ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4213
Скачиваний: 25
• ответственность за реализацию принятой политики безопас
ности в пределах своей компетенции.
«Памятка пользователю АС предприятия»
определяет об
щие обязанности сотрудников подразделений при работе со сред
ствами АС и ответственность за нарушение установленных по
рядков.
«Инструкция по внесению изменений в списки пользовате
лей»
определяет процедуру регистрации, предоставления или из
менения прав доступа пользователей к ресурсам АС.
«Инструкция по модификации технических и программных
средств»
регламентирует взаимодействие подразделений предпри
ятия по обеспечению безопасности информации при проведении
модификаций программного обеспечения и технического обслу
живания средств вычислительной техники;
«Инструкция по организации парольной защиты»
регламен
тирует организационно-техническое обеспечение процессов ге
нерации, смены и прекращения действия паролей (удаления учет
ных записей пользователей) в автоматизированной системе пред
приятия, а также контроль за действиями пользователей и обслу
живающего персонала системы при работе с паролями.
«Инструкция по организации антивирусной защиты»
содер
жит:
• требования к закупке, установке антивирусного программно
го обеспечения;
• порядок использования средств антивирусной защиты, рег
ламенты проведения проверок и действия персонала при обнару
жении вирусов;
• распределение ответственности за организацию и проведение
антивирусного контроля.
Перечень внутренних организационно-распорядительных до
кументов для объекта ВТ:
• техническое задание на СЗИ объекта информатизации;
• технический паспорт объекта вычислительной техники;
• схема размещения основных и вспомогательных средств и
систем, устройств защиты и схема прокладки систем электропи
тания и заземления объекта информатизации в помещении;
• схема контролируемой зоны предприятия;
• инструкция по защите сведений, отнесенных к государствен
ной тайне, при обработке на средствах ВТ;
• приказ «Об организации обработки информации, содержа
щей ГТ, на объекте ВТ»;
• перечень лиц, которым разрешен доступ к обработке инфор
мации на АРМ;
• инструкция пользователя СВТ;
• положение об администраторе безопасности;
• положение о пропускном и внутриобъектовом режиме;
• руководство по защите информации;
• технологическая схема обработки ИОД на АРМ;
• перечень задач, выполняемых на АРМ;
• паспорта задач, выполняемых на АРМ;
• акт категорирования объекта ВТ;
• заключение и предписание на эксплуатацию ПЭВМ по ре
зультатам проведения спецпроверки;
• протокол специальных исследований АРМ на базе ПЭВМ;
• заключение по результатам оценки защищенности объек
та ВТ;
• предписание на эксплуатацию объекта ВТ;
• документы, подтверждающие освоение учебных программ
должностными лицами и специалистами по ЗИ.
Гл а в а 15
Назначение, структура
и содержание управления КСЗИ
15.1. Понятие, сущность и цели
управления КСЗИ
Теория и практика обеспечения эффективности функциони
рования сложных организованных систем, к которым, вне всяких
сомнений, относится и КСЗИ, немыслимы без применения со
временных технологий управления.
Существует ряд определений управления как процесса.
Управление —
элемент, функция организованных систем раз
личной природы (биологических, социальных, технических), обес
печивающая сохранение их определенной структуры, поддержа
ние режима деятельности, реализацию программы, целей деятель
ности.
Управление
— процесс осуществления информационных воз
действий на объекты управления для формирования их целена
правленного поведения.
Существуют и другие определения, зависящие от того, в какой
сфере осуществляется управление. Вместе с тем где бы ни проте
кали процессы управления — при управлении КСЗИ, в управля
ющих устройствах автоматических систем, в нервной системе чело
века, в экономических и других структурах общества, они подчи
няются единым законам. Эти наиболее общие законы управления
системами различной природы изучает наука об управлении —
кибернетика.
С
позиций кибернетики
управление
определяется как функ
ция системы управления, обеспечивающая организацию целена
правленной деятельности управляемой системы.
Таким образом, смысл и цель управления в КСЗИ состоит в
таких изменениях организационной структуры сил и средств ЗИ,
их состояния, методов и способов применения, которые обеспе
чивают максимальную эффективность их применения для дости
жения целей защиты информации.
Необходимо отметить, что управление возможно не во всех
системах (подсистемах), а только в тех, которым присущ ряд
свойств.
• В сохранении системы как целого решающая роль принадле
жит информационным связям. Без обмена информацией между
составляющими элементами такие системы не могут функциониро
вать. Ослабление или потеря информационных связей между эле
ментами системы неизбежно приводит к разрушению всех других
связей и, как следствие, к распаду (разрушению) самой системы.
• Система способна переходить в различные состояния в соот
ветствии с управляющими (информационными) воздействиями.
• Существует несколько допустимых линий поведения систе
мы, из которых орган управления выбирает наиболее предпочти
тельную по тем или иным критериям. Если возможности выбора
лучшей линии поведения нет, то управление теряет смысл, т.е.
фактически отсутствует.
• Процесс функционирования системы отличается целенаправ
ленностью. Если цель не определена (или неизвестна), то, есте
ственно, управление становится бессмысленным.
• Система открыта для внешнего воздействия, т. е. влияние вне
шних воздействий может иметь самые различные природу и по
следствия.
Системы, обладающие перечисленными особенностями, назы
ваются
системами с управлением.
К таким системам относится и
система управления КСЗИ (СУ КСЗИ).
СУ КСЗИ имеют ряд особенностей. Они предназначены для
функционирования в конфликтных ситуациях, так как ЗИ пред
ставляет собой сложный двусторонний процесс (СУ КСЗИ
«зло
умышленник»), СУ КСЗИ может подвергаться различным видам
воздействия со стороны злоумышленника (взлом, несанкциони
рованный доступ, уничтожение информации и т.п.), что, как пра
вило, приводит к нарушению функционирования как составляю
щих систему элементов, так и системы в целом. Информация, на
основе которой вырабатываются управляющие воздействия (про
изводится выбор средств, методов и способов ЗИ), отличается
значительной
неполнотой, недостоверностью и противоречи
востью.
Злоумышленник постоянно изменяет средства и методы
воздействия на систему.
Сущность управления КСЗИ заключается в целенаправленной
деятельности руководства предприятия, должностных лиц и службы
ЗИ, направленной на достижение целей защиты информации.
Что же это за цели?
Статьей 16 Федерального закона «Об информации, информа
ционных технологиях и защите информации» [45] определены
следующие цели защиты информации:
1)
обеспечение защиты информации от неправомерного досту
па, уничтожения, модифицирования, блокирования, копирования,
предоставления, распространения, а также от иных неправомер
ных действий в отношении такой информации;
2) соблюдение конфиденциальности информации ограничен
ного доступа;
3) реализация права на доступ к информации.
Требования о защите общедоступной информации могут уста
навливаться только для достижения целей, указанных в п. 1
и 3.
В соответствии с положениями закона управление КСЗИ пред
назначено для обеспечения эффективного решения следующих за
дач:
1) предотвращения несанкционированного доступа к инфор
мации и (или) передачи ее лицам, не имеющим права на доступ к
информации;
2) своевременного обнаружения фактов несанкционированно
го доступа к информации;
3) предупреждения возможности неблагоприятных последствий
нарушения порядка доступа к информации;
4) недопущения воздействия на технические средства обработ
ки информации, в результате которого нарушается их функцио
нирование;
5) незамедлительного восстановления информации, модифи
цированной или уничтоженной вследствие несанкционированно
го доступа к ней;
6) постоянного контроля за обеспечением уровня защищенно
сти информации.
Достижение основных целей ЗИ связано с решением целого
круга задач, составляющих содержание управления КСЗИ. Ос
новными из них являются:
1) непрерывное добывание, сбор, изучение и анализ данных
обстановки;
2) поддержание системы в постоянной готовности к выполне
нию задач ЗИ;
3) принятие решений по ЗИ;
4) доведение задач до подчиненных;
5) планирование мероприятий ЗИ;
6) организация и поддержание взаимодействия структурных
подразделений предприятия;
7) всестороннее обеспечение мероприятий ЗИ;
8) организация управления, под которой понимается создание
системы управления, обеспечение ее эффективного функциони
рования (в том числе и защита системы управления от всех видов
воздействия злоумышленника), а также совершенствование этой
системы с применением, прежде всего, новых информационных
технологий;
9) управление подготовкой подразделений ЗИ;
10) организация и осуществление контроля и помощи подчи
ненным.