Основные пути достижения целей защиты (решения задач системы защиты)



Поставленные основные цели защиты и решение перечисленных выше задач достигаются:

· строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, автоматизированных рабочих мест - АРМ);

· регламентацией процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений ОРГАНИЗАЦИИ, использующих АС ОРГАНИЗАЦИИ, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС ОРГАНИЗАЦИИ, на основе утвержденных руководителем ОРГАНИЗАЦИИ организационно-распорядительных документов по вопросам обеспечения безопасности информации;

· полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов ОРГАНИЗАЦИИ по вопросам обеспечения безопасности информации;

· назначением и подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки;

· наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС ОРГАНИЗАЦИИ;

· четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС ОРГАНИЗАЦИИ, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;

· персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС ОРГАНИЗАЦИИ;

· реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;

· принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС ОРГАНИЗАЦИИ;

· применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;

· разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи;

· эффективным контролем за соблюдением сотрудниками подразделений ОРГАНИЗАЦИИ - пользователями АС ОРГАНИЗАЦИИ требований по обеспечению безопасности информации;

· юридической защитой интересов ОРГАНИЗАЦИИ при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;

· проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС ОРГАНИЗАЦИИ.


ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ

Угрозы безопасности информации и их источники

Наиболее опасными (значимыми) угрозами безопасности информации АС ОРГАНИЗАЦИИ (способами нанесения ущерба субъектам информационных отношений) являются:

· нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных;

· нарушение работоспособности (дезорганизация работы) АС ОРГАНИЗАЦИИ, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;

· нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов АС ОРГАНИЗАЦИИ, а также фальсификация (подделка) документов.

Основными источниками угроз безопасности информации АС ОРГАНИЗАЦИИ являются:

· непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений ОРГАНИЗАЦИИ при эксплуатации АС ОРГАНИЗАЦИИ, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций (АРМ), подсистем или АС ОРГАНИЗАЦИИ в целом;

· преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений ОРГАНИЗАЦИИ, допущенных к работе с АС ОРГАНИЗАЦИИ, а также сотрудников подразделений ОРГАНИЗАЦИИ, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации;

· воздействия из других логических и физических сегментов АС ОРГАНИЗАЦИИ со стороны сотрудников других подразделений ОРГАНИЗАЦИИ, в том числе программистов - разработчиков прикладных задач, а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети ОРГАНИЗАЦИИ и внешних сетей общего назначения (прежде всего Internet) через легальные и несанкционированные каналы подключения сети ОРГАНИЗАЦИИ к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам АС ОРГАНИЗАЦИИ;

· деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент;

· деятельность иностранных разведывательных и специальных служб, направленная против интересов ОРГАНИЗАЦИИ;

· ошибки, допущенные при проектировании АС ОРГАНИЗАЦИИ и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты) АС ОРГАНИЗАЦИИ;

· аварии, стихийные бедствия и т.п.


Дата добавления: 2018-02-15; просмотров: 355;