ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАНОСТИ Лектор КУЛИШКИН ВИТАЛИЙ АЛЕКСАНДРОВИЧ

Описание презентации ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАНОСТИ Лектор КУЛИШКИН ВИТАЛИЙ АЛЕКСАНДРОВИЧ по слайдам

ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАНОСТИ Лектор КУЛИШКИН ВИТАЛИЙ АЛЕКСАНДРОВИЧ Кандидат военных наук, доцент ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАНОСТИ Лектор КУЛИШКИН ВИТАЛИЙ АЛЕКСАНДРОВИЧ Кандидат военных наук, доцент

Санкт-Петербург  2013 год « ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (ОРГАНИЗАЦИЯ ЗАЩИТ Ы КОММЕРЧЕСКОЙСанкт-Петербург 2013 год « ОРГАНИЗАЦИОННОЕ ОБЕСПЕЧЕНИЕ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (ОРГАНИЗАЦИЯ ЗАЩИТ Ы КОММЕРЧЕСКОЙ ТАЙНЫ, ОРГАНИЗАЦИЯ ЗАЩИТ Ы ИНФОРМАЦИИ ДЛЯ СЛУЖЕБНОГО ПОЛЬЗОВАНИЯ, ОРГАНИЗАЦИЯ ЗАЩИТ Ы ПЕРСОНАЛЬНЫХ ДАННЫХ, ОРГАНИЗАЦИЯ ЗАЩИТ Ы ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ ) » (12 часов) 226. 01. 17 14:

Лекция № 1 (4 часа) ОРГАНИЗАЦИЯ ЗАЩИТЫ КОММЕРЧЕСКОЙ ТАЙНЫ Вопросы лекции 1. Основные понятияЛекция № 1 (4 часа) ОРГАНИЗАЦИЯ ЗАЩИТЫ КОММЕРЧЕСКОЙ ТАЙНЫ Вопросы лекции 1. Основные понятия и определения. Нормативно правовая база, регламентирующая защиту конфиденциальной информации. 2. Типовой перечень организационно-распорядительных документов по защите конфиденциальной информации 3. Сведения, составляющие коммерческую тайну. 4. Порядок отнесения сведений к коммерческой тайне. 5. Литература. 326. 01. 17 14:

КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ  ( СТР-К) Конфиденциальной является информация,  не содержащая сведений, составляющих государственнуюКОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ ( СТР-К) Конфиденциальной является информация, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничен в соответствии с законодательством Российской Федерации. Конфиденциальность информации – состояние защищённости информации, характеризуемое способностью ОИ обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней. 426. 01. 17 14:

 Конфиденциальная информация Коммерческая тайна Персональные  данные. Служебная тайна. СВЕДЕНИЯ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА Тайна Конфиденциальная информация Коммерческая тайна Персональные данные. Служебная тайна. СВЕДЕНИЯ КОНФИДЕНЦИАЛЬНОГО ХАРАКТЕРА Тайна следствия Профессиональная тайна Информация об интеллектуальной собственности 526. 01. 17 14:

6. Постановление Правительства РФ от 30 апреля 2002 г.  № 290  «О6. Постановление Правительства РФ от 30 апреля 2002 г. № 290 «О лицензировании деятельности по технической защите конфиденциальной информации» 5. Постановление Правительства РФ от 11 февраля 2002 г. № 135 «О лицензировании отдельных видов деятельности» 4. Постановление Правительства РФ от 03 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти» 3. Указ Президента Российской Федерации от 6 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера» 2. ФЗ 08. 2001 № 128 -ФЗ «О лицензировании отдельных видов деятельности» 1. ФЗ 27 июля 2006 года № 149 -ФЗ , «Об информации, информационных технологиях и о защите информации» НОРМАТИВНАЯ ПРАВОВАЯ БАЗА ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 626. 01. 17 14:

СПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (СТР-К)   Документ определяетСПЕЦИАЛЬНЫЕ ТРЕБОВАНИЯ И РЕКОМЕНДАЦИИ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ (СТР-К) Документ определяет следующие основные вопросы защиты конфиденциальной информации: • организацию работ по защите информации, в том числе при разработке и модернизации объектов информатизации и их систем защиты информации; • состав и основное содержание организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации; • требования и рекомендации по защите речевой информации при осуществлении переговоров, в том числе с использованием технических средств; • требования и рекомендации по защите информации при ее автоматизированной обработке и передаче с использованием технических средств; • порядок обеспечения защиты информации при эксплуатации объектов информатизации; • особенности защиты информации при разработке и эксплуатации автоматизированных систем, использующих различные типы средств вычислительной техники и информационные технологии; • порядок обеспечения защиты информации при взаимодействии абонентов с информационными сетями общего пользования. 726. 01. 17 14:

Методические рекомендации по технической защите информации, составляющей коммерческую тайну • Данный документ утвержден директоромМетодические рекомендации по технической защите информации, составляющей коммерческую тайну • Данный документ утвержден директором ФСТЭК России 25 декабря 2006 года. • Методические рекомендации по технической защите информации, составляющей коммерческую тайну, разработаны ФСТЭК России в соответствии с Федеральным законом o т 27 июля 2006 г. № 149 -ФЗ «Об информации, информационных технологиях и о защите информации» , Федеральным законом от 29 июля 2004 г. № 98 -ФЗ «О коммерческой тайне» и Положением о Федеральной службе по техническому и экспортному контролю, утвержденным Указом Президента Российской Федерации от 16 августа 2004 г. • № 1085. • В Методических рекомендациях рассматриваются вопросы организации защиты информации, а также вопросы применения способов, мер и средств защиты информации, составляющей коммерческую тайну. Методические рекомендации предназначены для специалистов по защите информации, руководителей организаций, предприятий и учреждений, организующих и проводящих работы по защите информации, составляющей коммерческую тайну 826. 01. 17 14:

   Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и Защита информации на объекте информатизации достигается выполнением комплекса организационных мероприятий и применением (при необходимости) средств защиты информации от утечки информации по техническим каналам или воздействия на нее за счет н есанкционированного доступа к ней, по предупреждению преднамеренных программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) информации в процессе ее обработки, передачи и хранения, нарушения ее доступности и работоспособности технических средств. Разработка мер и обеспечение защиты конфиденциальной информации осуществляются подразделениями по защите информации (службами безопасности) или штатными специалистами, назначаемыми руководителями организаций для проведения таких работ. Разработка мер защиты конфиденциальной информации может осуществляться также сторонними организациями, имеющими лицензии ФСТЭК России. МЕРОПРИЯТИЯ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 926. 01. 17 14:

Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцировано поУровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцировано по результатам обследования объекта информатизации, с учетом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесен собственнику информационных ресурсов. СИСТЕМА ОРГАНИЗАЦИОННЫХ, ТЕХНИЧЕСКИХ И ИНЫХ МЕР, НАПРАВЛЕННАЯ НА ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ИНФОРМАЦИИ Режим защиты конфиденциальной информации, в том числе государственных информационных ресурсов, устанавливается в соответствии с законодательством Российской Федерации. ПОРЯДОК ОБРАЩЕНИЯ С КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИЕЙ 1026. 01. 17 14:

 - Средства и системы информатизации (СВТ, АС различного уровня),  средства и системы — Средства и системы информатизации (СВТ, АС различного уровня), средства и системы связи и передачи данных; — программные средства; — средства защиты информации, используемые для обработки конфиденциальной информации. ОБЪЕКТЫ ИНФРМАТИЗАЦИИ (ОБЪЕКТЫ ЗАЩИТЫ) Технические средства и системы не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается Защищаемые помещения Классификация объектов информатизации 1126. 01. 17 14:

ПОЛОЖЕНИЕ о подразделении по защите информации с ограниченным доступом (конфиденциальной информации) ПОЛОЖЕНИЕ по защитеПОЛОЖЕНИЕ о подразделении по защите информации с ограниченным доступом (конфиденциальной информации) ПОЛОЖЕНИЕ по защите конфиденциальной информации в организации, на предприятии (Приложение к «Руководству…» ). План мероприятий по защите информации с ограниченным доступом в организации на 20__ год Разрабатываемые документы по защите конфиденциальной информации 1226. 01. 17 14:

  ИНСТРУКЦИЯ о порядке отнесения информационных ресурсов к защищаемым и организации доступа к ИНСТРУКЦИЯ о порядке отнесения информационных ресурсов к защищаемым и организации доступа к ним; ИНСТРУКЦИЯ пользователю по соблюдению режима защиты информации при работе на АРМ и в ЛВС; ИНСТРУКЦИЯ по организации парольной защиты в автоматизированных системах; ИНСТРУКЦИЯ пользователям автоматизированных систем по организации антивирусной защиты; ПЕРЕЧЕНЬ ИНСТРУКЦИЙ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 1326. 01. 17 14:

  ИНСТРУКЦИЯ пользователю в случае возникновения нештатных ситуаций; ИНСТРУКЦИЯ пользователю услугами электронной ИНСТРУКЦИЯ пользователю в случае возникновения нештатных ситуаций; ИНСТРУКЦИЯ пользователю услугами электронной почты и Internet ; ИНСТРУКЦИЯ по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам автоматизированных систем; ПЕРЕЧЕНЬ ИНСТРУКЦИЙ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 1426. 01. 17 14:

Типовой перечень организационно-распорядительных документов по защите конфиденциальной информации 1. Устав предприятия (раздел коммерческая тайна)Типовой перечень организационно-распорядительных документов по защите конфиденциальной информации 1. Устав предприятия (раздел коммерческая тайна) 2. Положение о порядке организации и проведения работ по защите КИ 3. Положение о подразделении по защите конфиденциальной информации 4. Модель угроз конфиденциальной информации 5. План мероприятий по защите конфиденциальной информации 6. Перечень защищаемых объектов информатизации ( B П и АС) 7. Перечень сведений конфиденциального характера 8. Инструкция по защите конфиденциальной информации на ОИ 9. Инструкция по антивирусной защите АС (АРМ) 1526. 01. 17 14:

Типовой перечень организационно-распорядительных документов по защите конфиденциальной информации 10. Приказы руководителя предприятия об организацииТиповой перечень организационно-распорядительных документов по защите конфиденциальной информации 10. Приказы руководителя предприятия об организации работ и созданию системы защиты КИ, подразделения по защите КИ, по определению перечня защищаемых ОИ, списка лиц, допущенных к обработке КИ, созданию экспертной комиссии, комиссии по классификации АС. 11. Технические паспорта на защищаемые ОИ 12. Аттестаты соответствия на ОИ требованиям безопасности информации 13. Акты классификации АС. 14. Акты установки систем защиты КИ 15. Акты проверок защищаемых объектов информатизации 16. Лицензии на право работ по защите КИ 1626. 01. 17 14:

Приказы Руководителя предприятия об организации Совета (комиссии) по защите конфиденциальной информации, экспертной комиссии, Приказы Руководителя предприятия об организации Совета (комиссии) по защите конфиденциальной информации, экспертной комиссии, комиссии по классификации объектов информатизации, созданию подразделения по защите информации. ‘’ Положение о порядке организации и проведения работ по защите конфиденциальной информации’’ или приложение к ‘’Руководству по защите информации и от ее утечки по техническим каналам на объекте’’ Положение о подразделении по защите информации (должностная инструкция штатного специалиста) В случае изменения условий функционирования предприятия, изменения заказа, изменения требований к СЗИ предприятия Пересматривать не реже одного раза в пять лет, В случае изменения условий функционирования предприятия, получения заказа, изменения требований к СЗИ предприятия В случае изменения организационно-штатной структуры, структуры заказа. С р о к и п е р а б о т к и: Общее требование по срокам переработки: Не должен превышать 6 месяцев с момента выхода новых государственных нормативных документов и не реже одного раза в пять лет. СРОКИ ПЕРЕРАБОТКИ ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ ДОКУМЕНТОВ ПО ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ 1726. 01. 17 14:

Разделы «Положения…» Рекомендации по разработке «Положения о порядке организации и проведения работ по защитеРазделы «Положения…» Рекомендации по разработке «Положения о порядке организации и проведения работ по защите конфиденциальной информации» Документы, необходимые для разработки «Положения…» 1826. 01. 17 14:

Документы, необходимые для разработки  «Положения…»  5. ТЗ, технический проект и эксплуатационная документацияДокументы, необходимые для разработки «Положения…» 5. ТЗ, технический проект и эксплуатационная документация системы ЗИ на объектах информатизации 6. Организационно-распорядительные документы по ЗИ на предприятии « 1. Концепция ЗИ 3. Модель угроз применительно к объекту защиты2. Перечень сведений конфиденциального характера 4. Законодательные акты и нормативно-методические документы по защите конфиденциальной информации 1926. 01. 17 14:

Документы, необходимые для разработки  «Положения…»  1 1.  Специальные требования и рекомендацииДокументы, необходимые для разработки «Положения…» 1 1. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), м етодические и другие руководящие документы в области ЗИ. « 7. Требования по ЗИ о выполняемых работах 8. Инструкция по проектированию технических мероприятий защиты промышленных объектов 9. Проектная документация на строительство (реконструкцию) объекта в части мер ЗИ в ходе его эксплуатации 10. Результаты анализа разведдоступности и классификации объектов информатизации по требованиям ЗИ 2026. 01. 17 14:

Разделы «Положения о порядке организации и проведения работ по защите конфиденциальной информации» 1. ПорядокРазделы «Положения о порядке организации и проведения работ по защите конфиденциальной информации» 1. Порядок определения конфиденциальной информации 2. Порядок привлечения подразделений организации, сторонних организаций к разработке и эксплуатации ОИ и СЗИ, их задачи 3. Порядок взаимодействия организаций, подразделений, специалистов по вопросам ЗИ 4. Порядок разработки, ввода в действие и эксплуатации объектов информатизации 5. Ответственность должностных лиц за своевременность, качество и научно-технический уровень разработки системы защиты информации 2126. 01. 17 14:

Основные этапы работ по определению сведений, составляющих служебную или коммерческую тайну:  • составлениеОсновные этапы работ по определению сведений, составляющих служебную или коммерческую тайну: • составление предварительного перечня сведений, содержащих коммерческую тайну организации; • определение возможного ущерба, наступающего в результате информационного воздействия на сведения, включенные в Перечень; • принятие решения о включении сведений в окончательный вариант Перечня и рассмотрение его на заседании ЭК; • оформление результатов работы по формированию Перечня. При составление предварительного перечня необходимо руководствоваться: Конституцией Российской Федерации, принятой 12 декабря 1993 года; Законом Российской Федерации «О государственной тайне» от 21. 07. 93; Федеральным законом Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27. 06; Указом Президента Российской Федерации от 11 февраля 2006 г. № 90 «Об утверждении Перечня сведений, отнесенных к государственной тайне» ; Указом Президента Российской Федерации «Об утверждении Перечня сведений конфиденциального характера» № 188 от 06. 03. 97; Постановлением Правительства Российской Федерации «О Перечне сведений, которые не могут составлять коммерческую тайну» № 35 от 05. 12. 91. 2226. 01. 17 14:

ПОРЯДОК ОПРЕДЕЛЕНИЯ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ 2326. 01. 17  14: 02 ПОРЯДОК ОПРЕДЕЛЕНИЯ СВЕДЕНИЙ, СОСТАВЛЯЮЩИХ КОММЕРЧЕСКУЮ ТАЙНУ 2326. 01. 17 14:

  Положение о порядке и методике формирования Перечня сведений,  составляющих служебную или Положение о порядке и методике формирования Перечня сведений, составляющих служебную или коммерческую тайну организации , должно определять: — состав и организацию работы экспертной комиссии, — порядок рассмотрения предложений о включении сведений в Перечень, — методику проведения экспертизы и обработки ее результатов, — ответственность должностных лиц за поддержание Перечня в актуальном состоянии. Сведения, составляющие служебную или коммерческую тайну о деятельности организации, в соответствии со степенью важности могут иметь пометку «Строго конфиденциально» , «Конфиденциально» , «Из офиса не выносить» , «Для служебного пользования» . Для формирования Перечня в организации создается экспертная комиссия, комплектуемая наиболее квалифицированными специалистами и должностными лицами отделов и служб структурных подразделений. Руководство работой по формированию Перечня, как правило, должно возлагаться на начальника службы безопасности организации. Каждому уровню конфиденциальности должны соответствовать определенные мероприятия, обеспечивающие требуемый уровень защиты информации. 2426. 01. 17 14:

   В Перечень не могут быть включены сведения, составляющие государственную тайну, а В Перечень не могут быть включены сведения, составляющие государственную тайну, а также сведения, определенные Постановлением Правительства Российской Федерации «О Перечне сведений, которые не могут составлять коммерческую тайну» № 35 от 05. 12. 91 г. : — учредительные документы и устав предприятия; — документы, дающие право заниматься предпринимательской деятельностью; — сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные сведения, необходимые для проверки правильности исчисления и уплаты налогов; — документы о платежеспособности; — сведения о численности и составе работающих, их заработной плате и условиях труда, а также о нали чии свободных рабочих мест; — документы об уплате налогов и обязательных платежах; — годовые отчеты фондов об использовании имущества; — сведения, подлежащие раскрытию эмитентом ценных бумаг, профессиональным участником рынка ценных бумаг и владельцем ценных бумаг в соответствии с законодательством Российской Федерации о ценных бумагах; — информация, связанная с соблюдением экологического и антимонопольного законодательства, обеспе чением безопасных условий труда, реализацией продукции, причиняющей вред здоровью населения, другими нарушениями федерального и местного законодательства, а также содержащая данные о раз мерах причиненных при этом убытков; 2526. 01. 17 14:

-  сведения о деятельности благотворительных организаций и иных некоммерческих организаций, не связанной с— сведения о деятельности благотворительных организаций и иных некоммерческих организаций, не связанной с предпринимательской деятельностью; — данные о наличии свободных рабочих мест; — информация о хранении, использовании или перемещении материалов и использовании технологий, представляющих опасность для жизни и здоровья граждан или окружающей среды; — сведения о реализации государственной программы приватизации и условиях приватизации конкретных объектов; — сведения о размерах имущества и вложенных средствах приватизации; — информация о ликвидации юридического лица и о порядке и сроке заявлений требований его кредиторами; — информация, для которой определены ограничения по установлению режима коммерческой тайны в соответствии с законодательными и подзаконными актами. Остальные сведения могут быть отнесены к коммерческой тайне в соответствии с ее определением. • информация, имеющая действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам; • информация, к которой нет свободного доступа на законном основании; • информация, владелец которой принимает меры к охране ее конфиденциальности. 2626. 01. 17 14:

Примечание: Действие срока установленной группы коммерческой ценности не предусматривает отмены установленной группы по егоПримечание: Действие срока установленной группы коммерческой ценности не предусматривает отмены установленной группы по его окончании 2726. 01. 17 14:

Содержание оценки обстановки 2826. 01. 17  14: 02 Содержание оценки обстановки 2826. 01. 17 14:

ТИПОВАЯ СТРУКТУРА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 2926. 01. 17  14: 02 ТИПОВАЯ СТРУКТУРА СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ 2926. 01. 17 14:

КЛАССИФИКАЦИЯ АКТИВНЫХ СПОСОБОВ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ 3026. 01. 17 КЛАССИФИКАЦИЯ АКТИВНЫХ СПОСОБОВ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УТЕЧКИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ 3026. 01. 17 14:

КЛАССИФИКАЦИЯ ПАССИВНЫХ СПОСОБОВ ЗАЩИТЫ ОТСС ОТ УТЕЧКИ ИНФОРМАЦИИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ 3126. 01. 17КЛАССИФИКАЦИЯ ПАССИВНЫХ СПОСОБОВ ЗАЩИТЫ ОТСС ОТ УТЕЧКИ ИНФОРМАЦИИ ПО ТЕХНИЧЕСКИМ КАНАЛАМ 3126. 01. 17 14:

Пассивные способы защиты информации направлены на:  ослабление побочных электромагнитных излучений (информационных сигналов) ОТССПассивные способы защиты информации направлены на: ослабление побочных электромагнитных излучений (информационных сигналов) ОТСС на границе контролируемой зоны до величин, обеспечивающих невозможность их выделения средством перехвата на фоне естественных шумов; ослабление наводок ПЭМИ информативных сигналов ОТСС в посторонних проводниках и соединительных линиях ВТСС, выходящих за пределы контролируемой зоны, до величин, обеспечивающих невозможность их выделения средством перехвата на фоне естественных шумов 3226. 01. 17 14:

КЛАССИФИКАЦИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК 3326. 01. 17  14: 02 КЛАССИФИКАЦИЯ СИСТЕМ ОБНАРУЖЕНИЯ АТАК 3326. 01. 17 14:

КЛАССИФИКАЦИЯ МЕТОДОВ ОБНАРУЖЕНИЯ СЕТЕВЫХ АТАК 3426. 01. 17  14: 02 КЛАССИФИКАЦИЯ МЕТОДОВ ОБНАРУЖЕНИЯ СЕТЕВЫХ АТАК 3426. 01. 17 14:

СОСТАВ СРЕДСТВ, ВКЛЮЧАЕМЫХ В ПОДСИСТЕМУ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УГРОЗ СЕТЕВЫХ АТАК 3526. 01. 17СОСТАВ СРЕДСТВ, ВКЛЮЧАЕМЫХ В ПОДСИСТЕМУ ЗАЩИТЫ ИНФОРМАЦИИ ОТ УГРОЗ СЕТЕВЫХ АТАК 3526. 01. 17 14:

КЛАССИФИКАЦИЯ АКТИВНЫХ СПОСОБОВ ЗАЩИТЫ РЕЧЕВОЙ ИНФОРМАЦИИ 3626. 01. 17  14: 02 КЛАССИФИКАЦИЯ АКТИВНЫХ СПОСОБОВ ЗАЩИТЫ РЕЧЕВОЙ ИНФОРМАЦИИ 3626. 01. 17 14:

Рекомендации по применению мер и средств технической защиты информации, составляющей коммерческую тайну, и обрабатываемойРекомендации по применению мер и средств технической защиты информации, составляющей коммерческую тайну, и обрабатываемой техническими средствами К основным организационным мероприятиям по защите информации, от утечки по техническим каналам, относятся : • использование на ОИ сертифицированных ОТСС и ВТСС; • выбор помещений для установки ОТСС и ВТСС; • установление контролируемой зоны вокруг объекта защиты; • выбор мест установки ОТСС в помещениях; • разнос ОТСС и их соединительных линий от ВТСС и посторонних проводников; • демонтаж на ОИ незадействованных ВТСС, их соединительных линий и посторонних проводников; • организация режима и контроля доступа на ОИ; • использование на ОИ сертифицированных средств защиты информации. 3726. 01. 17 14:

 • Помещения, в которых будут устанавливаться технические средства, предназначенные для обработки информации, составляющей • Помещения, в которых будут устанавливаться технические средства, предназначенные для обработки информации, составляющей коммерческую тайну, должны выбираться с учетом их экранирующих свойств, расстояния до границы контролируемой зоны, установленной для ОИ. • В отдельных случаях возможно установление временной контролируемой зоны на период обработки информации, составляющей коммерческую тайну, путем ограничения доступа посетителей и посторонних транспортных средств в зону возможного перехвата побочных электромагнитных излучений технических средств. • Выбор мест установки ОТСС в помещении и прокладку их соединительных линий рекомендуется осуществлять с учетом размеров контролируемой зоны, а также расположения инженерных коммуникаций и цепей электропитания. • При установке ВТСС и прокладке их соединительных кабелей целесообразно обеспечить требуемый пространственный разнос их от ОТСС. • Все незадействованные для обеспечения нормального функционирования ОТСС вспомогательные технические средства и посторонние кабели и провода, проходящие через ОИ и имеющие выход за границы контролируемой зоны, рекомендуется демонтировать (отключить или заземлить). • Помещения, в которых установлены ОТСС, обрабатывающие информацию, составляющую коммерческую тайну, во внеслужебное время должны закрываться, опечатываться и сдаваться под охрану. В служебное время доступ сотрудников в эти помещения должен ограничиваться (осуществляться по спискам) и контролироваться (вестись учет посещения) 3826. 01. 17 14:

 • При необходимости данные помещения могут быть оборудованы системами контроля и управления доступом. • При необходимости данные помещения могут быть оборудованы системами контроля и управления доступом. • При вводе ОИ в эксплуатацию, а также при эксплуатации периодически должна проводиться его проверка на соответствие установленным нормам и требованиям безопасности информации. • В большинстве случаев только организационными мероприятиями не удается обеспечить требуемую эффективность защиты информации от утечки по техническим каналам и необходимо проведение технических мероприятий по защите информации. В зависимости от используемых средств технические способы защиты информации подразделяются на пассивные и активные. 3926. 01. 17 14:

Задача технической защиты информации Закрываемые технические каналы утечки информации Категория важности объекта информатиз ацииЗадача технической защиты информации Закрываемые технические каналы утечки информации Категория важности объекта информатиз ации Полное скрытие параметров информативных сигналов, возникающих при обработке информации первой группы коммерческой ценности техническими средствами или ведении переговоров (скрытие факта обработки информации на объекте) Все технические каналы утечки информации 1 Скрытие параметров информативных сигналов, возникающих при обработке информации второй группы коммерческой ценности техническими средствами или ведении переговоров, по которым возможно восстановление информации (скрытие информации, обрабатываемой на объекте) Технические каналы утечки информации 2 Разделение объектов информатизации и защищаемых помещений по категориям важности 4026. 01. 17 14:

Баланс средств на защиту КТ Ключом к пониманию того, какие сведения целесообразно в тотБаланс средств на защиту КТ Ключом к пониманию того, какие сведения целесообразно в тот или иной период защищать как коммерческую тайну, является КОНКУРЕНЦИЯ. К коммерческой тайне целесообразно относить сведения, которыедают преимущества в конкурентной борьбеи разглашение которых может нанести экономический ущерб вследствие снижения конкурентоспособноститоваров и услуг предприятия. Отнесение таких сведений к коммерческой тайне является формой защиты экономической безопасности предприятия. КОНКУРЕНТОСПОСОБНОСТЬ ПРОДУКЦИИ ИЛИ УСЛУГ КАЧЕСТВО ПРОДУКЦИИ ЦЕНА (СЕБЕСТОИМОСТЬ) КАЧЕСТВО СЕРВИСА ЗАТРАТЫ В СФЕРЕ ПОТРЕБЛЕНИЯ 4126. 01. 17 14:

Маркетинговые исследования НИР и ОКР Организация производства продукции (технология, управление,  материально-техническое обеспечение, планирование,Маркетинговые исследования НИР и ОКР Организация производства продукции (технология, управление, материально-техническое обеспечение, планирование, подготовка кадров, партнеры, контракты, переговоры) Организация сбыта (реклама, посредники, упаковка) Испытание товара (услуги) рынком. Утилизация Основные элементы жизненного цикла продукции 4226. 01. 17 14:

Далее производится обработка экспертных оценок.  Исходной информацией для обработки результатов опроса являются данныеДалее производится обработка экспертных оценок. Исходной информацией для обработки результатов опроса являются данные (оценки), суждения, выражающие предпочтения экспертов. Учитывая экспертный характер самих оценок не целесообразно вводить их более 3 -4. Каждый эксперт вносит в таблицу свое мнение в виде ранга (например, 1, 2, 3 или 4) или предполагаемой величины ущерба. Суждения множества экспертов группируются вблизи истинного значения, и обработка результатов допускает применение способов, основанных на осреднении, например, путем ранжирования объектов по величинам сумм рангов, полученных каждым объектом на основании оценок всех экспертов: nirr m j iji, 1, 1 где r i – результат обобщенной ранжировки; r ij – ранг i — ой информации по оценке j – го эксперта; n – количество (порядковый номер) оцениваемых информационных ресурсов; m – количество (порядковый номер) экспертов. Далее информационные ресурсы упорядочиваются по величинам r i. 4326. 01. 17 14:

Пример получения обобщенного ранжирования четырех сведений,  составляющих коммерческую тайну четырьмя экспертами.  КТПример получения обобщенного ранжирования четырех сведений, составляющих коммерческую тайну четырьмя экспертами. КТ i r ij КТ 1 КТ 2 КТ 3 КТ 4 r i 1 3 2 r i 2 1 3 4 2 r i 3 2 2 4 3 r i 4 3 4 2 3 r i 9 11 1 3 1 0 На основании сравнения сумм рангов получено следующее неравенство r 1 r 4 r 2 r 3 и обобщенная ранжировка КТ 3 — КТ 2 — КТ 4 — КТ 1. Для учета компетентности экспертов достаточно умножить каждую r ij — ю ранжировку на коэффициент компетентности j -го эксперта k j : nikrrj m j iji, 1, 1 4426. 01. 17 14:

Перечень сведений конфиденциального характера При организации работ по защите конфиденциальной информации  должен бытьПеречень сведений конфиденциального характера При организации работ по защите конфиденциальной информации должен быть документально оформлен перечень сведений конфиденциального характера Структура перечня Перечень может включать: 1. Персональные данные. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях; 2. Сведения, составляющие коммерческую тайну организации: 3. Служебная тайна. . Служебные сведения — информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости. 2. 1. Сведения о научно-технической деятельности; 2. 2. Сведения по планированию и управлению; 2. 3. Сведения о финансово-экономической и производственной деятельности. 2. 4. Сведения о безопасности организации

 Рассмотренные и обсужденные экспертной комиссией сведения переносятся из предварительного  в обобщенный вариант Рассмотренные и обсужденные экспертной комиссией сведения переносятся из предварительного в обобщенный вариант Перечня за организацию в целом. Дополнительно в результате экспертизы может быть определено время , в течение которого необходимо обеспечивать защиту сведений, составляющих коммерческую тайну. В обобщенный вариант Перечня должны включаться сведения, для которых величина морального и материального ущерба от несанкционированного распространения выше определенной руководством величины. Результаты работы экспертной комиссии оформляются в виде окончательного варианта обобщенного Перечня , подписанного начальником службы безопасности и представляемого на утверждение руководителю организации. В Перечень могут быть включены сведения конфиденциального характера сторонних организаций. Степень конфиденциальности таких сведений должна устанавливаться по согласованию между организацией, разрабатывающей такой Перечень, и собственником таких сведений. К окончательному варианту обобщенного Перечня могут прилагаться рабочие материалы с обоснованием необходимости включения в него тех или иных сведений. Такие материалы должны подписываться всеми членами комиссии. 4626. 01. 17 14: