• Содержание
• Организационные меры обеспечения безопасности информационных систем
  • Введение
  • Что такое организационная защита
  • Режим и физическая охрана
    • Пропускной режим
    • Серверная комната и ЦОД
  • Работа с персоналом
    • Приём на работу
    • В процессе работы
    • Изменение должности или прав доступа
    • Увольнение
  • Организация документооборота
    • Учёт и маркировка
    • Хранение
    • Уничтожение
  • Регламентация использования технических средств
    • Личные устройства (BYOD)
    • Съёмные носители
    • Удалённая работа
    • Изменения в программном обеспечении
  • Служба безопасности предприятия
    • Основные функции службы безопасности
    • Роли внутри службы безопасности
  • Нормативные документы организационной защиты
  • Что дальше

Организационные меры обеспечения безопасности информационных систем¶

Введение¶

Технические средства защиты — межсетевые экраны, системы обнаружения вторжений, шифрование — закрывают технические уязвимости. Правовые меры создают юридическую ответственность. Но ни то ни другое не поможет, если сотрудник записывает пароль на стикере под клавиатурой, выносит ноутбук с конфиденциальными данными на конференцию или пропускает постороннего в серверную «на минутку».

По статистике, до 65% инцидентов ИБ обусловлены действиями персонала — намеренными или случайными. Технические средства против этого бессильны. Единственный эффективный инструмент — организационные меры: регламентация деятельности людей, процессов и взаимодействий.

Организационные меры — связующее звено между правовой базой (7. Правовые меры) и техническими контролями (9. Управление доступом). Законы задают что требуется, технические средства реализуют защиту, организационные меры обеспечивают, что всё это работает на практике.

---

Что такое организационная защита¶

Организационная защита — это регламентация производственной деятельности и взаимоотношений сотрудников на нормативной основе, которая исключает или существенно затрудняет несанкционированное использование конфиденциальной информации.

В отличие от технических мер, организационные меры воздействуют непосредственно на поведение людей: устанавливают правила, распределяют ответственность, создают процедуры контроля.

Организационная защита охватывает пять основных направлений:

Направление	Суть
Режим и охрана	Контроль физического доступа на территорию, в здания и помещения
Работа с персоналом	Подбор, обучение, контроль сотрудников; работа с увольняемыми
Документооборот	Учёт, хранение, использование и уничтожение носителей конфиденциальной информации
Технические средства	Регламентация использования оборудования, ПО, съёмных носителей
Аналитическая работа	Выявление угроз, анализ инцидентов, оценка защищённости

---

Режим и физическая охрана¶

Физическая безопасность — первый рубеж организационной защиты. Злоумышленник, получивший физический доступ к оборудованию, обходит большинство технических средств защиты.

Пропускной режим¶

Пропускной режим разграничивает территорию предприятия на зоны с разным уровнем доступа. Типовая структура зон:

Требования к пропускному режиму:

• все входы и выходы оборудованы средствами контроля и управления доступом (СКУД);
• посетители регистрируются в журнале и сопровождаются сотрудником;
• отдельные зоны (серверная, архив) имеют самостоятельные системы доступа с журналированием каждого входа;
• при увольнении сотрудника его пропуск аннулируется в день увольнения — не позднее.

Серверная комната и ЦОД¶

Особые требования предъявляются к помещениям, где размещается критичное оборудование:

• доступ только для авторизованного персонала IT-службы;
• журнал посещений с фиксацией времени входа и выхода;
• видеонаблюдение с хранением записей не менее 30 дней;
• защита от затопления, пожара, перегрева (инженерные системы);
• запрет на использование личных устройств и съёмных носителей.

Физическая защита серверной — это контроль из Приложения А ISO 27001 (раздел «Физические контроли»). Его применение фиксируется в SOA и подкрепляется журналами посещений как доказательство для аудитора.

---

Работа с персоналом¶

Персонал — главный источник организационных рисков ИБ. Инсайдерские угрозы, социальная инженерия, случайные ошибки — всё это требует системной работы с людьми на каждом этапе их жизненного цикла в организации.

Приём на работу¶

До предоставления доступа к конфиденциальной информации:

• проверка сведений, указанных в резюме (предыдущие места работы, образование);
• проверка рекомендаций;
• ознакомление с политикой ИБ и перечнем конфиденциальных сведений под подпись;
• подписание соглашения о неразглашении (NDA);
• инструктаж по правилам работы с информацией и ответственности за нарушения.

Подпись сотрудника на документах об ознакомлении — необходимое условие для последующего привлечения к ответственности при нарушении. Без неё любые претензии юридически несостоятельны. Подробнее — в теме 7. Правовые меры.

В процессе работы¶

Осведомлённость персонала деградирует со временем — люди забывают правила, привыкают к нарушениям, перестают замечать риски. Поэтому работа с персоналом должна быть непрерывной:

• Регулярное обучение — базовый курс ИБ ежегодно для всех сотрудников; углублённые курсы для IT-персонала, разработчиков, финансистов.
• Симуляции фишинга — контролируемые тестовые атаки для проверки реальной осведомлённости; сотрудники, «попавшиеся», направляются на внеплановое обучение.
• Напоминания и рассылки — короткие информационные материалы о текущих угрозах, типичных ошибках, изменениях в политиках.
• Разбор инцидентов — анонимный анализ реальных случаев нарушений помогает сформировать культуру ИБ без атмосферы страха.

Security Champion — практика DevSecOps, применимая и в обычных командах:
выделенный сотрудник внутри подразделения, прошедший углублённое обучение по ИБ и помогающий коллегам применять безопасные практики. Подробнее — в теме 12. Безопасность в разработке.

Изменение должности или прав доступа¶

При любом изменении роли сотрудника права доступа пересматриваются:

• ненужные права отзываются немедленно;
• новые права предоставляются только после согласования с владельцем актива;
• проводится инструктаж по новым обязанностям в части ИБ.

Увольнение¶

Увольнение сотрудника — один из наиболее критичных моментов с точки зрения ИБ:

• в день увольнения аннулируются все права доступа — логического и физического;
• возвращаются все корпоративные устройства, носители информации, ключи и пропуска;
• проводится финальный инструктаж о сохранении конфиденциальности после увольнения (в соответствии с NDA);
• при увольнении по конфликтным причинам — немедленная блокировка доступа до завершения всех формальностей.

«Обиженные» сотрудники — один из наиболее опасных источников инцидентов ИБ.
Они знают системы изнутри и имеют мотив. Своевременное аннулирование доступа — первоочередная мера снижения этого риска.

---

Организация документооборота¶

Конфиденциальная информация существует не только в цифровом виде. Распечатанные документы, флеш-накопители, резервные копии на лентах — всё это требует отдельного регламентирования.

Учёт и маркировка¶

• все носители конфиденциальной информации регистрируются в учётном журнале с присвоением инвентарного номера;
• документы маркируются грифом конфиденциальности при создании;
• выдача и возврат документов фиксируются с указанием даты, времени и сотрудника.

Хранение¶

• конфиденциальные документы хранятся в запираемых шкафах или сейфах;
• доступ к местам хранения ограничен минимально необходимым кругом лиц;
• резервные носители хранятся с той же строгостью, что и основные данные — это распространённая ошибка: копии лежат в шкафу, а оригиналы защищены СКУД.

Уничтожение¶

• бумажные документы уничтожаются через шредер (класс не ниже P-4 для конфиденциальных документов);
• электронные носители уничтожаются физически или перезаписываются по стандарту (ГОСТ Р 58516 или DoD 5220.22-M) — простое форматирование не гарантирует уничтожение данных;
• факт уничтожения документируется в акте с подписями не менее двух сотрудников.

---

Регламентация использования технических средств¶

Личные устройства (BYOD)¶

Использование личных устройств для работы с корпоративной информацией — один из основных каналов утечки. Организация должна выбрать одну из стратегий: полный запрет BYOD, разрешение с MDM-управлением или изолированные контейнеры для корпоративных данных на личных устройствах. Выбранная стратегия фиксируется в политике и доводится до сотрудников.

Съёмные носители¶

• использование личных флеш-накопителей на рабочих станциях запрещается или ограничивается политикой;
• корпоративные носители учитываются в реестре и шифруются;
• при передаче данных за периметр организации используется защищённый канал, а не физический носитель.

Удалённая работа¶

При работе за пределами офиса:

• подключение к корпоративным ресурсам только через VPN;
• запрет на работу с конфиденциальными данными в публичных сетях без VPN;
• экран блокируется при отсутствии пользователя — политика «чистого экрана»;
• видеоконференции с конфиденциальными темами проводятся в приватном помещении.

Изменения в программном обеспечении¶

Несанкционированная установка ПО — распространённый вектор заражения вредоносным кодом. Регламент управления изменениями требует:

• установка ПО только из доверенных источников и с разрешения IT-службы;
• все изменения документируются;
• новое ПО проверяется на соответствие требованиям безопасности перед установкой.

Контроль изменений в ПО — пересечение с практиками безопасной разработки.
Подробнее — в теме 12. Безопасность в разработке.

---

Служба безопасности предприятия¶

Организационные меры требуют координирующей структуры — подразделения, которое планирует, реализует и контролирует их выполнение. Такой структурой является служба безопасности предприятия.

Служба безопасности — самостоятельное подразделение, подчинённое непосредственно руководителю предприятия. Возглавляет её начальник в ранге заместителя руководителя по безопасности.

Основные функции службы безопасности¶

Физическая безопасность и режим:

• организация охраны персонала, материальных ценностей и конфиденциальной информации;
• обеспечение пропускного и внутриобъектового режима;
• контроль соблюдения требований режима сотрудниками, партнёрами и посетителями.

Защита информации:

• разработка и актуализация «Перечня сведений конфиденциального характера»;
• организация работы с конфиденциальными документами и контроль их обращения;
• ведение учёта помещений и технических средств, имеющих потенциальные каналы утечки информации.

Нормативно-методическая работа:

• участие в разработке политики ИБ, регламентов, должностных инструкций — в части требований безопасности;
• включение требований ИБ в трудовые договоры, контракты с подрядчиками и соглашения с партнёрами.

Аналитическая работа:

• мониторинг угроз: выявление лиц, проявляющих неправомерный интерес к конфиденциальной информации;
• анализ инцидентов безопасности и разработка мер по их предотвращению;
• взаимодействие с правоохранительными органами и службами безопасностисмежных организаций.

Обучение и контроль:

• организация обучения сотрудников правилам работы с конфиденциальной информацией;
• систематический контроль соблюдения политики ИБ персоналом.

Роли внутри службы безопасности¶

В части защиты информационных систем ключевые роли распределяются следующим образом:

Роль	Основные функции
Администратор безопасности	Ведение учётных карточек пользователей, управление правами доступа, мониторинг потенциально опасных событий, архивирование данных защиты
Системный администратор	Сопровождение ПО и аппаратного обеспечения ИС, обеспечение антивирусной защиты. Все критичные действия — только с разрешения администратора безопасности
Ответственный за безопасность информации	Организация учёта носителей с конфиденциальной информацией, наблюдение за работой систем, настройка оборудования
Администратор документов	Создание баз документов, управление доступом к документам, учёт движения носителей

Принцип разделения полномочий критически важен: системный администратор не должен иметь права самостоятельно изменять настройки безопасности. Все такие действия требуют санкции администратора безопасности и фиксируются в журнале обслуживания системы.

---

Нормативные документы организационной защиты¶

Каждое организационное мероприятие должно быть закреплено документально. Помимо политики ИБ (рассмотренной в теме 7. Правовые меры), для защиты информационных систем разрабатываются:

Обязательные документы:

• положение о службе защиты информации — задачи, структура, права и ответственность;
• план защиты информации — классификация информации, описание технологии обработки, календарный план работ.

Эксплуатационные документы:

• инструкция пользователя КСЗИ;
• правила управления паролями;
• правила выдачи, изъятия и учёта персональных идентификаторов;
• инструкция по резервированию информации;
• инструкция по использованию криптографических средств;
• инструкция по управлению инцидентами ИБ;
• регламент обеспечения физической безопасности.

Полный перечень документов СУИБ с разбивкой по уровням (политики → регламенты → инструкции → журналы) рассмотрен в теме 6. Создание СУИБ.

---

Что дальше¶

Организационные меры создают правила и процедуры. Технические меры автоматизируют их выполнение и добавляют рубежи защиты, которые не зависят от человеческого фактора.

• Следующая тема: 9. Управление доступом — идентификация, аутентификация, управление доступом, протоколирование
• Криптография: 10. Аудит и криптография — технические механизмы обеспечения конфиденциальности и целостности
• Непрерывность: 11. Непрерывность бизнеса — организационная составляющая планов BCP/DRP