«ОРГАНИЗАЦИЯ И ТЕХНОЛОГИЯ ЗАЩИТЫ ИНФОРМАЦИИ» ОРГАНИЗАЦИЯ И УПРАВЛЕНИЕ СЛУЖБОЙ ЗАЩИТЫ ИНФОРМЦИИ Преподаватель: Пономаренко Геннадий Владимирович Генеральный директор ЗАО «КЛИО» Тел.:
ЦЕЛЬ ДИСЦИПЛИНЫ - подготовка (переподготовка) специалистов по вопросам защиты конфиденциальной информации, а также формирование единой позиции менеджеров по информационным технологиям и руководителей служб безопасности по вопросу построения защищенной информационной инфраструктуры современного предприятия.
Основная задача курса дать слушателю курса достаточное представление об угрозах информационной безопасности предприятия, средствах их устранения и порядке планирования работы по укреплению информационной безопасности, а также дать системный подход к вопросам организации службы информационной безопасности предприятия.
По завершению курса слушатели смогут: Практически использовать законодательные акты РФ и нормативно-директивные документы для обеспечения защиты конфиденциальной информации Определить угрозы информационной безопасности своего предприятия Разработать необходимую организационно- распорядительную документацию по обеспечению информационной безопасности предприятия Рационально выбрать системы и средства для создания системы защиты конфиденциальной информации Обеспечить комплексную защиты конфиденциальной информации на предприятии
ТЕМА 1 Концептуальные положения обеспечения информационной безопасности предприятия
Рассматриваемые вопросы: Основные положения концепции защиты конфиденциальной информации Цели и задачи комплексной системы защиты информации предприятия Нарушения информационной безопасности Основные направления защиты конфиденциальной информации
ЦЕЛИ ЗАЩИТЫ ИНФОРМАЦИИ И ПРАВ СУБЪЕКТОВ В ОБЛАСТИ ИНФОРМАЦИОННЫХ ПРОЦЕССОВ И ИНФОРМАТИЗАЦИИ Предотвращение утечки, хищения, утраты, искажения, подделки информации Предотвращение угроз безопасности личности, общества, государства Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; Предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах Сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Состояние защищенности информационных ресурсов, технологии их формирования и использования, а также прав субъекта информационной деятельности.
ЗАЩИТА ИНФОРМАЦИИ Предотвращение утечки, хищения, уничтожения, утраты, искажения, модификации, копирования конфиденциальной информации и других несанкционированных действий со стороны злоумышленников
СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Это организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту конфиденциальной информации предприятия от внутренних и внешних угроз
Конкуренты на рынке производства и сбыта товаров Правовая защита Организаци- онная защита Инженерно- техническая защита Предприятие, его продукция и сведения о характере деятельности Система безопасности Субъект защиты ЗлоумышленникиОбъект защиты ПредотвращениеНСД Направления защиты Источники конфиденциальной информации Каналы утечки информации Сведения составляющие коммерческую тайну Средства и способы НСД Люди Документы Публикации Технические носители Технические средства Продукция Отходы Социальные Технические: – визуально- оптические – акустические – электромагнитные – материально- вещественные Производство Управление Финансы Рынок Партнеры Конкуренты Цены Технология Безопасность Легальные Нелегальные Технические средства СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРЕДПРИЯТИЯ Задачи Разработка и осуществление планов и других мер по защите информации Формирование, обеспечение и развитие органов, сил и средств обеспечения информационной безопасности предприятия Восстановление объектов защиты, пострадавших в результате противоправных действий Цели Выявление угроз Предотвращение угроз Нейтрализация угроз Пресечение угроз Локализация угроз Отражение угроз Уничтожение угроз
Защита информации должна быть: Непрерывной Универсальной Комплексной Плановой Целенаправленной Конкретной Активной (Проактивной) Надежной
КОНЦЕПТУАЛЬНАЯ МОДЕЛЬ БЕЗОПАСНОСТИ ИНФОРМАЦИИ - конкуренты - преступники - административные органы - коррупционеры - конкуренты - преступники - административные органы - коррупционеры - модификация - ознакомление - уничтожение - модификация - ознакомление - уничтожение - люди - документы - публикации - технические носители - технические средства - продукция - отходы - люди - документы - публикации - технические носители - технические средства - продукция - отходы - упреждение - предотвращение - противодействие - пресечение - упреждение - предотвращение - противодействие - пресечение Информация Способы защиты Способы защиты Источники информации Источники информации Цели Источники угроз Источники угроз Сведения о составе, состоянии и деятельности Сведения о составе, состоянии и деятельности Объекты угроз - целостности - конфиденциальности - полноте - доступности - целостности - конфиденциальности - полноте - доступности Угрозы - за счет утечки - за счет разглашения - за счет НСД - за счет утечки - за счет разглашения - за счет НСД Способы доступа Способы доступа - правовая - инженерно-техническая - организационная - правовая - инженерно-техническая - организационная Направления защиты Направления защиты -физические - программные - криптографические - аппаратные -физические - программные - криптографические - аппаратные Средства защиты Средства защиты
Противоправные действия приводящие к значительному или полному разрушению информационных ресурсов Случайные или преднамеренные действия, приводящие к частичному изменению содержания Противоправное действие, не приводящее к изменению или разрушению информации ОЗНАКОМЛЕНИЕ (получение) РАЗРУШЕНИЕ (уничтожение) ИСКАЖЕНИЕ (модификация) НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Случаи нарушения информационной безопасности предприятия
Случаи нарушения информационной безопасности в корпоративной сети
Методы обеспечения информационной безопасности ПРАВОВЫЕ ОРГАНИЗАЦИОННО- ТЕХНИЧЕСКИЕ ЭКОНОМИЧЕСКИЕ Разработка нормативно- правовых актов, регламентирующих отношения в информационной сфере и обеспечение информационной безопасности Совершенствование системы финансирования работ, связанных с реализацией правовых и организационно- технических методов защиты информации Разработка, использование и совершенствование систем и средств защиты от несанкционированного доступа к информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации
Направления защиты информации Правовая защита Организационная защита Инженерно-техническая защита Специальные правовые акты, процедуры и нормы, ориентированные на защиту информации Регламентация деятельности на нормативно-правовой основе, воспрещающая неправомерный доступ к охраняемой информации Совокупность мероприятий и технических средств для защиты информации
Правовая защита Международное право Государственное право Патенты Авторское право Лицензии Административное Гражданское Уголовное Финансовое Коммерческое
Организационная защита Кадры Режим Делопроизводство От наблюдения От подслушивания От перехвата От копирования От модификаций Воспрещения Идентификации Охраны Организационные меры Физическими средствами Организационно- технические меры
Инженерно-техническая защита Аппаратными средствами Программными средствами Математическими, криптографическими средствами Данных Речи Каналов связи Идентификации Регистрация и контроль Обслуживание режимов Защита ОС и ППП Уничтожение информации в ОЗУ Сигнализация нарушений Автономными Встраиваемыми Защищенными
Спасибо за внимание Преподаватель: Пономаренко Геннадий Владимирович Генеральный директор ЗАО «КЛИО» Тел.: