Реферат на тему: Аналіз змісту нормативного документу ” Типове положення про службу захисту інформації в автоматизованій системі “

Скачати 167.04 Kb.

Назва	Реферат на тему: Аналіз змісту нормативного документу ” Типове положення про службу захисту інформації в автоматизованій системі “
Дата	18.03.2013
Розмір	167.04 Kb.
Тип	Реферат

bibl.com.ua > Інформатика > Реферат

Державний університет інформаційно-комунікаційних технологій
Кафедра безпеки інформаційних технологій
Дисципліна: Нормативно-правове забезпечення інформаційної безпеки

Р Е Ф Е Р А Т
на тему:
Аналіз змісту нормативного документу

”Типове положення

про службу захисту інформації в

автоматизованій системі “

Виконала: студентка БСД – 41

І.Б._Ольшанецька А.В.

(DUB41_Olshanetskaya)
Керівник:___Домарєв В.В.__

2012

Мета реферату:

Розглянути зміст нормативного документу ”Типове положення про службу захисту інформації в автоматизованій системі “ з точки зору СУІБ Матриця.
Визначити завдання, функції штатної структури служби захисту інформації (СЗІ), повноваження та відповідальність співробітників служби.

План реферату

Перелік документів.........................................................................................................................3
Аналіз документів відповідно етапам функціонування СУІБ Матриця
1. Визначення напрямків, об’єктів, активів...............................................................................3
2. Визначення загроз...............................................................................................................5
3. Визначення ризиків.............................................................................................................5
4. Аналіз ризиків......................................................................................................................7
5. Визначення вимог...............................................................................................................8
6. Визначення співробітників..................................................................................................9
7. Визначення засобів та заходів...........................................................................................10
Висновок...................................................................................................................................14

Перелік документів що використовуються:

НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в

автоматизованій системі

НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу

Аналіз документів відповідно етапам функціонування СУІБ Матриця.
1. Визначення напрямків, об’єктів, активів

Напрямки визначають для чого призначена служба захисту інформації.

СЗІ напрямлена на:

У напрямки входять об'єкти:

Об’єкти складаються з активів. Актив – все, що має цінність для організації, містить інформацію (наприклад: папір, ПК, диски, вікна двері). Кожен актив має свій збиток (шкала оцінення від 1 до 5: 1 - незначний збиток, 5 - дуже сильний збиток). На свій розсуд, приблизно пишемо поруч із кожним активом збиток для організації у разі пошкодження даного активу.

Наприклад:

- у разі НСД до бази паролів – збиток буде оцінений як 5 – найвищий, тому що цей актив має високу цінність для організації;

- у разі поломки сканеру – збиток буде оцінений як 1 – мінімальний, тому що це не несе жахливої шкоди для організації, сканер можна полагодити.

Напрямки	Об’єкти	Активи
Захист робочих даних	Дані	БД Інф. на магнітних дисках Друкована інформація Архівні і резервні копії Системні журнали Технічна документація
Технічний захист інформації	Виділена будівля Обладнання ЕОМ та складові частини	Електроживлення Охоронна сигналізація Вентиляція Вікна Труби Процесори Монітори Робочі станції Принтер Сканер Модем Накопичувачі інформації
Захист процесів і програм обробки інформації	Програмне забезпечення	ОС Завантажувальні модулі СКБД (СУБД) Системні програми Діагностичні програми
Керування КСЗІ	Системи управління ІБ	Firewall Достовірна БД (БД паролів) Система розмежування доступу

Таблиця напрямків, об’єктів та активів СЗІ

Визначення загроз

Загроза— будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС.

Необхідно визначити перелік можливих загроз і класифікувати їх за результатом впливу на

інформацію, тобто на порушення яких властивостей вони спрямовані (конфіденційності,

цілісності та доступності інформації), а також порушення спостережності та керованості

АС.
У НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в

автоматизованій системі представлений такий список типових загроз:

У СУІБ Матриця кожна загроза має свою частоту ймовірності появи. Оцінюємо за шкалою від 1 до 5. 1- дуже низька ймовірність появи, 5 – висока ймовірність появи.

Наприклад: загроза появи стихійного лиха та аварії – має 1 - дуже низьку ймовірність появи, а загроза помилки персоналу (користувачів) АС під час експлуатації - має найвищу ймовірність 5, за шкалою від 1 до 5.

Визначення ризиків

Ризик — функція ймовірності реалізації певної загрози, виду і величини завданих збитків.

Аналіз ризиків передбачає вивчення моделі загроз для інформації та моделі порушників, можливих наслідків від реалізації потенційних загроз (рівня можливої заподіяної ними шкоди) і формування на його підставі моделі захисту інформації в АС.

У СУІБ Матриця ризики описуються як добуток ймовірності реалізації загрози на збиток заданого активу від реалізації цієї загрози. Із списку загроз вибирається конкретна загроза для конкретного активу і за допомогою формули оцінюється ризик.

Таблиці ризиків подані нижче

Наприклад загроза несанкціонованого копіювання носіїв інформації (ймовірність реалізації 4), яка направлена на актив накопичувачі інформації (збиток від активу 5) несуть за собою ризик, який оцінюється як 4х5=20. Виходячи із максимально можливого ризику 5х5=25. Ризик 20 буде суттєвим для організації.

Аналіз ризиків

За допомогою СУІБ Матриця можна провести аналіз ризиків. Він подається у вигляді таблиці, в якій у стовпчиках перераховується список активів даної інформаційної системи, а у рядочках – список загроз, які можуть бути спричинені по відношенню до цих активів. Також окремо прораховується сумарна кількість ризику по активам та по загрозам.

Нижче наведена таблиця аналізу найбільшого ризику по активам:

Нижче наведена таблиця аналізу найменшого ризику по активам:

Нижче наведена таблиця аналізу найбільшого ризику по загрозам:

Визначення вимог

У даному розділі описуються усі вимоги, які висуваються до служби безпеки інформації, тобто іх функції:

Визначення співробітників

До структури співробітників служби захисту інформації можуть входити:

Штат СЗІ комплектується спеціалістами, які мають спеціальну технічну освіту (вищу,

середню спеціальну, спеціальні курси підвищення кваліфікації у галузі ТЗІ тощо) та практичний досвід роботи, володіють навичками з розробки, впровадження, експлуатації КСЗІ і засобів захисту інформації, а також реалізації організаційних, технічних та інших заходів з захисту інформації, знаннями і вмінням застосовувати нормативно-правові документи у сфері захисту.
Для проведення окремих заходів з захисту інформації в АС, які пов’язані з напрямком діяльності інших підрозділів організації, керівник організації своїм наказом визначає перелік, строки виконання та підрозділи для виконання цих робіт.

Керівництво та співробітники СЗІ за невиконання або неналежне виконання службових обов’язків, допущені ними порушення встановленого порядку захисту інформації в АС несуть дисциплінарну, адміністративну, цивільно-правову, кримінальну відповідальність згідно з законодавством України.

Персональна відповідальність керівника та співробітників СЗІ визначається посадовими

(функціональними) інструкціями.

Відповідальність за діяльність СЗІ покладається на її керівника.

- Керівник СЗІ відповідає за:

- організацію робіт з захисту інформації в АС, ефективність захисту інформації відповідно до

діючих нормативно-правових актів;

- своєчасне розроблення і виконання “Плану захисту інформації в автоматизованій системі”;

- якісне виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених у цьому

Положенні, посадових інструкціях, а також планових заходів з захисту інформації,

затверджених керівником організації;

- координацію планів діяльності підрозділів та служб АС (організації) з питань захисту

інформації;

- створення системи навчання співробітників, користувачів, персоналу АС з питань захисту

інформації;

- виконання особисто та співробітниками СЗІ розпоряджень керівника організації, правил

внутрішнього трудового розпорядку, встановленого режиму, правил охорони праці та

протипожежної охорони.

СЗІ координує свою діяльність з аудиторською службою під час проведення аудиторських

перевірок.

СЗІ взаємодіє, узгоджує свою діяльність та встановлює зв’язки з:

- РСО організації;

- підрозділом ТЗІ організації;

- адміністрацією АС та іншими підрозділами організації, виробнича діяльність яких пов’язана з

захистом інформації або її автоматизованою обробкою;

- службою безпеки організації;

- зовнішніми організаціями, які є партнерами, користувачами, постачальниками, виконавцями

робіт;

- підрозділами служб безпеки іноземних фірм (що є для організації партнерами, користувачами,

постачальниками, виконавцями робіт), їхніми представництвами (на договірних або інших

засадах);

Зміна структури СЗІ здійснюється за рішенням загальних зборів акціонерів або керівництва

організації і затверджується наказом (розпорядженням) керівника організації.

Структура СЗІ, її склад і чисельність визначається фактичними потребами АС для

виконання вимог політики безпеки інформації та затверджується керівництвом організації.

Чисельність і склад СЗІ мають бути достатніми для виконання усіх завдань з захисту інформації

Безпосереднє керівництво роботою СЗІ здійснює її керівник. У випадку, коли СЗІ є

структурною одиницею підрозділу ТЗІ (служби безпеки організації) – керівник цього підрозділу (заступник керівника). Призначення і звільнення з посади керівника СЗІ здійснюється керівництвом організації за узгодженням з особами, що відповідають за забезпечення безпеки інформації (керівник підрозділу ТЗІ, керівник служби безпеки та ін.).

На час відсутності керівника СЗІ (у зв’язку з відпусткою, службовим відрядженням, хворобою тощо) його обов’язки тимчасово виконує заступник керівника СЗІ, а у разі відсутності такої посади – керівник одного з підрозділів або інший кваліфікований співробітник СЗІ. Призначення на цю посаду позаштатних або тимчасово працюючих співробітників забороняється.

За посадами співробітники СЗІ поділяються на такі категорії (за рівнем ієрархії):

- керівник СЗІ;

- адміністратори захисту АРМ (безпеки баз даних, безпеки системи тощо);

- спеціалісти служби захисту.

В залежності від обсягів і особливостей завдань СЗІ до її складу можуть входити

спеціалісти (групи спеціалістів, підрозділи та ін.) різного фаху:

- спеціалісти з питань захисту інформації від витоку технічними каналами;

- спеціалісти з питань захисту каналів зв’язку і комутаційного обладнання, налагодження і

керування активним мережевим обладнанням;

- спеціалісти з питань адміністрування засобів захисту, керування базами даних захисту;

- спеціалісти з питань захищених технологій обробки інформації.

- іншими суб’єктами діяльності у сфері захисту інформації.

Визначення засобів та заходів

Комплекс заходів з забезпечення безпеки інформації розглядається на трьох рівнях:

правовому;
організаційному;
технічному.

На правовому рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо:

системи нормативно-правового забезпечення робіт з захисту інформації в АС (організації);
підтримки керівництвом організації заходів з забезпечення безпеки інформації в АС (організації), виконання правових та (або) договірних вимог з захисту інформації, визначення відповідальності посадових осіб, організаційної структури, комплектування і розподілу обов'язків співробітників СЗІ;
процедур доведення до персоналу і користувачів АС основних положень політики безпеки інформації, їхнього навчання і підвищення кваліфікації з питань безпеки інформації;
системи контролю за своєчасністю, ефективністю і повнотою реалізації в АС рішень з захисту інформації, дотриманням персоналом і користувачами положень політики безпеки.

На організаційному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо:

застосування режимних заходів на об’єктах АС;
забезпечення фізичного захисту обладнання АС, носіїв інформації, інших ресурсів;
організації проведення обстеження середовищ функціонування АС;
порядку виконання робіт з захисту інформації, взаємодії з цих питань з іншими суб’єктами системи ТЗІ в Україні;
виконання робіт з модернізації АС (окремих компонентів);
регламентації доступу сторонніх користувачів до ресурсів АС;
регламентації доступу власних користувачів і персоналу до ресурсів АС;
здійснення профілактичних заходів (наприклад, попередження ненавмисних дій, що призводять до порушення політики безпеки, попередження появи вірусів та ін.);
реалізації окремих положень політики безпеки, найбільш критичних з точки зору забезпечення захисту аспектів (наприклад, організація віддаленого доступу до АС, використання мереж передачі даних загального користування, зокрема Internet, використання несертифікованого ПЗ та ін.).

На технічному рівні забезпечення безпеки інформації повинні бути вироблені підходи щодо застосування технічних і програмно-технічних засобів, які реалізують задані вимоги з захисту інформації. Під час розгляду різних варіантів реалізації рекомендується враховувати наступні аспекти:

інженерно-технічне обладнання виділених приміщень, в яких розміщуються компоненти АС, експлуатація і супроводження засобів блокування технічних каналів витоку інформації;
реєстрація санкціонованих користувачів АС, авторизація користувачів в системі;
керування доступом до інформації і механізмів, що реалізують послуги безпеки, включаючи вимоги до розподілу ролей користувачів і адміністраторів;
виявлення і реєстрація небезпечних подій з метою здійснення повсякденного контролю або проведення службових розслідувань;
перевірка і забезпечення цілісності критичних даних на всіх стадіях їхньої обробки в АС;
забезпечення конфіденційності інформації, у тому числі використання криптографічних засобів;
резервне копіювання критичних даних, супроводження архівів даних і ПЗ;
відновлення роботи АС після збоїв, відмов, особливо для систем із підвищеними вимогами до доступності інформації;
захист ПЗ, окремих компонентів і АС в цілому від внесення несанкціонованих доповнень і змін;
забезпечення функціонування засобів контролю, у тому числі засобів виявлення технічних каналів витоку інформації.

Захист інформації в АС — діяльність, яка спрямована на забезпечення безпеки оброблюваної в АС інформації та АС в цілому, і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків внаслідок реалізації загроз.

Засоби захисту — програмні, програмно-апаратні та апаратні засоби, що реалізують механізми захисту.

Механізми захисту (security mechanism) — конкретні процедури і алгоритми, що використовуються для реалізації певних функцій і послуг безпеки.
Нижче наведений список загроз і засоби захисту для уникнення реалізації цих загроз.

акусто-електричне перетворення інформаційних сигналів

Стабілізатори, Мережеві фільтри

аналіз трафіку

засоби шифрування

використання (шантаж, підкуп тощо) з корисливою метою персоналу АС;

Підвищення зарплати

впровадження і використання забороненого політикою безпеки ПЗ

ізоляція об'єктів всередині сфери упр-ня

впровадження і використання комп’ютерних вірусів

антивірус

закладні (апаратні і програмні) та підслуховуючі пристроїв,

детектор відеокамер, антижучок, засоби шифрування, генератор БГШ

збої і відмови у роботі обладнання та технічних засобів АС

надійність, стійкість до відмов

зміна атрибутів розмежування доступу

атрибути доступу

крадіжки носіїв інформації, виробничих відходів (роздруків, записів, тощо);

охорона приміщення

навмисні дії (спроби) потенційних порушників.

ПБ

наслідки некомпетентного застосування засобів захисту;

посадові інстукції

наслідки помилок під час проектування та розробки компонентів АС

ПБ

неправомірна зміна режимів роботи АС (окремих компонентів, обладнання, ПЗ тощо)

атрибути доступу

неправомірне підключення до каналів зв’язку

засоби шифрування

несанкціоноване використання ПЗ

ПБ, адмінстративне керування

несанкціоноване копіювання носіїв інформації;

ізоляція об'єктів всередині сфери упр-ня, керування потоками інформації, диспетчер доступу

одержання атрибутів доступу з наступним їх використанням для маскування під зареєстрованого користувача

адміністративне керування, довірче керування

перехоплення даних

Засоби шифрування

розголошення конфіденційних відомостей

ПБ, посадові інструкції

руйнування апаратних, програмних, інформаційних ресурсів

охорона приміщення

читання залишкової інформації з оперативної пам’яті ЕОМ, зовнішніх накопичувачів;

ізоляція об'єктів всередині сфери упр-ня, атрибути доступу, матриця доступу, адміністративне керування, диспетчер доступу.

Висновки
Проведений аналіз нормативного документу ”Типове положення про службу захисту інформації в автоматизованій системі“ показав, що метою створення СЗІ є організаційне забезпечення завдань керування комплексною системою захисту інформації (КСЗІ) в АС та здійснення контролю за її функціонуванням. На СЗІ покладається виконання робіт з визначення вимог з захисту інформації в АС, проектування, розроблення і модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в АС.
Щоб забезпечити належне функціонування організації, служба захисту інформації повинна виконувати такі функції:
- організація процесу керування КСЗІ;

- розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій;

- вжиття заходів у разі виявлення спроб НСД до ресурсів АС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;

- забезпечення контролю цілісності засобів захисту інформації та швидке реагування на їх вихід з ладу або порушення режимів функціонування;

- організація керування доступом до ресурсів АС (розподілення між користувачами необхідних реквізитів захисту інформації – паролів, привілеїв, ключів та ін.);

- супроводження і актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об’єктів, ідентифікатори користувачів тощо);

- спостереження (реєстрація і аудит подій в АС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;

- підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в АС, впровадження нових технологій захисту і модернізації КСЗІ;

- організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій АС або КСЗІ;

- участь в роботах з модернізації АС - узгодженні пропозицій з введення до складу АС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;

- забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування;

- проведення аналітичної оцінки поточного стану безпеки інформації в АС (прогнозування виникнення нових загроз і їх врахування в моделі загроз, визначення необхідності її коригування, аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз та ін.);

- інформування власників інформації про технічні можливості захисту інформації в АС і типові правила, встановлені для персоналу і користувачів АС;

- негайне втручання в процес роботи АС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з викриття порушника;

- регулярне подання звітів керівництву організації-власника (розпорядника) АС про виконання користувачами АС вимог з захисту інформації;

- аналіз відомостей щодо технічних засобів захисту інформації нового покоління, обгрунтування пропозицій щодо придбання засобів для організації;

- контроль за виконанням персоналом і користувачами АС вимог, норм, правил, інструкцій з захисту інформації відповідно до визначеної політики безпеки інформації, у тому числі контроль за забезпеченням режиму секретності у разі обробки в АС інформації, що становить державну таємницю;

- контроль за забезпеченням охорони і порядку зберігання документів (носіїв інформації), які містять відомості, що підлягають захисту;

- розробка і реалізація спільно з РСО (підрозділом ТЗІ, службою безпеки) організації комплексних заходів з безпеки інформації під час проведення заходів з науково-технічного, економічного, інформаційного співробітництва з іноземними фірмами, а також під час проведення нарад, переговорів та ін., здійснення їхнього технічного та інформаційного забезпечення.

Схожі:

Про затвердження Типового положення про службу охорони праці Затвердити Типове положення про службу охорони праці (далі Типове положення), що додається	Типове положення про службу охорони праці Загальні положення Положення про службу охорони праці відповідного підприємства, визначає структуру служби охорони праці, її чисельність, основні завдання,...
Реферат №1 (04-12) Студентка УБД-21 Остапенко Н. Предмет: Інформаційна... Мета реферату: використання СУІБ «Матриця» для проведення аналізу змісту Закону України «Про захист інформації в автоматизованих...	Реферат на тему: “ Адміністративне провадження Закону України "Про державну податкову службу" та п. 10 ст. 11 Закону України "Про міліцію", і у цьому випадку інформація про виявлені...
ТИПОВЕ ПОЛОЖЕННЯ про реабілітаційну установу змішаного типу для інвалідів... Міністерству праці та соціальної політики Автономної Республіки Крим, головним управлінням праці та соціального захисту	Міністерство України з питань надзвичайних ситуацій та у справах... У зв'язку з проведенням заходів реформування військ Цивільної оборони України, органів і підрозділів державної пожежної охорони в...
Рефератiв з дисципліни з (найменування навчальної дисципліни ) дисципліни Реферат може бути написаний по будь-якій темі з приведеного списку. За бажання написати реферат на тему, яка не увійшла до переліку,...	НАКАЗ Затвердити Типове положення про атестацію педагогічних працівників, що додається
Реферат на тему: Захист даних в безпроводових мережах за допомогою криптографічних засобів Провести аналіз нормативно-методичних документів відповідно етапам функціонування СУИБ	План-конспект для проведення додаткових занять з о/с ДПЧ-21 ВОННПР... Конституція України, Закони України «Про державну службу», «Про боротьбу з корупцією», із змінами та доповненнями

Додайте кнопку на своєму сайті:
Портал навчання