни непрацюючого обладнання;

· вимагати письмове пояснення системного адміністратора;

· вимагати письмове пояснення користувачів.

 

Обов’язки системного адміністратора:

· підготовка й збереження резервних копій даних, їх періодична перевірка й знищення;

· встановлення й конфігурування оновлень операційної системи і прикладного програмного забезпечення;

· встановлення й конфігурування нового апаратного й програмного забезпечення;

· створення й підтримка в актуальному стані файлу облікових записів користувачів;

· підтримання інформаційної безпеки в організації;

· документування своєї роботи;

· усунення неполадок у комп’ютерній системі;

· монтаж комп'ютерної техніки та визначення необхідності ремонту;

· участь у проектуванні та монтажі локальної мережі;

· участь у плануванні комп'ютерних систем та придбанні нової комп'ютерної техніки;

· дотримання інструкцій інформаційної телекомунікаційної системи;

· виконання вказівок адміністратора безпеки;

· надання письмових пояснень адміністратору безпеки.

 

 

5.2.Політика безпеки

За означенням, під ПБ інформації розуміється набір законів, правил, обмежень, рекомендацій тощо, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.

Термін політика безпеки може бути застосований до організації, КС, операційної системи, послуги, що реалізується системою (набору функцій) для забезпечення захисту від певних загроз, і т. ін. Чим дрібніший об'єкт, щодо якого вживається цей термін, тим конкретніші й формальніші стають правила.

Побудова ПБ ─ це зазвичай такі кроки:

─ в інформацію вноситься структура цінностей і проводиться аналіз ризику;

─ визначаються правила для будь-якого процессу користування певним видом доступу до елементів інформації, які мають певну оцінку цінностей.

 

Види моделей політики інформаційної безпеки:

 

· Дискреційна політика безпеки

Дискреційну політику безпеки ми використаємо до порядку самого доступу до примішення. Так як до об’єкту інформаційної діяльності а саме СТЗІ до якого має доступ тільки деякі працівники. Ми повинні надати кожному з працівників індефікацію та поділити за рівнем доступу.

· Рольова політика безпеки

Рольову політики ми використовуємо в нашій автоматизованій системі для авторизації користувачів та надання їм права на використання документів з якими користувач має право користуватися.

 

· Мандатна політика

Мандатна політика на нашому об’єкті є поділ кожного документу системи надано мітку секретності, яка визначає цінність інформації, що міститься в ньому (гриф секретності).

5.3.Категоріювання об`экта інформаційної діяльності

Метою проведення категоріювання є становлення категорії об’єкту.

 

Воно здійнюєсться відповідно до НД ТЗІ 1.6-005-2013 «Захист інформації на об’єктах інформаційної діяльності. Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці».

У СТЗІ обробляється інформація, що становить державну таємницю, для якої встановлено гриф секретностi "таємно". За результати проведення категоріювання комісія встановила 3-ю категорію. Акт категоріювання у додатку Б.

 

 

5.4.Нормативно-правові заходи захисту інформації об`экта інформаційної діяльності

Захист інформації в СТЗІ ДСНС у Волинській області повинен базуватися на вимогах нормативно-правових актів та нормативних документів системи технічного захисту інформації.

 

До таких документів відносяться:

 

Закони України:

· Про інформацію;

· Про захист інформації в інформаційно-телекомунікаційних системах.

 

Нормативно-правові акти, затверджені Указами Президента України та постановами Кабінету Міністрів України:

· Положення про технічний захист інформації в Україні. Затверджено Указом Президента від 27.09.99 р. №1129;

· Концепція технічного захисту інформації в Україні. Затверджено постановою Кабінету Міністрів України від 8 жовтня 1997 року № 1126;

· Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах. Затверджено постановою Кабінету Міністрів України від 16.02.98 № 180;

· «Порядок організації та забезпечення режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях», затверджено постановою Кабінету Міністрів України від 2 жовтня 2003 р. № 1561-12.

 

Державні стандарти та інші нормативні документи з стандартизації:

· ДСТУ 3396.0-96. Технічний захист інформації. Основні положення;

· ДСТУ 3396.1-96. Технічний захист інформації. Порядок проведення робіт.

 

Нормативні документи системи технічного захисту інформації в Україні:

· ТПКО-95. Тимчасове положення про категоріювання об'єктів. Затверджено наказом ДСТЗІ від 10 липня 1995 року № 35;

· НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ від 28 квітня 1999 року № 22;

· НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ від 28 квітня 1999 року №22;

· НД ТЗІ 2.5-007-2001. Вимоги до комплексу засобів захисту інформації, що становить державну таємницю, від несанкціонованого доступу при її обробці в автоматизованих системах класу 1. Затверджено наказом ДСТСЗІ СБУ від 18 червня 2001 року № 05;

· НД ТЗІ 3.6-001-2000. Технічний захист інформації. Комп'ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ від 20 грудня 2000 року № 60;

· НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі. Затверджені наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. за №22;

· НД ТЗІ 2.1-001-2001 Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення. Затверджено наказом ДСТСЗІ СБУ від 9 лютого 2001 року № 2;

· НД ТЗІ 1.6-003-2004 Створення комплексів технічного захисту інформації на об’єктах інформаційної діяльності. Правила розробки, побудови, викладення та оформлення моделі загроз для інформації. Затверджено наказом ДСТСЗІ СБУ від 04 січня 2004 року;

· НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в АС, Затверджено наказом ДСТЗІ СБУ від 4 грудня 2000 року №53;

· НД ТЗІ 3.7-003-05. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі. Затверджено наказом ДСТСЗІ СБУ від 08 листопада 2005 року № 125;

· Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами ПЕМВН (ТР ЕОТ-95), затверджене наказом ДСТЗІ від 09.06.95 р. №25;

· Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою КМ від 29 березня 2006 р. № 373.

 

5.5.Перелік організаційних заходів захисту на об`экті інформаційної діяльності

Організаційні заходи вимагають створення політики інформаційної безпеки, а також:

· складання посадових інструкцій для користувачів та персоналу обслуговування;

· написання правил адміністрування компонент інформаційної системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікації користувачів;

· розроблення планів дій у разі виявлення спроб несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;

· навчання правилам інформаційної безпеки користувачів;

· залучення до проведення робіт із захисту інформації організацій, що мають ліцензію на діяльність в області захисту інформації, видану відповідними органами;

· встановлення категорій й атестація об'єктів технічні засоби приймання, обробки, зберігання та передання інформації і виділених для проведення закритих заходів приміщень (далі виділених приміщень) по виконанню вимог забезпечення захисту інформації при проведенні робіт з відомостями відповідного ступеня таємності,

· використання на об'єкті сертифікованих технічні засоби приймання, обробки, зберігання та передання інформації і допоміжні технічні засоби і системи;

· установлення контрольованої зони навколо об'єкта;

· залучення до робіт по будівництву, реконструкції об'єктів технічні засоби приймання, обробки, зберігання та передання інформації, монтажу апаратури організацій, що мають ліцензію на діяльність в області захисту інформації по відповідних пунктах;

· організація контролю й обмеження доступу на об'єкти технічні засоби приймання, обробки, зберігання та передання інформації та у виділені приміщення;

· введення територіальних, частотних, енергетичних, просторових і тимчасових обмежень у режимах використання технічних засобів, що підлягають захисту.

На етапі проведення організаційних заходів необхідно:

· визначити перелік відомостей з обмеженим доступом, що підлягають технічному захисту;

· обґрунтувати необхідність розроблення і реалізації захисних заходів з урахуванням матеріальної або іншої шкоди, яка може бути завдана внаслідок можливого порушення цілісності інформації з обмеженим доступом чи її витоку технічними каналами;

· установити перелік виділених приміщень, в яких не допускається реалізація загроз та витік інформації з обмеженим доступом;

· визначити перелік технічних засобів, які повинні використовуватися в комплексу системи захисту інформації;

· визначити технічні засоби, застосування яких не обґрунтоване службовою та виробничою необхідністю і які підлягають демонтажу;

· визначити наявність задіяних і незадіяних повітряних, наземних, настінних та закладених у приховану каналізацію кабелів, кіл і проводів, що виходять за межі виділених приміщень;

· визначити системи, що підлягають демонтажу; потребують переобладнання кабельних мереж, кіл живлення, заземлення або установлення в них захисних пристроїв.

Організаційні заходи щодо роботи з інформацією з обмеження доступу:

· обліку, використання і зберігання документів;

· організації зберігання, використання і знищення документів і, що містять інформацію з обмеженим доступом, відповідно до вимог нормативних документів.

Організаційні заходи в автоматизованій системі:

· резервне копіювання;

· облік, використання і зберігання документів в автоматизованій системі;

· облік встановлення та видалення програмного забезпечення

· контроль цілісності системного програмного забезпечення;

5.6 Технічні та програмні засоби захисту.

Технічний захід – це захід щодо захисту інформації, що передбачає застосування спеціальних технічних засобів і реалізацію технічних рішень. Поділяються на активні та пасивні.

 

Для захисту об`экту інформаційної діяльності я використаю такі засоби захисту.

Технічні засоби захисту:


Дата добавления: 2015-07-11; просмотров: 273 | Нарушение авторских прав


Читайте в этой же книге: Львів – 2015 Зміст | КАНАЛИ ВИТОКУ ІНФОРМАЦІЇ | МОДЕЛЬ ЗАГРОЗ | Типові віддалені атаки на ІТС ДСНС | МОЖЛИВОСТІ | Методи електромагнітного екранування будівель та приміщень з метою захисту інформації. | ПАСПОРТ | Додаток 2 | СТЗІ ДСНС у Волинській області | СТЗІ ДСНС у Волинській області |
<== предыдущая страница | следующая страница ==>
Специфікація моделі порушника за місцем дії.| Генератор шуму ГШ-2500М

mybiblioteka.su - 2015-2024 год. (0.015 сек.)