Организационные меры обеспечения защиты объекта информатизации¶
- Содержание
- Организационные меры обеспечения защиты объекта информатизации
- Введение
- Структура организационных мер по ФСТЭК
- Организационно-распорядительная документация
- Управление персоналом в области ИБ
- Осведомлённость и обучение персонала
- Управление инцидентами ИБ
- Управление доступом: организационная составляющая
- Управление изменениями
- Управление конфигурациями
- Организация режима коммерческой тайны
- Сквозной пример: организационные меры для ИСПДн кадровой службы
- Что дальше
- Список литературы и нормативных актов
Введение¶
Девять предыдущих лекций выстроили технический фундамент защиты: модель угроз, СЗИ, криптография, сеть, DLP. Но даже идеально настроенная техническая система рухнет, если сотрудники не знают, как с ней работать; если нет документа, регламентирующего действия при инциденте; если администратор имеет право сам себе выдавать привилегии без согласования.
Организационные меры — это правила, процессы и структуры, которые заставляют технику работать как систему, а не как набор отдельных инструментов. В нормативной базе ФСТЭК они образуют группы мер ОРД (Организационно-распорядительная документация), КЗИ (Контроль за оборотом съёмных носителей), ИПО (Информирование и обучение), а также ряд других.
По данным исследований инцидентов ИБ, большинство успешных атак эксплуатирует не технические уязвимости, а человеческий фактор: фишинг, социальную инженерию, несоблюдение политик. Технические меры снижают поверхность атаки; организационные меры снижают вероятность того, что человек станет точкой входа.
Структура организационных мер по ФСТЭК¶
Организационные меры пронизывают все группы мер Приказов №117, №21, №239 — они не выделены в отдельный блок, а интегрированы в каждую техническую группу. Тем не менее можно выделить несколько ключевых направлений.
| Направление | Группа мер ФСТЭК | Содержание |
|---|---|---|
| Организационно-распорядительная документация | ОРД | Политики, регламенты, инструкции, приказы |
| Управление персоналом | УПД, ИПО | Роли, ответственность, обучение, проверка |
| Управление инцидентами | ИНЦ | Реагирование, расследование, уведомление |
| Управление изменениями | ОЦЛ, КЗИ | Контроль изменений в ИС и составе объекта |
| Контроль соответствия | КОН | Периодические проверки, аудиты |
| Физическая охрана и режим | ЗТС, ЗСН | Контролируемая зона, пропускной режим |
Организационно-распорядительная документация¶
ОРД — документальная основа системы защиты. Без утверждённых документов технические меры не имеют правового основания внутри организации: нельзя привлечь сотрудника к ответственности за нарушение политики, которая не утверждена и не доведена до него под роспись.
Иерархия документов ИБ¶
Политика ИБ верхнего уровня — документ, утверждаемый руководством организации. Декларирует цели, принципы и ответственность в области ИБ. Не содержит технических деталей — они в стандартах. Охватывает всю организацию.
Тематические политики (стандарты) — конкретизируют требования по отдельным областям:
- Политика управления доступом.
- Политика паролей.
- Политика использования съёмных носителей.
- Политика работы с персональными данными.
- Политика допустимого использования ресурсов ИС.
- Политика удалённого доступа.
- Политика реагирования на инциденты.
- Политика резервного копирования.
Процедуры — описывают порядок выполнения конкретных операций: процедура создания учётной записи, процедура предоставления доступа к информационным ресурсам, процедура расследования инцидента.
Инструкции — пошаговые руководства для конкретных ролей: инструкция пользователя ИС, инструкция администратора безопасности, инструкция по действиям при инциденте.
Требование ФСТЭК: Приказы №21 (мера ОРД.1) и №117 (мера ОРД.1) обязывают оператора разработать и утвердить организационно-распорядительную документацию по защите информации. Отсутствие утверждённой политики ИБ — одно из наиболее частых замечаний при аттестации объектов.
Жизненный цикл документов ИБ¶
Документы ИБ не создаются один раз навсегда. Они должны пересматриваться:
- При изменении нормативной базы (выход нового приказа ФСТЭК, изменение 152-ФЗ).
- При изменении состава объекта информатизации.
- После инцидентов ИБ, выявивших пробелы в документации.
- Планово — не реже одного раза в год.
Управление персоналом в области ИБ¶
Персонал — одновременно наиболее уязвимое звено и главный ресурс защиты. Организационные меры в отношении персонала охватывают весь жизненный цикл сотрудника.
При приёме на работу¶
- Проверка биографических данных и рекомендаций (в пределах законодательства).
- Подписание соглашения о неразглашении конфиденциальной информации (NDA).
- Ознакомление с политиками ИБ под роспись.
- Прохождение вводного инструктажа по ИБ.
- Назначение минимально необходимых прав доступа (принцип наименьших привилегий из Лекции 6).
В процессе работы¶
- Периодическое обучение и повышение осведомлённости в области ИБ.
- Тестирование на устойчивость к социальной инженерии (имитация фишинговых атак).
- Пересмотр прав доступа при изменении должности или функций.
- Плановые проверки соблюдения политик ИБ.
При увольнении¶
- Немедленная блокировка всех учётных записей в день увольнения.
- Отзыв физических средств доступа (пропуск, токен, смарт-карта).
- Изменение паролей к системам, к которым имел доступ уволенный администратор.
- Напоминание об обязательствах по неразглашению.
- Проверка на предмет несанкционированного копирования данных (совместно с DLP-журналами из Лекции 9).
Нарушитель типа «бывший сотрудник» из Лекции 4 (уровень Н1) реализует угрозу именно через несвоевременную блокировку учётных записей. Это организационная уязвимость, которую не устранит ни одно техническое средство без соответствующего процесса.
Осведомлённость и обучение персонала¶
Security Awareness — систематическая программа повышения осведомлённости сотрудников в области ИБ. Приказ ФСТЭК №21 (мера ПКЗ.1/ИПО.1) и аналогичные меры Приказов №117, №239 требуют проведения обучения персонала.
Содержание программы осведомлённости¶
- Основы информационной безопасности: что такое защищаемая информация, почему она важна.
- Политики ИБ организации: что разрешено, что запрещено.
- Распознавание фишинговых писем и социальной инженерии.
- Правила работы с паролями и многофакторной аутентификацией.
- Порядок действий при обнаружении инцидента: кому сообщать, что делать, чего не делать.
- Правила работы со съёмными носителями и конфиденциальными документами.
- Безопасная работа при удалённом доступе.
Форматы обучения¶
| Формат | Периодичность | Особенности |
|---|---|---|
| Вводный инструктаж | При приёме на работу | Обязателен до получения доступа к ИС |
| Плановое обучение | Не реже 1 раза в год | Охватывает всех сотрудников |
| Тематические курсы | По мере появления новых угроз | Например, при росте атак через QR-коды |
| Симуляции фишинга | 2–4 раза в год | Имитация реальных фишинговых кампаний; измерение показателя кликов |
| Внеплановый инструктаж | После инцидентов | Разбор реального случая без персонализации |
Управление инцидентами ИБ¶
Инцидент ИБ неизбежен — вопрос не «случится ли», а «когда и как будем реагировать». Наличие отработанного процесса реагирования кардинально снижает ущерб от инцидента.
Классификация событий и инцидентов¶
Событие ИБ — идентифицированное возникновение состояния системы, указывающее на возможное нарушение политики ИБ или отказ защитных мер.
Инцидент ИБ — одно или несколько нежелательных или неожиданных событий ИБ, которые могут нанести ущерб и требуют реагирования.
(ГОСТ Р ИСО/МЭК 27035)
Не каждое событие является инцидентом. SIEM генерирует тысячи событий в сутки; задача аналитика SOC — отфильтровать ложные срабатывания и выявить реальные инциденты.
Процесс реагирования на инциденты¶
- Подготовка — разработка плана реагирования, назначение ответственных (CSIRT/SOC), подготовка инструментов форензики, отработка процесса на учениях.
- Обнаружение и анализ — фиксация события, классификация инцидента, определение масштаба и затронутых систем, сбор первичных доказательств.
- Сдерживание — изоляция скомпрометированных систем от сети, блокировка учётных записей нарушителя, предотвращение распространения.
- Устранение — удаление вредоносного ПО, закрытие уязвимостей, использованных нарушителем, восстановление конфигураций.
- Восстановление — поэтапное возвращение систем в работу с усиленным мониторингом; проверка целостности данных.
- Анализ после инцидента — разбор причин, оценка ущерба, обновление документации и правил SIEM, изменение мер защиты.
Уведомление об инцидентах: обязательные требования¶
| Тип объекта | Кому уведомлять | Срок | Основание |
|---|---|---|---|
| Значимый объект КИИ | ФСБ (НКЦКИ) через ГосСОПКА | 3 часа с момента обнаружения | 187-ФЗ, Приказ ФСБ №196 |
| ИСПДн (при утечке ПДн) | Роскомнадзор | 24 часа (первичное уведомление), 72 часа (детальное) | 152-ФЗ (ред. 2022, ст. 21.1) |
| ГИС (при инциденте) | ФСТЭК (при наличии требования) | В соответствии с соглашением | Приказ №117 |
Актуально с 2022 года: поправки к 152-ФЗ ввели обязательное уведомление Роскомнадзора об утечках персональных данных. За нарушение сроков уведомления — административная ответственность. С 2024 года введены оборотные штрафы за утечки ПДн (420-ФЗ): до 3% от годового оборота организации.
Управление доступом: организационная составляющая¶
Технические средства разграничения доступа из Лекции 6 эффективны только при наличии организационных процессов, управляющих ими.
Процесс предоставления доступа¶
Типовой процесс:
- Сотрудник (или его руководитель) подаёт заявку на доступ к ресурсу.
- Владелец ресурса согласовывает заявку, проверяя обоснованность.
- Администратор ИБ проверяет соответствие запрошенных прав политике.
- Администратор системы предоставляет доступ.
- Периодически (не реже 1 раза в год) — кампания по пересмотру прав.
- При изменении должности или увольнении — немедленный отзыв прав.
Матрица разграничения доступа¶
Матрица доступа — документ, фиксирующий, какие роли имеют доступ к каким ресурсам с какими правами. Является обязательным элементом ОРД для ГИС и ИСПДн.
| Роль \ Ресурс | БД личных дел | Приложение КУ | Сервер СУБД (адм.) | Резервные копии |
|---|---|---|---|---|
| HR-специалист | Чтение, изменение | Полный доступ | Нет | Нет |
| Руководитель HR | Чтение | Чтение | Нет | Нет |
| Администратор СУБД | Нет прямого доступа | Нет | Полный доступ | Чтение |
| Администратор ИБ | Нет | Нет | Аудит (только чтение журналов) | Нет |
| Системный администратор | Нет | Нет | Нет | Полный доступ |
Управление изменениями¶
Любое изменение в составе объекта информатизации — установка нового ПО, изменение сетевой конфигурации, добавление нового сервера — потенциально влияет на уровень защищённости.
Процесс управления изменениями:
- Запрос на изменение — описание изменения, обоснование, предполагаемое влияние на ИБ.
- Оценка влияния на ИБ — администратор безопасности оценивает риски вносимого изменения.
- Согласование — комиссия по изменениям (CAB) согласовывает при отсутствии неприемлемых рисков.
- Тестирование — изменение тестируется в тестовой среде.
- Внедрение — реализация в производственной среде в согласованное окно обслуживания.
- Контроль — проверка отсутствия негативного влияния на ИБ после внедрения.
Несогласованные изменения — одна из наиболее частых причин инцидентов. Системный администратор открывает новый порт на МЭ «временно» — и забывает закрыть. Разработчик устанавливает новую библиотеку с уязвимостью. Все эти сценарии предотвращает формализованный процесс управления изменениями.
Управление конфигурациями¶
Управление конфигурациями — поддержание технических систем в известном, безопасном, задокументированном состоянии.
Ключевые практики:
- Базовые конфигурации — задокументированные эталонные конфигурации для каждого типа систем (серверов, рабочих станций, сетевого оборудования). Основа: CIS Benchmarks, адаптированные под российские требования.
- Контроль соответствия — автоматическая проверка текущих конфигураций на соответствие эталонным (MaxPatrol 8, Positive Technologies).
- Инвентаризация активов — актуальный реестр всех технических средств объекта (связь с Лекцией 2).
Организация режима коммерческой тайны¶
Для коммерческих организаций, не подпадающих под требования об обязательной защите ГИС или ИСПДн, основным правовым инструментом защиты информации является режим коммерческой тайны (98-ФЗ).
Для введения режима коммерческой тайны организация обязана:
- Определить перечень сведений, составляющих коммерческую тайну.
- Ограничить доступ к этим сведениям — установить порядок обращения.
- Вести учёт лиц, получивших доступ.
- Нанести гриф «Коммерческая тайна» на материальные носители.
- Урегулировать отношения по охране тайны в трудовых договорах.
Только при выполнении всех пяти условий организация получает правовую защиту: разглашение коммерческой тайны сотрудником влечёт гражданскую и уголовную ответственность (ст. 183 УК РФ).
Сквозной пример: организационные меры для ИСПДн кадровой службы¶
| Угроза / Риск | Организационная мера | Документ |
|---|---|---|
| Фишинг → компрометация учётной записи HR | Ежеквартальные симуляции фишинга; обучение распознаванию | Программа Security Awareness; приказ об обучении |
| Злоупотребление правами администратора СУБД | Матрица разграничения доступа; запрет совмещения ролей администратора и пользователя ПДн | Политика управления доступом; должностные инструкции |
| Использование учётных данных уволенного | Процедура увольнения с блокировкой учётных записей в день увольнения | Регламент управления учётными записями; интеграция с HR-процессом |
| Утечка ПДн → штраф по 420-ФЗ | Процедура уведомления Роскомнадзора (24/72 часа); назначение ответственного | План реагирования на инциденты с ПДн; приказ о назначении ответственного за ПДн |
| Несогласованные изменения в ИС | Процедура управления изменениями; обязательная оценка влияния на ИБ | Регламент управления изменениями; журнал изменений |
Что дальше¶
- Следующая тема: 11. Аттестация объектов информатизации — комплекс технических и организационных мер проходит проверку соответствия требованиям
- Взаимосвязь: организационные меры (эта лекция) + технические меры (Лекции 6–9) = комплексная система защиты, готовая к аттестации
- Связь с аудитом: 15. Практика аудита — аудитор проверяет в том числе наличие и качество ОРД
- Связь с менеджментом: 6. Создание СУИБ — СУИБ строится на тех же организационных процессах; здесь они рассмотрены в контексте конкретного объекта
Список литературы и нормативных актов¶
- Приказ ФСТЭК России №117 от 11.04.2025 — меры ОРД, ИПО, ИНЦ, КОН для ГИС
- Приказ ФСТЭК России №21 — меры ОРД, ПКЗ, ИНЦ для ИСПДн
- Приказ ФСТЭК России №239 — организационные меры для значимых объектов КИИ
- ГОСТ Р ИСО/МЭК 27035-2021 — управление инцидентами ИБ
- ГОСТ Р ИСО/МЭК 27002-2021 — практические правила управления ИБ; разделы по персоналу, документации, управлению изменениями
- 152-ФЗ «О персональных данных» (ред. 2022) — ст. 21.1: уведомление об утечках ПДн
- 420-ФЗ от 12.12.2023 — оборотные штрафы за утечки персональных данных
- 98-ФЗ «О коммерческой тайне» — условия введения режима коммерческой тайны
- Приказ ФСБ №196 от 19.06.2019 — порядок уведомления об инцидентах на КИИ
- ГОСТ Р ИСО/МЭК 27001-2021 — приложение А: организационные меры управления
Обновлено С. Антошкин около 7 часа назад · 7 изменени(я, ий)