ü регламентация процессов обработки информации различного уровня конфиденциальности;
ü строгий учет информационных ресурсов;
ü подготовка и обучение должностных лиц, работающих с защищаемой информацией;
ü установление персональной ответственности за нарушения в области информационной безопасности;
ü обеспечение проработки всеми участниками информационных процессов документов, содержащих требования по работе с защищаемой информацией;
ü проведение проверок и оценок знаний сотрудников ОАО «Электросети» в области защиты информации;
ü принятие эффективных мер по физической и технической защите защищаемой информации;
ü обеспечение правовой защиты информации при взаимодействиях с внешними организациями;
ü обеспечение контроля за соблюдением требований.
Все угрозы классифицируются по трем основным типам угроз информационной безопасности:
ü Угрозы нарушения целостности информации;
ü Угрозы нарушения конфиденциальности защищаемой информации;
ü Угрозы нарушения работоспособности АС.
Источниками угроз являются:
ü Непреднамеренные действия авторизованных пользователей, связанные с некорректной работой, случайными ошибками в действиях с защищаемой информацией, недостаточными знаниями и опытом, халатностью, любопытством.
ü Преднамеренные действия авторизованных пользователей в личных корыстных интересах, или интересах сторонних лиц и организаций.
ü Деятельность лиц и организаций, заинтересованных в получении защищаемой информации;
ü Ошибки при построении АС и системы защиты; при проектировании программного обеспечения; в функционировании технических средств.
ü Аварии, стихийные бедствия.
Возможные угрозы информационной безопасности ОАО «Электросети»:
ü Несанкционированный доступ к защищаемым документам на бумажных носителях (хищение, визуальное наблюдение);
ü Несанкционированный доступ к информации, хранимой на машинных носителях (персональные компьютеры, файловые серверы, серверы БД, резервные копии);
ü Несанкционированное использование персональных компьютеров авторизованных пользователей;
ü Снятие информации, передаваемой по телефонным линиям связи;
ü Несанкционированный доступ к используемым каналам связи и кабелям ЛВС;
ü Атаки через Internet;
ü Разглашение информации сотрудниками Предприятия;
ü Нарушение работоспособности АС по причине сбоев и некорректной работы;
ü Аварии и стихийные бедствия.
Техническая политика в области обеспечения информационной безопасности обеспечивает защиту данных от хищения, несанкционированной модификации, уничтожения, утечки по техническим каналам и при передаче по каналам связи.
Техническая политика должна обеспечивать:
ü Ограничение доступа сотрудников и посторонних лиц в помещения, в которых размещены защищаемые элементы АС;
ü Обеспечение работоспособности и надежности системы аутентификации зарегистрированных пользователей;
ü Ведение учета ознакомления персонала с конфиденциальной информацией;
ü Обеспечение резервного копирования защищаемых данных, представленных в виде документов и массивов документов;
ü Установка в помещениях ответственных лиц металлических шкафов для хранения информации на бумажных носителей и резервных копий документов в электронном виде;
ü Оборудование кабинетов руководителей, в которых проводятся закрытые совещания, аппаратурой, ограничивающей (исключающей с большой долей надежности) возможность снятия речевой и графической информации с помощью подслушивания, визуального наблюдения, лазерных анализаторов звуковых колебаний, анализаторов ПЭМИ, микрофонов и др. специальных средств .
ü Контроль за четким соблюдением инструкций, определяющих порядок действий при нештатной ситуации (аварии, пожаре, несанкционированном проникновении на территорию и несанкционированном доступе к защищаемой информации и др.);
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.