Основные меры защиты информации в автоматизированных системах
Организационные меры ЗИ
Организационные меры ЗИ
Правовые меры
Криптографические методы
Технические меры
Нормативно-правовая база
Нормативно-правовая база
Нормативно-правовая база
52.21K
Category: lawlaw

Лекция 4

1. Основные меры защиты информации в автоматизированных системах

ОСНОВНЫЕ МЕРЫ
ЗАЩИТЫ ИНФОРМАЦИИ В
АВТОМАТИЗИРОВАННЫХ
СИСТЕМАХ

2. Организационные меры ЗИ

• Разработка и внедрение политики безопасности: Определение целей защиты
информации, распределение ответственности, установление правил
поведения пользователей и администраторов. Это основной документ,
определяющий принципы обеспечения информационной безопасности в
организации.
• Обучение и повышение осведомленности пользователей: Регулярные
тренинги и инструктажи по вопросам информационной безопасности,
объяснение угроз и методов защиты.
• Контроль за соблюдением требований безопасности: Регулярные проверки и
аудит соответствия системы безопасности установленным требованиям.
• Управление доступом: Определение правил и процедур предоставления и
отзыва прав доступа к информационным ресурсам.

3. Организационные меры ЗИ

• Регулярный анализ рисков: Выявление потенциальных угроз и уязвимостей,
оценка вероятности их реализации и потенциального ущерба.
• Разработка и внедрение регламентов: Определение порядка работы с
информацией, использования оборудования и программного обеспечения.
• Ведение журналов аудита: Регистрация событий, связанных с безопасностью,
для анализа и выявления нарушений.
• Управление персоналом: Проверка биографии, подписание соглашений о
неразглашении, ротация кадров.
• Классификация информации: Определение степени конфиденциальности
информации и присвоение соответствующих уровней доступа.

4. Правовые меры

• Разработка и внедрение нормативных документов: Разработка внутренних
правил, инструкций и положений, регламентирующих порядок обработки и
защиты информации в соответствии с действующим законодательством.
• Регулярный мониторинг изменений в законодательстве: Обеспечение
соответствия системы защиты информации требованиям действующего
законодательства.
• Юридическая ответственность за нарушения безопасности: Определение и
применение санкций к нарушителям правил информационной безопасности.

5. Криптографические методы

• Шифрование данных: Защита конфиденциальной информации путем
преобразования ее в нечитаемый вид.
• Электронная цифровая подпись (ЭЦП): Обеспечение подлинности и целостности
электронных документов.
• Криптографические протоколы: Использование защищенных протоколов (например,
SSL/TLS, SSH) для обмена данными по сети.
• Управление ключами: Обеспечение безопасного хранения и использования
криптографических ключей.
• Хеширование: Использование односторонних функций для проверки целостности
данных.
• Использование сертифицированных криптографических средств: Применение
криптографических средств, соответствующих требованиям регуляторов.

6. Технические меры

• Физическая защита оборудования: Ограничение доступа к серверам, компьютерам и
сетевому оборудованию. Использование замков, сигнализации, систем
видеонаблюдения.
• Контроль доступа к помещениям: Ограничение доступа в серверные комнаты и
другие критически важные помещения.
• Резервирование оборудования: Использование резервных серверов, сетевого
оборудования и каналов связи для обеспечения отказоустойчивости системы.

7. Нормативно-правовая база

• Международные стандарты:
• ISO/IEC 27000 series: Серия стандартов, определяющих основы системы управления
информационной безопасностью (СУИБ). Наиболее важные стандарты:
• ISO/IEC 27001: Требования к СУИБ.
• ISO/IEC 27002: Практические правила управления информационной безопасностью.
• ISO/IEC 27005: Управление рисками информационной безопасности.

8. Нормативно-правовая база

• Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных”:
Регулирует отношения, связанные с обработкой персональных данных,
устанавливает требования к обеспечению безопасности персональных
данных при их обработке в информационных системах.
• Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации,
информационных технологиях и о защите информации”: Определяет
основные понятия в области информации, информационных технологий и
защиты информации, а также устанавливает права и обязанности субъектов в
этой сфере.
• Федеральный закон от 26.07.2017 № 187-ФЗ “О безопасности критической
информационной инфраструктуры Российской Федерации”: Устанавливает
правовые основы обеспечения безопасности критической информационной
инфраструктуры (КИИ) Российской Федерации в целях ее устойчивого
функционирования при компьютерных атаках.

9. Нормативно-правовая база

• Нормативные документы ФСТЭ:
• Приказ ФСТЭК России от 25.12.2017 № 239 “Об утверждении Требований по
обеспечению безопасности значимых объектов критической
информационной инфраструктуры Российской Федерации”: Устанавливает
требования к обеспечению безопасности значимых объектов КИИ.
• Приказ ФСТЭК России от 11.02.2013 № 17 “Об утверждении Требований о
защите информации, не составляющей государственную тайну,
содержащейся в государственных информационных системах”:
Устанавливает требования к защите информации в государственных
информационных системах (ГИС).
• Приказ ФСТЭК России от 18.02.2013 № 21 “Об утверждении Состава и
содержания организационных и технических мер по обеспечению
безопасности персональных данных при их обработке в информационных
системах персональных данных”: Определяет состав и содержание
организационных и технических мер по защите персональных данных.
English     Русский Rules