- Автоматизация
- Антропология
- Археология
- Архитектура
- Биология
- Ботаника
- Бухгалтерия
- Военная наука
- Генетика
- География
- Геология
- Демография
- Деревообработка
- Журналистика
- Зоология
- Изобретательство
- Информатика
- Искусство
- История
- Кинематография
- Компьютеризация
- Косметика
- Кулинария
- Культура
- Лексикология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Математика
- Материаловедение
- Медицина
- Менеджмент
- Металлургия
- Метрология
- Механика
- Музыка
- Науковедение
- Образование
- Охрана Труда
- Педагогика
- Полиграфия
- Политология
- Право
- Предпринимательство
- Приборостроение
- Программирование
- Производство
- Промышленность
- Психология
- Радиосвязь
- Религия
- Риторика
- Социология
- Спорт
- Стандартизация
- Статистика
- Строительство
- Технологии
- Торговля
- Транспорт
- Фармакология
- Физика
- Физиология
- Философия
- Финансы
- Химия
- Хозяйство
- Черчение
- Экология
- Экономика
- Электроника
- Электротехника
- Энергетика
Организационно-правовая защита информации
1. Организационно-правовая защита информации
Такая подсистема предназначена для регламентации деятельности пользователей ИС и представляет собой упорядоченную совокупность организационных решений, нормативов, законов и правил, определяющих общую организацию работ по защите информации в ИС.
Достижение высокого уровня безопасности невозможно без принятия должных организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизированной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.
Организационно-правовую защиту структурно можно представить так:
Организационно-правовые вопросы:
· органы, подразделения и лица, ответственные за защиту;
· нормативно-правовые, методические и другие материалы;
· меры ответственности за нарушение правил защиты;
· порядок разрешения спорных ситуаций.
Регистрационные аспекты:
· фиксация "подписи" под документом;
· фиксация фактов ознакомление с информацией;
· фиксация фактов изменения данных;
· фиксация фактов копирования содержания.
Юридические аспекты:
· Утверждение в качестве законов:
· правил защиты информации;
· мер ответственности за нарушение правил защиты;
· регистрационных решений;
· процессуальных норм и правил.
Морально-психологические аспекты:
· подбор и расстановка кадров;
· обучение персонала;
· система моральных и материальных стимулов;
· контроль за соблюдением правил.
Для организации и обеспечения эффективного функционирования СЗИ должны быть разработаны документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в ИС, а также документы, определяющие права и обязанности пользователей при работе с электронными документами юридического характера (договор об организации обмена электронными документами).
План защиты информации может содержать следующие сведения:
· назначение ИС;
· перечень решаемых ею задач;
· конфигурация;
· характеристики и размещение технических средств и программного обеспечения;
· перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;
· требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;
· список пользователей и их полномочий по доступу к ресурсам системы;
· цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;
· перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
· основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;
· требования к условиям применения и определение ответственности, установленных в системе технических средств защиты от НСД;
· основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);
· цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и пути ее достижения;
· перечень и классификация возможных кризисных ситуаций;
· требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);
· обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;
· разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
· определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
· определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
· определение порядка разрешения споров в случае возникновения конфликтов.
Так же стоит проводить организационные и организационно-технические мероприятия по созданию и поддержанию функционирования комплексной системы защиты
Они включают:
· разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;
· мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);
· периодически проводимые (через определенное время) мероприятия;
· постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.
|
|
|
© helpiks.su При использовании или копировании материалов прямая ссылка на сайт обязательна.
|