Концепция обеспечения информационной безопасности предприятия

Подсистема анализа и управления рисками представляет собой комплекс инструментальных средств, установленных на рабочем месте специалиста по анализу рисков и предназначенных для сбора и анализа информации о состоянии защищенности ИС, оценки рисков, связанных с реализацией угроз ИБ, выбора комплекса контрмер (механизмов безопасности), адекватных существующим рисками и контроля их внедрения.

Подсистема анализа и управления рисками должна обеспечивать:

автоматизацию идентификации рисков;

возможность создания шкал и критериев, по которым можно измерять риски;

оценку вероятностей событий;

оценку угроз;

анализ допустимого уровня риска;

выбор контрмер и оценку их эффективности;

позволять контролировать необходимый уровень обеспечения информационной и физической безопасности (информационные риски, сбои в системах, служба охраны, охранно-пожарная сигнализация и пожаротушение, охрана периметра и т.п.).

Требования к подсистеме идентификации и аутентификации

Подсистема идентификации и аутентификации представляет собой комплекс программно-технических средств, обеспечивающих идентификацию пользователей ИС и подтверждение подлинности пользователей при получении доступа к информационным ресурсам. Подсистема идентификации и аутентификации включает в себя компоненты, встроенные в операционные системы, межсетевые экраны, СУБД и приложения, которые обеспечивают управление идентификационными данными пользователей, паролями и ключевой информацией, а также реализуют различные схемы подтверждения подлинности при входе пользователя в систему и получении доступа к системным ресурсам и приложениям. Встроенные средства идентификации и аутентификации дополняются наложенными средствами, обеспечивающими синхронизацию учетных данных пользователей в различных хранилищах (например, Active Directory, Lotus, Microsoft SQL, Novell Directory, LDAP, прикладные системы и т.п.) и предоставление единой точки доступа и администрирования для всех пользователей ИС.

Подсистема идентификации и аутентификации должна обеспечивать:

Поддержание идентичности и синхронизацию учетных данных в разных хранилищах;

Комбинирование идентификационной информации из множества каталогов;

Обеспечение единого представления всей идентификационной информации для пользователей и ресурсов;

Предоставление единой точки доступа и администрирования;

Безопасный вход в домен ОС при помощи электронного идентификатора (USB-ключа или смарт-карты);

Усиленную аппаратную двухфакторную аутентификацию пользователей (электронный идентификатор и пин-код);

Вход в сеть предприятия с любой рабочей станции, посредством хранения электронного сертификата в защищенной области памяти электронного идентификатора;

Хранение паролей к различным ресурсам (в том числе Web) и электронных сертификатов в защищенной области памяти электронного идентификатора

Централизованное управление данными об используемых электронных идентификаторах (USB-ключа или смарт-карты);

Блокирование компьютера или автоматическое отключение от сети в перерывах между работой и отсоединением электронного идентификатора.

Механизмы идентификации и аутентификации должны быть реализованы на всех рубежах защиты информации в следующих объемах:

На рубеже защиты внешнего периметра КСПД предприятия - идентификация и аутентификация внешних пользователей сети для доступа к информационным ресурсам ЛВС на МЭ и сервере удаленного доступа;

На рубеже сетевой инфраструктуры должна осуществляться идентификация и аутентификация пользовательских рабочих станций по именам и сетевым адресам при осуществлении доступа к сетевым сервисам ЛВС;

На рубеже защиты серверов и рабочих станций должна осуществляться идентификация и аутентификация пользователей при осуществлении локальной или удаленной регистрации в системе;

На рубеже прикладного ПО должна осуществляться идентификация и аутентификация пользователей указанного ПО для получения доступа к информационным ресурсам при помощи данного ПО.

Аутентификация внутренних и внешних пользователей системы осуществляется на основе следующей информации:

На рубеже защиты внешнего периметра для аутентификации пользователей на МЭ и сервере удаленного доступа используются схемы, устойчивые к прослушиванию сети потенциальными злоумышленниками, построенные на основе одноразовых сеансовых ключей и/или аппаратных носителей аутентификационной информации;

На рубеже защиты сетевых сервисов ЛВС используются параметры клиентов сетевого уровня (IP-адреса, имена хостов) в сочетании с параметрами канального уровня (MAC-адреса) и парольными схемами аутентификации;

На рубежах защиты серверов, рабочих станций и приложений используются парольные схемы аутентификации с использованием аппаратных носителей аутентификационной информации.

Требования к подсистеме разграничения доступа

Подсистема разграничения доступа (авторизации) использует информацию, предоставляемую сервисом аутентификации. Авторизация пользователей для доступа к информационным ресурсам ИС осуществляется на следующих уровнях программно-технической защиты:

На уровне защиты внешнего периметра ЛВС предприятия (при их подключении к внешним сетям и сети Интернет) МЭ осуществляет разграничение доступа внешних пользователей к сервисам ЛВС и внутренних пользователей к ресурсам сети Интернет и внешних сетей в соответствии с правилами «Политики обеспечения информационной безопасности при взаимодействии с сетью Интернет».

На уровне защиты сетевых сервисов ЛВС используются внутренние механизмы авторизации пользователей, встроенные в сетевые сервисы, либо специализированные серверы авторизации.

На уровне защиты серверов и рабочих станций ЛВС используются механизмы авторизации, встроенные в ОС, в сочетании с наложенными средствами разграничения доступа.

На уровне защиты приложений, функциональных подсистем ИС и системных ресурсов используются механизмы авторизации, встроенные в эти приложения, а также средства разграничения доступа ОС и СУБД.

Средства разграничения доступа должны исключать возможность доступа к ресурсам системы неавторизованных пользователей.

Требования к подсистеме протоколирования и пассивного аудита

Подсистема протоколирования и пассивного аудита предназначена для осуществления контроля за наиболее критичными компонентами сети, включающими в себя серверы приложений, баз данных и прочие сетевые серверы, межсетевые экраны, рабочие станции управления сетью и т.п. Компоненты этой подсистемы располагаются на всех перечисленных выше рубежах защиты (разграничения доступа) и осуществляют протоколирование, централизованный сбор и анализ событий, связанных с безопасностью (включая предоставление доступа, попытки аутентификации, изменение системных политик и пользовательских привилегий, системные сбои и т.п.). Они включают в себя как встроенные средства, имеющиеся в составе ОС, СУБД, приложений и т.п. и предназначенные для регистрации событий безопасности, так и наложенные средства (программные агенты) служащие для агрегирования и анализа данных аудита, полученных из различных источников. Все данные аудита поступают на выделенный сервер аудита, где осуществляется их хранение и обработка. Просмотр и анализ этих данных осуществляется с консоли администратора аудита.

Подсистема пассивного аудита безопасности выполняет следующие основные функции:

Отслеживание событий, влияющих на безопасность системы;

Регистрация событий, связанных с безопасностью в журнале аудита;

Выявление нарушений безопасности, путем анализа данных журналов аудита администратором безопасности в фоновом режиме.

Средства протоколирования и аудита должны применяться на всех рубежах защиты в следующем объеме:

На рубеже защиты внешнего периметра должны протоколироваться следующие события:

Информация о состоянии внешнего маршрутизатора, МЭ, сервера удаленного доступа, модемов;

Действия внешних пользователей по работе с внутренними информационными ресурсами;

Действия внутренних пользователей по работе с внешними информационными ресурсами;

Попытки нарушения правил разграничения доступа на МЭ и на сервере удаленного доступа;

Действия администраторов МЭ и сервера удаленного доступа.

На рубеже сетевой инфраструктуры должно осуществляться протоколирование информации о состоянии структурированной кабельной системы (СКС) и активного сетевого оборудования, а также структуры информационного обмена на сетевом и транспортном уровнях;

На рубеже защиты серверов и рабочих станций средствами подсистем аудита безопасности ОС должно обеспечиваться протоколирование всех системных событий, связанных с безопасностью, включая удачные и неудачные попытки регистрации пользователей в системе, доступ к системным ресурсам, изменение политики аудита и т. п.;

На уровне приложений должна обеспечиваться регистрация событий, связанных с их функционированием, средствами этих приложений.

Эффективность функционирования системы пассивного аудита безопасности определяется следующими основными свойствами этой системы:

наличие средств аудита, обеспечивающих возможность выборочного контроля любых происходящих в системе событий, связанных с безопасностью;

наличие средств централизованного управления журналами аудита, политикой аудита и централизованного анализа данных аудита по всем контролируемым системам;

непрерывность контроля над критичными компонентами ЛВС во времени.

Требования к подсистеме активного аудита безопасности

Подсистема активного аудита безопасности предназначена для автоматического выявления нарушений безопасности критичных компонентов ИС и реагирования на них в режиме реального времени. К числу критичных компонентов ИС, с наибольшей вероятностью подверженных атакам со стороны злоумышленников, относится внешний защищенный шлюз в сеть Интернет, сервер удаленного доступа, серверная группа и рабочие станции управления сетью. Данная подсистема тесно интегрирована с подсистемой протоколирования и пассивного аудита, т.к. она частично использует данные аудита, полученные из этой подсистемы, для выявления атак и активизации алгоритмов автоматического реагирования.

Подсистема активного аудита строится на традиционной для подобных систем архитектуре агент-менеджер-управляющая консоль. Для сбора информации и реагирования на инциденты используются программные агенты, программа-менеджер размещается на сервере аудита и отвечает за агрегирование, хранение и обработку данных аудита, управление агентами и автоматическую активизацию алгоритмов реагирования. Управление всей подсистемой осуществляется с консоли администратора аудита.

Анализатор сетевого трафика должен обнаруживать известные типы сетевых атак, включая атаки, направленные против следующих приложений:

СУБД, Web, FTP, TELNET и почтовые серверы;

Серверы NIS, DNS, WINS, NFS и SMB;

Почтовые агенты и Web-браузеры;

Выявление сетевых и локальных атак и других нарушений безопасности, а также реагирование на них должны осуществляться в реальном времени.

Требования к подсистеме контроля целостности

Подсистема контроля целостности программных и информационных ресурсов ИС предназначена для контроля и оперативного восстановления целостности критичных файлов ОС и приложений на серверах и рабочих станциях сети, включая конфигурационные файлы, файлы данных, программы и библиотеки функций. Контроль целостности информационных ресурсов осуществляет путем регулярного подсчета контрольных сумм файлов и их сравнения с эталонной базой данных контрольных сумм. В случае несанкционированной модификации контролируемых файлов они могут быть восстановлены с использованием средств резервного копирования и восстановления данных. Подсистема контроля целостности может входить в состав подсистемы активного аудита в качестве одного из ее функциональных компонентов.

Система контроля целостности программной и информационной части ЛВС должна обеспечивать контроль неизменности атрибутов критичных файлов и их содержимого, своевременное выявление нарушений целостности критичных файлов и их оперативное восстановление. В составе системы контроля целостности должны быть предусмотрены средства централизованного удаленного администрирования, средства просмотра отчетов по результатам проверки целостности и средства автоматического оповещения администратора безопасности о выявленных нарушениях.

Требования к подсистеме контроля защищенности

Подсистема контроля защищенности предназначена для выявления и ликвидации уязвимостей отдельных подсистем СОИБ, сетевых сервисов, приложений, функциональных подсистем, системного ПО и СУБД, входящих в состав ИС. Она включает в себя средства сетевого уровня (сетевые сканеры безопасности), устанавливаемые на рабочей станции администратора безопасности и предназначенные для выявления уязвимостей сетевых ресурсов путем эмуляции действий возможного злоумышленника по осуществлению удаленных атак, а также средства системного уровня, построенные на архитектуре «агент-менеджер-консоль» и предназначенные для анализа параметров конфигурации операционных систем и приложений, выявления уязвимостей, коррекции конфигурационных параметров и контроля изменения состояния операционных систем и приложений.

Сетевой сканер должен осуществлять сканирование всего диапазона TCP и UDP портов, выявлять все доступные сетевые ресурсы и сервисы, обнаруживать уязвимости различных ОС, СУБД, сетевых сервисов и приложений.

Средства анализа защищенности системного и прикладного уровней предназначены для решения следующих основных задач:

анализ параметров конфигурации ОС и приложений по шаблонам с целью выявления уязвимостей, связанных с их некорректной настройкой, определения уровня защищенности контролируемых систем и соответствия политике безопасности организации;

коррекция конфигурационных параметров операционных систем и приложений;

контроль изменения состояния ОС и приложений, осуществляемый на основе мгновенных снимков их параметров и атрибутов файлов.

Средства контроля защищенности системного уровня должны выполнять проверки привилегий пользователей, политик управления паролями и регистрационных записей пользователей, параметров подсистемы резервного копирования, командных файлов, параметров системы электронной почты, настройки системных утилит и т.п.

Средства контроля защищенности системного уровня должна поддерживать распределенные конфигурации и быть интегрированы с сетевыми сканерами и со средствами сетевого управления.

Требования к подсистеме «удостоверяющий центр»

Подсистема «удостоверяющий центр» предназначена для создания, распределения и управления цифровыми сертификатами пользователей ИС, ключами шифрования и ЭЦП. Она строится на инфраструктуре открытых ключей (PKI) и предоставляет базовые сервисы по управлению ключевой информацией для подсистемы аутентификации пользователей, средств VPN и подсистемы контроля целостности. На базе удостоверяющего центра строятся системы электронного документооборота предприятия, включающие в себя защищенную электронную почту, внутренний информационный портал, офисные приложения и средства обмена документами в рамках подсистем судебного и общего делопроизводства.

Подсистема «удостоверяющий центр» должна поддерживать реализацию следующих функций:

электронно-цифровую подпись, контроль целостности информации и кодирование данных в рамках электронного документооборота (корпоративная система электронной почты, внутренний информационный портал, офисные приложения) на базе электронных сертификатов X.509;

кодирование данных и контроль целостности информации при передаче ее с помощью носителей информации и по открытым каналам в рамках взаимодействия компонентов и пользователей информационной системы на базе электронных сертификатов X.509;

кодирование данных и контроль целостности информации при удаленном доступе мобильных сотрудников на базе электронных сертификатов X.509;

аутентификация пользователей и активного сетевого оборудования в рамках информационного взаимодействия на базе электронных сертификатов X.509

управление сервисом распределения электронных сертификатов;

безопасную транспортировку электронных сертификатов конечным пользователям;

поддержку жизненного цикла электронных сертификатов (генерация, распределение, отзыв, подтверждение);

поддержку хранения электронных сертификатов и паролей на внешних носителях (USB-токены, смарт-карты);

поддержка стандартов PKCS#11, PKCS#7.

Требования к подсистеме сегментирования и межсетевого экранирования

Подсистема сегментирования и межсетевого экранирования предназначена для разграничения межсетевого доступа на уровне сетевых протоколов и защиты ЛВС предприятия от сетевых атак со стороны сети Интернет и внешних сетей. В рамках системы должна быть сформирована и определена архитектура подключения к сетям общего пользования и создания демилитаризованной зоны (DMZ), которая может включать межсетевой экран, VPN-сервер, Web-сервер, транслятор (relay) электронной почты, вторичный кэширующий DNS-сервер, LDAP-сервер и подсистему защищенного удаленного доступа.

На рубеже сетевой инфраструктуры должны применяться средства сегментирования ЛВС. Средства сегментирования ЛВС должны строиться на технологии виртуальных ЛВС (VLAN) в соответствии с организационной структурой объединения и логикой работы подразделений предприятия с информационными ресурсами.

Серверы ЛВС должны быть расположены в выделенном сегменте (сегментах). Должно быть обеспечено отсутствие рабочих мест пользователей в указанных сегментах ЛВС.

На рубеже внешнего информационного обмена должны применяться средства межсетевого экранирования. Межсетевой экран должен обеспечивать фильтрацию сетевого трафика на сетевом, транспортном и прикладном уровнях.

Требования к подсистеме VPN

Подсистема VPN применяется на рубеже внешнего информационного обмена для защиты конфиденциальной информации, передаваемой между ЛВС различных удаленных офисов предприятия, которые не связаны между собой выделенными каналами, а также для подключения к ЛВС мобильных пользователей. Средства VPN реализуются на основе протокола IPSec и интегрируются со средствами межсетевого экранирования.

Средства VPN должны соответствовать спецификациям стандарта IPSec.

Средства VPN должны обеспечивать передачу данных как в зашифрованном, так и в открытом виде в зависимости от источника и получателя информации.

Средства VPN должны быть интегрированы с МЭ.

Требования к подсистеме антивирусной защиты

Подсистема антивирусной защиты сети предназначена для решения следующих задач:

Перекрытие всех возможных каналов распространения вирусов, к числу которых относятся: электронная почта, разрешенные для взаимодействия с сетью Интернет сетевые протоколы (HTTP и FTP), съемные носители информации (дискеты, CD-ROM и т.п.), разделяемые папки на файловых серверах;

Непрерывный антивирусный мониторинг и периодическое антивирусное сканирование всех серверов и рабочих станций, подключаемых к ЛВС;

Автоматическое реагирование на заражение компьютерными вирусами и на вирусные эпидемии, включающее в себя: оповещения, лечение вирусов, удаление троянских программ и очистку системы, подвергнувшейся заражению;

Она строится из следующих компонентов:

Средства управления, включающие в себя управляющую консоль, серверные компоненты системы антивирусной защиты, средства протоколирования и генерации отчетов;

Средства антивирусной защиты серверов ЛВС;

Средства антивирусной защиты рабочих станций;

Средства антивирусной защиты почтовой системы (внутренних почтовых серверов и SMTP-шлюзов на внешнем периметре сети);

Антивирусный шлюз, осуществляющий антивирусный контроль HTTP и FTP трафика.

Требования к подсистеме фильтрации контента

Подсистема фильтрации контента предотвращает утечку ценной конфиденциальной информации из ИС по протоколам HTTP, FTP и SMTP, осуществляет фильтрацию спама и прочей нежелательной корреспонденции. Она реализуется на рубеже защиты внешнего периметра сети и интегрируется со средствами межсетевого экранирования.

Подсистема фильтрации контента должна:

Предотвращать утечку ценной конфиденциальной информации из ЛВС по протоколам HTTP, FTP и SMTP путем ее блокирования и задержания до утверждения отправки руководством;

Обеспечивать увеличение производительности труда сотрудников путем уменьшения рекламы, рассылок и прочих, не имеющих отношения к делу, сообщений. Обнаружение спама, рассылаемого и получаемого сотрудниками предприятия;

Обеспечивать помощь в выявлении неблагонадежных сотрудников, рассылающих свои резюме и посещающих Web-сервера в поисках работы;

Обеспечивать контроль электронной почты, работающей через WEB-интерфейсы;

Обеспечивать контроль над всей выходящей корреспонденцией путем отсеивания сообщений, содержащих непристойное содержание для защиты репутации предприятия и сотрудников путем предотвращения случайного или намеренного распространения писем непристойного содержания с адреса предприятия;

Обеспечивать русскоязычный поиск и фильтрацию почтовых сообщений;

Обеспечивать контроль использования корпоративного выхода в Internet в личных целях;

Разграничивать доступ сотрудников предприятия к ресурсам Internet и обеспечивать блокирование обращений к нежелательным сайтам.

При необходимости, осуществлять полное или частичное архивирование данных протоколов HTTP, FTP, SMTP.

Требования к подсистеме управления безопасностью

Подсистема управления безопасностью предназначена для осуществления централизованного управления всеми компонентами и подсистемами СОИБ с консоли администратора безопасности, на которой устанавливаются соответствующие средства администрирования и мониторинга.

Средства управления безопасностью должны обеспечивать реализацию следующих функций:

управлять пользователями и ролями в кросс-платформенном окружении;

проверять, отслеживать, уведомлять в реальном времени и записывать изменения в групповых политиках безопасности;

устанавливать факт: кем и когда были сделаны изменения параметров безопасности;

иметь средства, расширяющие встроенные возможности администрирования и управления безопасностью операционной системы;

иметь средства, управления парольной политикой - синхронизация, отслеживание истории изменений, распределение политики в кросс-платформенном окружении.

Доступ к элементам управления должен предоставляться только после обязательной процедуры аутентификации. Для аутентификации администраторов безопасности должны использоваться схемы, устойчивые к прослушиванию сети потенциальным злоумышленником.

С целью обеспечения реализации принципа минимизации административных полномочий, минимизации количества ошибочных и неправомерных действий со стороны администраторов ЛВС, должен быть определен, документирован, согласован и утвержден состав административных групп.

Определение состава административных групп и выделенных им полномочий, а также порядка осуществления контроля над составом административных групп и действиями администраторов ЛВС должно содержаться в «Регламенте администрирования корпоративной сети». Каждой административной группе предоставляются только те полномочия, которые необходимы для выполнения задач администрирования определенных в Регламенте.

С целью упрощения задач управления доступом пользователей к ресурсам ЛВС назначение прав доступа осуществляется на уроне групп безопасности. Каждая пользовательская учетная запись входит в состав одной или нескольких групп в зависимости от принадлежности пользователя к тому или иному подразделению и его должностных обязанностей.

Требования к подсистеме предотвращения утечки информации по техническим каналам

Подсистема предотвращения утечки информации по техническим каналам предназначена для обеспечения защиты информации при ее обработке, хранении и передаче по каналам связи, а также конфиденциальной речевой информации, циркулирующей в специально предназначенных помещениях для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.). Она представляет собой совокупность организационно-технических мер по физической защите помещений, каналов передачи информации и технических средств, электромагнитной развязке между информационными цепями, по которым циркулирует защищаемая информация, развязке цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров и другие меры защиты, предпринимаемые в соответствии с требованиями и рекомендациями нормативных документов.

При проведении работ по защите конфиденциальной речевой информации, циркулирующей в защищаемых помещениях, необходимо проводить мероприятия, исключающие возможности перехвата конфиденциальной речевой информации в системах звукоусиления и звукового сопровождения кино- и видеофильмов, при осуществлении ее магнитной звукозаписи и передачи по каналам связи.

Передача конфиденциальной речевой информации по открытым проводным каналам связи, выходящим за пределы контролируемой зоны, и радиоканалам должна быть исключена. При необходимости передачи информации следует использовать защищенные линии связи. Используемые средства защиты информации должны быть сертифицированы по требованиям безопасности информации.

При защите конфиденциальной цифровой информации от утечки по техническим каналам необходимо руководствоваться следующими требованиями:

использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости;

использование сертифицированных средств защиты информации;

размещение объектов защиты на максимально возможном расстоянии от границы контролируемой зоны;

размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах контролируемой зоны;

использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания);

обеспечение развязки цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих) информативный сигнал;

обеспечение электромагнитной развязки между информационными цепями, по которым циркулирует защищаемая информация, и линиями связи, другими цепями вспомогательных технических средств и систем, выходящими за пределы контролируемой зоны;

использование защищенных каналов связи;

размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр;

организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации.

Технические требования к смежным подсистемам

Требования к структурированной кабельной системе

С точки зрения информационной безопасности при прокладке кабелей СКС необходимо иметь в виду следующее:

Открытая прокладка кабелей не допускается во избежание их механических повреждений. Механическое повреждение может привести как к обрыву линии, так и к ухудшению технических характеристик UTP-кабеля. Кроме того, механические повреждения приведут к аннулированию гарантии на компоненты.

Качество разделки кабеля на соединительных устройствах непосредственно влияет на излучающие свойства кабельной системы в целом. Таким образом, отклонения от правил заделки кабелей, указанных в стандарте EIA/TIA-568A, не допускаются.

Требования по физической защите

Физическая защита компонентов корпоративной сети должна представлять собой комплексную защиту помещений, персонала, аппаратуры, программ, данных, оборудования, зданий и прилегающей территории с использованием следующих средств:

Естественных особенностей объекта, ограждений, автоматических устройств сигнализации;

Внутренних и внешних датчиков, электронных средств поиска;

Замкнутой системы телевидения;

Системы оповещения и отображения;

Линий передачи данных, радио- и телефонной связи;

Управления безопасностью, оружия, транспорта, защитных средств;

Специальных входов и выходов из помещений, автоматической системы доступа, средств идентификации и проверки персонала;

Тренировок персонала системы защиты, проведения оперативных мероприятий, обследований, осуществления контроля доступа.

Надежная система физической защиты должна исключить:

Неправомочный доступ к аппаратуре обработки информации;

Неразрешенный вынос носителей информации;

Неправомочное использование систем обработки информации и незаконное получение данных;

Доступ к системам обработки информации посредством нестандартных (самодельных) устройств;

Неконтролируемое считывание, модификацию или удаление данных в процессе их передачи или транспортировки носителей информации.

Современный комплекс защиты территории охраняемых объектов должен включать следующие основные компоненты:

Механическая система защиты - механические конструкции, создающие для нарушителя реальное физическое препятствие;

Система оповещения о попытках вторжения - представляет собой систему тревожной сигнализации;

Система опознавания нарушителей - использует телевизионные установки дистанционного наблюдения;

Инфраструктура связи - проводные средства передачи информации, структурированные линии связи, оптико-волоконные системы, широкополосные радиомодемы и др.;

Центральный пост охраны - осуществляет сбор, анализ, регистрацию и отображение поступающих данных, а также управление периферийными устройствами;

Персонал охраны -- патрули, дежурные на центральном посту

Ответственность сотрудников за нарушение безопасности

На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности предприятия, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы. информационный безопасность файловый сеть

За умышленное причинение ущерба, а также за разглашение сведений, составляющих охраняемую законом тайну (служебную, коммерческую или иную), в случаях, предусмотренных федеральными законами, сотрудники предприятия несут материальную ответственность в полном размере причиненного ущерба (Ст. 243 Трудового кодекса РФ).

Механизм реализации концепции

Реализация Концепции обеспечения информационной безопасности предприятия должна осуществляться на основе утвержденных конкретных программ и планов, которые ежегодно уточняются с учетом:

федерального законодательства и нормативной базы в области защиты информации;

международных и отраслевых стандартов в области информационной безопасности и IT-безопасности;

организационно-распорядительных документов предприятия;

реальных потребностей в средствах обеспечения информационной безопасности;

объемов финансирования, выделяемых на обеспечение информационной безопасности предприятия.

Размещено на Allbest.ru