Информационная безопасность школы

реклама
Информационная
безопасность школы
Докладчик: Суслов Кирилл Андреевич
Что такое
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ?
ИБ - защищенность информационной системы
от случайного или преднамеренного
вмешательства, наносящего ущерб владельцам
или пользователям информации.
СИБ – система информационной
безопасности:
• Доступность (возможность за разумное
время получить требуемую информационную
услугу)
• Целостность (актуальность и
непротиворечивость информации, ее
защищенность от разрушения и
несанкционированного изменения)
• Конфиденциальность (защита от
несанкционированного прочтения)
Направления обеспечения информационной
безопасности
• Правовая защита – это специальные законы, другие нормативные акты,
правила, процедуры и мероприятия, обеспечивающие защиту
информации на правовой основе;
• Организационная защита – это регламентация производственной
деятельности и взаимоотношений исполнителей на нормативноправовой основе, исключающая или ослабляющая нанесение какоголибо ущерба;
• Инженерно-техническая защита – это использование различных
технических средств, препятствующих нанесению ущерба.
Пять уровней обеспечения комплексной
информационной безопасности:
• Законодательный (законы, нормативные акты, стандарты и т.п.);
• Морально-этический (всевозможные нормы поведения, несоблюдение
которых ведет к падению престижа конкретного человека или целой
организации);
• Административный (действия общего характера, предпринимаемые
руководством организации);
• Физический (механические, электро- и электронно-механические
препятствия на возможных путях проникновения потенциальных
нарушителей);
• Аппаратно-программный (электронные устройства и специальные
программы защиты информации).
Принципы надежной защиты:
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
Каждый пользователь должен иметь минимальный набор привилегий, необходимый для
работы.
Защита тем более эффективна, чем проще пользователю с ней работать.
Возможность отключения в экстренных случаях.
Специалисты, имеющие отношение к системе защиты должны полностью представлять себе
принципы ее функционирования и в случае возникновения затруднительных ситуаций
адекватно на них реагировать.
Под защитой должна находиться вся система обработки информации.
Разработчики системы защиты, не должны быть в числе тех, кого эта система будет
контролировать.
Система защиты должна предоставлять доказательства корректности своей работы.
Лица, занимающиеся обеспечением информационной безопасности, должны нести личную
ответственность.
Объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной
из групп не влияло на безопасность других.
Надежная система защиты должна быть полностью протестирована и согласована.
Защита становится более эффективной и гибкой, если она допускает изменение своих
параметров со стороны администратора.
Система защиты должна разрабатываться, исходя из предположения, что пользователи будут
совершать серьезные ошибки и, вообще, имеют наихудшие намерения.
Наиболее важные и критические решения должны приниматься человеком.
Существование механизмов защиты должно быть по возможности скрыто от пользователей,
работа которых находится под контролем.
«компьютерная безопасность»
≠
«информационная безопасность»
Меры по созданию безопасной информационной
системы в школе:
• Обеспечение защиты компьютеров от внешних
несанкционированных воздействий (компьютерные вирусы,
логические бомбы, атаки хакеров и т. д.)
• Необходимость иметь как минимум два сервера. Наличие хороших
серверов позволит протоколировать любые действия работников ОУ в
вашей локальной сети
• Установление строгого контроля за электронной почтой, обеспечив
постоянный контроль за входящей и исходящей корреспонденцией
• Установка соответствующих паролей на персональные ЭВМ, а
также определение работы с информацией на съемных носителях ЭВМ
(дискеты, диски)
• Использование контент-фильтров, для фильтрации сайтов по их
содержимому
Контент-фильтр
Устройство или программное
обеспечение для фильтрации сайтов по их
содержимому.
Система позволяет блокировать вебсайты с содержимым, не
предназначенным для просмотра.
Например: DansGuardian, NetPolice
Нормативно-правовая база определяющая порядок
защиты информации:
• Ст. 16 Федерального закона от 27.07.2006 № 149-ФЗ «Об информации,
информационных технологиях по защите информации»
• Ст. 9 Закона № 149-ФЗ, п. 5 - информация, полученная гражданами
(физическими лицами) при исполнении ими профессиональных
обязанностей подлежит защите в случаях предусмотренных законом
(государственная тайна)
• Гл. 14 Трудового кодекса РФ (далее – ТК РФ) - защита персональных
данных работника.
• Федеральный закон № 152-ФЗ РФ «О персональных данных», который
вступил в силу с 1 января 2008 г. - обеспечение защиты прав и свобод
человека и гражданина при обработке его персональных данных.
Этапы построения системы
информационной безопасности ОУ:
• Определяется, что подлежит защите
• Выявляются возможные каналы утечки
информации и определяются возможные угрозы
информационным системам
• Вырабатываются меры по защите информации и
технологических систем
• Разрабатываются нормативно-правовые документы,
регламентирующие информационную безопасность
• Организуется контроль за соблюдением
установленных правил
Первоочередные мероприятия для обеспечения
информационной безопасности в ОУ:
• Защита интеллектуальной собственности ОУ;
• Защита компьютеров, локальных сетей и сети подключения к
системе Интернета в классе информатики ОУ;
• Организация защиты конфиденциальной информации, в т. ч.
персональных данных работников и учащихся ОУ;
• Учет всех носителей конфиденциальной информации.
• Документы ОУ следует разделить на две группы: для общего
пользования и для служебного (ограниченного) пользования.
АУДИТ
необходимая и важная мера для
повышения информационной
безопасности ОУ
Спасибо за внимание!
Скачать