Острота проблемы защиты информационных технологий в современных условиях определяется следующими факторами:
- высокими темпами роста парка средств вычислительной техники и связи, расширением областей использования ЭВМ, многообразием и повсеместным распространением информационно-управляющих систем, подлежащих защите;
- вовлечением в процесс информационного взаимодействия все большего числа людей и организаций, резким возрастанием их информационных потребностей;
- отношением к информации, как к товару, переходом к рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем,
- концентрацией больших объемов информации различного назначения и принадлежности на электронных носителях;
- наличием интенсивного обмена информацией между участниками этого процесса;
- количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам;
- Естественно, в такой ситуации возникает потребность в защите вычислительных систем и информации от несанкционированного доступа, кражи, уничтожения и других преступных и нежелательных действий.
Наблюдается большая разнородность целей и задач защиты — от обеспечения государственной безопасности до защиты интересов отдельных организаций, предприятий и частных лиц, дифференциация самой информации по степени ее уязвимости.
-
Организационно-правовая защита информации
Такая подсистема предназначена для регламентации деятельности пользователей ИС и представляет собой упорядоченную совокупность организационных решений, нормативов, законов и правил, определяющих общую организацию работ по защите информации в ИС.
Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.
Организационно-правовую защиту структурно можно представить так:
Организационно-правовые вопросы:
-
органы, подразделения и лица, ответственные за защиту;
-
нормативно-правовые, методические и другие материалы;
11 стр., 5225 словКоммерческая тайна и способы ее защиты
... безопасности персональных данных при их обработке с использованием средств автоматизации. 1. Понятие коммерческой тайны Коммерческая тайна - режим конфиденциальности информации, ... -правового договора, которой обладатель информации, составляющей коммерческую тайну, передал эту информацию; Предоставление информации, составляющей коммерческую тайну, - передача информации, составляющей коммерческую тайну ...
-
меры ответственности за нарушение правил защиты;
-
порядок разрешения спорных ситуаций.
Регистрационные аспекты:
-
фиксация «подписи» под документом;
-
фиксация фактов ознакомление с информацией;
-
фиксация фактов изменения данных;
-
фиксация фактов копирования содержания.
Юридические аспекты:
-
Утверждение в качестве законов:
-
правил защиты информации;
-
мер ответственности за нарушение правил защиты;
-
регистрационных решений;
-
процессуальных норм и правил.
Морально-психологические аспекты:
-
подбор и расстановка кадров;
-
обучение персонала;
-
система моральных и материальных стимулов;
-
контроль за соблюдением правил.
Для организации и обеспечения эффективного функционирования СЗИ должны быть разработаны документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в ИС, а также документы, определяющие права и обязанности пользователей при работе с электронными документами юридического характера (договор об организации обмена электронными документами).
План защиты информации может содержать
-
назначение ИС;
-
перечень решаемых ею задач;
-
конфигурация;
-
характеристики и размещение технических средств и программного обеспечения;
-
перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;
-
требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;
-
список пользователей и их полномочий по доступу к ресурсам системы;
-
цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;
-
перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
-
основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;
-
требования к условиям применения и определение ответственности, установленных в системе технических средств защиты от НСД;
3 стр., 1078 словКонтроль и надзор за обеспечением защиты государственной тайны
... данной работы исследование контроля и надзора за обеспечением защиты государственной тайны. Задачи: рассмотреть понятие «государственная тайна»; изучить контроль и надзор за обеспечением защиты государственной тайны; проанализировать организацию защиты государственной тайны на предприятиях, в ...
-
основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);
-
цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и пути ее достижения;
-
перечень и классификация возможных кризисных ситуаций;
-
требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);
-
обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;
-
разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
-
определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
-
определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
-
определение порядка разрешения споров в случае возникновения конфликтов.
Так же стоит проводить организационные и организационно-технические мероприятия по созданию и поддержанию функционирования комплексной системы защиты
Они включают:
- разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
- мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);
- периодически проводимые (через определенное время) мероприятия;
- постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.
