КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Організаційні та технічні заходи з інженерно-технічного захисту інформації банківської системи
|
|
|
|
Київ – 2013р.
Портянко А.В.
Самостійна робота №5
На тему «Організаційні та технічні заходи з інженерно-технічного захисту інформації банківської системи»
Викладач:
к.т.н. доц. Нестеренко О.В.
Виконала:
Студентка 5 курсу, 6гр.
Самостійна робота №5 з предмету Криптологія
В організаціях робота з інженерно-технічного захисту інформації включає два етапи:
- Побудова чи модернізація системи захисту;
- Підтримка захисту інформації на необхідному рівні.
Побудова системи захисту інформації проводиться у знову створюваних організаціях, в інших - модернізація існуючої.
Побудова (модернізація) системи захисту інформації та підтримки на необхідному рівні її захисту в організації передбачають проведення наступних основних робіт:
- Уточнення переліку захищаються відомостей в організації, визначення джерел та носіїв інформації, виявлення та оцінка загрози її безпеки;
- Визначення заходів щодо захисту інформації, викликаних змінами цілей і задач захисту, переліку захищаються відомостей, погроз безпеки інформації;
- Контроль ефективності заходів з інженерно-технічного захисту інформації в організації.
Заходи щодо захисту інформації доцільно розділити на 2 групи: організаційні та технічні. У публікаціях, у тому числі в деяких керівних документах, заходи по захисту ділять на організаційні, організаційно-технічні та технічні. Враховуючи відсутність достатньо чіткої межі між організаційно-технічними та організаційними, організаційно-технічними та технічними заходами, доцільно обмежитися двома групами: організаційними та технічними. При такій класифікації до технічних відносяться заходи, реалізовані шляхом встановлення нових або модернізації використовуваних інженерних і технічних засобів захисту інформації. Основу організаційних заходів інженерно-технічної захисту інформації складають заходи, що визначають порядок використання цих коштів. Організаційні заходи інженерно-технічного захисту інформації включають, перш за все, заходи щодо ефективного використання технічних засобів регламентації і управління доступом до інформації, що захищається, а також щодо порядку і режимам роботи технічних засобів захисту інформації. Організаційні заходи інженерно-технічного захисту інформації є частиною її організаційного захисту, основу якої складають регламентація і керування доступом.
|
|
|
Регламентація - це встановлення часових, територіальних та режимних обмежень у діяльності співробітників організації та роботі технічних засобів, спрямовані на забезпечення безпеки інформації. Регламентація передбачає: - Встановлення меж контрольованих та охоронних зон; - Визначення рівнів захисту інформації в зонах; регламентація діяльності співробітників і відвідувачів (розробка розпорядку дня, правил поведінки співробітників в організації та поза її і т. д.); - Визначення режимів роботи технічних засобів, у тому числі збору, обробки та зберігання інформації, що захищається на ПЕОМ, передачі документів, порядку складування продукції і т. д. Управління доступом до інформації включає наступні заходи: - Ідентифікацію осіб та звернень;
- Перевірку повноважень лип і звернень; - Реєстрацію звернень до інформації, що захищається; - Реагування на звернення до інформації. Ідентифікація користувачів, співробітників, відвідувачів, звернень до каналів телекомунікацій проводиться з метою їх надійного розпізнавання. Способи ідентифікації розглянуті вище. Перевірка повноважень полягає у визначенні прав осіб і звернень по каналах зв'язку на доступ до інформації, що захищається. Для доступу до інформації рівень повноважень звернення не може бути нижче дозволеного. З метою забезпечення контролю над проходженням носіїв із закритою інформацією проводиться реєстрація (протоколювання) звернень до них шляхом запису в картках, журналах, на магнітних носіях. Реагування на будь-яке звернення до інформації полягає або в дозволі доступу до інформації, або у відмові. Відмова може супроводжуватися включенням сигналізації, оповіщенням служби безпеки або правоохоронних органів, затриманням зловмисника при його спробі несанкціонованого доступу до інформації, що захищається.
Технічні заходи передбачають застосування способів і засобів. розглянутих в даній книзі. Найважливіше і необхідний напрям робіт із захисту інформації-контроль ефективності захисту. Цей вид діяльності проводиться перш за все силами служби безпеки, а також керівниками структурних підрозділів. Контроль інженерно-технічної зашиті є складовою частиною контролю захисту інформації в організації і полягає, перш за все, у визначенні (вимірі) показників ефективності захисту технічними засобами і порівнянні їх із нормативними. Застосовують наступні види контролю: - Попередній; - Періодичний; - Постійний.
Попередній контроль проводиться за будь-яких змінах складу, структури та алгоритму функціонування системи захисту інформації, в тому числі: - Після встановлення нового технічного засобу захисту або зміні організаційних заходів;
- Після проведення профілактичних і ремонтних робіт засобів захисту; - Запобігання використання підроблених документів та документів особами, яким вони не належать. - Після усунення виявлених порушень у системі захисту. Періодичний контроль здійснюється з метою забезпечення систематичного спостереження за рівнем захисту. Він проводиться вибірково (стосовно окремих тем робіт, структурним підрозділам або всієї організації) за планами, затвердженими керівником організації, а також вищестоящими органами. Найбільш часто повинен проводитися періодичний контроль на хімічних підприємствах, так як незначні порушення в технологічному процесі можуть призвести до витоку демаскуючих речовин. Для визначення концентрації демаскуючих речовин регулярно беруться біля підприємства проби повітря, води, грунту, снігу, рослинності. Періодичність та місця узяття проб визначаються характером виробляв з урахуванням умов можливого розповсюдження демаскуючих речовин, наприклад, троянди вітрів і швидкості повітряних потоків, видів водойм (штучний, озеро, болото, річка та ін), характеру навколишньої місцевості і т. д. Проби повітря рекомендується брати з урахуванням напрямків вітру на висоті приблизно 1.5 м в безпосередній близькості від кордонів території (50-100 м) і в зоні максимальної концентрації демаскуючих речовин, що викидаються в атмосферу через труби. Проби води беруться в місцях зливу у водойми до поверхневому шарі і на глибині 30-50 см з наступним змішуванням. Беруться також проби грунту і пилу на рослинності. З цією метою збирають листя з декількох дерев та кущів на рівні 1.5-2 м від поверхні і не раніше тижня після дощу. Періодичний (щоденний, щотижневий, щомісячний) контроль повинен проводитися також співробітниками організації в частині джерел інформації, з якими вони працюють. Загальний (в рамках всієї організації) періодичний контроль проводиться зазвичай 2 рази на рік. Метою його є ретельна перевірка працездатності всіх елементів і системи захисту інформації в цілому. Постійний контроль здійснюється вибірково силами служби безпеки та залучених співробітників організації з метою об'єктивної оцінки рівня захисту інформації та. перш за все, виявлення слабких місць у системі захисту організації. Крім того, такий контроль чинить психологічний вплив на співробітників організації, змушуючи їх ретельніше виконувати вимоги щодо забезпечення захисту інформації. Заходи контролю, також як і захисту, представляють сукупність організаційних і технічних заходів, що проводяться з метою перевірки виконання встановлених вимог і норм щодо захисту інформації. Організаційні заходи контролю включають: - Перевірку виконання співробітниками вимог керівних документів із захисту інформації; - Перевірку працездатності засобів охорони та захисту інформації від спостереження, підслуховування, перехоплення і витоку інформації з матеріально-речовинним каналу (наявність фіранок, штор, жалюзі на вікнах, чохлів на розроблюваних виробах, стан звукоізоляції, екранів, засобів придушення небезпечних сигналів і зашумлення, ємностей для збору відходів з демаскирующими речовинами і т. д.); - Контроль за виконанням інструкцій по захисту інформації про розроблюваної продукції; - Оцінка ефективності застосовуваних способів та засобів захисту інформації. Технічні заходи контролю проводяться з використанням технічних засобів радіо - і електровимірювань, фізичного і хімічного аналізу та забезпечують перевірку: - Напруженості полів з інформацією на кордонах контрольованої зони; - Рівнів небезпечних сигналів і перешкод в проводах і екранах кабелів, що виходять за межі контрольованої зони; - Концентрації демаскуючих речовин у відходах виробництва. - Ступеня зашумлення генераторами перешкод структурних звуків в огорожах; Для вимірювання напруженості електричних полів використовуються селективні вольтметри, аналізатори спектру, панорамні приймачі.
Слід також зазначити, що сумлінне і постійне виконання співробітниками організації вимог щодо захисту інформації засновуєте на раціональному поєднанні способів примусу і спонукання. Примус - спосіб, при якому співробітники організації змушені дотримуватися правил поводження з джерелами і носіями конфіденційної інформації під загрозою матеріальної, адміністративної чи кримінальної відповідальності. Спонукання передбачає використання для створення співробітники установки на усвідомлене виконання вимог щодо захисту інформації, формування моральних, етичних, психологічних та інших моральних мотивів. Виховання спонукальних мотивів у співробітників організації є одним із завдань служби безпеки, але її зусилля знайдуть благодатний грунт у тих співробітників, які доброзичливо ставляться до керівництва організації і розглядають організацію як довгострокове місце роботи. Створення умов, при яких місце роботи сприймається як другий дім, є, на думку компетентних аналітиків, одним із факторів економічного зростання Японії. Тому ефективність захисту в значній мірі впливає клімат в організації, який формується її керівництвом.
|
|
|
|
|
|
|
|
|
Висновки по розділу Будь-яка система створюється під задані вимоги з урахуванням існуючих обмежень. Фактори, що впливають на структуру та функціонування системи, називаються системоутворюючими. Порядок захисту інформації в організації визначається відповідним керівництвом (інструкцією).
Для захисту інформації про виріб на кожному етапі його створення розробляється відповідна інструкція. Інструкція повинна містити необхідні для забезпечення безпеки інформації відомості, в тому числі: загальні відомості про найменування зразка, що захищаються відомості і демаскуючі ознаки, потенційні загрози безпеки інформації, задум і заходи із захисту, порядок контролю (завдання, органи контролю, мають право на перевірку, засоби контролю, допустимі значення контрольованих параметрів, умови і методики, періодичність і види контролю), прізвища осіб. відповідальних за безпеку інформації. Відповідальність за стан захисту інформації покладається на відповідний підрозділ і осіб служби безпеки. Регламентація - це встановлення часових, територіальних та режимних обмежень у діяльності співробітників організації та роботі технічних засобів, спрямовані на забезпечення безпеки інформації. Реагування на будь-яке звернення до інформації полягає або в дозволі доступу до інформації, або у відмові. Відмова може супроводжуватися включенням сигналізації, оповіщенням служби безпеки або правоохоронних органів, затриманням зловмисника при його спробі несанкціонованого доступу до інформації, що захищається. Періодичний (щоденний, щотижневий, щомісячний) контроль повинен проводитися також співробітниками організації в частині джерел інформації, з якими вони працюють.
Національна Академія Управління
|
Звіт:
З дисципліни «Криптологія»
|
|
|
|
|
Дата добавления: 2015-04-29; Просмотров: 1149; Нарушение авторских прав?; Мы поможем в написании вашей работы!