По всем вопросам обращайтесь на: info@litportal.ru
(©) 2003-2024.

  1. Главная
  2. 📚 Книги о компьютерах
  3. Иван Андреевич Трещев
  4. ✔️ Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов
  5. Читать онлайн
banner banner banner
Оценить:
 Рейтинг: 0
Купить и скачать

Организационное и правовое обеспечение информационной безопасности. Для студентов и специалистов

Автор
Иван Андреевич Трещев
Жанр
Книги о компьютерах
Год написания книги
2019
<< 1 ... 5 6 7 8 9 10 11 12 13 ... 36 >>
На страницу:
Перейти
9 из 36
Настройки чтения
Размер шрифта
Высота строк
Поля

– составление организационно-распорядительной, проектной, эксплуатационной и иной документации по защите информации;

– защита речевой информации при осуществлении конфиденциальных переговоров;

– защита информации, содержащей ПДн, при ее автоматизированной обработке, передаче с использованием технических средств, а также на бумажных или иных носителях;

– защита информации при взаимодействии абонентов с информационными сетями связи общего пользования.

8.5. Перечень необходимых мер защиты информации определяется по результатам обследования объекта информатизации с учетом соотношения затрат на защиту информации с возможным ущербом (негативным последствиям для субъектов ПДн) от ее разглашения, утраты, уничтожения, искажения, нарушения санкционированной доступности и работоспособности технических средств, обрабатывающих эту информацию, а также с учетом реальных возможностей ее перехвата и раскрываемости.

Основное внимание должно быть уделено защите информации, содержащей ПДн, в отношении которой угрозы реальны и сравнительно просто реализуемы без применения сложных технических средств перехвата информации.

К информации такого рода относится:

– речевая информация, циркулирующая в защищаемом помещении;

– информация, обрабатываемая СВТ;

– информация, выводимая на экраны мониторов;

– документированная информация, содержащая ПДн;

– информация, передаваемая по каналам связи, выходящим за пределы КЗ.

В целом обеспечение безопасности ПДн при их обработке в ИСПДн достигается реализацией совокупности организационных и технических мер, причем в интересах обеспечения безопасности ПДн в обязательном порядке подлежат защите технические и программные средства, используемые при обработке ПДн, и носители информации. При организации и осуществлении защиты ПДн необходимо руководствоваться требованиями нормативных и методических документов по защите ПДн в автоматизированных системах, учитывая при этом, что ПДн отнесены к информации ограниченного доступа.

В связи с тем что ИСПДн по своим характеристикам и номенклатуре угроз безопасности ПДн близки к наиболее распространенным информационным системам, целесообразно при их защите максимально использовать традиционные подходы к технической защите информации.

8.6. Создание системы защиты информации объекта информатизации осуществляется по следующим стадиям:

– предпроектная стадия, включающая в себя предпроектное обследование объекта информатизации (ИСПДн), разработку аналитического обоснования необходимости создания системы защиты персональных данных (далее СЗПДн) и технического задания на ее создание;

– стадия проектирования (разработки проектов) и реализации ИСПДн, включающая в себя разработку СЗПДн в составе объекта информатизации (ИСПДн);

– стадия ввода в действие СЗПДн, включающая в себя опытную эксплуатацию и приемо-сдаточные испытания средств защиты информации

(далее СрЗИ), а также оценку соответствия ИСПДн требованиям безопасности информации.

8.6.1. Предпроектная стадия обследования объекта информатизации (ИСПДн) включает в себя:

– установление необходимости обработки ПДн в ИСПДн;

– определение ПДн, подлежащих защите от НСД;

– определение условий расположения ИСПДн относительно границ КЗ;

– определение конфигурации и топологии ИСПДн в целом и ее отдельных компонентов, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

– определение технических средств и систем, предполагаемых к использованию в разрабатываемой ИСПДн, условий их расположения, общесистемных и прикладных программных средств, имеющихся и предлагаемых к разработке;

– определение режимов обработки ПДн в ИСПДн в целом и в отдельных ее компонентах;

– определение класса ИСПДн;

– уточнение степени участия должностных лиц в обработке ПДн, характер их взаимодействия между собой;

– определение (уточнение) угроз безопасности ПДн применительно к конкретным условиям функционирования ИСПДн (разработка частной модели угроз).

8.6.2. По результатам предпроектного обследования на основе документов ФСТЭК России, с учетом установленного класса ИСПДн задаются конкретные требования по обеспечению безопасности ПДн, включаемые в техническое (частное техническое) задание на разработку СЗПДн.

8.6.3. Предпроектное обследование может быть поручено специализированной организации, имеющей соответствующую лицензию. Порядок ознакомления (при необходимости) специалистов подрядной организации с защищаемыми сведениями определяется Организацией.

8.6.4. Аналитическое обоснование необходимости создания СЗПДн должно содержать:

– информационную характеристику и организационную структуру объекта информатизации;

– характеристику комплекса ТСИСПДн и ВТСС, программного обеспечения, режимов работы, технологического процесса обработки информации;

– возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;

– перечень предлагаемых к использованию сертифицированных СрЗИ;

– обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

– оценку материальных, трудовых и финансовых затрат на разработку и внедрение СЗПДн;

– ориентировочные сроки разработки и внедрения СЗПДн;

– перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

Аналитическое обоснование подписывается руководителем организации, проводившей предпроектное обследование, согласовывается с отделом безопасности или ответственным лицом и утверждается начальником Организации.

8.6.5. Техническое (частное техническое) задание на разработку СЗПДн должно содержать:

– обоснование разработки СЗПДн;

– исходные данные создаваемой (модернизируемой) ИСПДн в техническом, программном, информационном и организационном аспектах;

– класс ИСПДн;

– ссылку на нормативные документы, с учетом которых будет разрабатываться СЗПДн и приниматься в эксплуатацию ИСПДн;

– конкретизацию мероприятий и требований к СЗПДн;

– перечень предполагаемых к использованию сертифицированных СрЗИ;

– обоснование проведения разработок собственных СрЗИ при невозможности или нецелесообразности использования имеющихся на рынке сертифицированных СрЗИ;

– состав, содержание и сроки проведения работ по этапам разработки и внедрения СЗПДн.
<< 1 ... 5 6 7 8 9 10 11 12 13 ... 36 >>
На страницу:
Перейти
9 из 36

Другие электронные книги автора Иван Андреевич Трещев

Телекоммуникационные системы. Практические аспекты настройки АТС
Телекоммуникационные системы. Практические аспекты настройки АТС
0
Низкоуровневый анализ машинного кода. Для студентов технических специальностей
Низкоуровневый анализ машинного кода. Для студентов технических специальностей
0
Технология сканирования на наличие уязвимостей. Для студентов технических специальностей
Технология сканирования на наличие уязвимостей. Для студентов технических специальностей
0
Безопасность операционных систем. Часть 1. RAID, восстановление файлов, metasploit
Безопасность операционных систем. Часть 1. RAID, восстановление файлов, metasploit
0
Программирование для мобильных платформ. Android и WP. Учебный курс
Программирование для мобильных платформ. Android и WP. Учебный курс
0
Безопасность вычислительных сетей. Практические аспекты
Безопасность вычислительных сетей. Практические аспекты
0

Последний отзыв

Аста-Ураган в двух столицах. Путешествие во времени
Аста-Ураган в двух столицах. Путешествие во времени
Кристина Кретова
3
Очень интересная!