Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Означення та скорочення 10






Видавництво

Європейського університету 2006

ББК 32.973-018.2я73

Д66

Рекомендовано Міністерством освіти і науки України

як навчальний посібник для студентів вищих навчальних закладів

(лист М14/18-Г-131 від 29.05.2006року)

 

ДОМАРЄВ В.В., СКВОРЦОВ С.О.

 

Д66 Організація захисту інформації на об'єктах державної та підприємницької діяльності. Навч. посібник.— К.: Вид-во Європ. ун-ту, 2006.— 102 с.

 

ISBN 966-301-118-1

 

Навчальний посібник містить матеріал щодо практичної організації захисту інформації з обмеженим доступом на підприємствах різної форми власності на основі впровадження організаційно-правових, інженерно-технічних заходів та програмно-апаратних рішень.

У посібнику систематизовано методи й засоби захисту конфіденційної інформації від витоку технічними каналами з урахуванням якостей об'єкта захисту, навколишнього середовища та можливостей технічних засобів зловмисника.

Посібник призначений для підготовки спеціалістів з питань створення комплексних систем захисту інформації. Він може використовуватися як довідник для керівників, організаторів та виконавців цієї роботи на підприємствах.

 

ISBN 966-301-118-1

ББК 32.973-018.2я73

© В.В. Домарєв, С.О. Скворцов, 2006

© Європейський університет, 2006


Зміст

Вступ 7

1. Нормативні посилання 9

Означення та скорочення 10

3. Порядок здійснення захисту інформації на об'єктах

інформаційної діяльності підприємства 12

3.1. Визначення й аналіз загроз 12

3.2. Розроблення плану захисту інформації 13

3.3. Реалізація плану захисту інформації 13

3.4.Організація проведення обстеження об'єктів інформаційної

діяльності Підприємства 14

3.5.Організація розроблення системи захисту інформації 15

3.6.Реалізація організаційних заходів захисту 16

3.7. Організаційно-правові заходи щодо охорони державної таємниці 17

3.8. Реалізація первинних технічних заходів захисту 18

3.9. Реалізація основних технічних заходів захисту 19

3.10.Приймання, визначення повноти та якості робіт 20

4. Атестація системи захисту інформації 21

4.1. Порядок організації та проведення атестації 22

4.2. Контроль функціонування та керування системою захисту

Інформації 23

5.Порядок контролю за станом технічного захисту інформації 26

6. Визначення інформаційних і технічних ресурсів, а також об'єктів інформаційної діяльності в Підприємстві, що підлягають захисту 28

6.1. Категоріювання об'єктів інформаційної діяльності Підприємства 28

6.2. Порядок проведення робіт з категоріювання об'єктів 29

6.3. Засекречування та розсекречування матеріальних носіїв інформації30

6.4.Звід відомостей, що становлять державну таємницю 31

7. Захист інформації від витоку технічними канапами 32

7.1. Основні положення 32

7.2. Організаційні заходи 35

7.3.Підготовчі технічні заходи 35

7.4.Технічні заходи 37

8. Захист інформації під час використання засобів копіювально-розмножувальної техніки 41

8.1Основні положення 41

8.2. Вимоги до захисту інформації 42

8.3. Організація технічного захисту інформації 42

8.4.Рекомендації щодо захисту інформації, яка опрацьовується

засобами КРТ класу Б 43

8.5. Класифікатор засобів копіювально-розмножувальної техніки 44

9. Захист інформації в комп'ютерній системі Підприємства 46

9.1.Загальні положення 46

9.2.Основні загрози інформації в КС Підприємства.47

9.3.Визначення несанкціонованого доступу 48

9.4. Основні напрями захисту 49

9.5. Політика безпеки інформації 51

9.6. Характеристика обчислювальної підсистеми КС 51

9.7. Типові адміністративні та організаційні вимоги до КС

Підприємства стосовно питань ТЗІ 54

9.8.Характеристика фізичного середовища КС 55

9.9. Характеристика користувачів КС 56

9.10. Характеристика опрацьовуваної в КС інформації 58

9.11. Характеристика технологій опрацювання інформації в КС

Підприємства 59

9.12.Модель порушника 64

9.13.Політика реалізації послуг безпеки інформації в КС Підприємства 64

9.14.Комплекс засобів захисту та об'єкти комп'ютерної системи 65

9.15.Планування захисту і керування системою захисту 66

9.16. Порядок створення, впровадження, супроводження

та модернізації засобів технічного захисту інформації

від несанкціонованого доступу 67

9.17. Організація захисту інформації в КС від витоку каналами ПЕМВН 70

9.18. Рекомендації щодо захисту інформації від перехоплення

випромінювань технічних засобів ОІД 71

9.19.Рекомендації щодо захисту інформації від перехоплення наводок на незахищені технічні засоби та ДТЗ, що мають вихід за межі КТ 71

9.20.Рекомендації щодо захисту інформації від витоку колами заземлення72

9.21. Рекомендації щодо захисту інформації від витоку колами електроживлення 72

9.22. Рекомендації щодо застосування системи просторового

зашумлення ОІД 73

9.23.Основні рекомендації з обладнання та застосування

екранувальних конструкцій 73

10. Захист конфіденційної інформації в КС Підприємства 75

11. Захист державних інформаційних ресурсів в інформаційно-телекомунікаційних системах ё 77

11.1.Забезпечення захисту державних інформаційних ресурсів

у мережах передачі даних 78

11.2.Контроль за забезпеченням захисту державних інформаційних

ресурсів в ІТС 79

12. Захист інформації WEB-сторінки Підприємства

від несанкціонованого доступу 80

12.1. Характеристика типових умов функціонування та вимоги до захисту інформації WEB-сторінки Підприємства 81

12.2. Вимоги щодо захисту WEB-сторінки Підприємства 81

12.3.Інформаційно-телекомунікаційна система Підприємства 82

12.4Середовище користувачів інформаційно-телекомунікаційної

системи Підприємства 83

12.5. Фізичне середовище інформаційно-телекомунікаційної

системи Підприємства 85

12.6. Політика безпеки інформації WEB-сторінки Підприємства 85

12.7. Захист від комп'ютерних вірусів 87

13. Підрозділ захисту інформації в Підприємстві 91

13.1. Мета створення підрозділу захисту інформації 91

13.2. Завдання підрозділу захисту інформації 92

13.3. Функції ПЗІ під час створення комплексної системи захисту

інформації 93

13.4. Функції ПЗІ під час експлуатації комплексної системи захисту інформації 94

13.5. Повноваження та відповідальність підрозділу захисту інформації 96

13.6. Відповідальність ПЗІ 98

13.7.Взаємодія підрозділу захисту інформації з іншими підрозділами Підприємства та зовнішніми організаціями 99

13.8. Штатний розклад та структура підрозділу захисту нформації 100


Вступ

Стрімкий процес інформатизації суспільства супроводжується посиленням загроз втручання в роботу інформаційних систем у формі несанкціонованого допуску до інформації.

У зв'язку з цим підвищується актуальність постійного вдосконалення систем захисту інформації на основі використання комплексного підходу, який об'єднує законодавчі, організаційні та програмно-технічні заходи.

Основні принципи захисту інформації сформувалися в період, коли була одна форма власності — державна, тому єдиним предметом захисту була державна інформація, охорона якої відносилася до компетенції спеціальних служб.

Розвиток ринкових відносин на Україні сприяв тому, що не тільки державні підприємства й установи, а й об'єкти господарювання інших форм відчули необхіднісь збереження комерційних, технологічних і фінансових секретів фірм, персональних даних фізичних осіб.

Складність задач щодо організації системи захисту інформації як в державних, так і в комерційних структурах обумовила появу окремої дисципліни — інформаційна безпека.

Спеціаліст в галузі захисту інформації відповідає за розробку, реалізацію та експлуатацію системи забезпечення конфіденційності, цілісності, а також доступності наявної в організації інформації. В його функції входить забезпечення фізичного (технічні засоби, лінії зв'язку й віддалені комп'ютери) і логічного (дані, прикладні програми, операційна система) захисту інформаційних ресурсів.

Останнім часом постійно збільшується потреба в спеціалістах, які можуть комплексно ставити і вирішувати задачі інформаційної безпеки підприємств на основі використання правових, організаційних і технічних заходів. Тому робота організатора захисту інформації на підприємстві потребує кваліфікованої підготовки не тільки з питань технічних методів і засобів захисту інформації, а й знань в галузі менеджменту, права, психології та інших дисциплін.

Ураховуючи це, за останні роки деякі вищі навчальні заклади перейшли на підготовку фахівців за спеціалізацією «менеджер інформаційної безпеки». Цей новий напрямок підготовки студентів потребує і навчальної літератури, в якій питання захисту інформації були б розглянуті комплексно.

У даному навчальному посібнику на основі аналізу та узагальнення законодавчих і нормативних актів висвітлено питання організації діяльності підрозділу захисту інформації, порядок здійснення захисту інформації на об'єктах інформаційної діяльності підприємства, розглянуто визначення інформаційних і технічних ресурсів, що підлягають захисту.

Навчальний посібник базується на матеріалах, накопичених авторами в процесі практичної, науково-дослідної та викладацької роботи.

Навчальний посібник висвітлює правові та організаційні засади захисту інформації на Підприємствах, охорона якої забезпечується відповідно до законодавства України.

1. Нормативні посилання

Правову основу захисту інформації на Підприємстві становлять:

Закон України «Про державну таємницю»;

Закон України «Про захист інформації в автоматизованих системах»;

Положення про технічний захист інформації в Україні;

Положення про забезпечення режиму секретності під час опрацювання інформації, що становить державну таємницю, в автоматизованих системах;

ДСТУ 3396.1—96. Захист інформації. Технічний захист інформації. Порядок проведення робіт;

НД ТЗІ 1.1—003—99. Термінологія в галузі захисту інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 2.5—004—99. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу;

НД ТЗІ 2.5—005—99. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності опрацьовуваної інформації від несанкціонованого доступу;

НД ТЗІ 1.4—001—2000. Типове положення про службу захисту інформації в автоматизованій системі;

інші нормативно-правові акти, розпорядчі та інші документи з питань захисту інформації.



Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.012 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал