Исследование и разработка мероприятий по организации защиты информации на предприятии
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
х ресурсов;
совокупности мероприятий защиты, проводимых в различные периоды времени;
порядка ввода в действие средств защиты;
ответственности персонала;
порядка пересмотра плана и модернизации системы защиты;
совокупности документов, регламентирующих деятельность по защите информации.
Цели защиты информации были определены ранее.
Задачи системы защиты объекта могут быть следующими:
защита конфиденциальной информации от несанкционированного ознакомления и копирования;
защита данных и программ от несанкционированной (случайной или умышленной) модификации;
снижение потерь, вызванных разрушением данных и программ, в том числе и в результате вирусных воздействий;
предотвращение возможности совершения финансовых преступлений при помощи средств вычислительной техники.
Для создания эффективной системы защиты, как правило, необходимо выполнение следующих основных требований к защите информации:
комплексность мер защиты, закрытие всего спектра угроз и реализация всех целей стратегии защиты;
надежность средств, входящих в систему защиты;
бесконфликтная совместная работа с используемым на объекте программным обеспечением;
простота эксплуатации и поддержка работы администратора безопасности;
возможность встраивания средств защиты в программное обеспечение, используемое на объекте;
приемлемая стоимость.
Политика информационной безопасности определяет облик системы защиты информации - совокупности правовых норм, организационных (правовых) мер, комплекса программно-технических средств и процедурных решений по рациональному использованию вычислительных и коммуникационных ресурсов, направленных на противодействие угрозам с целью исключения (предотвращения) или минимизации возможных последствий проявления информационных воздействий. Политика информационной безопасности является результатом совместной деятельности технического персонала, способного понять все аспекты политики и ее реализации, и руководителей, способных влиять на проведение политики в жизнь.
Политика безопасности должна гарантировать, что для каждого вида проблем существует ответственный исполнитель. В связи с этим ключевым элементом политика безопасности является доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.
Требование учета стоимостных ограничений находит отражение в спецификациях средств реализации плана защиты информации. В них определяются общие затраты на обеспечение информационной безопасности объекта согласно предъявляемым требованиям по защищенности.
По времени проведения мероприятия защиты можно разделить на четыре класса:
разовые;
периодически проводимые;
проводимые по необходимости;
постоянно проводимые.
Разовые мероприятия включают:
создание научно-технических и методологических основ защиты информации;
мероприятия, осуществляемые при проектировании, строительстве и оборудовании объектов организации, предприятия;
мероприятия, осуществляемые при проектировании, разработке и эксплуатации технических средств и программного обеспечения (проверка и сертификация по требованиям безопасности и т.п.);
мероприятия по созданию системы защиты информации;
разработку правил разграничения доступа к ресурсам системы (определение перечня решаемых подразделениями задач, режимных объектов, перечня конфиденциальных сведений, носителей конфиденциальной и критичной информации и процессов ее обработки, прав и полномочий должностных лиц по доступу к информации);
определение контролируемой зоны и организация надежного пропускного режима в целях защиты информации;
определение порядка хранения, учета, выдачи и использования документов и носителей конфиденциальной и критичной информации;
определение оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях.
К периодически проводимым мероприятиям относятся:
распределение реквизитов разграничения доступа;
ведение и анализ системных журналов, принятие мер по обнаруженным нарушениям установленных правил работы;
проведение с привлечением экспертов анализа состояния защиты и оценки эффективности применяемых защитных мер, принятие на основе экспертного заключения необходимых мер по совершенствованию системы защиты;
мероприятия по пересмотру состава и построения системы защиты.
К мероприятиям по защите данных, проводимым по необходимости, относятся мероприятия, осуществляемые при кадровых, изменении территориального расположения объекта, при изменении архитектуры АС объекта или при изменениях и модификациях СВТ и ПО.
Постоянно проводимые мероприятия включают:
реализацию выбранных защитных мер, в том числе физической защиты всех компонентов объекта;
мероприятия по эксплуатации системы защиты;
контроль за действиями персонала;
анализ состояния и проверка эффективности применяемых защитных мер.
Пересмотр Плана защиты информации рекомендуется производить раз в год. Кроме того, существует ряд случаев, требующих внеочередного пересмотра. К их числу относятся изменения следующих компонент объекта:
Люди. Пересмотр Плана защиты может быть вызван кадровыми изменениями, связанными с реорганизацией организационно-штатной структуры объекта, увольнением служащих, имев?/p>