v Защита информации – это обязанность каждого субъекта, который ей обладает, исходя из того насколько данная информация ценна, какие угрозы для нее могут возникать.
v Эти меры, как правило, фиксируются в Политике информационной безопасности (документ, который должен быть на каждом предприятии).
- Болванкой является ГОСТ 2005 «Информационная технология. Практические правила управления информационной безопасностью»
v Политика информационной безопасности должна обеспечивать:
§ Идентификацию лиц осуществляющих доступ к информации;
§ Разделение полномочий по доступу;
§ Регистрацию и учет доступа;
§ Обеспечение антивирусной защиты;
§ Периодическую проверку целостности информации;
§ Шифрование отдельных видов и применение цифровой подписи (при необходимости).
Методы
- Правовые – принятие нормативных актов, с помощью которых устанавливаются правила работы с информацией.
С их помощью надо установить:
§ распределение информации по категориям доступности - какая информация подлежит защите:
|
|
- в стандарте 3 категории:
а) открытая,
б) для внутреннего использования
в) конфиденциальная),
- на практике обычно открытая и конфиденциальная
- отнесение информации к конфиденциальной:
1) способ: составить конкретный перечень конфиденциальной информации
2) способ: разработать критерий, в соответствии с которым информация является конфиденциальной
§ определение полномочий по доступу к информации (у каких субъектов будут права на доступ к информации, права на изменение таких полномочий);
§ установление санкций за нарушение правил работы с информацией;
§ включение соответствующих оговорок в договоры.
- Организационные - мероприятия организационного характера, направленные на обеспечение информационной безопасности и выполнение вышеуказанных документов
§ проведение инструктажа персонала;
§ обозначение защищаемой информации с помощью специальных меток (штампики, грифы);
§ ведение реестров лиц, обладающих категорией доступа
- Технические
§ антивирусные программные средства;
§ паролирование и шифрование;
§ организация хранилищ конфиденциальной информации (например, можно выделить для нее специальное место на диске).