Вопросы:
1. Предмет, цели, задачи и содержание курса
2. Роль и место курса в подготовке специалистов по организации защиты информации в государственных и коммерческих структурах.
3. Базовые знания, необходимые для изучения курса. Рекомендуемые учебные пособия.
1. Предмет, цели, задачи и содержание курса
Курс "Организация и управление службой защиты информации" является важной составной частью профессиональной подготовки специалиста по организации и технологии защиты информации. Цель курса - изучение методов и средств инженерно-технической защиты информации, а также технических средств охраны объектов и помещений.
Цель дисциплины – показать структуру, логическую организацию и систему управления службой защиты информации на предприятии, как основного звена системы защиты информации, рассмотреть основные направления организации и управления службы защиты информации и раскрыть особенности процесса организационного проектирования.
Задачи дисциплины:
- определение места службы защиты информации в системе безопасности предприятия;
- объяснение функций службы защиты информации;
- обоснование оптимальной структуры и штатного состава службы защиты информации в зависимости от решаемых задач и выполняемых функций;
- установление организационных основ и принципов деятельности службы защиты информации;
- решение общих и специфических вопросов подбора, расстановки, обучения кадров, организации труда сотрудников службы защиты информации;
- раскрытие принципов, методов и технологии управления службой защиты информации;
- рассмотрение основных методов исследования, анализа и проектирования организационной деятельности сотрудников службы защиты информации.
Студент должен знать:
- назначение и роль службы защиты информации;
- основные задачи и функции службы защиты информации;
- виды организационных структур служб защиты информации;
- порядок и технологию создания и реорганизации службы защиты информации;
- должностной состав службы защиты информации;
- основные методы и технологию управления службой защиты информации;
- состав и содержание процесса оргпроектирования;
- основные виды оргпроектирования;
- перечень и содержание элементов проектирования;
- взаимосвязь элементов объекта и субъекта системы управления службой ЗИ.
Студент должны уметь:
- определять оптимальную структуру службы защиты информации;
- организовывать и обеспечивать создание службы защиты информации;
- осуществлять подбор, расстановку кадров и обучение сотрудников службы защиты информации;
- организовывать и осуществлять все виды работ службы защиты информации;
- обеспечивать необходимые условия труда сотрудников службы защиты информации;
- осуществлять управление и контроль за деятельностью сотрудников службы защиты информации;
- оценивать эффективность работы службы защиты информации;
- разрабатывать нормативные и методические документы по организации и функционированию службы защиты информации;
- проводить обследование системы ЗИ на предприятии;
- организовывать процесс проектирования деятельности службы ЗИ;
- использовать различные методы оргпроектирования;
- разрабатывать документацию оргпроекта;
- определять параметрическую зависимость между элементами объекта и субъекта оргпроектирования;
- разрабатывать организационно-нормативные документы, регламентирующие деятельность службы ЗИ, ее подразделений и сотрудников;
- организовывать информационное обеспечение деятельности службы ЗИ;
- выбирать рациональное оборудование и технические средства для оснащения рабочих мест сотрудников службы ЗИ;
- организовывать внедрение оргпроекта на предприятии;
- оценивать эффективность разрабатываемого оргпроекта деятельности службы ЗИ.
2. Роль и место курса в подготовке специалистов по организации защиты информации в государственных и коммерческих структурах
Развитие человечества на фоне показного благополучия в развитых странах и деклараций о необходимости защиты человеческих ценностей характеризуется обострением конкуренции между государствами, организациями и людьми за “жизненное” пространство, рынки сбыта, качество жизни. Она вызвано ростом численности человечества, уменьшением сырьевых ресурсов Земли, ухудшением экологии, побочными негативными процессами технического прогресса.
Основу любой деятельности людей составляет ее информационное обеспечение. Информация становится одним из основных средств решения проблем и задач государства, политических партий и деятелей, различных коммерческих структур и отдельных людей. Так как получение информации путем проведения собственных исследований становится все более дорогостоящим делом, то расширяется сфера добывания информации более дешевым, но незаконным путем. Этому способствует недостатки правовой базы по защите интеллектуальной собственности, позволяющие злоумышленникам (нарушителям законов) избегать серьезного наказания за свои противоправные действия, а также наличие на рынке разнобразных технических средств по нелегальному добыванию информации.
В связи с этими обстоятельствами непрерывно возрастает актуальность задач защиты информации во всех сферах деятельности людей: на государственной службе, в бизнесе, в научной деятельности и даже в личной жизни. Постоянное соперничество между методами и реализующих их средствами добывания и защиты информации привело к появлению на рынке такого разнообразия различных устройств и приборов в этой предметной области, что возникла проблема рационального выбора и применения для конкретных условий мер защиты.
Среди мер защиты информации все больший вес объективно приобретает инженерно-техническая защита информации, основанная на применении различных технических средств обеспечения безопасности информации. Такая тенденция обусловлена следующими причинами:
1. Постоянным и непрырывным внедрением в информационные процессы в различных сферах жизни общества безбумажной технологии. При этом речь идет не только о широком использовании вычислительной техники, но о средствах массовой информации, образования, торговли, связи и т. д.
2. Огромными достижениями в области микроэлектроники, создающие техническую и технологическую базу для массового изготовления доступных рядовому покупателю средств нелегального добывания информации с минимальным риском. Снижение же риска и угрозы наказания увеличивает число любителей легкой наживы на протизаконные действия. Доступность миниатюрных и камуфлированных средств добывания информации превращает задачу по нелегальному добыванию информации из уникальной и рискованной операции в прибыльный бизнес.
3. Базовые знания, необходимые для изучения курса. Рекомендуемые учебные пособия
В соответствии с терминологией закона “Об информации, информатизации и защите информации” информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. По Ожегову С.И. сведения - это знания. Следовательно, в общем случае информация - это знания в самом широком понимании этого слова. Не только образовательные или научные знания, а любые сведения и данные, которые присутствуют в любом объекте и необходимы для функционирования любых информационных систем (живых существ или созданных человеком). Так как информация отражает свойства материальных объектов и отношения между ними, то в сооветствии с основными понятиями философии ее можно отнести к объектам познания, а защищаемую информацию - предметом защиты.
Защите подлежит секретная и конфиденциальная информация. К секретной относится информация, содержащая государственную тайну. Ее несанкционированное распространение может нанести ущерб интересам государственным органам, организациям и РФ в целом. Под конфиденциальной понимается информация, содержащую коммерческую и иную тайну. Дается следующее определение: информация конфиденциальная - служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, профессиональной тайне, государственной службе и других законодательных актов. Понятие коммерческой тайны предприятия определено в ст. 33 закона “ О предприятии в СССР”. Под коммерческой тайной предприятия понимаются не являющиеся государственным секретом сведения, связанные с производством, технологической информацией, управлением, финанасами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести интерес его интересам.
Информация как предмет познания имеет ряд особенностей:
- она нематериальна в том смысле, что не удается измерить известными физическими методами и приборами ее массу, размеры, энергию;
- информация, записанная на материальный носитель, может храниться, обрабатываться, передаваться по различным каналам связи;
- информация о самом себе содержится в любом материальном объекте;
- без информации не может существовать жизнь в любой форме и не могут функционировать созданные человеком любые информационные системы.
Без информации биологические и искусственные системы представляют груду химических элементов. Опыты по изоляции органов чувств человека, затрудняющие информационный обмен человека с окружающей средой, показали, что информационный голод (дефицит) по своим последствиям не менее разрушителен, чем голод физический. Несмотря на определенные достижения прикладной области науки - информатики, занимающейся информационными процессами, достаточно четкого понимания сущности информации наука пока не имеет.
1 Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Примечание:
Собственником информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
2 Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
3 Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.
4 Защита информации от несанкционированного воздействия защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
5 Защита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
6 Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
7 Защита информации от несанкционированного доступа - защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Примечание:
Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
8 Защита информации от [иностранной] разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.
9 Защита информации от [иностранной] технической разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств.
10 Защита информации от агентурной разведки - деятельность по предотвращению получения защищаемой информации агентурной разведкой.
11 Цель защиты информации - желаемый результат защиты информации.
Примечание:
Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
12 Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели.
13 Показатель эффективности защиты информации - мера или характеристика для оценки эффективности защиты информации.
14 Нормы эффективности защиты информации - значения показателей эффективности защиты информации, установленные нормативными документами.
15 Организация защиты информации - содержание и порядок действий по обеспечению защиты информации.
16 Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
17 Мероприятие по защите информации - совокупность действий по разработке и/или практическому применению способов и средств защиты информации.
18 Мероприятие по контролю эффективности защиты информации - совокупность действий по разработке и/или практическому применению методов [способов] и средств контроля эффективности защиты информации.
19 Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
20 Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
21 Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации.
22 Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты].
23 Метод [способ] контроля эффективности защиты информации - порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
24 Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.
25 Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
26 Средство контроля эффективности защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.
27 Контроль организации защиты информации - проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
28 Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
29 Организационный контроль эффективности защиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.
30 Технический контроль эффективности защиты информации - контроль эффективности защиты информации, проводимой с использованием средств контроля.