Бесплатный фрагмент - Организация и технология защиты конфиденциальной информации в информационных системах
Методическое пособие для студентов
Введение
Бурное развитие информационных технологий привело к возникновению большого количества информационных баз, содержащих различные данные о физических и юридических лицах. Сбор, обработка, использование, хранение этих данных осуществляются, в финансовой и налоговой сферах, в сфере пенсионного, социального и медицинского страхования, в оперативно-розыскной деятельности, в трудовой и других областях общественной жизни.
Персональные данные являются неотъемлемой частью информационных ресурсов всех уровней от федерального до муниципальных образований. Интенсивно формируется институт персональных данных как важная составляющая информационного права России.
Основой регулирования правоотношений в сфере персональных данных являются положения ст. 24 Конституции РФ, которые устанавливают, что без согласия лица не допускаются сбор, хранение, использование и распространение информации о его частной жизни.
Конституционной обязанностью органов государственной власти и органов местного самоуправления, их должностных лиц является обеспечение возможности каждому ознакомиться с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Среди соответствующих международно-правовых норм следует отметить ст. 8 Конвенции по защите прав человека и основных свобод, допускающую необходимое в демократическом обществе вмешательство в частную жизнь лица только в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц (такое вмешательство предусмотрено законом).
Впервые персональные данные как вид документированной информации ограниченного доступа были определены в Федеральном законе от 20.02.1995 N 24-ФЗ «Об информации, информатизации и защите информации» (в наст. время-в ред. от 10.01.2003;). К таким данным относятся сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений.
Перечень сведений конфиденциального характера
Перечень сведений конфиденциального характера определен указом президента РФ от 06.03.97 №188 «Об утверждении перечня сведений конфиденциального характера». Данный перечень приведен ниже.
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Перечень сведений составляющих конфиденциальную информацию для образовательного учреждения
Перечень сведений, составляющих конфиденциальную информацию [Наименование образовательного учреждения] (далее — Организация) разработан в соответствии:
— с Федеральным законом от 27 июля 2006 №149-ФЗ «Об информации, информационных технологиях и защите информации»;
— с Федеральным законом от 27 июля 2006 №152-ФЗ «О персональных данных»;
— с Федеральным законом от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне»;
— с Указом Президента РФ от 6 марта 1997 года №188 «Об утверждении перечня сведений конфиденциального характера»;
— с Инструкцией о порядке обращения со служебной информацией ограниченного распространения в Министерстве образования и науки Российской Федерации, утвержденной Приказом Министерства образования и науки Российской Федерации от 30 декабря 2010 г. №2233;
— с Уставом СФУ.
Сведения, относящиеся к конфиденциальной информации СФУ, приведены в разделах 1—4 настоящего перечня.
1 Персональные данные граждан
1.1 Фамилия, имя, отчество (в том числе прежние фамилия, имя или отчество в случае их изменения, когда, где и по какой причине изменяли).
1.2 Фотография.
1.3 Число, месяц, год рождения.
1.4 Место рождения.
1.5 Информация о гражданстве (в том числе прежние гражданства, иные гражданства).
1.6 Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).
1.7 Сведения о зачислении, переводе и отчислении обучающихся.
1.8 Сведения о профессиональной переподготовке и (или) повышении квалификации.
1.9 Сведения об ученой степени, ученом звании.
1.10 Информация о владении иностранными языками, степень владения.
1.11 Сведения из заключения медицинского учреждения о наличии (отсутствии) заболевания.
1.12 Сведения о прохождении службы (работы), в том числе: личный номер (при наличии), дата, основания поступления на службу (работу) и назначения на должность, дата, основания назначения, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера денежного содержания, денежного довольствия, заработной платы, результатов аттестации на соответствие замещаемой должности, а также сведения о прежних местах службы (работы).
1.13 Информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору.
1.14 Сведения об участии в конференциях, фестивалях, конкурсах, соревнованиях и т.п., о достигнутых в их ходе результатах.
1.15 Информация о государственных наградах, иных наградах и знаках отличия (кем и когда награжден).
1.16 Информация об отпусках.
1.17 Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера.
1.18 Сведения о социальных льготах, о назначении и получении стипендий, премий и других выплат.
1.19 Серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи.
1.20 Место жительства (адрес регистрации, фактического проживания) и адреса прежних мест жительства.
1.21 Номер телефона (либо иной вид связи).
1.22 Реквизиты страхового свидетельства обязательного пенсионного страхования.
1.23 Идентификационный номер налогоплательщика.
1.24 Реквизиты полиса обязательного медицинского страхования.
1.25 Семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших).
1.26 Информация, содержащаяся в свидетельствах о государственной регистрации актов гражданского состояния.
1.27 Сведения о воинском учете и информация, содержащаяся в документах воинского учета.
1.28 Персональные данные, содержащиеся в выписке из домовой книги, копиях финансового лицевого счета.
1.29 Сведения о пребывании за границей.
1.30 Информация о наличии (отсутствии) судимости.
1.31 Номер расчетного счета.
1.32 Номер банковской карты.
1.33 Иные персональные данные, необходимые для достижения целей их обработки.
1.34 Номер визы, миграционной карты, КПП, дата пересечения границы РФ (для иностранных граждан).
1.35 Сроки пребывания на территории РФ и в СФУ (для иностранных граждан).
2 Служебная информация ограниченного распространения
2.1 Сведения о перспективных методах управления университетом.
2.2 Сведения о ведении и содержании переговоров, целях и содержании совещаний органов управления.
2.3 Сведения, содержащиеся в документах по организации воинского учета и мобилизационной работы.
2.4 План гражданской обороны университета.
2.5 Схемы размещения инфраструктуры жизнеобеспечения (энергоснабжения, водоснабжения, канализации, теплоснабжения, телефонной связи и др.).
2.6 Содержание переписки, телефонных переговоров, почтовых отправлений, телеграфных, электронных и иных сообщений.
2.7 Организация и состояние системы безопасности жизнедеятельности, в том числе системы защиты информации.
2.8 Организация и состояние охраны и пропускного режима.
2.9 Размещение защищаемых помещений (в которых хранится, циркулирует и обрабатывается конфиденциальная и другая ценная информация со средствами ее хранения, обработки и передачи), организация доступа в них.
2.10 Организация, схемы размещения, возможности и состояние системы охраны техническими средствами, в том числе системы видеонаблюдения, номера электронных ключей.
2.11 Организация, возможности и состояние оперативной связи обеспечения и безопасности жизнедеятельности.
2.12 Организация взаимодействия с правоохранительными и другими государственными органами при проведении совместных мероприятий.
2.13 Сведения, составляющие материалы служебных расследований, проверок, дознания, следствия, судопроизводства
2.14 Проектная, техническая, эксплуатационная документация на автоматизированные системы (АС), вычислительные сети (ВС), средств связи, в которых обрабатывается и циркулирует конфиденциальная информация.
2.15 Схемы размещения технических средств обработки конфиденциальной информации, коммуникационных линий.
2.16 Сведения о специфических и уникальных программных продуктах.
2.17 Ключи шифрования и электронно-цифровые подписи средств криптографической защиты информации, места и порядок их хранения и выдачи.
2.18 Порядок использования, возможности и состояние систем (средств) криптографической и технической защиты информации, документация на них.
2.19 Организация и состояние систем администрирования, управления доступом в АС и ВС.
2.20 Порядок и места размещения информационных ресурсов, содержащих конфиденциальную информацию университета.
2.21 Организация и состояние системы парольной защиты (значение, порядок генерации, использования, смены и прекращения действия паролей) в АС, ВС и других средств вычислительной техники.
2.22 Организация резервирования конфиденциальной информации, места хранения резервных копий конфиденциальной, ценной и другой важной информации.
2.23 Программное обеспечение базового оборудования средств связи.
2.24 База данных абонентских номеров телефонной связи.
3 Информация, составляющая коммерческую тайну
3.1 Сведения о коммерческих замыслах и планах (расширении или свертывании работ в целом и по отдельным направлениям).
3.2 Содержание и условия коммерческих контрактов, договоров, соглашений и платежей.
3.3 Сведения о целях, задачах, тактике и результатах переговоров с деловыми партнерами.
3.4 Сведения, составляющие секреты производства (ноу-хау).
3.5 Сведения, составляющие коммерческую тайну партнеров, переданные на доверительной основе.
3.6 Содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности.
3.7 Сведения об инвестициях.
3.8 Сведения, содержащие выводы и рекомендации по рыночной стратегии и тактике.
3.9 Сведения о фактическом состоянии расчетов по обязательствам.
3.10 Сведения об отдельных финансовых операциях университета и о доходах по этим операциям.
3.11 Сведения о внешнеэкономических, валютных и кредитных отношениях с конкретными иностранными и российскими предприятиями, фирмами и организациями.
3.12 Сведения о встречах и переговорах с деловыми партнерами университета.
3.13 Сведения об особых условиях отношений с иностранными научными и иными организациями.
3.14 Сведения о времени выхода на рынок, выбор посредника для ведения коммерческих переговоров и тактике их ведения.
3.15 Сведения о целях, задачах, программах, новейших по тематике и перспективных научно-технических работ и исследований.
3.16 Научно-техническая, технологическая, конструкторская и проектная документация.
3.17 Современные методы решения новых научных и научно-технических задач.
3.18 Новые высокоэффективные технические решения, не защищенные патентным правом, обеспечивающие значительное улучшение основных технико-экономических характеристик устройств и систем.
3.19 Современные методы проектирования и испытания современных и перспективных устройств и систем.
3.20 Информация о новых разработках программного и компьютерного обеспечения.
3.21 Экспериментальные и расчетные результаты, получение которых связано с большими финансовыми, материальными или временными издержками.
3.22 Информация о рентабельности научно-исследовательских работ университета.
3.23 Информация о себестоимости и контрактных ценах научных разработок, товаров, услуг, условиях кредитования и платежа.
3.24 Информация о конъюнктуре рынка научно-технических исследований и разработок, сведения о научно-исследовательских работах, выполняемых университетом по государственным и муниципальным контрактам, хозяйственным договорам, инновационным проектам и т.д.).
3.25 Информация об экспертизе научных трудов (публикаций).
3.26 Сведения о сущности изобретения, полезной модели, промышленного образца до официальной их регистрации.
3.27 Современные и эффективные технологии и методики обучения.
3.28 Результаты дипломных проектов, учебно-исследовательских работ студентов и аспирантов, имеющих практическую ценность.
3.29 Содержание современных учебных планов и программ, учебно-методических разработок по новым дисциплинам до их официального опубликования.
3.30 Сведения о конъюнктуре рынка подготовки специалистов.
3.31 Сведения о контрактах с иностранными гражданами.
4 Сведения, содержащиеся в документах государственных органов, органов местного самоуправления, других организаций и учреждений с грифом «Для служебного пользования», «Коммерческая тайна», «Конфиденциальная информация».
Ниже приведем пример инструкции по обеспечению информационной безопасности на автоматизированных рабочих местах для образовательного учреждения.
ИНСТРУКЦИЯ «О МЕРАХ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В [Наименование образовательного учреждения].
1 ОБЩИЕ ПОЛОЖЕНИЯ
Инструкция устанавливает порядок организации и правила обеспечения информационной безопасности в [Наименование образовательного учреждения] (далее по тексту — Организация), распределение функций и ответственности за обеспечение информационной безопасности между подразделениями и сотрудниками, требования по информационной безопасности к используемым средствам информатизации.
Действие Инструкции распространяется на области деятельности Организации, в которых для работы с информацией применяются различного рода технические средства.
Основные термины и определения:
администратор сети — сотрудник отдела информационных технологий, отвечающий за поддержание работоспособности локальной вычислительной сети и разграничение доступа к информационным ресурсам этой сети;
безопасность информации — состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т.п.;
доступ к информации — комплекс организационно-технических мероприятий, позволяющих сотруднику получить возможность ознакомления с информацией, в том числе с помощью технических средств, в соответствии с предоставленными ему для этого правами;
защита информации — комплекс организационно-технических мероприятий, направленных на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;
защита информации от непреднамеренного воздействия — деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок её пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;
защита информации от несанкционированного воздействия — деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к её искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;
защита информации от несанкционированного доступа — деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами и собственником (Организация) прав или правил доступа к защищаемой информации;
— информация — сведения о лицах, предметах, событиях, явлениях и процессах (независимо от формы их представления), используемые в целях принятия решений;
— информация Организации — информация, принадлежащая Организации, то есть:
(а) созданная Организацией (его сотрудниками) в процессе его деятельности;
(б) приобретенная Организацией на законных основаниях;
(в) переданная Организацией его партнерами (клиентами) при установлении сотрудничества на правах совместного владения;
(г) полученная в результате целенаправленного сбора информации подразделениями Организацией;
информационная безопасность — состояние защищённости информационной среды, обеспечивающее минимизацию ущерба, вызванного возможной утечкой защищаемой информации, а также несанкционированных и непреднамеренных воздействий;
информационная система — организационно-упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием вычислительной техники;
информационная сфера (среда) — совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений;
конфиденциальная информация — документированная информация, включенная в Перечень сведений, составляющих коммерческую тайну предприятия, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;
нарушение информационной безопасности — факт несанкционированного или непреднамеренного действия (операции) над информационной сферой, приводящий к нежелательным для предприятия последствиям;
несанкционированный доступ — нарушение регламентированного доступа к объекту защиты;
обработка информации — совокупность операций сбора, накопления, ввода, вывода, приёма, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения, осуществляемых над информацией;
объект информатизации — совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для конфиденциальных переговоров;
система защиты информации — совокупность органов и/или исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации;
средства связи — технические средства, используемые для формирования, обработки, передачи или приёма сообщений электросвязи либо почтовых отправлений;
техническая защита информации — защита (не криптографическими методами) информации, содержащей сведения, составляющие государственную или коммерческую тайну, от её утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях её уничтожения, искажения и блокирования, и противодействие техническим средствам разведки;
угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированным и/или непреднамеренным воздействиям на неё;
утечка информации — неконтролируемое распространение защищаемой информации в результате её разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками;
шифрование — способ защиты информации, заключающийся в криптографическом преобразовании информации по специальному алгоритму для получения шифротекста и позволяющий предотвратить ее несанкционированное использование;
цифровая подпись — дополнительные данные или криптографическое преобразование какого-либо блока данных, позволяющие получателю блока данных убедиться в подлинности отправителя и целостности блока данных и защитить его от искажения с помощью, например, средств получателя.
Формы нарушения информационной безопасности:
а) пассивные
— получение информации нарушителем для использования в своих целях;
— анализ характеристик информации без доступа к самой информации;
б) активные
— изменение информации;
— внесение ложной информации
— нарушение (разрушение) информации;
— нарушение работоспособности системы обработки информации.
Принципы информационной безопасности:
— системный подход, предусматривающий комплексное решение проблемы информационной безопасности;
— ответственность всех сотрудников ХХХХ;
— непрерывность мер информационной безопасности;
— документальность любого действия в информационной системе для установления в последующем причины, авторства и самого факта совершения действия;
— компетентность в осуществлении мер информационной безопасности.
2. СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
2.1. Состав системы
Общее руководство системой информационной безопасности и принятие всех решений по вопросам ее функционирования осуществляет Директор по безопасности ХХХХ.
Исполнительные органы системы:
— разрабатывает руководящие документы;
— разрабатывает методические документы;
— подготавливает для Члена Правления — Директора по безопасности и защите информации и принятия Правлением ХХХХ решения по вопросам информационной безопасности;
— Управление по защите информации Дирекции по безопасности;
— структурные подразделения ХХХХ;
— администратор локальной вычислительной сети ХХХХ.
Организационные средства:
— настоящая Инструкция;
— отдельные руководящие документы на время их действия;
— указания Правления ХХХХ;
— инструкции по эксплуатации средств информатизации в части информационной безопасности;
— протоколы информационных обследований;
— обязательства о неразглашении сведений, составляющих коммерческую тайну — ХХХХ;
— журналы учета, установленные настоящей Инструкцией.
Технические средства:
— средства защиты от несанкционированного доступа к персональным компьютерам, программному обеспечению, сетям и информации;
— криптографические средства защиты компьютерной информации;
— средства защиты некомпьютерной информации.
2.2. Функции исполнительных органов
2.2.1. Управление по защите информации
Управление по защите информации является основным методическим, координирующим и контрольным органом по вопросам информационной безопасности и исполняет эти функции в соответствии с Положением о Дирекции по безопасности и защите информации. В рамках этих функций Управление по защите информации:
— разрабатывает и проводит в жизнь концепцию обеспечения информационной безопасности ХХХХ;
— разрабатывает руководящие документы;
— разрабатывает методические документы;
— подготавливает для Члена Правления — Директора по безопасности и защите информации и принятия Правлением ХХХХ решения по вопросам информационной безопасности;
— организует и осуществляет взаимодействие с другими подразделениями ХХХХ, его дочерними зависимыми обществами (далее по тексту — ДЗО) и филиалов;
— взаимодействует с государственными органами и сторонними организациями;
— организует и совместно с подразделениями ХХХХ проводит первичное и контрольные информационные обследования;
— совместно с Управлением информационных систем и технологий и заинтересованными подразделениями разрабатывает требования и решения по защите информации для вновь принимаемых в эксплуатацию систем и средств информатизации;
— заказывает и закупает специальные средства защиты информации, контролирует и сопровождает их эксплуатацию после внедрения;
— контролирует эффективность принимаемых мер по обеспечению информационной безопасности, проводит общую оценку ее состояния;
— проводит плановые и внезапные проверки состояния информационной безопасности в подразделениях;
— консультирует и обучает сотрудников по вопросам информационной безопасности.
2.2.2. Руководители подразделений
ХХХХ Руководители структурных подразделений ХХХХ несут персональную ответственность за организацию системы информационной безопасности в подчиненном подразделении и решают следующие задачи:
— осуществляют руководство работой по обеспечению информационной безопасности в подразделении;
— организуют проведение первичного и контрольных информационных обследований подразделения, совместно с начальником Управления по защите информации утверждают Актами результаты информационных обследований;
— после согласования с Членом Правления — Директором по безопасности принимают решение о предоставлении прав доступа к информации подразделения сотрудникам подчиненного подразделения и передают эти решения администратору сети для реализации;
— ходатайствуют перед руководителями других подразделений о предоставлении прав доступа к информации этих подразделений сотрудникам подчиненного подразделения;
— совместно с Управлением по защите информации и Управлением информационных систем и технологий участвует в разработке решений по защите информации для вновь принимаемых в эксплуатацию в подразделении объектов информатизации;
— готовят и направляют в Управление по защите информации заявки на установку специальных средств защиты информации, обучение сотрудников по вопросам информационной безопасности;
— взаимодействуют с Управлением по защите информации по вопросам организации информационной безопасности.
2.2.3. Сотрудники подразделений
ХХХХ Сотрудники подразделений несут ответственность за соблюдение информационной безопасности на закрепленных участках работы. Сотрудники подразделений:
— выполняют индивидуальные процедуры получения доступа к объектам информатизации и защищаемой информации;
— эксплуатируют пользовательские средства защиты информации, установленные на рабочих местах (если такие имеются);
— контролируют состояние информационной безопасности на своих рабочих местах.
2.2.4. Администратор сети
Функции администратора сети возлагаются на штатного сотрудника Управления информационных систем и технологий, в обязанности которого входит администрирование локальной вычислительной сети ХХХХ. По вопросам обеспечения безопасности информации администратор сети подчиняется начальнику Управления по защите информации. Администратор сети:
— составляет и ведет информационную схему сети;
— проводит совместно с сотрудниками Управления по защите информации первичное и контрольные информационные обследования сети, подписывает протоколы и частные Акты обследований;
— эксплуатирует централизованные средства защиты информации в сети (если такие есть);
— контролирует выполнение пользователями сети требований информационной безопасности и правильность эксплуатации пользовательских средств защиты информации (если такие есть), принимает меры к устранению недостатков и письменно сообщает о замеченных недостатках начальнику Управления по защите информации;
— выполняет технологические операции по предоставлению прав доступа к ресурсам сети пользователям, которым эти права предоставлены решениями руководителей подразделений, согласованными с Управлением по защите информации;
— взаимодействует с Управлением по защите информации по всем перечисленным вопросам.
2.3. Информационное обследование
Информационное обследование включает в себя первичное обследование, проводящееся однократно при создании системы информационной безопасности, и контрольные обследования, проводящиеся по мере необходимости актуализации сведений об информационной системе.
Первичное информационное обследование имеет целью составление полной информационной схемы и категорирование информации, объектов информатизации, помещений и сотрудников подразделений ХХХХ.
Обследование состоит в полной проверке всех имеющихся рабочих мест на наличие на них информации, средств информатизации, программных продуктов и составления комплекта документов, содержащих спецификацию этих средств с точки зрения информационной безопасности и закрепляющих их текущее состояние.
Обследование проводится отдельно по подразделениям, а также в локальной вычислительной сети.
Мероприятия обследования подразделения организует руководитель подразделения, а непосредственно проводят сотрудники Управления по защите информации, администратор сети и, при необходимости, сотрудники подразделения. Результатом обследования подразделения являются документы:
1) Информационная схема подразделения (исполняется руководителем подразделения) в составе:
— инвентарный план размещения средств информатизации и средств защиты информации подразделения с указанием их технических характеристик;
— перечень программных продуктов, установленных на каждом из средств информатизации или доступных с этого средства в сети и информации, обрабатываемой этими программными продуктами;
— список сотрудников подразделения с указанием закрепленных за ними средств информатизации и выделенных для них прав доступа;
2) Протоколы категорирования:
— информации;
— средств информатизации;
— помещений подразделения;
— сотрудников управления;
3) Протокол выявленных недостатков по обеспечению информационной безопасности с рекомендациями по ее совершенствованию;
4) Частный Акт информационного обследования подразделения, закрепляющий текущее состояние информационной системы, описанное в Информационной схеме, подписываемый администратором сети и сотрудником Управления по защите информации и утверждаемый начальником Управления по защите информации;
5) План устранения недостатков и реализации рекомендаций информационного обследования.
Мероприятия обследования локальной вычислительной сети организует начальник Управления информационных систем и технологий, а непосредственно проводят сотрудники Управления по защите информации и администратор сети. Результатом обследования сети являются документы:
1) Информационная схема локальной вычислительной сети (исполняется администратором сети) в составе:
— топологическая схема сети с указанием трасс прокладки кабелей, мест размещения серверов, сетевого оборудования и рабочих станций, привязанная к поэтажному плану здания;
— перечень программных продуктов, установленных в сети и информации, обрабатываемой этими программными продуктами;
— список пользователей сети с указанием выделенных им прав доступа;
2) Протокол категорирования программных продуктов и информации сети;
3) Протокол выявленных недостатков по обеспечению информационной безопасности с рекомендациями по ее совершенствованию;
4) Частный Акт информационного обследования локальной вычислительной сети, закрепляющий текущее состояние информационной системы, описанное в Информационной схеме, подписываемый администратором сети и сотрудником Управления по защите информации и утверждаемый начальником Управления по защите информации;
5) План устранения недостатков и реализации рекомендаций информационного обследования.
Контрольные информационные обследования проводятся по планам Управления по защите информации и вне планов в случаях:
— реорганизации подразделений;
— крупных изменений в системе делопроизводства, составе оборудования и программного обеспечения;
— перемещений подразделений в другие помещения.
2.4. Категорирование
Категорирование — это специальная классификация различных объектов, имеющих отношение к информационной системе ХХХХ, по признаку конфиденциальности используемой информации и, соответственно, требуемого уровня ее защиты. В ходе категорирования все объекты разбиваются на группы (категории), для каждой из которых разрабатывается собственный уникальный комплекс мер защиты.
Категорированию подвергаются:
— используемая информация;
— средства;
— помещения;
— сотрудники подразделений.
Категорирование производится в ходе первичного информационного обследования и уточняется при контрольных обследованиях. Настоящей Инструкцией вводятся следующие категории объектов информационной системы:
2.5. Документирование
Основной формой документа в системе информационной безопасности является двусторонний Акт, который составляется и подписывается сотрудниками подразделения, в котором проводится мероприятие, с одной стороны, и сотрудниками Управления по защите информации с другой стороны. Акт утверждается начальником этого подразделения и начальником Управления по защите информации. К Акту прилагаются необходимые в каждом конкретном случае документы: протоколы, справки, схемы и т.д., исполненные в произвольной форме.
По решению Члена Правления — Директора по безопасности и защите информации Акты могут докладываться для ознакомления и принятия решения Правлению ХХХХ.
В обязательном порядке составляются Акты в следующих случаях:
— при проведении первичного и контрольных информационных обследований;
— при проведении проверок состояния информационной безопасности Управлением по защите информации;
— при предоставлении или изменении прав доступа к информации, средствам информатизации и сотрудникам;
— при выявлении нарушений информационной безопасности и их устранении.
2.6. Обучение персонала
Сотрудники ХХХХ (администратор сети, сотрудники Управления по защите информации), непосредственно принимающие участие в обеспечении информационной безопасности, могут направляться на специальное обучение. Остальные сотрудники ХХХХ проходят инструктаж.
3. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.1. Общие положения
Обеспечение информационной безопасности включает комплекс повседневно проводимых мероприятий, а именно:
— допуск (предоставление прав доступа) к информации, средствам информатизации и в помещения;
— доступ к информации, средствам информатизации и в помещения в соответствии с предоставленными правами;
— содержание средств информатизации;
— обеспечение безопасности информации;
— использование средств защиты информации;
— контроль состояния информационной безопасности;
— действия в случае выявления нарушений информационной безопасности;
— инструктаж по информационной безопасности.
3.2. Допуск
Допуск — это комплекс мероприятий, проводимых с целью предоставления прав доступа сотрудникам ХХХХ, представителям сторонних организаций и посетителям в помещения, к средствам информатизации и к информации ХХХХ.
Допуск заключается в предоставлении соответствующих прав доступа и документальном закреплении их за конкретным лицом, которому они предоставляются.
Право предоставления допуска имеет только руководитель подразделения, в ведении которого находятся объекты, к которым допускается указанное лицо, после обязательного согласования с Членом Правления — Директором по безопасности и защите информации. Руководитель подразделения полностью отвечает за соответствие уровня допуска задачам, решаемым допускаемым лицом. При этом должен строго соблюдаться принцип предоставления сотрудникам минимальных прав, достаточных для выполнения задач.
Допуск может предоставляться:
— сотрудникам своего подразделения;
— сотрудникам других подразделений;
— сотрудникам сторонних организаций, выполняющим работы по заказу ХХХХ с заключением контракта; сотрудникам государственных органов, имеющим соответствующие полномочия;
— посетителям.
Различаются постоянный и разовый допуск. Постоянный допуск предоставляется только сотрудникам ХХХХ или представителям сторонних организаций, выполняющим работы по контракту. Разовый допуск предоставляется как сотрудникам ХХХХ, так и иным лицам, в том числе посетителям.
Порядок действий по предоставлению допуска зависит от того, к какому объекту допускается лицо, какова категория этого объекта, постоянный это допуск или разовый и кому он предоставляется: сотруднику своего подразделения, сотруднику другого подразделения, представителю сторонней организации или посетителю.
Допуск оформляется в письменной форме — для объектов категорий И-0, И-1, С-0, С-1, П-0, П-3 лицам, занимающим должности категорий Д-1…Д-3. Должностные лица категории Д-0 имеют допуск ко всей информации ХХХХ по положению. Лица категорий Д-5…Д-7 получают ограниченный допуск к отдельным массивам информации.
Допуск к объектам категорий И-2, С-2, П-4 обеспечивается устными распоряжениями руководителей подразделений.
Допуск к объектам категории П-1 предоставляется лицам всех категорий секретарями по указанию соответствующих руководителей.
Допуск к объектам категории П-2 может быть только разовым и осуществляется лицами, ответственными за организацию заседаний, совещаний и других мероприятий.
Постоянный допуск во всех случаях оформляется Актом, который составляется в подразделении в 2-х экземплярах, подписывается его сотрудниками, согласовывается с Членом Правления — Директором по безопасности и защите информации и утверждается руководителем подразделения. Допускается составление одного общего Акта сразу на нескольких сотрудников. В Акте для каждого сотрудника указываются подразделение, должность, фамилия, имя, отчество, перечень объектов, к которым предоставляется доступ, с указанием категории каждого объекта, цели доступа и предоставляемых прав, календарный период, на который предоставляется допуск. Первый экземпляр Акта хранится в Управлении по защите информации, второй экземпляр Акта хранится в подразделении.
Сотрудникам других подразделений руководитель подразделения предоставляет постоянный допуск к подведомственным объектам на основании служебных записок от руководителей соответствующих подразделений согласованных с Членом Правления — Директором по безопасности и защите информации.
Максимальный срок постоянного допуска — 1 год, после чего он должен переоформляться.
Постоянный допуск сотрудникам сторонних организаций, выполняющим работы по контракту, предоставляется руководителем подразделения, ответственного за сопровождение контракта, после согласования с Членом Правления — Директором по безопасности и защите информации при условии, что в контракте предусмотрены обязательства партнера по выполнению требований информационной безопасности и сохранению коммерческой тайны.
Разовый допуск предоставляется руководителем подразделения после согласования с Членом Правления — Директором по безопасности и защите информации и оформляется письменно:
— сотрудникам своего подразделения — соответствующей записью в Журнале учета доступа за подписью руководителя подразделения;
— сотрудникам других подразделений — на основании служебной записки на имя начальника допускающего подразделения, соответствующей записью в Журнале учета доступа за подписью руководителя подразделения;
— сотрудникам сторонних организаций, выполняющих работы по контракту, на основании служебной записки от подразделения, ответственного за проведение работ, на имя начальника допускающего подразделения, соответствующей записью в Журнале учета доступа за подписью руководителя подразделения;
— посетителям — соответствующей записью в Журнале учета доступа за подписью руководителя подразделения.
Не может быть предоставлен допуск:
— постоянный и разовый — сотрудникам сторонних организаций и посетителям к информации категории И-0 (посетителям — также и к информации категории И-1);
— постоянный и разовый — сотрудникам сторонних организаций и посетителям к средствам категорий С-0, С-1, если технически не исключена возможность их несанкционированного использования;
— постоянный — сотрудникам сторонних организаций в помещения категорий П-0, П-1, и П-2;
— постоянный и разовый — посетителям в помещения категорий П-0 и П-3;
— постоянный — посетителям в помещения категорий П-1, П-2.
Представителям государственных органов может быть предоставлен допуск к любым объектам информационной системы, но только разовый и в строгом соответствии с имеющимися у них полномочиями. Необходимость допуска письменно в обязательном порядке согласовывается с Членом Правления — Директором по безопасности и защите информации.
Сотрудникам охраны (дежурных смен) предоставляется допуск во все помещения, категорированные по информационной безопасности, для выполнения ими обязанностей по обеспечению физической безопасности объектов.
3.3. Доступ
Доступ — это совокупность действий, выполняемых сотрудниками подразделений:
— с целью получения возможности использования информации в соответствии с имеющимся у них допуском;
— с целью предоставления возможности использования информации сотрудниками других подразделений, сторонних организаций, государственных органов и посетителями.
Таким образом, действия по доступу выполняются только сотрудниками допускающего подразделения, даже если допускаются иные лица.
Порядок доступа в помещения категории П-0…П-2 определяется Правлением ХХХХ индивидуально. Учет доступа в помещения категории П-3 ведут сотрудники охраны (ЧОП). Доступ в помещения категории П-4 не учитывается. Учет доступа к средствам информатизации и информации в локальной вычислительной сети ведет администратор сети.
Для учета доступа в отделе информационных технологий и в охране (ЧОП) заводятся Журналы учета доступа, в которых регистрируются факты получения доступа в зависимости от вида объекта информационной системы и его категории. Учету в Журнале доступа подлежат все факты предоставления доступа всем лицам, имеющим разовый допуск к информационным объектам категорий П-0, С-0, С-1, И-0, И-1.
Общая задача доступа подразделяется на подзадачи:
— доступ в помещения;
— доступ к средствам информатизации;
— доступ к программным продуктам и информации.
Действия по осуществлению доступа подразделяются на организационные и технические.
Ответственность за организацию доступа несет руководитель подразделения, а за правильное выполнение действий по доступу — сотрудник, их выполняющий.
3.3.1. Доступ в помещения
Доступ в помещения сотрудников, чьи рабочие места находятся в этих помещениях, осуществляется в соответствии с Инструкцией о пропускном режиме охраны (ЧОП) с учетом присвоенных этим помещениям категорий информационной безопасности.
Доступ в помещения сотрудников своего подразделения и сотрудников других подразделений, чьи рабочие места расположены в других помещениях, зависит от категории помещения:
— в помещения категории П-0 доступ возможен только при наличии соответствующего допуска через того из сотрудников, работающих в помещении, к которому этот посетитель прибыл;
— в помещения категории П-3 и П-4 доступ свободный.
Доступ в помещения сотрудников сторонних организаций и представителей государственных органов возможен только при наличии соответствующего допуска через того из сотрудников, работающих в помещении, к которому этот посетитель прибыл.
Доступ в помещения категории П-1 контролируется в рабочее время секретарями, в нерабочее время сотрудниками охраны. Нахождение в этих помещениях кого бы то ни было, кроме владельцев кабинетов, секретарей и сотрудников охраны, без сопровождения секретарей (в рабочее время) или сотрудников охраны (в нерабочее время) строго запрещается.
Технические действия по доступу в помещения зависят от того, оборудованы ли помещения соответствующими техническими средствами и, как правило, состоят в снятии помещения с контроля системой охранной сигнализации и вскрытие помещения установленным порядком в начале рабочего дня.
Организационные действия по доступу в помещения выполняются сотрудниками, работающими в них, и заключаются в:
— проверке состояния помещения и находящихся в нем средств информатизации при вскрытии помещения и перед его закрытием;
— принятии мер по недопущению в помещения посторонних лиц, не имеющих допуска или нарушающих правила доступа;
— учете доступа в помещения в Журнале учета доступа там, где это необходимо.
Порядок доступа в помещения сотрудников охраны:
— в помещения категории П-0…П-3 — только в случаях прямой необходимости, в рабочее время вместе с сотрудником, работающим в данном помещении, в нерабочее время
— с последующим составлением служебной записки на имя Генерального директора ЧОП за подписью начальника смены с изложением причин доступа и описанием состояния помещения; в помещения категории П-4 — без ограничений.
3.3.2. Доступ к средствам информатизации
Доступ к средствам информатизации, находящимся на рабочих местах сотрудников (далее — «ответственные за средства информатизации»), осуществляется этими сотрудниками без ограничений.
Доступ к средствам информатизации сотрудников других подразделений, представителей сторонних организаций, представителей государственных органов и посетителей осуществляется в зависимости от категории:
— к средствам информатизации категорий С-0, С-1 — только при наличии допуска. При этом непосредственное использование средства информатизации осуществляется сотрудником, ответственным за него, а лицо, получившее доступ, присутствует при этом;
— к средствам информатизации категории С-2 — самостоятельно и без ограничений.
Для средств информатизации категорий С-0 и С-1 в отделе информационных технологий должен быть заведен Аппаратный журнал, в котором отражаются все критичные операции и события (выход из строя, ремонт, техобслуживание и т.п.), а также операции по обеспечению информационной безопасности.
Управлению информационных систем и технологий категорически запрещёно подключение средств информатизации категорий С-0 и С-1 к ресурсам и сервисам международной компьютерной сети Internet. Локальная вычислительная сеть, имеющая в своём составе средства информатизации категорий С-0 и С-1 не может иметь выход в международную сеть Internet.
Технические действия по осуществлению доступа заключаются в:
— включении питания;
— преодолении установленным порядком имеющихся средств защиты доступа (замок, вход по паролю, идентификация пользователя и др.). Организационные действия заключаются в:
— ведении Аппаратного журнала;
— ведении Журнала учета доступа.
После того, как операции по доступу к средствам категорий С-0, С-1 выполнены, ответственный за средство информатизации обязан обеспечить невозможность использования средства кем-либо, кроме него самого. Запрещается даже на короткое время оставлять без контроля средство информатизации, если такая возможность не исключена технически.
Для доступа к средствам информатизации там, где это возможно, в обязательном порядке должен использоваться пароль, а доступ должен быть организован строго в соответствии с Руководством по применению паролей.
3.3.3. Доступ к программным продуктам и информации
Порядок получения доступа к программным продуктам и информации определяется порядком доступа в помещения и к средствам информатизации. Ответственность за правильность доступа к программным продуктам и информации несут сотрудники, на рабочих местах которых используются эти программные средства и информация.
Доступ обеспечивается:
— к программным продуктам и компьютерной информации — имеющимися программно-аппаратными средствами защиты;
— к информации на бумажных носителях — принятой технологией несекретного «бумажного» делопроизводства;
— к речевой, видео- и другим видам информации — мерами обеспечения доступа в помещения и к средствам связи.
Технические действия по доступу к программным продуктам и информации заключаются в:
— запуске программного продукта;
— преодолении установленным порядком имеющихся программных и аппаратных — средств защиты;
— регистрации доступа средствами регистрации, если они имеются.
Организационные действия по доступу к программным продуктам и информации заключаются в ведении Журнала учета доступа.
3.4. Содержание средств информатизации
Правильное с точки зрения информационной безопасности содержание (эксплуатация и хранение) средств информатизации предполагает:
— для средств информатизации категории С-0 — полное предотвращение доступа (в том числе и физического) к этим средствам любых лиц, не имеющих соответствующего допуска;
— для средств информатизации категории С-1 — предотвращение несанкционированного их использования;
— для средств информатизации категории С-2 — ограничений нет.
Содержание программных продуктов средств информатизации определяется содержанием технических средств информатизации (компьютеров, сетей), на которых эти программные продукты установлены.
Средства информатизации содержатся, как правило, на рабочих местах сотрудников, за которыми эти средства закреплены. Технические средства категории С-0 могут содержаться в кладовых или в сейфах.
В рабочее время ответственность за содержание средств информатизации несут сотрудники, за которыми эти средства закреплены, а в их отсутствие — их непосредственные начальники. В нерабочее время ответственность за хранение средств информатизации несет дежурная смена охраны.
Приемка в эксплуатацию средств информатизации (аппаратных, программных) категорий С-0 и С-1 проводится силами сотрудников Управления по защите информации Управления информационных систем и технологий в следующем порядке:
— определяется категория средства информатизации;
— средство информатизации оснащается программными продуктами, устанавливается на рабочем месте и проверяется;
— производится проверка безопасности средства информатизации;
— при необходимости для такой проверки могут привлекаться специализированные организации;
— составляется и согласовывается с соответствующим подразделением перечень организационно-технических мероприятий, необходимых для обеспечения информационной безопасности средства информатизации, в том числе перечень средств защиты информации;
— средство информатизации, при необходимости, дополняется средствами защиты информации, из него исключаются не используемые «опасные» устройства и опечатывается;
— средство проверяется сотрудниками подразделения на предмет готовности к эксплуатации; составляется Акт о готовности средства информатизации по вопросам информационной безопасности, который утверждается начальниками Управления по защите информации и принимающего подразделения.
Каждое средство информатизации после приемки в эксплуатацию закрепляется письменным распоряжением руководителя подразделения за одним из сотрудников подразделения, который в дальнейшем отвечает за его содержание.
Сотрудник, ответственный за содержание средства информатизации, в части обеспечения информационной безопасности обязан:
— обеспечить установленный порядок доступа к средству информатизации;
— правильно использовать средства защиты информации, с которыми работает средство информатизации, если они имеются;
— при обнаружении признаков несанкционированного доступа к средству информатизации немедленно прекратить все работы с ним, обеспечить сохранение его в текущем состоянии и сообщить о случившемся своему руководителю и начальнику Управления по защите информации.
Учет средств информатизации ведется отделом информационных технологий в Журнале учета средств информатизации:
— технические средства информатизации учитываются в соответствии с их инвентарными номерами, которые присваиваются им при приемке в эксплуатацию;
— программные продукты средств информатизации учитываются поэкземплярно.
Дистрибутивы программных продуктов хранятся администратором сети таким образом, чтобы исключить возможность использования их для инсталляции несанкционированных копий программного продукта. Инсталляцию прикладных и автономных программных продуктов выполняет администратор сети.
Рабочие копии программных продуктов должны быть защищены от несанкционированной модификации программного кода и данных, для чего должны применяться различные методы, в том числе:
— установка программных продуктов на средствах информатизации соответствующей категории;
— установка программных продуктов на серверах сети с разделением доступа к ним, исходя из категорий пользователей;
— защита программных продуктов от копирования;
— шифрование исполняемых модулей и данных программных продуктов на носителях информации;
— запуск особо охраняемых программных продуктов категории С-0 и работа с информацией категории И-0 с гибких магнитных дисков, хранимых в сейфах.
Если доступ к средству информатизации защищается устройствами типа «замок» (механические замки, электронные замки, кодовые устройства и т.п.), имеющими «ключи» (обычные ключи, магнитные карты и т.п.), то оригинал ключа хранится у ответственного сотрудника, а дубликаты — у руководителя соответствующего подразделения. Хранение оригинала и дубликатов должно быть обеспечено таким образом, чтобы исключить возможность попадания ключа к кому-либо, кроме этих лиц. Все экземпляры ключей учитываются отдельными позициями в Журнале учета средств информатизации. В случае утраты ключа принимаются такие же меры, как при выявлении попытки несанкционированного доступа.
3.5. Обеспечение безопасности информации
Безопасность информации обеспечивается в соответствии с присвоенными ей категориями и предполагает:
— для информации категории И-0 — полное исключение возможности несанкционированного доступа к ней;
— для информации категории И-1 — исключение возможности несанкционированной модификации, предупреждение возможности анализа и статистической оценки;
— для информации категории И-2 — ограничений нет.
Основой безопасности информации является изложенная в п. 3.3. система контролируемого доступа в помещения, к средствам информатизации и самой информации. Кроме этого, в зависимости от формы представления информации, с целью обеспечения ее безопасности принимаются специальные меры, изложенные ниже. Во всех случаях, за исключением специально оговоренных, ответственность за принятие этих мер несет сотрудник, использующий информацию или организующий мероприятие с ее использованием.
Безопасность информации в бумажной форме представления обеспечивается в соответствии с принятой технологией «бумажного» документооборота.
Для обеспечения безопасности речевой информации необходимо:
— ограничить число лиц, участвующих в переговорах, до минимально необходимого;
— проводить переговоры в местах, исключающих возможность подслушивания;
— применять специальные средства, если такие имеются.
Для обеспечения безопасности телефонных переговоров необходимо:
— безусловно исключить из обсуждения при ведении переговоров по открытым (незащищенным) телефонным линиям связи сведения, относящиеся к категории И-0 и ограничивать использование сведений категории И-1;
— применять специальные средства, если такие имеются.
Для обеспечения безопасности информации, обрабатываемой с помощью средств информатизации необходимо:
— обеспечить защиту от несанкционированного получения информации категории И-0 и защиту от модификации, а также возможность восстановления авторства доступа к информации категорий И-0, И-1, для чего в обязательном порядке применять все меры защиты, доступные на используемых программно-аппаратных средствах;
— обеспечить хранение носителей информации (дискет, магнито-оптических дисков, компакт-дисков и др.) с информацией категории И-0 способом, исключающим их утрату, несанкционированное копирование и получение; обеспечить хранение применяемых средств защиты информации, в том числе средств доступа к ним, способом, исключающим их несанкционированное использование.
3.6. Использование средств защиты информации
Средства защиты информации — это специальные технические средства, используемые для предупреждения несанкционированного использования всех видов информации. Разнообразие видов используемой информации, целей защиты, вариантов угроз, применяемых технологий защиты определяют широкую номенклатуру таких средств. В каждом случае необходимости защиты информации выбирается свой конкретный тип средства.
По вариантам использования различаются средства защиты информации:
— коллективные, применяемые для защиты информации, используемой одновременно несколькими (многими) сотрудниками;
— индивидуальные, применяемые только одним сотрудником для защиты информации, используемой им самим;
— сетевые, применяемые для защиты в вычислительных сетях и сетях связи.
Необходимость применения средств защиты информации определяется при информационном обследовании, при принятии решения о применении информационной техники и в других случаях. Принятие решения на применение средств защиты, выбор способа защиты и типа средства защиты информации осуществляется совместно подразделением, которое использует защищаемую информацию, Управлением по защите информации и утверждается Членом Правления — Директором по безопасности и защите информации. Выбор сетевых средств защиты осуществляют совместно Управление информационных систем и технологий, Управление по защите информации и утверждает Член Правления — Директор по безопасности и защите информации.
Решение о применении средств защиты информации в подразделении оформляется совместным документом этого подразделения и Управления по защите информации, утверждается Членом Правления — Директором по безопасности и защите информации и представляется руководителем подразделения, защищающего свою информацию, для утверждения и выделения необходимых финансовых и технических средств Председателю Правления ХХХХ.
Закупку средств защиты информации производит Управление по защите информации. Если поставляемые средства защиты входят в состав средств информатизации (систем), их закупку (заказ разработки) выполняет подразделение, закупающее (заказывающее разработку) по согласованию с Управлением по защите информации.
Ответственность за использование средств защиты информации несут:
— за средства защиты коллективного пользования — специально назначаемые сотрудники;
— за средства защиты индивидуального пользования — сотрудники, на рабочих местах которых эти средства установлены;
— за сетевые средства защиты — администратор сети.
Закрепление средств защиты информации за ответственными за них сотрудниками производится письменным распоряжением руководителя соответствующего подразделения, первый экземпляр которого представляется и хранится в Управлении по защите информации.
Порядок приемки в эксплуатацию средств защиты информации:
— средство устанавливается администратором сети на рабочем месте и проверяется в соответствии с инструкцией по эксплуатации;
— сотрудник Управления по защите информации и администратор сети производят совместную приемку средства с проверкой функционирования, разрабатывают организационные и технические меры по его эффективному использованию;
— сотрудник Управления по защите информации и администратор сети составляют и подписывают совместный Акт о приемке с приложением необходимых материалов и утверждают его у руководителя принимающего подразделения и начальника Управления по защите информации, после чего средство считается принятым в эксплуатацию;
— средство защиты информации передается в эксплуатацию назначенному ответственному сотруднику.
Сотрудник, ответственный за средство защиты информации, обязан:
— изучить средство в объеме, необходимом для правильной его эксплуатации;
— обеспечить установленный порядок использования средства: своевременно включать и выключать его, поддерживать эффективный режим работы;
— не допускать несанкционированного применения средства кем бы то ни было, обеспечить его сохранность, сообщать в Управление по защите информации обо всех попытках несанкционированного использования средства или подозрениях на такие попытки;
— проводить техническое обслуживание, обеспечивать его исправность, организовывать ремонт в случае выхода из строя и выполнять другие эксплуатационные операции.
Учет средств защиты информации ведется отделом связи Управления по защите информации в отдельном разделе Журнала учета средств информатизации в соответствии с их инвентарными номерами, которые присваиваются им при приемке в эксплуатацию.
3.7. Контроль состояния информационной безопасности
Контроль состояния информационной безопасности проводится с целью проверки ее организации, а также предупреждения и своевременного выявления случаев ее нарушения.
Обязанности по контролю распределяются между исполнительными органами системы информационной безопасности следующим образом:
— Управление по защите информации проводит проверки организации и состояния информационной безопасности в подразделениях;
— сотрудники контролируют текущее состояние информационной безопасности на своих рабочих местах;
— администратор сети повседневно контролирует текущее состояние информационной безопасности в локальной вычислительной сети;
— руководители подразделений повседневно контролируют текущее состояние информационной безопасности в своих подразделениях;
— сотрудники контролируют текущее состояние информационной безопасности на своих рабочих местах.
Проверки организации и состояния информационной безопасности проводятся Управлением по защите информации в подразделениях и в сетях и могут быть:
— плановыми;
— внезапными;
— по фактам нарушения информационной безопасности.
Плановые проверки проводятся в соответствии с годовым Планом проверок, который составляется на очередной год в декабре текущего года, подписывается Членом Правления — Директором по безопасности и защите информации и утверждается Председателем Правления ХХХХ. В ходе плановых проверок должна полностью проверяться вся организация системы информационной безопасности.
Внезапные проверки проводятся Управлением по защите информации в соответствии с внутренними планами работы. Внезапные проверки проводятся по отдельным вопросам организации информационной безопасности.
Проверки по фактам нарушения информационной безопасности проводятся Управлением по защите информации после того, как нарушение устранено. Проверка проводится с целью выявления причин и предпосылок нарушения и выработки мер по предупреждению подобных нарушений в дальнейшем. Проверка проводится в обязательном порядке по каждому факту нарушения независимо от его последствий.
Результаты всех проверок оформляются двусторонними Актами между проверяющей и проверяемой сторонами, с необходимыми в каждом конкретном случае приложениями и утверждаются Членом Правления — Директором по безопасности и защите информации. При возникновении разногласий с проверяемым подразделением может оформляться односторонний Акт Управления по защите информации.
Для текущего контроля состояния информационной безопасности независимо от работы информационной системы и сотрудников ХХХХ Управлением по защите информации должны применяться специальные средства, такие как специальное автоматизированное рабочее место (АРМ безопасности), различные технические средства для оценки эффективности применяемых методов и средств обеспечения безопасности.
Администратор сети контролирует состояние информационной безопасности на подведомственных участках:
— контролирует выполнение сотрудниками установленного порядка действий по доступу к объектам информационной системы;
— анализирует состояние информационной системы с целью выявления попыток несанкционированного доступа и использования средств информатизации и информации;
— контролирует правильность использования имеющихся коллективных и индивидуальных средств информационной защиты.
В случае выявления каких-либо отклонений или нарушений в системе информационной безопасности администратор сети немедленно обязан принять все меры к их устранению самостоятельно, через руководителя соответствующего подразделения или с привлечением Управления по защите информации. Ответственность за принятие этих мер и сообщение о происшедшем руководителю подразделения и в Управление по защите информации несет администратор сети.
Сотрудники подразделений анализируют состояние своих рабочих мест с целью выявления попыток несанкционированного доступа и использования средств информатизации и информации. В случае выявления таких попыток сотрудник немедленно обязан сообщить об этом администратору сети и своему руководителю.
3.8. Порядок действий в случае выявления нарушений информационной безопасности
Действия, предпринимаемые в случае выявления нарушений информационной безопасности, состоят в следующем:
— выявление факта нарушения;
Бесплатный фрагмент закончился.
Купите книгу, чтобы продолжить чтение.