ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ СТАВРОПОЛЬСКИЙ ГОСУДАРСТВЕННЫЙ АГРАРНЫЙ УНИВЕРСИТЕТ Дисциплина «Организация и управление защитой информации на предприятии» для студентов направления подготовки 230700.68 - Прикладная информатика магистерской программы «Система корпоративного управления» Лекция №2 ОСНОВЫ ОРГАНИЗАЦИОННОГО ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ Учебные вопросы: 1. Задачи организационного обеспечения защиты информации. 2. Анализ и оценка угроз информационной безопасности объекта. 3. Служба безопасности объекта. 1. Аскеров, Т.М. и др. Защита информации и информационная безопасность: Учебное пособие / Под общей редакцией К.И. Курбакова [Текст] / Т.М. Аскеров и др. – М.: Рос.экон.акад., 2001г. – 387 с. 2. Бабаш, А.В., Баранова, Е.К., Мельников, Ю.Н. Информационная безопасность. Лабораторный практикум [Текст] / А.В. Бабаш и др. – М.: Кнорус, 2011г. – 136 с. 3. Белов, Е.Б., Лось, В.П., Мещеряков Р.В., Шелупанов, А.А. Основы информационной безопасности: Учебное пособие [Текст] / Е.Б. Белов и др. – М.: Горячая Линия Телеком, 2006г. – 544 с. 4. Грушо, А.А., Применко, Э.А., Тимонина Е.Е. Теоретические основы комплексной безопасности [Текст] / А.А. Грушо и др. – М.: Академия, 2009г. – 272 с. 5. Корнеев, И., Беляев, А. Информационная безопасность предприятия [Текст] / И. Корнеев, А. Беляев – С.-Пб.: БХВ-Петербург, 2003г. – 752 с. 1. Задачи организационного обеспечения защиты информации. Организационное обеспечение ЗИ это регламентация производственной деятельности и взаимоотношений исполнителей, осуществляемая на нормативно-правовой основе таким образом, чтобы сделать невозможным или существенно затруднить разглашение, утечку и несанкционированный доступ к конфиденциальной информации за счёт проведения соответствующих организационных мероприятий. Цель применения организационных средств защиты состоит в том, чтобы исключить или, по крайней мере, свести к минимуму возможности реализации угроз информационной безопасности на объектах обработки информации (ООИ). На организационном уровне решаются следующие задачи обеспечения безопасности функционирования информации на ООИ: • организация работ по разработке системы защиты процессов переработки информации; • ограничение доступа на объект и к ресурсам ООИ; • разграничение доступа к ресурсам ООИ; • планирование мероприятий; • разработка документации; • воспитание и обучение обслуживающего персонала и пользователей; • сертификация средств защиты процессов переработки информации; • лицензирование деятельности по защите процессов переработки информации; • аттестация объектов защиты; • совершенствование системы защиты процессов переработки информации; • оценка эффективности функционирования системы защиты процессов переработки информации; • контроль выполнения установленных правил работы на ООИ. 2 Анализ и оценка угроз информационной безопасности объекта. Под угрозой информации в системах ее обработки понимается возможность возникновения на каком-либо этапе жизнедеятельности ООИ такого явления или события, следствием которого могут быть нежелательные воздействия на информацию. Классификация всех возможных угроз информационной безопасности ООИ может быть проведена по ряду базовых признаков . По природе возникновения: – Естественные угрозы, вызванные воздействиями на ООИ объективных физических процессов или стихийных природных явлений, не зависящих от человека. – Искусственные угрозы, т.е. угрозы, вызванные деятельностью человек По степени преднамеренности появления. – Угрозы умышленные (преднамеренные), обусловленные злоумышленными действиями людей. – Угрозы случайного действия (естественные), т.е. не зависящие от воли людей Классификация данных угроз представлена на рис.1. Рисунок 1 – Классификация умышленных и случайных угроз ИБ • • • • По непосредственному источнику угроз. Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение). Угрозы, непосредственным источником которых является человек. Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства. Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства. • • • • • • По положению источника угроз: Угрозы, источник которых расположен вне контролируемой зоны территории (помещения), на которой находится ООИ. Угрозы, источник которых расположен в пределах контролируемой зоны территории (помещения), на которой находится ООИ. Угрозы, источник которых имеет доступ к периферийным устройствам ООИ (терминалам). Угрозы, источник которых расположен на ООИ. По степени зависимости от активности ООИ: Угрозы, которые могут проявляться независимо от активности ООИ. Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных (например, угрозы выполнения и распространения программных вирусов). • • • • По степени воздействия на ООИ: Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании ООИ (например, угроза копирования секретных данных). Активные угрозы, которые при воздействии вносят изменения в структуру и содержание ООИ. По способу доступа к ресурсам ООИ: Угрозы, направленные на использование прямого стандартного пути доступа к ресурсам ООИ. Угрозы, направленные на использование скрытого нестандартного пути доступа к ресурсам ООИ. • • • • По текущему месту расположения информации. Угрозы доступа к информации на внешних запоминающих устройствах (например, угроза несанкционированного копирования секретной информации с жесткого диска). Угрозы доступа к информации в оперативной памяти. Угрозы доступа к информации, циркулирующей в линиях связи. Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере (например, угроза записи отображаемой информации на скрытую видеокамеру). Вне зависимости от конкретных видов угроз или их проблемно-ориентированной классификации ООИ удовлетворяет потребности эксплуатирующих его лиц, если обеспечиваются следующие свойства информации и систем ее обработки: целостность, конфиденциальность и доступность. • Угроза нарушения целостности включает в себя любое умышленное изменение информации, хранящейся на ООИ или передаваемой из одной системы в другую. Когда злоумышленники преднамеренно изменяют информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка программного или аппаратного обеспечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, санкционированным изменением является периодическая запланированная коррекция некоторой базы данных). • Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. В терминах компьютерной безопасности угроза нарушения конфиденциальности имеет место всякий раз, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. Иногда в связи с угрозой нарушения конфиденциальности используется термин «утечка». • Угроза нарушения доступности (ограничения доступа) возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу ООИ. Реально блокирование может быть постоянным – запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку запрашиваемого ресурса достаточно долгую для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан. 3 Служба безопасности объекта. Многогранность сферы организационной защиты информации требует создания на предприятии специальной службы безопасности, обеспечивающей реализацию всех организационных мероприятий в целях защиты экономических, технологических, коммерческих и других важных сведений предприятия. Решение о создании такой службы принимается руководителем предприятия и оформляется соответствующим приказом или распоряжением. Служба безопасности предприятия подчиняется только руководителю предприятия, либо лицу, которому руководитель предприятия делегировал эти полномочия. К числу основных задач службы безопасности относятся: 1) определение перечня сведений, составляющих коммерческую тайну; 2) определение круга лиц, которые в силу занимаемого служебного положения имеют прямой или косвенный доступ к сведениям, предоставляющим для предприятия коммерческую тайну; 3) обеспечение безопасности выполнения всех видов деятельности предприятия и сохранности информации и сведений, составляющих служебную и коммерческую тайну; 4) выявление и принятие мер, направленных на предотвращение возможности постороннего неправомерного вмешательства в деятельность структурных подразделений предприятия; 5) пресечение возможных каналов утечки информации и сведений, составляющих служебную и коммерческую тайну; 6) защита документов и переписки от фальсификации и подделок; 7) организация в зданиях предприятия (фирмы), включая склады, архивы и др., надежного пропускного и внутриобъектового режима и их охраны, внедрение имеющихся средств технического оснащения и охранной сигнализации; 8) обеспечение физической сохранности имущества предприятия, в том числе материальных носителей информации, содержащей коммерческие и иные секреты (документов, изделий, материалов, магнитных носителей и т.п.), а также личной безопасности персонала и клиентуры предприятия; 9) обеспечение режима безопасности при проведении всех видов деятельности, включая: встречи, переговоры, совещания, заседания и т.п. как на федеральном, так и на международном уровне; 10) предотвращение утечки информации, содержащей коммерческую тайну, в процессе производственной и иной деятельности предприятия, в том числе по техническим каналам утечки при использовании электронновычислительной техники и других технических средств; 11) организация учета, хранения и уничтожения документов, содержащих коммерческую тайну, а также постоянного контроля за соблюдением установленного порядка размножения документов, составляющих коммерческую тайну предприятия; 12) разработка и осуществление комплекса мероприятий по ограничению круга лиц, имеющих доступ к сведениям, составляющим коммерческую тайну предприятия; 13) получение совместно с другими подразделениями аналитическим и другим законным путем информации о конкурентах, клиентах и лицах из числа персонала, в действиях которых содержится угроза интересам предприятия, в частности, признаки возможной подготовки и осуществления неправомерных действий, связанных с недобросовестной конкуренцией, и подготовка предложений руководству по нейтрализации этих угроз; 14) оценка маркетинговых ситуаций и неправомерных действий злоумышленников и конкурентов; 15) разработка и проведение мероприятий по обеспечению защиты коммерческой тайны предприятия при осуществлении внешних связей (международных, научно-технических, торгово-экономических и иных); 16) проведение воспитательно-профилактической работы с персоналом (а также его обучение) по вопросам обеспечения безопасности предприятия и защиты коммерческих секретов; 17) организация взаимодействия с правоохранительными организациями по вопросам безопасности персонала и имущества предприятия. Для решения поставленных задач служба защиты информации предприятия в общем плане осуществляет: — административно-распорядительную функцию, которая реализуется путем подготовки решений по установлению и поддержанию режимов безопасности, определению полномочий, прав, обязанностей и ответственности должностных лиц по вопросам обеспечения защиты информации предприятия, а также по осуществлению представительских функций предприятия в данной области его деятельности; — хозяйственно-распределительную функцию, которая реализуется путем участия службы в определении ресурсов, необходимых для решения задач защиты информации предприятия, в подготовке и проведении мероприятий по обеспечению сохранности имущества и интеллектуальной собственности предприятия, их рациональному использованию; — учетно-контрольную функцию, которая реализуется выделением критически важных направлений финансово-коммерческой деятельности и организацией своевременного обнаружения угроз финансовой стабильности и устойчивости предприятия, оценкой их источников, налаживанием контроля за опасными ситуациями, ведением учета негативных факторов, влияющих на безопасность предприятия, а также накоплением информации о недобросовестных конкурентах, ненадежных партнерах, лицах и организациях, посягающих на жизненно важные интересы государственного предприятия; — социально-кадровую функцию, которая реализуется участием службы в расстановке кадров, выявлении негативных тенденций в трудовых коллективах, возможных причин и условий социальной напряженности, в предупреждении и локализации конфликтов, инструктаже работников предприятия по вопросам безопасности, формировании у них чувства ответственности за соблюдение установленных режимов безопасности. — организационно-управленческую функцию, которая реализуется путем оказания управленческого воздействия на создание, поддержание и своевременную реорганизацию постоянной организационной структуры и управления процессом обеспечения защиты информации предприятия, гибких временных структур по отдельным направлениям работы, организации взаимодействия и координации между их отдельными звеньями для достижения заданных программных целей; — планово-производственную функцию, которая реализуется разработкой комплексной программы и отдельных целевых планов обеспечения защиты информации предприятия, подготовкой и проведением мероприятий по их осуществлению, установлению и поддержанию режимов информационной безопасности; — организационно-техническую функцию, которая реализуется путем материально-технического и технологического обеспечения режимов информационной безопасности на предприятии, освоением специальной техники и достижений соответствующего потребностям обеспечения безопасного уровня, содействием в освоении новых прогрессивных видов техники и технологий режимносекретной и другой специальной деятельности; — научно-методическую функцию, которая реализуется путем накопления и распространения передового опыта обеспечения защиты информации предприятия, организацией обучения его штатного контингента, научной разработки возникающих перед предприятием проблем обеспечения информационной безопасности и методического сопровождения его деятельности в этой сфере; — информационно-аналитическую функцию, которая реализуется путем целенаправленного сбора, накопления и обработки информации, относящейся к сфере защиты информации, создания и использования, необходимых для этого технических и методических средств аналитической обработки информации, организации информационного обеспечения заинтересованных подразделений и отдельных лиц предприятия в сведениях, имеющихся в службе.