Исследование и разработка мероприятий по организации защиты информации на предприятии
Дипломная работа - Компьютеры, программирование
Другие дипломы по предмету Компьютеры, программирование
?их доступ к конфиденциальной информации и т.д.
Техника. Пересмотр Плана защиты может быть вызван подключением других локальных сетей, изменением или модификацией используемых средств вычислительной техники или программного обеспечения.
Помещения. Пересмотр Плана защиты может быть вызван изменением территориального расположения компонентов объекта.
Документы, регламентирующие деятельность по защите информации, оформляются в виде различных планов, положений, инструкций, наставлений и других аналогичных документов. Рассмотрим основные из них.
2.3.2 Основные элементы плана защиты и их содержание
Основным планирующим документом из всей совокупности является план защиты.
План защиты информации представляет собой вербально - графический документ, который должен содержать следующие сведения:
характеристика защищаемого объекта: назначение, перечень решаемых задач, размещение технических средств и программного обеспечения и их характеристики; (информационно-логическая структура объекта защиты)
цели и задачи защиты информации, перечень пакетов, файлов, баз данных, подлежащих защите и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации;
перечень и приоритетность значимых угроз безопасности, от которых требуется защита и наиболее вероятных путей нанесения ущерба;
политика информационной безопасности (организационные и технические мероприятия, определяющие - разграничение по уровням конфиденциальности, контроль целостности технической и программной среды, контроль за действиями пользователей, защиту от НСД, антивирусную защиту, организацию доступа на объект, контроль помещений и технических каналов утечки информации и ряд других;
функциональная схема системы защиты и план размещения средств защиты информации на объекте;
порядок ввода в действие средств защиты (календарный план проведения организационно-технических мероприятий);
перечень мероприятий, проводимых единовременно, периодически, по необходимости и постоянно
ответственность персонала;
смета затрат на внедрение системы защиты;
порядок пересмотра плана и модернизации средств защиты.
Не менее важным является план действий персонала в критических ситуациях и способов сохранения информации. Такой план, назначение которого состоит в снижении возможных потерь, связанных с разрушением данных и программ или отказом оборудования, называется планом обеспечения непрерывной работы и восстановления информации и содержит следующие пункты:
цели обеспечения непрерывности процесса функционирования объекта, своевременности восстановления ее работоспособности и чем она достигается;
перечень и классификация возможных кризисных ситуаций;
требования, меры и средства обеспечения непрерывности функционирования и восстановления процесса обработки информации (порядок ведения текущих, долговременных и аварийных архивов (резервных копий), а также использования резервного оборудования);
обязанности и порядок действий различных категорий персонала в кризисных ситуациях по ликвидации последствий кризисных ситуаций, минимизации наносимого ущерба и восстановлению нормального процесса функционирования объекта.
Еще одним важным документом является Положение о коммерческой тайне, включающее:
Перечень сведений, составляющих коммерческую тайну
Материалы обоснования предложений экспертной комиссии по включению сведений в развернутый перечень
Номенклатуру должностей работников, допускаемых к сведениям, составляющим коммерческую тайну
Договор-обязательство (контракт) о сохранении коммерческой тайны
Специальные обязанности руководителей подразделений по защите коммерческой тайны
Специальные обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну
Весьма важным организационным документом является Положение о защите информации, включающее:
Организационную и функциональную структуру системы защиты информации
Обобщенную структуру законодательных и нормативных документов по безопасности информации
Положение об отделе защиты информации
Положение об администраторе безопасности (инструкция администратора)
Правила назначения прав доступа
Порядок допуска посторонних лиц на объект
Порядок допуска персонала и посетителей в помещения, в которых обрабатывается критичная информация
Порядок проведения служебного расследования по факту нарушения информационной безопасности
Требования к процессу разработки программных продуктов
Порядок приема-сдачи программного обеспечения в эксплуатацию
Инструкцию по обеспечению безопасности речевой информации
Правила ведения телефонных переговоров
Порядок проведения конфиденциальных переговоров
Требования к оснащению выделенных помещений
Инструкцию пользователю по соблюдению режима информационной безопасности. Детально и качественно разработанные документы плана защиты информации - залог дальнейших успехов в деятельности службы информационной безопасности или администратора безопасности сети.
Раскрыты принципы проектирования системы ЗИ на предприятии.
Разработано положение об отделе по ЗИ (приложение А).
Защита информации на предприятии должна основываться на следующих основных принципах:
системности;
комплексности;
разумной достаточно