Что такое комплексная система защиты информации (КСЗИ)
Необходимость построения КСЗИ:
Согласно действующему законодательству Украины и требований отдельных нормативных документов Закона Украины «О защите информации в информационно-телекоммуникационных системах» и Закона Украины «О защите персональных данных» обязательной защите информации подлежит: информация, которая является собственностью государства, или информация с ограниченным доступом, требования по защите которой установлены законом, в т.ч. персональные данные граждан.
Комплексная система защиты информации – совокупность организационных и инженерно-технических мероприятий, направленных на обеспечение защиты информации от разглашения, утечки и несанкционированного доступа. Организационные мероприятия являются обязательной составляющей построения любой КСЗИ. Инженерно-технические мероприятия осуществляются по мере необходимости.
Организационные мероприятия
Организационные мероприятия включают в себя создание концепции информационной безопасности, а также:
— составление должностных инструкций для пользователей и обслуживающего персонала;
— создание правил администрирования компонент информационной системы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
— разработку планов действий в случае выявления попыток несанкционированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
— обучение правилам информационной безопасности пользователей.
В случае необходимости, в рамках проведения организационных мероприятий может быть создана служба информационной безопасности, проведена реорганизация системы делопроизводства и хранения документов.
Инженерно-технические мероприятия
Инженерно-технические мероприятия – совокупность специальных технических средств и их использования для защиты информации. Выбор инженерно-технических мероприятий зависит от уровня защищенности информации, который необходимо обеспечить.
Инженерно-технические мероприятия, проводимые для защиты информационной инфраструктуры организации, могут включать использование защищенных подключений, межсетевых экранов, разграничение потоков информации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.
В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно-пожарной сигнализации, систем контроля и управления доступом.
Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации.
Субъекты КСЗИ
В процесс создания КСЗИ привлекаются такие стороны:
— организация, для которой осуществляется построение КСЗИ (Заказчик)
— организация, осуществляющая мероприятия по построению КСЗИ (Исполнитель)
— Администрация Государственной службы специальной связи и защиты информации Украины (Администрация Госспецсвязи) (Контролирующий орган)
— организация, осуществляющая государственную экспертизу КСЗИ (Организатор экспертизы);
— организация, которая в случае необходимости привлекается Заказчиком или Исполнителем для выполнения некоторых работ по созданию КСЗИ (Подрядчик).
Объекты защиты КСЗИ
Объектом защиты КСЗИ является информация, в любом ее виде и форме представления. Материальными носителями информации являются сигналы. По своей физической природе информационные сигналы можно разделить на следующие виды: электрические, электромагнитные, акустические, а также их комбинации.
Сигналы могут быть представлены в форме электромагнитных, механических и других видах колебаний, причем информация, подлежащая защите, содержится в их переменных параметрах.
В зависимости от природы, информационные сигналы распространяются в определенных физических средах. Среды могут быть газовыми, жидкостными и твердыми. Например, воздушное пространство, конструкции зданий, соединительные линии и токопроводящие элементы, заземления и другие.
В зависимости от вида и формы представления информационных сигналов, циркулирующих в информационно-телекоммуникационной системе (ИТС), в том числе и в автоматизированных системах (АС), при построении КСЗИ могут использоваться различные средства защиты.