Please enable JavaScript.
Coggle requires JavaScript to display documents.
Організаційні методи захисту інформації - Coggle Diagram
Організаційні методи захисту інформації
Принципи захисту інформації
науковий підхід до організації захисту інформації
планування захисту
керування системою захисту
безперервність процесу захисту інформації
мінімальна достатність організації захисту
системний підхід до організації та проектування систем та методів захисту інформації
комплексний підхід до організації захисту інформації
відповідність рівня захисту цінності інформації;
гнучкість захисту
багатозональність захисту, що передбачає розміщення джерел інформації в зонах з контрольованим рівнем її безпеки
багаторубіжність захисту інформації
обмеження числа осіб, які допускаються до захищеної інформації
особиста відповідальність персоналу за збереження довіреної інформації
Організаційно-технічні засоби
розробка і підтвердження функціональних обов'язків посадових осіб служби інформаційної безпеки
внесення необхідних змін і доповнень в усі організаційно-розпорядницькі документи (положення про підрозділи, обов'язок посадових осіб, інструкції користувачів системи і т.п.) з питань забезпечення безпеки програмно-інформаційних ресурсів ІС і діях у випадку виникнення кризових ситуацій
оформлення юридичних документів (договорів, наказів і розпоряджень керівництва організації) з питань регламентації відносин з користувачами (клієнтами), що працюють в автоматизованій системі, між учасниками інформаційного обміну і третьою стороною (арбітраж, третейський суд) про правила дозволу пов'язаних із застосуванням електронного підпису
створення науково-технічних і методологічних основ захисту ІС
виключення можливості таємного проникнення в приміщення, установки апаратури, що прослухує, і т.п.)
перевірка і сертифікація використовуваних у ІС технічних і програмних засобів на предмет визначення заходів для їхнього захисту від витоку по каналах побічних електромагнітних випромінювань і наведень
визначення порядку призначення, зміни, твердження і надання конкретним посадовим особам необхідних повноважень по доступі до ресурсів системи
розробка правил керування доступом до ресурсів системи, визначення переліку задач, розв'язуваних структурними підрозділами організації з використанням ІС, а також використовуваних при їхньому рішенні режимів обробки і доступу до даних
визначення переліку файлів і баз даних, що містять зведення, що складають комерційну і службову таємницю, а також вимоги до рівнів їхньої захищеності від НСД при передачі, збереженні й обробці в ІС
виявлення найбільш ймовірних загроз для даної ІС, виявлення уразливих місць процесу обробки інформації і каналів доступу до неї
оцінка можливого збитку, викликаного порушенням безпеки інформації, розробка адекватних вимог по основних напрямках захисту
організація надійного пропускного режиму;
визначення порядку обліку, видачі, використання і збереження переносних магнітних носіїв інформації, що містять еталонні і резервні копії програм, архівні дані і т.п.
організація обліку, збереження, використання і знищення документів і носіїв із закритою інформацією
організація і контроль за дотриманням усіма посадовими особами вимог по забезпеченню безпеки обробки інформації
визначення переліку необхідних заходів для забезпечення безупинної роботи ІС у критичних ситуаціях, що виникають у результаті НСД, збоїв і відмовлень СВТ, помилок у програмах і діях персоналу, стихійних лих і т.п
контроль функціонування і керування засобами захисту, що використовуються;
явний і прихований контроль за роботою персоналу системи;
контроль за реалізацією обраних заходів захисту в процесі проектування, розробки, введення в лад і функціонування ІС
періодичний аналіз стану й оцінювання ефективності заходів захисту інформації;
розподіл реквізитів розмежування доступу (паролів, ключів шифрування і т.п.);
аналіз системних журналів, вживання заходів при виявленні порушених правил роботи;
складання правил розмежування доступу користувачів до інформації;
періодичне здійснення аналізу стану й оцінки ефективності заходів із залученням сторонніх фахівців і застосовуваних засобів захисту
розгляд і затвердження всіх змін в устаткуванні ІС, перевірка їх на відповідність вимог захисту, документальне відображення змін і т.п.
створення умов, при яких персоналу було б невигідно порушувати свої обов'язки.
Захист даних адміністративними методами
Більш ретельний контроль за персоналом, особливо за самими низькооплачуваними працівниками, наприклад прибиральниками й охоронцями
Акуратна непомітна перевірка послужного списку найманого працівника, що допоможе уникнути виникнення проблем у майбутньому
Ознайомлення найманого співробітника з документами, що описують політику компанії в області інформаційної безпеки, і одержання від нього відповідної розписки
Зміна доступу для входу в систему таким чином, щоб вони відбивали політику компанії в області захисту даних
Підвищення рівня фізичного захисту.
Блокування всіх дисководів гнучких дисків в організаціях, у яких установлена мережа, – це дозволить мінімізувати ризик комп'ютерних крадіжок і зараження вірусами
Визнання за співробітниками визначених прав при роботі з комп'ютерами, наприклад організація дошок оголошень, дотримання конфіденційності електронної пошти, дозвіл використовувати визначені комп'ютерні ігри