2015-04-17
1185
Поставленные основные цели защиты и решение перечисленных выше задач достигаются:
· строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, автоматизированных рабочих мест - АРМ);
· регламентацией процессов обработки подлежащей защите информации, с применением средств автоматизации и действий сотрудников структурных подразделений ОРГАНИЗАЦИИ, использующих АС ОРГАНИЗАЦИИ, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС ОРГАНИЗАЦИИ, на основе утвержденных руководителем ОРГАНИЗАЦИИ организационно-распорядительных документов по вопросам обеспечения безопасности информации;
· полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов ОРГАНИЗАЦИИ по вопросам обеспечения безопасности информации;
· назначением и подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки;
· наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС ОРГАНИЗАЦИИ;
· четким знанием и строгим соблюдением всеми сотрудниками, использующими и обслуживающими аппаратные и программные средства АС ОРГАНИЗАЦИИ, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
· персональной ответственностью за свои действия каждого сотрудника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС ОРГАНИЗАЦИИ;
· реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
· принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС ОРГАНИЗАЦИИ;
· применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
· разграничением потоков информации, предусматривающим предупреждение попадания информации более высокого уровня конфиденциальности на носители и в файлы с более низким уровнем конфиденциальности, а также запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
· эффективным контролем за соблюдением сотрудниками подразделений ОРГАНИЗАЦИИ - пользователями АС ОРГАНИЗАЦИИ требований по обеспечению безопасности информации;
· юридической защитой интересов ОРГАНИЗАЦИИ при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;
· проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС ОРГАНИЗАЦИИ.
Основными источниками угроз безопасности информации АС ОРГАНИЗАЦИИ являются:
· непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений ОРГАНИЗАЦИИ при эксплуатации АС ОРГАНИЗАЦИИ, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций (АРМ), подсистем или АС ОРГАНИЗАЦИИ в целом;
· преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений ОРГАНИЗАЦИИ, допущенных к работе с АС ОРГАНИЗАЦИИ, а также сотрудников подразделений ОРГАНИЗАЦИИ, отвечающих за обслуживание, администрирование программного и аппаратного обеспечения, средств защиты и обеспечения безопасности информации;
· воздействия из других логических и физических сегментов АС ОРГАНИЗАЦИИ со стороны сотрудников других подразделений ОРГАНИЗАЦИИ, в том числе программистов - разработчиков прикладных задач, а также удаленное несанкционированное вмешательство посторонних лиц из телекоммуникационной сети ОРГАНИЗАЦИИ и внешних сетей общего назначения (прежде всего Internet) через легальные и несанкционированные каналы подключения сети ОРГАНИЗАЦИИ к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам АС ОРГАНИЗАЦИИ;
· деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент;
· деятельность иностранных разведывательных и специальных служб, направленная против интересов ОРГАНИЗАЦИИ;
· ошибки, допущенные при проектировании АС ОРГАНИЗАЦИИ и ее системы защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты) АС ОРГАНИЗАЦИИ;
· аварии, стихийные бедствия и.т.п
