Программная политика безопасности

Основные компоненты программной ПБ:

1) Цели и назначения (закрепляется на административном уровне стратегическое направление деятельности организации в области информ. Безопасности, а также целостность, доступность, конфиденциальность инф. Ресурсов.)

2) Область применения положений ПБ (определяет ресурсы (материальные, ПО, персональные), которые охватывает ПБ).

3) Определение прав и обязанностей ( организационная техническ. основа формир. соответсв. служб по управлению и контролю над процессами обеспечения решения ПБ.) Права и обязанности руководителей различного уровня).

4) Определение преимуществ контроля за соблюдением режима реформ. безоп. (здесь должны быть решены 2 задачи контроля: 1. Осуществл. общего контроля за соблюдением требований безоп.; постоянный мониторинг состояния реформ. безопасности в ???пшоганец??? проверку качества осуществления процессов управления безоп. и реализации положений программы на обеспечения реформ. безоп. 2) Определение дисциплинарных наказаний (для этого создается контролирующая структура, отвечающая за разработку конкретного перечня нарушений и определенных взысканий с учеторм действующего законодательства).

Основные приципы:

· Соблюдение приципа конкретности

· Соответствие действующему законодательству

6. Технічні канали витоку інформації. Загальні положення. Класифікація технічних каналів витоку інформації.

Технические каналы утечки информации можно условно разделить на:

1. Электромагнитные, которые формируются в результате побочного электромагнитного излучения (электронные излучения в радиодиапазоне)

2. Электрические – возникающие в следствии наводки 1-электромагнитного излучения; 2- гальваническая связь между соединительными линиями; 3- в цепях электропитания; 4- заземления; 5- закладки.

3. Параметрические – формируются при специальном высокочастотном излучении.

7. Інвентаризция автоматизованих інформаційно-телекомунікаційних систем (ІТС)

Инвентаризация – это составление списка систем (объектов), которые будут подлежать защите и субъектов, которые задействованы в данном информационном пространстве и оказывают влияние на информационную защиту систем.

Эта работа выполняется службой информационной безопасности с привлечением экспертов.

Общий алгоритм действий:

1. Составление списка объектов и связанных с ними субъектов.

2. Определение первичных характеристик объектов с точки зрения информационной безопасности.

3. Работа с администраторами, пользователями и т.д. с целью уточнения и дополнения первичных характеристик.

Цель. Выявить возникшие уязвимости и угрозы.

Перед началом инвентаризации необходимо разработать, согласовать и утвердить порядок и методику проведения обследования, которые должны содержать цели и принципы проведения аудита.

2. Необходимо утвердить у руководителя предприятия полномочия службы и специалистов, проводящих инвентаризацию, а также список и обязанности привлекаемых экспертов.

3. Рекомендуется дополнить вышеперечисленные документы, заранее разработанными формами, с целью максимального обеспечения их заполнения.

Принцип проведения аудита:

1. Прицип единообразного подхода

2. Принцип объективности

3. Принцип сопряжения, или комплексности

Направление проведения инвентаризации:

1. Физическое направление

2. Технологическое

3. Функциональное (место данной системы в производственных процессах)

4. Организационная

5. Нормативная (проверка документов, регламентирующую работу)

6. Информационное (характер информации, с которой работает система)

На основе проведения инвентаризации проводится детальный анализ существующей системы и разрабатывается перечень мероприятий, необходимых для повышения уровней информационной безопасности.

Собранная во время аудита информация служит основой для модели управления рисками и помогает при проведении расследований, связанных с утечкой информации и нарушения ее целостности.

8. Захист державних інформаційних ресурсів: державна політика, шляхи реалізації.

Згідно наказу «Про затвердження Порядку захисту державних інформаційних
ресурсів у інформаційно-телекомунікаційних системах»:

Основними завданнями підприємств (установ, організацій), які є операторами МПД (мереж передачі даних), щодо забезпечення захисту державних інформаційних ресурсів є:

створення, упровадження та супроводження КСЗІ в МПД;

контроль за виконанням користувачами встановленого режиму доступу до державних інформаційних ресурсів та ресурсів МПД, а також правил їх використання.

Захист державних інформаційних ресурсів у МПД повинен забезпечуватися впровадженням на кожному з її вузлів комутації комплексу технічних, криптографічних, організаційних та інших заходів і засобів захисту інформації, спрямованих на недопущення її блокування та/або модифікації.

Організація захисту державних інформаційних ресурсів у МПД покладається на керівника підприємства, яке є оператором МПД.

Права доступу до МПД окремим співробітникам підприємства, яке є оператором МПД, надаються наказом керівника підриємства у відповідності до їх службових обов'язків. При змінах у розподілі службових обов'язків права доступу мають бути своєчасно відкориговані.

Засоби захисту інформації, які використовуються в МПД для забезпечення безпеки державних інформаційних ресурсів, повинні мати сертифікат відповідності або експертний висновок, отримані в установленому порядку.

Передавання державних інформаційних ресурсів дозволяється тільки через вузли комутації, що мають атестат відповідності КСЗІ вимогам із захисту інформації, який надається в такому порядку, як і на КСЗІ в АС.

Особи, винні в порушенні порядку захисту державних інформаційних ресурсів у МПД, несуть відповідальність згідно з чинним законодавством України.

9. Інвентаризция автоматизованих інформаційно-телекомунікаційних систем (ІТС): цілі, задачі, етапи та загальний алгоритм дій. Контроль за проведенням.