Административные меры защиты информации

Loading...

Del curso dictado por National Research University Higher School of Economics

Методы и средства защиты информации

13 calificaciones

National Research University Higher School of Economics

Методы и средства защиты информации

13 calificaciones

Целью курса является ознакомление слушателей с основными понятиями защиты информации, основными принципами построения систем защиты информации, а также основными категориями мер защиты информации, их возможностями с точки зрения защиты информации, сильными и слабыми сторонами. В процессе освоения курса слушатели получат навыки выбора решений из различных категорий методов и средств защиты информаций, соответствующих требованиям защиты информации в конкретных информационных системах, оценки соответствия существующих решений таким требованиям, разработки предложений по совершенствованию системы обеспечения информационной безопасности. Для освоения материала курса будут полезны основные знания из общего курса физики, высшей алгебры, теории чисел, информационных технологий. Их наличие позволит понять принципы действия криптографических средств защиты информации, средств технической защиты информации, а также цифровых стеганографических систем. В качестве эксперта в курсе участвует Алексей Викторович Уривский, заместитель генерального директора по науке и инновациям компании ИнфоТеКС (ОАО «Информационные Технологии и Коммуникационные Системы») – отечественного разработчика и производителя средств защиты информации, действующего с 1989 года, являющегося одной из крупнейших компаний России в сфере защиты информации.

De la lección

ОРГАНИЗАЦИОННЫЕ МЕРЫ ЗАЩИТЫ ИНФОРМАЦИИ

Добрый день, уважаемый слушатель! В этом модуле вы познакомитесь более подробно с организационными мерами защиты информации. Узнаете законодательную базу ЗИ в Российской Федерации, а также более детально изучите административные и организационно-технические меры. Желаем успехов в изучении!

Административные меры защиты информации6:20

Управление рисками10:24

Политика безопасности организации5:17

Управление персоналом8:23

Планирование действий в чрезвычайных ситуациях11:40

Conoce a los instructores

Сорокин Александр Владимирович
Старший преподаватель
МИЭМ им. А. Н. Тихонова НИУ ВШЭ

[ЗВУК] Следующая категория мер защиты информации,

о которых мы поговорим, это административные меры защиты информации.

Административные меры защиты информации,

как вы можете помнить из предыдущей лекции, включают правила доступа и работы

с информацией, установленные руководством организации.

По своей сути административные меры защиты информации направлены

прежде всего на персонал организации, а также на его взаимодействие с лицами,

находящимися на контролируемой территории в силу их обязанностей или

исполняемых организацией функций.

То есть если предполагается, например, что в организацию должны приходить посетители,

то это будут посетители.

Если должны приходить лица,

обеспечивающие функционирование поддерживающей инфраструктуру, например,

электроснабжения, водопровода, системы пожарной безопасности, то представители

подобных организаций тоже могут появляться на территории организации.

Соответственно, административные меры защиты информации направлены на регламент

допуска в различные помещения.

Например, в помещения, в которых происходят переговоры, включающие

обсуждение информации, составляющей, например, коммерческую тайну.

Если вы обратитесь к модели нарушителя, которые мы с вами строили несколько

лекций назад, то вспомните, что в качестве некоторых угроз, которые разные

нарушители могут реализовывать, мы рассматривали возможность того,

что нарушитель может попасть на территорию организации под видом, например,

сотрудника подобной организации, то есть попадать в категорию лиц, привлекаемых,

допустим, к пусконаладочным работам, и установить некие

технические средства негласного съема информации, известные как жучки.

Поэтому регламент допуска подобных лиц должен быть четко

установлен и соблюдаться.

Административные меры защиты информации могут опираться на законодательные меры,

в том числе и как на обоснование запрета конкретных действий.

Если какие-то действия с информацией конкретной категории (например,

информация, составляющая коммерческую тайну) или персональных данных,

прямо запрещаются законом,

то соответствующие запреты могут быть подтверждены в административных мерах или

уточнены и применены к конкретным технологиям обработки информации.

Кроме того, на законодательные меры защиты информации можно опираться

как на источник санкций за нарушение конкретных мер и конкретных установлений.

Речь идет о том, что, например, если сотрудник негласно собирает информацию о

своих коллегах с использованием собранного им вручную подслушивающего устройства,

известного как жучок, то можно охладить его пыл,

сообщив о том, что это является уголовно наказуемым деянием,

и если подобные прецеденты будут еще раз повторены, то служба безопасности

организации может заявить об этом в правоохранительные органы.

То же самое относится, например, к похищению информации с места работы,

к присвоению результатов чужого труда,

чужой интеллектуальной собственности и к ряду других деяний.

Поэтому административные меры защиты информации могут использовать

законодательные меры как источник санкций — такого сдерживающего

фактора для сотрудников от различных правонарушений в

сфере защиты информации и в сфере обработки информации вообще.

Административные меры защиты информации сами по себе не слишком хорошо

справляются с противодействием нарушителю, действующему целенаправленно,

и поэтому, как правило, должны поддерживаться организационно-техническими

и программно-техническими мерами защиты информации,

то есть конкретными физическими, техническими,

программно-аппаратными, аппаратными комплексами и системами.

Они должны соответствовать официальной и фактической позиции руководства

организации, то есть не следует допускать такой ситуации,

когда административные меры руководством изданы и даже учреждены,

но при этом фактическая позиция руководства им противоречит.

То есть согласно регламенту что-то делать нельзя,

а фактически это допускается и даже требуется руководством, или наоборот.

Административные меры, для того чтобы быть эффективными и достигать поставленных

перед ними целей, непременно должны быть доведены до сведения всех сотрудников

организации, а их исполнение должно контролироваться и лучше, если сотрудники

также будут обучены действовать правильно и соблюдать все предписанные требования.

Административные меры защиты информации, как правило,

составляют совокупность взглядов руководства на все ситуации,

возникающие при хранении, обработке и передаче информации,

а также конкретные указания на необходимые действия в таких ситуациях — и штатных,

и каких-то выходящих за рамки стандартных ситуаций,

возникающих при функционировании объекта информатизации.

Во многом административные меры защиты информации являются определяющими для

фактического уровня эффективности системы информационной безопасности организации.

Поскольку они связаны со всеми другими категориями мер защиты информации,

именно они во многом определяют, будут ли использоваться другие категории

мер и будут ли они использоваться правильно и, соответственно, эффективно.

На территории объекта информатизации, в его информационной системе может быть

установлена, допустим, криптографическая система защиты информации,

но при этом сотрудники по той или иной причине могут избегать ей пользоваться,

например, в силу сложности, в силу нежелания разбираться в ее особенностях,

в силу своей невысокой квалификации.

Именно административные меры защиты информации могут стимулировать их

правильно ей пользоваться и пользоваться ей в принципе,

не отказываться от нее на собственное усмотрение.

Административные меры защиты информации, как правило,

включают следующие крупные мероприятия: это управление рисками; разработка

политики безопасности организации; управление

персоналом и планирование действий в чрезвычайных ситуациях.

Эти категории действий, входящих в понятие

административных мер защиты информации, далее мы рассмотрим подробнее.

[ЗВУК]

Explora nuestro catálogo

Inscríbete de manera gratuita y obtén recomendaciones personalizadas, actualizaciones y ofertas.

Coursera brinda acceso universal a la mejor educación del mundo, al asociarse con las mejores universidades y organizaciones, para ofrecer cursos en línea.

© 2018 Coursera Inc. Todos los derechos reservados.

Descargar en la App Store

Consíguelo en Google Play