Организационные меры обеспечения безопасности компьютерных информационных систем » История » Редакция 4
Редакция 3 (1 1, 11.12.2023 23:12) → Редакция 4/5 (1 1, 11.12.2023 23:13)
h1. Организационные меры обеспечения безопасности компьютерных информационных систем
{{TOC}}
!clipboard-202312051044-7qene.png!
---
h2. Общие положения организационной защиты
*Организационная защита* — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативной основе, что исключает или существенно осложняет неправомерное овладение конфиденциальной информацией и проявления внутренних и внешних угроз.
Организационная защита обеспечивает:
* организацию режима, охраны, работу с кадрами, с документами;
* использование технических средств безопасности и информационноаналитическую деятельность по выявлению внутренних и внешних угроз деятельности предприятия (организации).
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, поскольку возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями и небрежностью пользователей или персонала. Именно люди являются главной угрозой, поэтому "человеческий фактор" заслуживает особого внимания.
Угрозы информационной безопасности, связанные с людьми, практически невозможно предотвратить с помощью технических мероприятий.
Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или сводили к минимуму) возможность возникновения опасности утечки конфиденциальной информации.
К основным организационным мероприятиям обычно относят следующие:
# *Организация режима и охраны.*
Цель:
* исключение возможности тайного проникновения на территорию и в помещение посторонних лиц;
* обеспечение удобства прохода и перемещения сотрудников и посетителей;
* создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;
* контроль и соблюдение временного режима труда и пребывания на территории персонала предприятия;
* организация и поддержка надежного пропускного режима и контроля сотрудников и посетителей;
* организация работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерой ответственности за нарушение правил защиты информации;
# *Организация работы с документами и документируемой информацией*, включая организацию разработки и использование документов и носителей конфиденциальной информации, их учет, использование, возврат, хранение и уничтожение.
# *Организация использования технических средств* сбора, обработки и хранения конфиденциальной информации.
# *Организация работы по анализу внутренних и внешних угроз* конфиденциальной информации и разработка мероприятий по обеспечению ее защиты
# *Организация работы по проведению систематического контроля* за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, которые направлены на обеспечение безопасности информации в конкретных условиях.
---
h2. Особенности организационной защиты компьютерных информационных систем и сетей
Организация защиты компьютерных информационных систем и сетей определяет порядок и схему функционирования их основных подсистем, использования устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативно-правовыми требованиями и правилами.
Защита информации на основе организационных мероприятий играет значительную роль в обеспечении надежности и эффективности, поскольку несанкционированный доступ и утечка информации чаще всего обусловлены злоумышленными действиями, небрежностью пользователей или персонала. Эти факторы практически невозможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты, поэтому совокупность организационных, организационно правовых и организационно-технических мероприятий, которые применяются вместе с техническими методами, имеют целью исключить, уменьшить или полностью устранить потери при действии разнообразных деструктивных факторов.
Организационные средства защиты компьютерных информационных систем и сетей чаще всего применяются в следующих случаях:
* при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;
* при подборе и подготовке персонала — в этом случае предусматривается проверка лиц, которые принимаются на работу, создание условий, при которых персонал был бы заинтересован в сохранности информации, обучение правилам работы с закрытой информацией, ознакомление с мерой ответственности за нарушение правил защиты и т.д.;
* при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);
* при соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);
* при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требований защиты, документальное оформление изменений и т.п.);
* при подготовке и контроле работы пользователей.
Основными нормативными документами, регламентирующими организационные мероприятия по защите информации в информационных системах, являются:
* Федеральный закон РФ от 27.07.2006 г. № 152 — ФЗ «О персональных данных»
* Постановление Правительства РФ по защите персональных данных №1119
* Приказ ФСТЭК России от 11 февраля 2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»
* Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 14.05.2020) "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
* Федеральный закон РФ от 28.12.2010 г. № 390 — ФЗ «О безопасности»
* Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ
* Приказ ФСТЭК России от 25 декабря 2017 г. № 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»
* Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ
* Федеральный закон от 02.12.1990 N 395-1 "О банках и банковской деятельности"
* Федеральный закон от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне"
В соответствии с требованиями этого Положения и порядка обеспечения режима секретности, организации разрабатывают отдельные инструкции, правила выполнения работ по обеспечению режима секретности в ИС, а так же нормативные документы, которые используются в пределах организации и учитывают особенности и условия обработки информации в конкретной ИС.
К их числу относятся:
* Положение о службе защиты информации в ИС;
* План защиты информации в ИС;
* Руководство пользователя КСЗИ;
* Инструкция о порядке ввода в эксплуатацию КСЗИ;
* Инструкция о порядке модернизации КСЗИ;
* Порядок разработки, внедрения и модернизации программного обеспечения ИС;
* Правила выдачи, изъятия и учета персональных идентификаторов;
* Правила управления паролями в ИС;
* Правила классификации и классификатор информации и пользователей ИС;
* Инструкция о порядке резервирования информации;
* Порядок учета и сопровождения архивов и ротации носителей информации;
* Инструкция о порядке оперативного восстановления функционирования ИС;
* Инструкция о порядке использования криптографических средств;
* Инструкция о порядке обработки секретных документов с использованием ИС;
* Инструкция об организации контроля за функционированием КСЗИ;
* Инструкция о порядке проведения ремонтных работ,другие документы.
Обязательными документами являются Положения о службе защиты информации в ИС и План защиты информации в ИС.
Положение о службе защиты информации в ИС определяет задачи, функции, штатную структуру службы защиты информации, обязанности, права и ответственность работников службы, взаимодействие с другими подразделениями организации.
План защиты информации в ИС определяет: задачи защиты, классификацию информации, описание технологии обработки секретной информации, а так же календарный план работ по защите информации в ИС. ИС
h3. Организационные мероприятия по защите информации в ИС.
Для обеспечения режима секретности во время обработки в ИС информации, что составляет государственную тайну, и надлежащего функционирования комплексной системы защиты информации создается служба защиты информации. Состав и функции службы защиты информации определяются в соответствии с документом "Положения о службе защиты информации".
Полномочия пользователей устанавливаются руководителем предприятия и согласовываются с РСО. Учет пользователей информационных систем осуществляется с помощью учетных карточек, на основании которых администратор безопасности вводит, изменяет или удаляет информацию о пользователе ИС. Учетные карточки заполняются и хранятся в РСО.
Учетная карточка обычного пользователя содержит такие данные:
* имя пользователя для регистрации в ОС;
* фамилию и инициалы, подразделение и должность пользователя;
* уровень допуска пользователя;
* перечень ролей пользователя. пользователя
Выполнение работ в ИС позволяется работникам, которые имеют оформленный в установленном порядке допуск к государственной тайне.
РСО предприятия обеспечивает выполнение требований нормативных документов относительно обеспечения режима секретности во время работы с информацией, что составляет государственную тайну, а именно:
* контроль за процессом печати информации и копированием на съемные носители;
* учет печатных документов;
* учет съемных носителей (дискет, накопителей USB Flash и др.);
* учет технических средств, что прошли спец. обследования; спецобследования;
* ведение учетных карточек пользователей.
Основные функции относительно обеспечения защиты информации в ИС возлагаются на администратора безопасности. К его основным функциям относятся такие:
* ведение учетных карточек пользователей;
* ведение базы данных защиты;
* установление параметров работы системы;
* изменение, в случае необходимости, владельца документов;
* отслеживание потенциально опасных событий;
* архивация данных защиты.
Системный администратор должен выполнять такие функции:
* сопровождение программного обеспечения ИС;
* обеспечение антивирусной защиты; защиты.
* сопровождение аппаратного обеспечения (вместе с ответственным за безопасность информации).
Ответственный за безопасность информации должен выполнять такие функции:
* организация печати и учета носителей, что содержат ИзОД;
* наблюдение за работой системы;
* настройка аппаратного обеспечения.
За организацию работ с документами отвечает администратор документов. К его функциям относятся такие:
* создание баз документов;
* управление доступом к документам.
Все действия, которые прямо или опосредствовано могут повлиять на защищенность информации системный администратор выполняет с разрешения администратора безопасности, что фиксируется в “Журнале обслуживания системы“.
Контроль за соблюдением персоналом и пользователями ИС положений политики безопасности возлагается на РСО и службу защиты информации.
Ответственность за обеспечение режима секретности в ИС, своевременная разработка и внедрение необходимых мер возлагается на руководителя организации и руководителей ее структурных подразделений.
---
h2. Служба безопасности предприятия
Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора безопасности распределенных баз и банков данных, которые содержат сведения конфиденциального характера.
Вполне очевидно, что организационные мероприятия должны четко планироваться, направляться и осуществляться определенной организационной структурой, определенным специально созданным для этих целей структурным подразделением, укомплектованным соответствующими специалистами по безопасности деятельности и защиты информации.
Чаще всего таким структурным подразделением является служба безопасности предприятия (фирмы, организации), на которую возлагаются следующие функции:
* организация и обеспечение охраны персонала, материальных и финансовых ценностей и защиты конфиденциальной информации;
* обеспечение пропускного и внутриобъектового режима на территории, в зданиях и помещениях, контроль соблюдения требований режима сотрудниками, смежниками, партнерами и посетителями;
* руководство работами по правовой и организационной регуляции отношений по защите информации;
* участие в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты информации, а также положений о подразделениях, трудовых договорах, соглашениях, подрядах, должностных инструкциях и обязанностях руководства, специалистах, рабочих и служащих;
* разработка и осуществление вместе с другими подразделениями мероприятий по обеспечению работы с документами, которые содержат конфиденциальные сведения; при всех видах работ организация и контроль выполнения требований "Инструкции по защите конфиденциальной информации";
* изучение всех сторон производственной, коммерческой, финансовой и другой деятельности для выявления и следующего противодействия какимнибудь попыткам нанесения ущерба, ведение учета и анализ нарушений режима безопасности, накопление и анализ данных о злоумышленных стремлениях конкурентной и других организаций, о деятельности предприятия и его клиентов, партнеров, смежников;
* разработка, ведение, обновление и пополнение "Перечня сведений, что носят конфиденциальный характер" и других нормативных актов, которые регламентируют порядок обеспечения и защиты информации;
* обеспечение строгого выполнения требований нормативных актов по защите производственных секретов предприятия;
* осуществление руководства службами и подразделениями безопасности подведомственных предприятий, организаций, заведений и другими структурами в части оговоренных в договорах условий по защите информации;
* организация и регулярное проведение учета сотрудников предприятия и службы безопасности по всем направлениям защиты информации и обеспечения безопасности производственной деятельности;
* ведения учета и строгого контроля выделенных для конфиденциальной работы помещений, технических средств в них, обладающих потенциальными каналами утечки информации и каналами проникновения к источникам информации, которые находятся под охраной;
* обеспечение проведения всех необходимых мероприятий по пресечению попыток нанесения морального и материального ущерба со стороны внутренних и внешних угроз;
* поддержка контактов с правоохранительными органами и службами безопасности соседних предприятий для изучения криминогенной обстановки в районе, (зоне) и предоставление взаимной помощи в кризисных ситуациях.
Служба безопасности является самостоятельной организационной единицей предприятия, которая подчиняется непосредственно руководителю предприятия. Возглавляет службу безопасности начальник службы безопасности в должности заместителя руководителя предприятия по безопасности.
Организационно служба безопасности может состоять из следующих структурных единиц:
* подразделения режима и охраны;
* специального подразделения по обработке документов конфиденциального характера (Служба защиты информации);
* инженерно-технических подразделений;
* информационно-аналитических подразделений.
* служба внутрненного аудита
В таком составе служба безопасности способна обеспечить защиту конфиденциальной информации от каких-либо угроз.
На службу безопасности возлагаются следующие задачи:
* определение круга лиц, которые в соответствии с положением, которое они занимают на предприятии, прямо или косвенно имеют доступ к сведениям конфиденциального характера;
* определение участков сосредоточения конфиденциальных сведений;
* определение круга посторонних предприятий, связанных с данным предприятием кооперативными связями, на которых в силу производственных отношений возможен выход из-под контроля сведений конфиденциального характера;
* выявление круга лиц, не допущенных к конфиденциальной информации, но которые проявляют повышенный интерес к таким сведениям;
* выявление круга предприятий, в том числе иностранных, что заинтересованы в доступе к сведениям, которые охраняются, с целью нанесения экономического ущерба данному предприятию, устранения экономического конкурента или его компрометации;
* разработка системы защиты документов, которые содержат сведения экономического характера;
* определение на предприятии участков, уязвимых в аварийном отношении, выход из строя которых может нанести материальный ущерб предприятию и сорвать поставки готовой продукции или комплектующих предприятиям, связанных с ним кооперацией;
* определение на предприятии технологического оборудования, выход (или выведение) которого из строя может привести к большим экономическим потерям;
* определение уязвимых мест в технологии производственного цикла, несанкционированное изменение в котором может привести к потере качества продукции и нанести материальный или моральный ущерб предприятию (потеря конкурентоспособности);
* определение на предприятии мест, несанкционированное посещение которых может привести к изъятию (хищению) готовой продукции или полуфабрикатов, заготовок и т.п. та организация их физической защиты;
* определение и обоснование мероприятий правовой, организационной и инженерно-физической защиты предприятия, персонала, продукции и информации;
* разработка необходимых мер, направленных на совершенствование системы экономической, социальной и информационной безопасности;
* внедрение в деятельность предприятия новейших достижений науки и техники, передового опыта в области обеспечения экономической и информационной безопасности;
* организация обучения сотрудников службы безопасности в соответствии с их функциональными обязанностями;
* изучение, анализ и оценка состояния обеспечения экономической и информационной безопасности предприятия и разработка предложений и рекомендаций для его усовершенствования;
* разработка технико-экономических обоснований, направленных на приобретение технических средств, получения консультации у специалистов, разработку необходимой документации с целью усовершенствования системы мероприятий по обеспечению экономической и информационной безопасности.
Организационные мероприятия являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия