- Классификация организационных средств защиты информации
- Организационно-технические СЗИ
- Организационно-правовые СЗИ
- 3 составляющих организационных
- Ограничение доступа
- Разграничение доступа
- Контроль доступа
- Методы организационной защиты информации
- Принципы организационной защиты информации
- Мероприятия организационной защиты информации
- Заключение
Организационные средства защиты информации – это регламентированные взаимоотношения участников информационной системы на нормативно-правовой основе, с целью исключения или затруднения неправомерного доступа к конфиденциальной информации.
Организационные СЗИ включают в себя организацию системы охраны и использования технических средств, анализа угроз информационной безопасности, контроль над работой сотрудников при работе с документами, подбор и инструктаж персонала, осуществление режима секретности, оборудование выделенных комнат металлическими решетками и дверями.
Классификация организационных средств защиты информации
Организационные средства защиты состоят из двух компонент: организационно-технические и организационно правовые СЗИ.
Организационные средства позволяют решать многие задачи по защите информационной системы за счет того, что они просты в реализации, позволяют быстро реагировать на несанкционированные действия.
Однако сильно зависимы от того, как организована работа в организации и предприятии.
Организационно-технические СЗИ
К организационно-техническим средствам защиты относят подготовку помещений, в которых будет производиться обработка информации, прокладка кабелей, с учетом требований по ограничению доступа к ним.
Организационно-правовые СЗИ
К организационно-правовым средствам защиты относят нормативно-правые акты: международные договоры, федеральные законы, указы президента, распоряжения, а также документация, вырабатываемая на объекте, где будет осуществляться защита информации (уставы, руководства).
3 составляющих организационных
Организационные средства защиты информации включат в себя три составляющие:
- Ограничение доступа.
- Разграничение доступа.
- Контроль доступа.
Ограничение доступа
Ограничение доступа заключается в создание периметра вокруг объекта защиты. Доступ к этой зоне должен осуществляться по пропускам и тщательно контролироваться.
Что касается рабочего места пользователя, который обрабатывает закрытую информацию, то необходимо исключить доступ неуполномоченных лиц. Для этого компьютер размещается в специализированном изолированном помещении. Окна оборудуются решетками, металлические двери должны иметь автоматический замок. Если в помещении есть окна, то с помощью специальных технических средств исключается считывание информации со стекол.
Во время перерыва помещение закрывается и опечатывается, документация и цифровые носители, имеющие ограниченный доступ закладываются в сейф.
Разграничение доступа
Разграничение доступа заключается в разделение информации. Организуется доступ только к той информации, с которой человек работает, а не ко всей. Задача разграничения доступа состоит в том, чтобы защитить информацию от злоумышленника, который может находиться среди пользователей, допущенных к работе с информационной системой.
Деление информации выполняется по различным критериям (степень важности или секретности, функциональному назначению и особенностям).
Зачем сотруднику, который разрабатывает программное обеспечение для мультимедийной системы автомобиля знать, как устроен двигатель внутреннего сгорания? Ему этого знать не нужно.
При организации разграничения доступа обслуживание техники выполняет специализированный персонал, не имеющий прав доступа к информации, обрабатываемой на этом устройстве. Любое изменение программного обеспечения должно выполняться специалистом в данной области.
Контроль доступа
Контроль доступа заключается в определении подлинности субъекта или объекта. Субъект – тот, кто пытается получить доступ. Объект – то, к чему осуществляется доступ. Контроль доступа может быть реализован различными способами: парольный доступ, уникальное имя в системе, биометрические данные (отпечатки пальцев, отпечаток ладони, голос, геометрически параметры лица, сканирование радужной оболочки глаз).
Присвоение уникальных параметров субъекту называется идентификацией. А процесс проверки этих параметров называют аутентификацией.
Методы организационной защиты информации
К основным методам организационной защиты информации относят:
- Ограничение физического доступа к защищаемой системе, реализация режимных мер.
- Уменьшение рисков перехвата по побочному электромагнитному излучению и наводкам (ПЭМИН).
- Создание резервных копий важных документов.
- Использование программных средств защиты информации, с целью предотвращения заражения компьютера вредоносными программами.
- Разграничение доступа к информационной системе.
- Шифрование информации при передачи по каналам связи.
Принципы организационной защиты информации
Принцип комплексного подхода заключается в эффективном использовании сил и средств, способов и методов защиты информационной системы.
Принцип оперативности принятия решений заключается в эффективном функционировании и управление системой защиты информации.
Принцип персональной ответственности заключается в эффективном распределении задач по защите информации между руководящим составом и подчиненными. Определение ответственности за полноту и качество выполнениях мероприятий по защите, а также осуществление контроля над осуществлением этой деятельности.
Мероприятия организационной защиты информации
К основным мероприятиям организационной защиты информации относят.
- Разделение персонала на мелкие группы. Каждая группа должна работать в отдельном выделенном помещении. Помещения должны находиться на удалении друг от друга. Это делается для того, чтобы минимизировать риск утечки информации.
- Организация пропускного режима. Ограничение доступа в выделенные помещения лиц, не имеющих на это права. Необходимо опечатывать сейфы и помещения, в которых ведется работа с закрытой информацией. Кроме того, необходимо сдавать их под охрану.
- Закрепление сотрудников за своим рабочим компьютером. Это сложно, так как требуется покупка компьютера каждому сотруднику. Однако пренебрежение этим сильно усложнит поиск злоумышленника в случае утечки информации.
- Обязательно следите за тем, чтобы во время перерывов компьютеры были выключены, а на рабочих местах не оставалось документов, носящих закрытый характер. Используйте программные средства защиты информации, например, для защиты экрана при длительном неиспользовании ПК. После пробуждения компьютера потребуется ввести пароль.
Заключение
По мнению экспертов из лаборатории Касперского обеспечение информационной безопасности объектов и систем должно быть комплексным. Различные средства защиты информации должны применяться совместно при централизованном управлении.
Дали определение организационных средств защиты и провели их классификацию. Привели примеры организационных средств защиты информации и способы их реализации.