Варианты совершенствования системы защиты информации и оценка затрат и результатов по внедрению новых вариантов использования СЗИ
Зарегистрируйся в два клика и получи неограниченный доступ к материалам,а также
промокод
на новый заказ в Автор24. Это бесплатно.
Для совершенствования системы защиты информации в Управе района рекомендуется применять защитные меры и ограничения.
1.Защитные меры
Защитные меры обеспечивают информационную безопасность при появлении угрозы, уменьшают уязвимость, ограничивают воздействие произошедшего инцидента в системе безопасности, обнаруживают инциденты и облегчают восстановление активов. Для обеспечения эффективной системы защиты информации в Управе района необходимо применять различные защитные меры в комплексе.
Система безопасности информационных ресурсов Управы района должна быть комплексной и сочетать в себе такие направления защиты, как правовое, организационное и инженерно-техническое.
1.Правовое направление обеспечения безопасности информационных ресурсов включает не только следование законам и другим нормативно-правовым актам, требования которых являются обязательными при обеспечении защиты информации, но и разработку локальных положений, инструкций.
Совершенствование системы защиты информации может быть достигнуто при повышении исполнения требований стандартов безопасности в Управе района.
Например, в Управе района следует разработать локальную Инструкцию по обмену информацией с территориальными органами федеральных органов исполнительной власти, в которой будут прописаны меры предосторожности при обмене информации с органами власти.
Кроме того, в Управе района должен быть составлен такой документ, как «План защиты информации Управы района», связанный с предотвращением ошибочных действий, которые могут привести к снижению эффективности предпринятых мер по защите информации.
План защиты информации Управы района должен включать:
- описание защищаемой системы (основные характеристики защищаемого объекта: назначение объекта, перечень решаемых задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите, и требований по обеспечению доступа, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т. п.);
- цель защиты системы и пути обеспечения безопасности автоматизированной системы и циркулирующей в ней информации;
- перечень угроз безопасности автоматизированной системы;
- политику информационной безопасности и ссылки на стандарты, лежащие в основе данной политики;
- схему размещения средств и функциональную схему системы защиты информации на объекте;
- календарный план проведения организационных и технических мероприятий по защите информации;
- администрирование информационной безопасности, охватывающее организационные и индивидуальные ответственности и полномочия;
- правила, которые регламентируют деятельность персонала по вопросам обеспечения информационной безопасности объекта (особые обязанности должностных лиц, обслуживающих автоматизированную систему);
- метод определения приоритетов реализации защитных мер;
- уровень безопасности и остаточный риск;
- подходы к осведомленности о безопасности и повышение квалификации в области безопасности в рамках организации;
- процедуры проверки и поддержания безопасности;
- порядок модернизации средств защиты.
Также нужна разработать документ, описывающий действия персонала в критических ситуациях – «План обеспечения непрерывной работы и восстановления информации»
Зарегистрируйся, чтобы продолжить изучение работы
. Он будет включать:
- цель обеспечения непрерывности процесса функционирования автоматизированной системы, восстановления ее работоспособности;
- требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации, ведения текущих, долговременных и аварийных архивов; состав резервного оборудования и порядок его использования и т. п.);
- обязанности и порядок действий сотрудников в кризисных ситуациях.
Руководящие документы должны отражать организационные требования и учитывать организационные ограничения. Поскольку многие угрозы (например атаки хакеров, удаление файлов, пожар) являются распространенными, важна согласованность между соответствующими документами.
Иерархия документации должна поддерживаться и актуализироваться по результатам периодического анализа безопасности (например по результатам оценки рисков, внешнего и внутреннего аудита безопасности) и в связи с изменениями целей деятельности организации.
2.Организационное направление обеспечения безопасности информационных ресурсов Управы района включает такие мероприятия:
- оборудование служебных помещений. Конструктивные решения по установке и монтажу технических средств в помещениях Управы района должны быть выбраны с учетом минимизации влияния внешних воздействий на аппаратуру.
- мероприятия, осуществляемые при подборе персонала (информирование о необходимости соблюдения мер защиты информации, подписание документа о неразглашении служебной тайны);
- установить пропускной режим, контроль за посетителями;
- хранится и использоваться документы и носители конфиденциальной информации должны только сотрудниками, имеющими допуск;
- непрерывную защиту информации;
- применять инструменты мониторинга и анализа СЗИ (в качестве защитной меры может быть использован мониторинг угроз для того, чтобы они не появились);
- ежедневно делать резервные копии наиболее важной информации на съемный носитель, который будет храниться в сейфе (в настоящее время все электронные документы хранятся в СЭД Гран-Док).
- регулярное обучение сотрудников в области защиты информации.
Например, кроме контроля доступа к информации и документам, хранящимся на компьютерах, необходимо обеспечить физическую защиту, а также проводить периодический аудит состояния информационной безопасности, обучать сотрудников мерам защиты.
В Управе района должен быть назначен ответственный за политику безопасности, который должен обеспечивать соответствие политики требованиям. Сотрудник должен нести ответственность за следующие действия: проверку соответствия безопасности, ревизию, аудит, обработку инцидентов, выявление слабых мест в безопасности и внесение изменений в политику безопасности Управы района, которые могут потребоваться по результатам подобных действий. Ответственного за общую по Управе района политику безопасности можно назначить одного из сотрудников службы по обеспечению режима секретности и мобилизационной подготовке, либо секретаря.
В Управе должна быть создана комиссия по безопасности, которая будет решать общие вопросы, давать консультации сотрудникам, одобрять политики и процедуры.
В комиссию по безопасности должны входить люди, обладающие достаточной квалификацией, чтобы давать консультации и рекомендации в отношении стратегий, определять требования, формулировать политику, разрабатывать программу безопасности, проверять их выполнение и руководить администратором безопасности (в комиссию можно включить Главу управы района, его заместителей и начальников структурных подразделений)
50% дипломной работы недоступно для прочтения
Закажи написание дипломной работы по выбранной теме всего за пару кликов. Персональная работа в кратчайшее время!
