Вам не удастся внезапно стать сильным человеком; вы должны увеличивать свою силу всю свою жизнь. © Филипп Янси 1012 - | 763 - или читать все...
Обратная связь Пожаловаться на материал

Методическое направление работ по созданию КСЗИ


⇐ ПредыдущаяСтр 14 из 20Следующая ⇒

В рамках методического направления должна быть разработана концепция (политика) безопасности.

Мероприятия по созданию систем защиты конфиденциальной информации, реализуемые вне единого комплекса мер, прописанных в рамках концепции политики безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности. Под концепцией понимается взаимоувязанный комплекс организационно-технических мер, методологических указаний, регламентов, комплектов форм типовых документов и т.д., решающих задачи защиты конфиденциальной информации.

Концепция (Политика) безопасности

- документ, в котором:

1. применяется методика определения и описания информационных потоков, описанная в методологии, представляющая собой формальное и точное описание работы с информацией в подразделениях Заказчика, с учетом их изменении со временем, определены критерии, по которым принимается решение о появлении или прекращении конкретного информационного потока;

2. анализируются, описываются и фиксируются информационные потоки, существующие при работе с информацией Заказчика на текущий момент;

3. определяются для каждого информационного потока фазы существования информации (например, бумажный документ, электронный документ, запись в базе данных);

4. определяются категории конфиденциальной информации Заказчика, разрабатывается классификация информации по категориям конфиденциальности;

5. проводится категорирование информации по категориям и фазам, создана матрица конфиденциальности;

6. определяются возможные пути разглашения конфиденциальной информации (модель угроз);

7. для каждой угрозы и атаки определяется модель нарушителя, в которой определяется:

o профессиональный круг лиц, к которому принадлежит нарушитель;

o мотивация нарушителя (цели нарушителя);

o предполагаемая квалификация нарушителя;

o предполагаемые ограничения на действия и характер возможных действий нарушителя.

8. определяются уровни риска для всей матрицы конфиденциальности, вероятности реализации каждой атаки, стоимость ущерба при каждой атаке и усредненные вероятные величины убытков (риски);

9. определяются порядок изменения Концепции безопасности и Регламента обеспечения безопасности.

Организационное направление работ по созданию КСЗИ

В рамках организационного направления работ создается организационная компонента КСЗИ - совокупность правил (руководящих документов) и технических средств, регламентирующих деятельность сотрудников при обращении с информацией независимо от форм ее представления.

Включает в себя разработку регламента обеспечения безопасности, применение методологии при работе с персоналом Заказчика, при создании СОК, обучение и консультации сотрудников СОК, работы по уточнению требований к характеристикам защищенности системы, анализ информационной структуры Заказчика, разнесение субъектов и объектов информационных отношений по категориям конфиденциальности, определение допустимых формы их взаимодействий и т.д.

Регламент обеспечения безопасности

- комплект документов, регламентирующий правила обращения с конфиденциальной информацией в зависимости от фазы ее обработки и категории конфиденциальности. В регламенте должен быть определен комплекс методических, административных и технических мер, включающих в себя:

· создание подразделения, ответственного за обеспечение конфиденциальности информации (СОК);

· определение порядка допуска сотрудников к конфиденциальной информации;

· определение обязанностей, ограничений и условий, накладываемых на сотрудников, допущенных к конфиденциальной информации;

· установление категории конфиденциальности информации; определение категории конфиденциальности работ, проводимых Заказчиком и информации, содержащейся в документах, связанных с работами; порядок изменения категории конфиденциальности работ и информации;

· требования к помещениям, в которых проводятся конфиденциальные работы и обрабатывается конфиденциальная информация, по категориям;

· требования к конфиденциальному делопроизводству;

· требования к учету, хранению и обращению с конфиденциальными документами;

· меры по контролю за обеспечением конфиденциальности работ и информации;

· план мероприятий по противодействию атаке на конфиденциальную информацию (действия, которые надо предпринимать в случае обнаружения разглашения информации с целью пресечения процесса разглашения/утечки информации);

· план мероприятий по восстановлению конфиденциальности информации (действия, которые надо предпринимать после пресечения процесса разглашения/утечки информации);

· определение ответственности за разглашение конфиденциальной информации.

Для Регламента обеспечения безопасности должны быть разработаны следующие документы:

Общие документы

1. Инструкция по обеспечению режима конфиденциальности на предприятии.

2. Требования к пропускному и внутриобъектовому режиму.

3. Общие требования к системе разграничения доступа в помещения (СРД).

4. Регламент взаимодействия Службы обеспечения конфиденциальности и Службы безопасности.

Дата добавления: 2021-03-18; просмотров: 138; Мы поможем в написании вашей работы!

Поделиться с друзьями:


⇐ Предыдущая9101112131415161718Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.011)