Характеристика организационных и технических мер инженерно-технической защиты информации в государственных структурах

соответствующими ведомствами, а для коммерческих структур, выполняющих негосударственные заказы, - специалистами этих структур.

Работа по защите информации в организации проводится всеми сотрудниками, но степень участия различных категорий существенно отличается. Любой сотрудник, подписавший обязательство о неразглашении тайны участвует в защите информации хотя бы путем выполнения руководящ

их документов о защите информации.

Ответственность за состояние защиты информации возлагается на соответствующее подразделение и лиц службы безопасности. Применительно к типовой структуре службы безопасности коммерческой структуры инженерно-техническая защита обеспечивается группой инженерно-технической защиты, которая, как вариант, может состоять из старшего инженера (инженера) - руководителя группы и инженера (техника) по специальным измерениям.

Основные задачи группы:

- обследование выделенных помещений с целью установления потенциально возможных каналов утечки конфиденциальной информации через технические средства, конструкции зданий и оборудования;

- выявление и оценка степени опасности технических каналов утечки информации;

- разработка мероприятий по ликвидации (предотвращению утечки) потенциальных каналов утечки информации;

- организация контроля (в том числе и инструментального) за эффективностью принятых защитных мероприятий, анализ результатов контроля и разработка предложений по повышению надежности и эффективности мер защиты;

- подготовка заявок на приобретение технических средств защиты информации, участие в их установке, эксплуатации и контроле состояния.

Кроме того, на группу инженерно-технической защиты информации целесообразно возложить также технические вопросы охраны носителей информации.

3.2 Организационные и технические меры по инженерно- технической защите информации

В организациях работа по инженерно-технической защите информации включает два этапа:

- построение или модернизация системы защиты;

- поддержание защиты информации на требуемом уровне.

Построение системы защиты информации проводится во вновь создаваемых организациях, в остальных - модернизация существующей.

Построение (модернизация) системы защиты информации и поддержания на требуемом уровне ее защиты в организации предусматривают проведение следующих основных работ:

- уточнение перечня защищаемых сведений в организации, определение источников и носителей информации, выявление и оценка угрозы ее безопасности;

- определение мер по защите информации, вызванных изменениями

целей и задач защиты, перечня защищаемых сведений, угроз безопасности информации;

- контроль эффективности мер по инженерно-технической защите

информации в организации.

Меры по защите информации целесообразно разделить на 2 группы: организационные и технические. В публикациях, в том числе в некоторых руководящих документах, меры по защите делят на организационные, организационно-технические и технические. Учитывая отсутствие достаточно четкой границы между организационно-техническими и организационными, организационно-техническими и техническими мерами, целесообразно ограничиться двумя группами: организационными и техническими. При такой классификации к техническим относятся меры, реализуемые путем установки новых или модернизации используемых инженерных и технических средств защиты информации. Основу организационных мер инженерно-технической зашиты информации составляют меры, определяющие порядок использования этих средств.

Организационные меры инженерно-технической защиты информации включают, прежде всего, мероприятия по эффективному использованию технических средств регламентации и управления доступом к защищаемой информации, а также по порядку и режимам работы технических средств защиты информации. Организационные меры инженерно-технической защиты информации являются частью ее организационной защиты, основу которой составляют регламентация и управление доступом.

Регламентация - это установление временных, территориальных и режимных ограничений в деятельности сотрудников организации и работе технических средств, направленные на обеспечение безопасности информации.

Регламентация предусматривает:

- установление границ контролируемых и охраняемых зон;

- определение уровней защиты информации в зонах;

регламентация деятельности сотрудников и посетителей (разработка

распорядка дня, правил поведения сотрудников в организации и вне ее

и т. д.);

- определение режимов работы технических средств, в том числе сбора,

обработки и хранения защищаемой информации на ПЭВМ, передачи

документов, порядка складирования продукции и т. д.

Управление доступом к информации включает следующие мероприятия:

- идентификацию лиц и обращений;

- проверку полномочий лип и обращений;

- регистрацию обращений к защищаемой информации;

- реагирование на обращения к информации.

Идентификация пользователей, сотрудников, посетителей, обращений

к каналам телекоммуникаций проводится с целью их надежного опознавания.

Способы идентификации рассмотрены выше.

Проверка полномочий заключается в определении прав лиц и обращений по каналам связи на доступ к защищаемой информации. Для доступа к информации уровень полномочий обращения не может быть ниже разрешенного. С целью обеспечения контроля над прохождением носителей с закрытой информацией производится регистрация (протоколирование) обращений к ним путем записи в карточках, журналах, на магнитных носителях.

Реагирование на любое обращение к информации заключается либо в разрешении доступа к информации, либо в отказе. Отказ может сопровождаться включением сигнализации, оповещением службы безопасности или правоохранительных органов, задержанием злоумышленника при его попытке несанкционированного доступа к защищаемой информации.

Технические меры предусматривают применение способов и средств. рассмотренных в данной книге.

Важнейшее и необходимое направление работ по защите информации -контроль эффективности защиты. Этот вид деятельности проводится прежде всего силами службы безопасности, а также руководителями структурных подразделений. Контроль инженерно-технической зашиты является составной частью контроля защиты информации в организации и заключается, прежде всего, в определении (измерении) показателей эффективности защиты техническими средствами и сравнении их с нормативными.

Применяют следующие виды контроля:

- предварительный;

- периодический;

- постоянный.

Предварительный контроль проводится при любых изменениях состава, структуры и алгоритма функционирования системы защиты информации, в том числе:

- после установки нового технического средства защиты или изменении организационных мер;

- после проведения профилактических и ремонтных работ средств защиты;

- предотвращение использование поддельных документов и документов лицами, которым они не принадлежат.

- после устранения выявленных нарушений в системе защиты.

Страница:  1  2  3  4  5  6  7  8  9  10  11  12  13  14  15 
 16  17  18  19 


Другие рефераты на тему «Менеджмент и трудовые отношения»:

Поиск рефератов

Последние рефераты раздела

Copyright © 2010-2024 - www.refsru.com - рефераты, курсовые и дипломные работы