 |
Организационный уровень ИБ
|
|
|
|
К организационным средствам защиты можно отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ИС и системы защиты на всех этапах их жизненного цикла. При этом организационные мероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяют полностью или частично перекрывать значительную часть каналов утечки информации, а с другой – обеспечивают объединение всех используемых в ИС средств в целостный механизм защиты.
Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать:
· ограничение физического доступа к объектам ИС и реализацию режимных мер;
· ограничение возможности перехвата информации вследствие существования физических полей;
· ограничение доступа к информационным ресурсам и другим элементам ИС путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение «закладок»;
· создание твердых копий важных с точки зрения утраты массивов данных;
· проведение профилактических и других мер от внедрения вирусов.
К организационно-правовым мероприятиям защиты, необходимыми для проведения в бухгалтерии ООО «Стиль» относятся:
· организация и поддержание надежного пропускного режима и контроль посетителей;
· надежная охрана помещений компании и территории;
· организация защиты информации, т. е. назначение ответственного за защиту информации, проведение систематического контроля за работой персонала, порядок учета, хранения и уничтожения документов;
|
|
|
Организационные мероприятия при работе с сотрудниками компании включают в себя:
· беседы при приеме на работу;
· ознакомление с правилами и процедурами работы с ИС на предприятии;
· обучение правилам работы с ИС для сохранения ее целостности и корректности данных;
· беседы с увольняемыми.
В результате беседы при приеме на работу устанавливается целесообразность приема кандидата на соответствующую вакансию.
Обучение сотрудников предполагает не только приобретение и систематическое поддержание на высоком уровне производственных навыков, но и психологическое их воспитание в глубокой убежденности, что необходимо выполнять требования промышленной (производственной) секретности, информационной безопасности. Систематическое обучение способствует повышению уровня компетентности руководства и сотрудников в вопросах защиты коммерческих интересов своего предприятия. Беседы с увольняющимися имеют главной целью предотвратить разглашение информации или ее неправильное использование. В ходе беседы следует особо подчеркнуть, что каждый увольняющийся сотрудник имеет твердые обязательства о неразглашении фирменных секретов и эти обязательства, как правило, подкрепляются подпиской о неразглашении известных сотруднику конфиденциальных сведений.
Организационно-технические меры защиты включают следующие основные мероприятия:
· резервирование (наличие всех основных компонентов операционной системы и программного обеспечения в архивах, копирование таблиц распределения файлов дисков, ежедневное ведение архивов изменяемых файлов);
· профилактика (систематическая выгрузка содержимого активной части винчестера на дискеты, раздельное хранение компонентов программного обеспечения и программ пользователей, хранение неиспользуемых программ в архивах);
|
|
|
· ревизия (обследование вновь получаемых программ на дискетах и дисках на наличие вирусов, систематическая проверка длин файлов, хранящихся на винчестере, использование и постоянная проверка контрольных сумм при хранении и передаче программного обеспечения, проверка содержимого загрузочных секторов винчестера и используемых дискет системных файлов);
· фильтрация (разделение винчестера на логические диски с различными возможностями доступа к ним, использование резидентных программных средств слежения за файловой системой);
Все эти мероприятия, в той или иной степени, включают использование различных программных средств защиты. К их числу необходимо отнести программу-архиватор WinRar, программы резервирования важных компонентов файловой системы, просмотра содержимого файлов и загрузочных секторов, подсчета контрольных сумм и собственно программ защиты. Резервирование данных ИС должно проводиться с использованием встроенных средств программы 1С Бухгалтерия 7.7.
Технический уровень ИБ
Инженерно-техническое обеспечение безопасности информации путем осуществления необходимых технических мероприятий должно исключать:
· неправомочный доступ к аппаратуре обработки информации путем контроля доступа в помещении бухгалтерии;
· неправомочный вынос носителей информации персоналом, занимающимся обработкой данных, посредством выходного контроля;
· несанкционированное введение данных в память, изменение или стирание информации, хранящейся в памяти;
· неправомочное пользование системами обработки информации и незаконное получение в результате этого данных;
· доступ в системы обработки информации посредством самодельных устройств и незаконное получение данных;
· возможность неправомочной передачи данных через компьютерную сеть;
· бесконтрольный ввод данных в систему;
· неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.
Инженерно-техническая защита использует следующие средства:
· физические средства;
· аппаратные средства;
|
|
|
· программные средства;
Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.
Для построения системы физической безопасности необходимы следующие средства
· аппаратура тревожной сигнализации, обеспечивающая обнаружение попыток проникновения и несанкционированных действий, а также оценку их опасности;
· системы связи, обеспечивающие сбор, объединение и передачу тревожной информации и других данных (для этой цели подойдет организация офисной АТС);
· персонал охраны, выполняющий ежедневные программы безопасности, управление системой и ее использование в нештатных ситуациях.
К инженерным мероприятиям, необходимым для проведения в бухгалтерии ООО «Стиль», относятся:
· защита акустического канала;
· экранирование помещения бухгалтерии.
К аппаратным средствам относятся приборы, устройства, приспособления и другие технические решения, используемые в интересах обеспечения безопасности.
В бухгалтерии необходимо:· в терминалах пользователей размещать устройства, предназначенные для предупреждения несанкционированного включения терминала в работу (блокираторы);· обеспечить идентификацию терминала (схемы генерирования идентифицирующего кода);· обеспечить идентификацию пользователя (магнитные индивидуальные карточки).Программные средства - это специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки данных.
К задачам программных средств защиты относятся:
· идентификация и аутентификация;
· управление доступом;
· обеспечение целостности и сохранности данных;
· контроль субъектов взаимодействия;
· регистрация и наблюдение.
|
|
|
