Введение

Оглавление

 

 

Список сокращений. 3

Введение. 4

Лекция 1. Сущность и задачи комплексной системы защиты информации. 5

1.1. Понятие комплексной системы защиты информации. 5

1.2. Сущность комплексной системы защиты информации. 6

1.3. Назначение комплексной системы защиты информации. 7

1.4. Принципы построения комплексной системы защиты информации. 8

1.5. Цели системного подхода к защите информации. 10

1.6. Стратегии защиты информации. 11

1.7. Разработка политики безопасности предприятия. 13

1.8. Основные требования, предъявляемые к комплексной системе защиты информации. 16

Лекция 2. Методологические основы комплексной системы защиты информации. 17

2.1. Основные понятия теории защиты информации. 17

2.2. Методология защиты информации как теоретический базис комплексной
системы защиты информации. 18

2.3. Основные понятия теории систем.. 20

2.4. Системный анализ и системный подход. 23

2.5. Основные системные представления. 25

Лекция 3. Определение состава защищаемой информации. 27

3.1. Методика определения состава защищаемой информации. 27

3.2. Классификация информации по видам тайны и степеням конфиденциальности. 28

3.3. Определение объектов защиты.. 29

3.4. Хранилища носителей информации как объект защиты.. 31

3.5. Методы оценки защищенности предприятия. 32

Лекция 4. Источники, способы и результаты дестабилизирующего воздействия
на информацию.. 34

4.1. Оценка угроз безопасности информации. 34

4.2. Явления, факторы и условия дестабилизирующего воздействия на защищаемую инфор-мацию 35

4.3. Источники дестабилизирующего воздействия на информацию.. 34

4.4. Виды и способы дестабилизирующего воздействия на информацию со стороны людей 37

4.5. Виды и способы дестабилизирующего воздействия на информацию со стороны технических средств, технологических процессов и природных явлений. 39

4.6. Определение причин, обстоятельств и условий дестабилизирующего воздействия
на информацию со стороны людей. 41

4.7.Причины, обстоятельства и условия дестабилизирующего воздействия на информацию со стороны технических средств, технологических процессов и
природных явлений. 42

Лекция 5. Каналы и методы несанкционированного доступа к информации. 46

5.1. Методика выявления каналов несанкционированного доступа к информации. 46

5.2. Определение возможных методов несанкционированного доступа к защищаемой информации 46

5.3. Деловая разведка как канал несанкционированного доступа для получения информации 50

5.4. Информационный продукт как следствие реализации несанкционированных действий 53

5.5. Модель потенциального нарушителя. 57

Лекция 6. Моделирование процессов комплексной системы защиты информации. 61

6.1. Понятие модели объекта. Моделирование как инструмент анализа объекта КСЗИ.. 61

6.2. Значение моделирования процессов КСЗИ.. 62

6.3. Архитектурное построение комплексной системы защиты информации. 65

Лекция 7. Технологическое построение комплексной системы защиты информации. 69

7.1. Технологическое построение организационной системы КСЗИ.. 69

7.2. Структура организационной системы предприятия. 71

7.3. Общее содержание работ по проектированию КСЗИ.. 74

7.4. Основные стадии проектирования КСЗИ.. 75

7.5. Факторы, влияющие на выбор состава КСЗИ.. 76

7.6. Модель системы автоматизированного проектирования защиты информации. 79

Лекция 8. Кадровое обеспечение комплексной системы защиты информации. 84

8.1. Кадровая политика предприятия при создании КСЗИ.. 84

8.2. Этапы работы с персоналом.. 85

8.3. Комплексная защита информации и персонал. 86

8.4. Мотивация. 88

8.5. Разработка кодекса корпоративного поведения. 89

Лекция 9. Нормативно-методическое обеспечение КСЗИ.. 92

9.1. Значение нормативно-методического обеспечения. 92

9.2. Состав нормативно-методического обеспечения. 93

9.3. Порядок разработки и внедрения документов предприятия. 94

Лекция 10. Управление комплексной системой защиты информации. 98

10.1. Общие законы кибернетики. 98

10.2. Сущность организации процессов управления КСЗИ.. 99

10.3. Технология организационного управления КСЗИ.. 100

10.4. Структуризация процессов технологии управления. 102

10.5. Требования к системе управления как объекту исследования. 103

10.6. Основы методологии принятия управленческого решения. 105

10.7. Общие требования к принятию управленческого решения. 107

10.8. Роль психологической теории принятия управленческого решения. 109

Лекция 11. Планирование деятельности комплексной системы защиты информации. 111

11.1. Цели планирования деятельности КСЗИ.. 111

11.2. Принципы планирования. 112

11.3. Способы планирования. 113

11.4. Основные положения разрабатываемого плана. 113

11.5. Стадии планирования. 115

11.6. Контроль деятельности. 116

Лекция 12. Управление комплексной системой защиты информации в условиях чрезвычайных ситуаций 118

12.1. Понятие и основные виды чрезвычайных ситуаций. 118

12.2. Технология принятия решения в условиях чрезвычайной ситуации. 119

12.3. Факторы, влияющие на принятие решения. 120

12.4. Обеспечение управления КСЗИ в условиях чрезвычайных ситуаций. 121

12.5. Подготовка мероприятий на случай возникновения чрезвычайной ситуации. 122

Литература. 123

Список сокращений.

СЗИ – система защиты информации

ЗИ – защита информации, защищаемая информация

КСЗИ – комплексная система защиты информации

КС – комплексная система

КТ – коммерческая тайна

ДФ – дестабилизирующие факторы

НСД – несанкционированный доступ

ОС – организационная система, организационная структура

ОУ – объект управления

СУ – субъект управления

ТЭО – технико-экономическое обоснование

ТЗ – техническое задание

ТП – технический проект

ТС – технические средства

СФС – структурно-функциональная схема

СБ – служба безопасности

АСОД – автоматизированная система обработки данных

ИС – информационная система

ГК – гражданский кодекс

ЛПР – лицо, принимающее решения

УР – управленческое решение

ВТ – вычислительная техника

ЧС – чрезвычайная ситуация

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

Создание системы защиты информации(СЗИ) не является главной задачей предприятия, как, например, производство продукции или получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.

Предложен комплексный подход к организации защиты информации(ЗИ) на предприятии. При этом объектом исследования является не только информационная система, но и предприятие в целом.

Рассматриваются концептуальные основы защиты информации, раскрывающие сущность, цели, структуру и стратегию защиты.

Анализируются источники, способы и результаты дестабилизирующего воздействия на информацию, а также каналы и методы несанкционированного доступа к информации. Определяются методологические подходы к организации и технологическому обеспечению защиты информации на предприятии. Представлена архитектура, этапы построения, принципы управления комплексной системой защиты информации(КСЗИ). Особое внимание уделено проблеме «человеческого фактора».

Предложенный подход к защите информации обеспечит целостное видение проблемы, повышение качества, следовательно, и надежности защиты информации.