документ, устанавливающий комплекс взаимоувязанных работ и мероприятий, направленных на обеспечение заданных требований безопасности эксплуатации при создании космической[ого] системы [комплекса], изделия космической[ого] системы [комплекса].
Поделиться
- Telegram
- Вконтакте
- Одноклассники
Научные статьи на тему «Программа обеспечения безопасности эксплуатации»
Основные понятия информационной безопасности. Анализ угроз
Понятие информационной безопасности и ее основные составляющие Под понятием «информационная безопасность.
Замечание 1 Основными целями обеспечения информационной безопасности является защита государственной.
Самым слабым звеном в обеспечении информационной безопасности чаще всего оказывается человек.
Для выбора наиболее приемлемых средств обеспечения безопасности необходимо иметь представление об уязвимых.
; выход системы из штатного режима эксплуатации в силу случайных или умышленных действий пользователей
10 глупых вопросов СПЕЦИАЛИСТУ ПО КИБЕРБЕЗОПАСНОСТИ
Автор Sunssett
Источник Справочник
Категория Информационная безопасность
Статья от экспертов
Построение формализованной модели обеспечения безопасной эксплуатации самолетов по программе «ETops — EDTO»
Автор(ы) Арутюнов Артур Георгиевич
Кирдюшкин Владимир Сергеевич
Гафуров Джалолиддин Садруддинович
Источник Научный вестник Московского государственного технического университета гражданской авиации
Научный журнал
Технологии обеспечения безопасности обработки информации
Введение Технологией обеспечения информационной безопасности является заданное распределение операций.
специалистов предприятия с целью обеспечить комплексную защиту ресурсов информационных систем при их эксплуатации.
Основные требования к технологии обеспечения безопасности следующие: Обеспечение соответствия передовому.
Технологии обеспечения безопасности обработки информации Чтобы реализовать технологии обеспечения безопасности.
Безопасность данных заключается в гарантировании их достоверности и защите информации и программ от несанкционированного
Автор Александр Игоревич Фисенко
Источник Справочник
Категория Информационные технологии
Статья от экспертов
Проблема методического обеспечения формирования программ поддержания летной годности воздушных судов на этапе эксплуатации
В статье рассмотрены задачи формирования программ поддержания летной годности воздушных судов на этапе эксплуатации.
Источник: spravochnick.ru
Понятие, сущность и примеры процедур безопасности.
Процедуры безопасности являются необходимым и важным дополнением к политикам безопасности. Политики безопасности только описывают, что должно быть защищено и каковы основные правила защиты. Процедуры безопасности определяют как реализовываются политики безопасности.
не ХАЦКЕР, а Специалист по Информационной Безопасности! | UnderMind
Процедуры безопасности представляют собой пошаговые инструкции для выполнения оперативных задач. Процедура является тем инструментом, с помощью которого политика преобразуется в реальное действие. Например, политика паролей формулирует правила создания паролей, правила о том, как защитить пароль и как часто заменять пароли. Процедура управления паролями описывает процессы создания новых паролей, распределения их, а также гарантированной смены паролей на критичных устройствах.
Многие процедуры, связанные с безопасностью, должны быть стандартными средствами в любом подразделении. В качестве примеров можно указать процедуры для резервного копирования и внесистемного хранения защищенных копий, а также процедуры для вывода пользователя из активного состояния и/или архивирования его логина и пароля, применяемые сразу, как только данный пользователь увольняется из организации.
Процедура реагирования на события. Процедура является необходимым средством безопасности для большинства организаций и вступает в действие, когда обнаруживается вторжение в защищенную сеть организации или когда она сталкивается со стихийным бедствием.
Процедуру реагирования на события также называют процедурой обработки событий или процедурой реагирования на инциденты. К основным нарушениям безопасности относят: сканирование портов сети, атака типа «отказ в обслуживании», компрометация хоста, несанкционированный доступ и др.
Данная процедура определяет:
· à каковы обязанности членов команды реагирования;
· à какую информацию следует регистрировать и прослеживать;
· à как обрабатывать исследование отклонений от нормы и попытки вторжения;
· à кого уведомлять и когда;
· à кто может публиковать информацию и какова процедура ее выпуска;
· à как должен выполняться последующий анализ и кто будет в этом участвовать.
В команду реагирования могут быть включены должностные лица компании, менеджер отдела маркетинга (для связи с прессой), системный и сетевой администраторы и представитель соответствующих правоохранительных органов. Процедура должна указать, когда и в каком порядке они вызываются.
Процедура управления конфигурацией. Процедура определяется на корпоративном уровне или уровне подразделения. Она определяет процесс документирования и запроса изменений конфигурации на всех уровнях принятия решений.
Процедура управления конфигурацией определяет:
· à кто имеет полномочия выполнять изменения конфигурации аппаратного и программного обеспечения;
· à как тестируется и инсталлируется новое аппаратное и программное обеспечение;
· à как документируются изменения в аппаратном и программном обеспечении;
· à кто должен быть проинформирован, когда вносятся изменения в аппаратном и программном обеспечении.
· Процесс управления конфигурацией важен по нескольким причинам:
· à он документирует внесенные изменения и обеспечивает возможность аудита;
· à он документирует возможный простой системы;
· à он дает способ координировать изменения так, чтобы одно изменение не помешало другому.
Схема разработки политики безопасности.
Разработка политики безопасности является ключевым этапом построения защищенной информационной системы или сети. Составление политики или политик безопасности является началом осуществления общей программы обеспечения безопасности организации. На основе разработанной политики безопасности создается детальная программа обеспечения безопасности, которая необходима для создания эффективной системы безопасности организации.
Основные этапы программы обеспечения безопасности включают в себя:
¨ определение ценности технологических и информационных активов организации;
¨ оценка рисков этих активов (сначала путем идентификации тех угроз, для которых каждый актив является целевым объектом, а затем оценкой вероятности того, что эти угрозы будут реализованы на практике);
¨ установление уровня безопасности, определяющего защиту каждого актива, то есть мер безопасности, которые можно считать рентабельными для применения;
¨ формирование на базе предыдущих этапов политики безопасности организации;
¨ привлечение необходимых финансовых ресурсов для реализации политики безопасности, приобретение и установка требуемых средств безопасности;
¨ проведение разъяснительных мероприятий и обучения персонала для поддержки сотрудниками и руководством требуемых мер безопасности;
¨ регулярный контроль пошаговой реализации плана безопасности с целью выявления текущих проблем, учета изменения внешнего окружения и внесение необходимых изменений в состав персонала.
К политикам безопасности предъявляются следующие основные требования:
¨ политики безопасности должны:
· указывать цели и причины, по которым нужна политика;
· описывать, что именно охватывается этими политиками;
· определить роли, обязанности и контакты;
· определить, как будут обрабатываться нарушения безопасности;
¨ политики безопасности должны быть:
· реальными и осуществимыми;
· краткими и доступными для понимания;
· сбалансированными по защите и производительности.
Первыми шагами по разработке политики безопасности являются следующие:
¨ создание команды по разработке политики;
¨ принятие решения об области действия и целях политики;
¨ принятие решения об особенностях разрабатываемой политики;
¨ определение лица или органа для работы в качестве официального интерпретатора политики.
Процесс проектирования политики безопасности целесообразно унифицировать. Унифицированный процесс проектирование политик безопасности состоит из следующих этапов.
Создание команды по разработке политики безопасности организации. Команда создается руководством организации, которое должно осознавать важность информационной безопасности и полностью реализовать свою позитивную роль в успешной разработке, принятии и внедрении этой политики.
В состав команды включают квалифицированных специалистов, хорошо разбирающихся в требованиях бизнеса, информационных технологиях и безопасности, юриста и члена руководства, который сможет проводить в жизнь эту политику безопасности. К работе этой команды должны быть также привлечены администраторы безопасности и системные администраторы, представитель от сообщества пользователей.
Размер команды по разработке политики зависит от масштаба и области действия политики. Крупномасштабные политики могут потребовать команды из 5÷10 человек, в то время как для политики небольшого масштаба достаточно только одного или двух человек.
Анализ требований бизнеса. Члены команды с различными позициями и точками зрения должны проанализировать требования бизнеса к использованию компьютерных и сетевых сервисов. Когда мнения некоторых членов этой команды не совпадают, столкновения их интересов и пересечения разных отраслей знания при обсуждении требований бизнеса позволяют получить более полную и объективную картину, чем при обычном опросе людей, работающих в области маркетинга, продаж или разработки.
На этом этапе анализируются и решаются следующие вопросы:
· какие компьютерные и сетевые сервисы требуются для бизнеса и как эти требования могут быть удовлетворены при условии обеспечения безопасности?
· скольким сотрудникам необходимы доступ в Интернет, использование электронной почты и интранет-сервисов?
· зависят ли компьютерные и сетевые сервисы от удаленного доступа к внутренней сети?
· имеются ли требования по веб-доступу?
· требуются ли клиентам данные технической поддержки через Интернет?
Анализ рисков. Использование информационных систем и сетей связано с определенной совокупностью рисков. Этот этап является важнейшим этапом формирования политики безопасности (рис. 2.2).
На этапе анализа рисков осуществляются следующие действия:
· идентификация и оценка стоимости технологических и информационных активов;
· анализ тех угроз, для которых данный актив является целевым объектом;
· оценка вероятности того, что угроза будет реализована на практике;
· оценка рисков этих активов.
Оценка риска выявляет как самые ценные, так и наиболее уязвимые активы, она позволяет точно установить, на какие проблемы нужно обратить особое внимание. Отчет об оценке рисков является инструментом при формировании политики сетевой безопасности.
Установление уровня безопасности. Здесь определяется защита каждого актива, то есть меры безопасности, которые можно считать рентабельными для применения. Стоимость защиты конкретного актива не должна превышать стоимости самого актива.
Рис. 2.2. Схема разработки политики безопасности
С этой целью составляется подробный перечень всех активов, который включает такие материальные объекты, как серверы и рабочие станции, и такие нематериальные объекты, как данные и программное обеспечение. Идентифицируются каталоги, которые содержат конфиденциальные файлы или файлы целевого назначения. После идентификации этих активов проводится определение стоимости замены каждого актива с целью назначения приоритетов в перечне активов.
Переоценка рисков. Производится с целью контроля эффективности деятельности в области безопасности и для учета изменений обстановки.
После проведения описанной выше работы переходят к непосредственному составлению политики безопасности. В политике безопасности организации должны быть определены используемые стандарты, правила и процессы безопасности.
Стандарты указывают, каким критериям должно следовать управление безопасностью. Правила подробно описывают принципы и способы управления безопасностью. Процессы должны осуществлять точную реализацию правил в соответствии с принятыми стандартами.
Кроме того, политика безопасности должна определить значимые для безопасности роли и указать ответственности этих ролей. Роли устанавливаются во время формирования процессов.
Обычно процесс состоит из одного или более действий, где каждое действие включает четыре компонента (рис. 2.3):
Рис. 2.3. Графическое представление действия в рамках процесса
1. Вход, например запрос пользователем нового пароля.
2. Механизм, реализующий данное действие и указывающий средства или роли, с помощью которых это действие выполняется. Он определяет, какие роли вовлечены в это конкретное действие (например, пользователь, запрашивающий новый пароль, и администратор безопасности).
3. Управление – описывает алгоритм или условия, которые управляют этим действием (например, при запросе нового пароля инициатор запроса должен успешно пройти аутентификацию).
4. Выход – является результатом этого действия (например, сообщение пользователю нового пароля).
Компоненты архитектуры безопасности: физическая безопасность, логическая безопасность, защита ресурсов, определение административных полномочий, роли и ответственности в безопасности сети, аудит и оповещение.
Руководство по архитектуре безопасности детально определяет контрмеры против угроз, раскрытых при оценке рисков. Руководство описывает компоненты архитектуры безопасности сети, рекомендует конкретные продукты безопасности и дает инструкции, как их развернуть и управлять ими. В частности, это руководство может содержать рекомендации, где следует поставить межсетевые экраны, когда использовать шифрование, где разместить веб-серверы и как организовать управление коммуникациями с бизнес-партнерами и заказчиками. Руководство по архитектуре безопасности определяет также гарантии безопасности, аудит и средства контроля.
Физическая безопасность. Физическая защита ресурсов и активов организации достигается с помощью аппаратных средств и размещения соответствующих компьютерных и коммуникационных средств в физически защищенных помещениях или зонах.
Без обеспечения физической безопасности будут подвергаться серьезным угрозам такие важные аспекты информационной безопасности, как конфиденциальность, доступность и целостность информации. Реализация физической защиты заключается в определении тех компонентов компьютерной среды, которые должны быть физически защищены. К таким компонентам относятся:
¨ центральные процессоры и системные блоки;
¨ компоненты инфраструктуры локальной сети LAN (системы управления LAN, мосты, маршрутизаторы, коммутаторы, активные порты и др.);
¨ системы, связанные с LAN;
Затем устанавливают два или три типа областей с различными уровнями безопасности, такими как:
¨ открытые области – в них допускаться все сотрудники компьютерной среды;
¨ контролируемые области – они должны быть закрыты, когда находятся без присмотра;
¨ особо контролируемые области – области, куда ограничен доступ даже зарегистрированным авторизованным пользователям.
Далее каждая такая область назначается одному компоненту системы или топологии системных компонентов в зависимости от степени их конфиденциальности.
Логическая безопасность. Она характеризует уровень защиты ресурсов и активов в сети. Логическая безопасность включает средства безопасности, осуществляющие идентификацию и аутентификацию пользователей, управление доступом, межсетевое экранирование, аудит и мониторинг сети, управление удаленным доступом и т.д.
Защита ресурсов. Ресурсы (файлы, базы данных, программы, данные) делятся на две группы:
1. Ресурсы операционной системы – объекты данных, которые связаны с системными сервисами или функциями; они включают системные программы и файлы, подсистемы и программные продукты. Ресурсы операционной системы обычно находятся под управлением и ответственностью провайдера сервиса. Ресурсы операционной системы не всегда являются ограниченными для чтения, хотя список исключений должен быть установлен и соответственно защищен. Типичным примером такого исключения является база данных, в которой хранятся пароли и идентификаторы пользователей.
2. Ресурсы пользователей – объекты данных, которые связаны с отдельными пользователями или группами пользователей. Ресурсы пользователей должны быть защищены в соответствии с требованиями собственника данных.
Определение административных полномочий. Некоторые из пользователей, находящихся в сети, имеют особые полномочия. Такие полномочия нужны для управления компьютерными системами и безопасностью. Эти административные полномочия можно разделить на две категории:
¨ полномочия системного администратора;
¨ полномочия администратора безопасности.
Полномочия системного администратора позволяют администратору выполнить действия, необходимые для управления компьютерными системами. Эти полномочия могут дать возможность администратору обойти контроль безопасности, но это должно рассматриваться как злоупотребление полномочиями.
Полномочия администратора безопасности дают возможность администратору выполнять действия, необходимые для управления безопасностью. Эти полномочия позволяют администратору осуществлять изменение системных компонентов или считывать конфиденциальные данные. Однако, если считывание конфиденциальных данных выполнено администратором без соответствующей потребности бизнеса, это должно рассматриваться как злоупотребление своими полномочиями.
Полномочия системного администратора и администратора безопасности являются одинаково важными для безопасности. С учетом этого необходимо выполнить следующее:
¨ определить для каждой системной платформы или системы управления доступом те полномочия, которые могут быть признаны в указанных категориях;
¨ назначить полномочия администраторам в соответствии с индивидуальной ответственностью;
¨ периодически проверять назначение идентификаторов авторизованным пользователям.
Дата добавления: 2018-06-01 ; просмотров: 924 ; Мы поможем в написании вашей работы!
Источник: studopedia.net
Готовый Комплект Документов По Антитеррористической Безопасности! Скачать Бесплатно!
Приветствую, уважаемые друзья! В связи с повышенным риском террористических актов, актуальным вопросом является обеспечение антитеррористической безопасности в организациях. Не беспокойтесь, Блог Инженера и Ко спешат вам на помощь!
Антитеррористическая безопасность – важный аспект жизнедеятельности
Предлагаю вам абсолютно бесплатно скачать готовый комплект документов по антитеррористической безопасности на примере образовательного учреждения.
В комплекте документов по антитеррористической безопасности условно есть две папки:
Папка №1 – Законодательные и нормативные акты по антитеррористической защищённости.
Папка №2 – Нормативные документы по организации антитеррористической работы в образовательном учреждении.
ПАПКА № 1
Законодательные и нормативные акты по антитеррористической защищённости
В папке должны находиться: Федеральные законы, Указы Президента Российской Федерации, Постановления Правительства Российской Федерации, приказы и другие документы МЧС России, нормативно-правовые акты Республики Крым, приказы, инструктивные письма, изданные департаментом образования и науки Республики Крым, касающиеся антитеррористической защищённости, муниципальные постановления, приказы, инструктивные письма.
1. Федеральный закон от 28 декабря 2010 г. № 390-ФЗ «О безопасности» (с изменениями и дополнениями).
Настоящий Закон закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации и финансирования органов обеспечения безопасности, а также контроля и надзора за законностью их деятельности.
2. Федеральный закон от 6 марта 2006 года № 35-ФЗ «О противодействии терроризму» (с изменениями и дополнениями).
Настоящий Федеральный закон устанавливает основные принципы противодействия терроризму, правовые и организационные основы профилактики терроризма и борьбы с ним, минимизации и (или) ликвидации последствий проявлений терроризма, а также правовые и организационные основы применения Вооруженных Сил Российской Федерации в борьбе с терроризмом.
3. Указ Президента от 12 мая 2009 года № 537 «О стратегии национальной безопасности Российской Федерации до 2020 года».
4. Указ Президента от 15 февраля 2006 № 116 «О мерах по противодействию терроризма».
5. Закон РФ от 11 марта 1992 года № 2487-1 «О частной детективной и охранной деятельности в Российской Федерации» (с изменениями и дополнениями).
6. Письмо Министерства образования РФ «О проведении учебных занятий по вопросам противодействия химическому и биологическому терроризму» от 15 октября 2001 г. № 42-15/42-11.
7. Постановление Совета министров Республики Крым от 25 ноября 2014 г. № 466 «О мерах и требованиях по обеспечению антитеррористической защищенности объектов с массовым пребыванием людей, расположенных на территории Республики Крым».
8. Указ Главы Республики Крым от 15 апреля 2014 г. № 2 «О создании антитеррористической комиссии в Республике Крым».
9. Письмо Министерства образования и науки РФ от 4 июня 2008 г. № 03-1423 “О методических рекомендациях”.
10. Постановление Правительства РФ от 25 декабря 2013 г. № 1244 “Об антитеррористической защищенности объектов (территорий)”.
11. Указ Президента РФ от 26 июля 2011 г. № 988 “О Межведомственной комиссии по противодействию экстремизму в Российской Федерации”.
Примечание к папке №1 Содержание всех вышеуказанные законодательных и нормативных актов в папке не приводится, но это не проблема; вам в помощь К+, Гарант и т.п. Кроме всего прочего, при поиске вам надо будет учесть законодательные и нормативные акты вашего региона. В данной папке, в то числе приводятся законодательные и нормативные акты действующие на территории Крыма
ПАПКА № 2
Нормативные документы
по организации антитеррористической работы в образовательном учреждении
1. Приказ руководителя структурного подразделения, филиала КФУ о создании антитеррористической группы, утверждении системы работы по противодействию терроризму и экстремизму, утверждении Положения о антитеррористической группе (приложение № 1).
2. Приказ об организации охраны, пропускного и внутри объектового режимов работы в зданиях и на территории (приложение № 2).
3. Инструкция руководителю образовательного учреждения по обеспечению безопасности, антитеррористической защищенности сотрудников и обучающихся в условиях повседневной деятельности (приложение № 3).
4. План профилактической работы по предотвращению террористических актов (приложение № 4).
5. Инструкция персоналу по действиям при обнаружении предмета, похожего на взрывное устройство (приложение № 5).
6. Рекомендуемые зоны эвакуации и оцепления при обнаружении взрывного устройства или подозрительного предмета, который может оказаться взрывным устройством (приложение № 6).
7. Инструкция персоналу по действиям при поступлении угрозы террористического акта по телефону (приложение № 7).
8. Инструкция руководителю по действиям при поступлении угрозы террористического акта в письменном виде (приложение № 8).
9. Инструкция персоналу по действиям при захвате террористами заложников (приложение № 9).
10. Инструкция по действиям постоянного состава и обучающихся в условиях возможного биологического заражения (приложение № 10).
11. Рекомендации по обеспечению охраны образовательного учреждения (приложение № 11):
– виды, система, порядок и задачи охраны объектов;
– общие положения;
– организация делопроизводства;
– меры инженерно-технической укреплённости образовательного учреждения;
– оборудование образовательного учреждения техническими средствами;
– создание системы оповещения;
– организация взаимодействия администрации образовательного учреждения;
– категорирование объектов возможных террористических посягательств;
– рекомендации по разработке плана-схемы охраны образовательного учреждения при угрозе или совершении террористического акта;
– оценка эффективности систем антитеррористической защиты и разработка перспективного плана оборудования инженерно-техническими средствами охраны и обеспечения безопасности образовательного учреждения;
– рекомендации по обучению сотрудников образовательных учреждений действиям при возникновении террористических угроз и иных преступных посягательств.
12. Акт комиссионной проверки антитеррористической защищённости образовательного учреждения (приложение №12).
13. Рекомендации по заключению договоров на охрану учреждений образования (приложение №13), образцы документов, находящихся на посту охраны:
– инструкция по охране объекта;
– уведомление ОВД о взятии объекта под охрану;
– лицензия на осуществление частной охранной деятельности;
– свидетельство Республики Крым о государственной регистрации ЧОП;
– инструкция сотруднику охраны по пожарной безопасности;
– инструкция сотруднику охраны при угрозе проведения террористического акта и обнаружении бесхозных предметов;
– действия сотрудников охраны в ЧС;
– зоны эвакуации и оценивания мест вероятного взрыва;
– памятка сотрудника охраны;
– личная карточка охранника;
– удостоверение частного охранника;
– журнал учёта посетителей;
– журнал приёма, сдачи дежурств и контроля за несением службы;
– журнал выдачи ключей и приёма помещений под охрану;
– график несения службы охранниками;
– список автомобилей, имеющих право въезда на территорию ОУ;
– рабочая тетрадь охранника;
– схема оповещения персонала;
– расписание занятий работы кружков, секций.
14. Паспорт антитеррористической безопасности (приложение № 14):
– положение о паспорте антитеррористической безопасности;
– аннотация;
– возможные ситуации на объекте;
– сведения о персонале объекта;
– силы и средства охраны объекта;
– план-схема охраны;
– документация приложение;
– приложение к пунктам паспорта антитеррористической безопасности (приложение № 1-8).
15. Памятка дежурному администратору образовательного учреждения о первоочередных действиях при угрозе террористического акта (приложение № 15).
16. Памятка руководителю образовательного учреждения о первоочередных действиях при угрозе террористического акта (приложение № 16).
17. Функциональные обязанности ответственного лица образовательного учреждения по выполнению мероприятий по антитеррористической защищённости (приложение № 17).
18. Примерное положение об организации пропускного режима в образовательном учреждении (приложение № 18).
19. Рекомендации руководителю образовательного учреждения по противодействию терроризму (приложение № 19).
20. Рекомендации руководителю образовательного учреждения по предотвращению террористических актов (приложение № 20).
21. Рекомендации должностному лицу при получении угрозы о взрыве (приложение № 21).
22. Рекомендации должностному лицу при обнаружении предмета, похожего на взрывоопасный (приложение № 22).
23. Инструкция по ведению телефонного разговора при угрозе взрыва (приложение № 23).
24. Контрольный лист наблюдений при угрозе по телефону (приложение № 24).
25. Применяемые условные обозначения (приложение № 25).
СКАЧАТЬ КОМПЛЕКТ
ГОТОВЫЙ КОМПЛЕКТ ДОКУМЕНТОВ ПО АНТИТЕРРОРИСТИЧЕСКОЙ БЕЗОПАСНОСТИ В ОБРАЗОВАТЕЛЬНОМ УЧРЕЖДЕНИИ
Бонусом к данной заметке будет вот эта инфографика “Поведение в чрезвычайных ситуациях, вызванных действием террористов” (нажмите на картинку, чтобы сохранить в исходном размере):
Источник: xn—-8sbbilafpyxcf8a.xn--p1ai