Основы информационной безопасности. Глава V. Обеспечение безопасности и защиты информации Реализация мер по обеспечению информационной безопасности

В повседневной жизни часто информационная безопасность (ИБ) понимается лишь как необходимость борьбы с утечкой секретной и распространением ложной и враждебной информации. Однако, это понимание очень узкое. Существует много разных определений информационной безопасности, в которых высвечиваются отдельные её свойства.

В утратившем силу ФЗ «Об информации, информатизации и защите информации» под информационной безопасностью понималось состояние защищённости информационной среды общества, обеспечивающее её формирование и развитие в интересах граждан, организаций и государства .

В других источниках приводятся следующие определения:

Информационная безопасность - это

1) комплекс организационно-технических мероприятий, обеспечивающих целостность данных и конфиденциальность информации в сочетании с её доступностью для всех авторизованных пользователей ;

2) показатель, отражающий статус защищенности информационной системы;

3) состояние защищённости информационной среды ;

4) состояние, обеспечивающее защищенность информационных ресурсов и каналов, а также доступа к источникам информации.

В. И. Ярочкин считает, что информационная безопасность есть состояние защищённости информационных ресурсов, технологии их формирования и использования, а также прав субъектов информационной деятельности .

Достаточно полное определение дают В. Бетелин и В. Галатенко, которые полагают, что

В данном пособии мы будем опираться на приведённое выше определение.

ИБ не сводится исключительно к защите информации и компьютерной безопасности. Следует различать информационную безопасность от защиты информации.

Иногда под защитой информации понимается создание в ЭВМ и вычислительных системах организованной совокупности средств, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения или несанкционированного использования защищаемой информации.

Меры по обеспечению информационной безопасности должны осуществляться в разных сферах - политике, экономике, обороне, а также на различных уровнях - государственном, региональном, организационном и личностном. Поэтому задачи информационной безопасности на уровне государства отличаются от задач, стоящих перед информационной безопасностью на уровне организации.

Субъект информационных отношений может пострадать (понести материальные и/или моральные убытки) не только от несанкционированного доступа к информации, но и от поломки системы, вызвавшей перерыв в работе. ИБ зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Поддерживающая инфраструктура имеет самостоятельную ценность, важность которой переоценить невозможно.

После событий 11 сентября 2001 года в законодательстве США в соответствии с законом «О патриотизме» было определено понятие «критическая инфраструктура», которая понимается как «совокупность физических или виртуальных систем и средств, важных для США в такой мере, что их выход из строя или уничтожение могут привести к губительным последствиям в области обороны, экономики, здравоохранения и безопасности нации». Понятие критической инфраструктуры охватывает такие ключевые области народного хозяйства и экономики США, как национальная оборона, сельское хозяйство, производство пищевых продуктов, гражданская авиация, морской транспорт, автомобильные дороги и мосты, тоннели, дамбы, трубопроводы, водоснабжение, здравоохранение, службы экстренной помощи, органы государственного управления, военное производство, информационные и телекоммуникационные системы и сети, энергетика, транспорт, банковская и финансовая системы, химическая промышленность, почтовая служба.

В социальном плане информационная безопасность предполагает борьбу с информационным «загрязнением» окружающей среды, использованием информации в противоправных и аморальных целях.

Также объектами информационного воздействия и, следовательно, информационной безопасности могут быть общественное или индивидуальное сознание.

На государственном уровне субъектами ИБ являются органы исполнительной, законодательной и судебной власти. В отдельных ведомствах созданы органы, специально занимающиеся информационной безопасностью.

Кроме этого, субъектами ИБ могут быть:

Граждане и общественные объединения;

Средства массовой информации;

Предприятия и организации независимо от формы собственности.

Интересы субъектов ИБ, связанных с использованием информационных систем, можно подразделить на следующие основные категории:

Доступность - возможность за приемлемое время получить требуемую информационную услугу. Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это наносит ущерб всем субъектам информационных отношений. Особенно ярко ведущая роль доступности проявляется в разного рода системах управления: производством, транспортом и т.п. Поэтому, не противопоставляя доступность остальным аспектам, доступность является важнейшим элементом ИБ.

Целостность -актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Пример области применения средств контроля динамической целостности - анализ потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Конфиденциальность - защита от несанкционированного ознакомления. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации.

Цель мероприятий в области информационной безопасности - защита интересов субъектов ИБ.

Задачи ИБ:

1. Обеспечение права личности и общества на получение информации.

2. Обеспечение объективной информацией.

3. Борьба с криминальными угрозами в сфере информационных и телекоммуникационных систем, с телефонным терроризмом, отмыванием денег и т.д.

4. Защита личности, организации, общества и государства от информационно-психологических угроз.

5. Формирование имиджа, борьба с клеветой, слухами, дезинформацией.

Роль информационной безопасности возрастает при возникновении экстремальной ситуации, когда любое недостоверное сообщение может привести к усугублению обстановки.

Критерий ИБ - гарантированная защищённость информации от утечки, искажения, утраты или иных форм обесценивания. Безопасные информационные технологии должны обладать способностью к недопущению или нейтрализации воздействия как внешних, так и внутренних угроз информации, содержать в себе адекватные методы и способы её защиты.

Если есть угроза - должны быть и методы защиты и противодействия. . Способы - это средства для достижения поставленных задач и порядок методов приемов использования сил по защите конфиденциальной информации.

Принцип действие человека на подсознании рассчитан на достижение положительных результатов. Опыт профессионалов в сфере защите информации достаточно ясно определил совокупность средств, сил и приемов, нацеленных на гарантирование информационной безопасности или информационной надежности.

Обеспечение информационной надежности или информационной безопасности достигается путем следующих действий направленных на:

Выявление угроз выражается в порядочном анализе и контроле допустимых появлений потенциальных или реальных угроз а также своевременных мерах по их предупреждению;
предупреждение угроз, достигается путем обеспечения информационной безопасности или информационной надежности в пользу упреждения и их возникновению
на обнаружение угроз с анализом рисков;
Включение мер по уничтожению угрозы или преступных действий и локализацию преступных действий;
обнаружение угроз, достигается путем определения конкретных преступных действий и реальных угроз;
ликвидацию последствий относительно угроз и преступных конкретных действий. Восстановление статус-кво (рис. 1).

Методы защиты информации:

препятствие — средство физического преграждения действий злоумышленнику относительно критической информации
управление доступом — средства защиты информации регулированием использования всех ресурсов ИС в ИТ. Такие методы должны защищать от к информации
Алгоритмы шифрования — методы реализуют как при хранении так и при обработке информации. При передаче информации — это главный и единственный метод защиты
Регламентация — создание условий для хранение и обработки информации в информационной системе, при которых стандартны и нормы по защите реализуются в наибольшей степени
Принуждение — средство защиты, которое заставляет пользователей соблюдать правила работы в информационной системе
Побуждение — средство защиты, побуждающее пользователей информационной системы не нарушать правила, за счет этических и моральных норм
Аппаратные средства — устройства, которые встроенные в вычислительные механизмы или подключаются с помощью интерфейсов
физические средства — разные инженерные сооружения, которые защищают персонал, информацию, устройства, вещи от злоумышленников
Программные средства — ПО которое внедряется в информационную систему для реализации защиты
Организационные средства — достигаются на основе нормативных документов, которые регулируют работу сотрудников таким образом, что бы реализовать максимальную защиту информационной системы

Предупреждение противоправных действий и возможных может быть обеспечено различными средствами и мерами, начиная от соблюдение отношений между сотрудниками организационными методами заканчивая защиты аппаратными, физическими,программными и методами( или или ). Предупреждение угроз также возможно этапом получения информации о подготовительных действиях, готовящихся актах, планируемых хищениях и других элементах преступных действий. Для таких целей нужна с информаторами в разных сферах действия с разными задачами. Одни наблюдают и дают объективную оценку происходящей ситуации. Другие оценивают отношения сотрудников внутри коллектива на различных уголках предприятия. Третьи работают среди преступных формирований и конкурентов.

Рисунок 1

Для предупреждения угроз очень существенно играет деятельность информационно-аналитической службы безопасности на основе анализа особой обстановки и деятельности злоумышленников и конкурентов. Если есть доступ к сети интернет, службе безопасности . А также или .

Защита от разглашения данных сводится к создании каталога сведений, представляющих коммерческую тайну на предприятии. Этот каталог сведений должен быть доведен до каждого работника на предприятии, с обязательством в письменном виде этого сотрудника сохранять эту тайну. Одним из важных действий служится система контроля за сбережение целостности и конфиденциальности коммерческих секретов.

Защита конфиденциальной информации от утечки работает на основе учета, выявления и контроля вероятных путей утечки в конкретных ситуациях а также осуществлению технических, организационных, организационно-технических мероприятий по их уничтожению.

Защита конфиденциальной информации от несанкционированного доступа действует на основе реализацией технических, организационных, организационно-технических процедур по противодействию НСД. А также контроля способов несанкционированного доступа и анализа.

На практике все мероприятия в определенной степени используют технические , и они подразделяются на три группы(рис. 2):

организационные (в сфере технических средств);
технические.
организационно-технические;

Рисунок 2

Референция защитных действий

Защитная работа, а также приемы и процедуры по поддержании информационной безопасности классифицируют по характеристикам и по объектам защиты которые делятся на следующие параметры:

По ориентации — защитные методы можно классифицировать как действия, курс на защиту персонала, финансовых и материальных активов и информации как фонд.

По способам - это обнаружение (к примеру: ) или , предупреждение, выявление, пресечение и восстановление.

По направлениям - это защита на основе правовых методов, организационных и инженерно-технических действий.

По охвату защитные средства могут быть нацелены на защиту периметра предприятия, отдельных помещений, здания, конкретных групп аппаратуры, технических средств и систем, отдельных элементов (домов, помещений, аппаратуры) опасных с точки зрения НСД к ним.

Причиной информации могут быть , люди, отходы, технические средства и тд. Носители информации могут быть акустические и электромагнитные поля, либо вещества (изделие, бумага, материал). Средой распространения служит жесткие среды или воздушное пространство.

Правонарушитель может обладать всеми нужными средствами приема электромагнитной и акустической энергии, воздушное наблюдение и возможностью анализировать материалы представления информации.

Представления информации в вещественных формах. Для исключения неправомерного овладения конфиденциальной информацией, следует обработать сигнал или источник информации средствами шифрования приглушенные или других.

С повышением темпов использования и распространения информационных сетей ( или ) и ПК увеличивается роль разных факторов, вызывающих разглашение, утечку и НСД к информации. Таковыми являются:

ошибки ;
злоумышленные или несанкционированные поступки сотрудников и пользователей;
дефолты аппаратуры ил баги в программах;
стихийные катастрофы, крушение различного происхождения и опасности;
ошибки пользователей и персонала;
ошибки при .

В связи с этим, основные целb защиты информации в информационных сетях и ПК есть:

предупреждение утечки информации и потерь, вмешательства и перехвата на всех степенях влияния, для всех объектов территориально разделенных;
обеспечение прав пользователей и юридических норм в связи ДОСТУПА к информационным и остальным ресурсам, предполагающее административный смотр за информационной деятельностью, включая действия персональной ответственности за следованием режимов работы и правил пользования;

Рисунок 3

Выводы

1.Обеспечение информационной надежности или безопасности достигается организационными,техническими и организационно-техническими процедурами, любое из которых обеспечивается своеобразными методами, средствами и мерами, имеющими соответствующими параметрами.

2.Разнообразные действия и условия, способствующие незаконному или неправомерному усвоению конфиденциальными данными, вынуждает использовать не менее разнообразных способов, средств, сил и для обеспечения информационной безопасности или надежности.

3.Основными задачами охраны информации служит гарантирование конфиденциальности, целостности и достаточности информационных ресурсов. А также и внедрить ее в систему.

4.Методы обеспечения информационной защиты должны быть нацелены на упреждающий темперамент действий, наведенных на заблаговременные пути предупреждения вероятных угроз коммерческим секретам.

Политика Информационной Безопасности.

1. Общие положения

Настоящая Политика информационной безопасности (далее – Политика ) определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач, а также организационных, технологических и процедурных аспектов обеспечения безопасности информации объектов информационной инфраструктуры, включающих совокупность информационных центров, банков данных и систем связи организации. Настоящая Политика разработана с учетом требований действующего законодательства РФ и ближайших перспектив развития объектов информационной инфраструктуры, а также характеристик и возможностей современных организационно-технических методов и аппаратно-программных средств защиты информации.

Основные положения и требования Политики распространяются на все структурные подразделения организации.

Политика является методологической основой для формирования и проведения единой политики в области обеспечения безопасности информации объектов информационной инфраструктуры, принятия согласованных управленческих решений и разработки практических мер, направленных на обеспечение информационной безопасности, координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации объектов информационной инфраструктуры с соблюдением требований по обеспечению безопасности информации.

Политика не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов информационной инфраструктуры, защиты от стихийных бедствий, и сбоев в системе энергоснабжения, однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности организации в целом.

Реализация политики обеспечивается соответствующими руководствами, положениями, порядками, инструкциями, методическими указаниями и системой оценки информационной безопасности в организации.

В Политике используются следующие термины и определения:

Автоматизированная система (АС ) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Информационная инфраструктура — система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. Информационная инфраструктура включает совокупность информационных центров, банков данных и знаний, систем связи, обеспечивает доступ потребителей к информационным ресурсам.

Информационные ресурсы (ИР ) – это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, базах данных и других информационных системах ).

Информационная система (ИС ) - система обработки информации и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д. ), которые обеспечивают и распространяют информацию.

Безопасность — состояние защищенности интересов (целей ) организации в условиях угроз.

Информационная безопасность (ИБ ) — безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей ) организации.

Доступность информационных активов — свойство ИБ организации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.

Целостность информационных активов — свойство ИБ организации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.

Конфиденциальность информационных активов — свойство ИБ организации, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.

Система информационной безопасности (СИБ ) — совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное ) обеспечение.

Несанкционированный доступ – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации или получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

2. Общие требования по обеспечению информационной безопасности

Требования информационной безопасности (далее — ИБ ) определяют содержание и цели деятельности организации в рамках процессов управления ИБ.

Эти требования формулируются для следующих областей:

назначение и распределение ролей и доверия к персоналу;
стадий жизненного цикла объектов информационной инфраструктуры;
защиты от несанкционированного доступа (далее — НСД ), управления доступом и регистрацией в автоматизированных системах, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;
антивирусной защиты;
использования ресурсов Интернет;
использования средств криптографической защиты информации;
защиты персональных данных.

3. Объекты, подлежащие защите

Основными объектами, подлежащими защите, являются:

информационные ресурсы , представленные в виде документов и массивов информации, вне зависимости от формы и вида их представления, включающие в том числе конфиденциальную и открытую информацию;
система формирования, распространения и использования информационных ресурсов , библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, технический и обслуживающий персонал;
информационная инфраструктура , включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты информационной инфраструктуры.

3.1. Особенности Автоматизированной системы

В АС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой корпоративной сети.

В ряде подсистем АС предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными ) организациями по коммутируемым и выделенным каналам связи с использованием специальных средств передачи информации.

Комплекс технических средств АС включает средства обработки данных (рабочие станции, серверы БД, почтовые серверы и т.п. ), средства обмена данными в локальных вычислительных сетях с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и т.д. ), а также средства хранения (в т.ч. архивирования ) данных.

К основным особенностям функционирования АС относятся:

необходимость объединения в единую систему большого количества разнообразных технических средств обработки и передачи информации;
большое разнообразие решаемых задач и типов, обрабатываемых данных;
объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности;
наличие каналов подключения к внешним сетям;
непрерывность функционирования;
наличие подсистем с различными требованиями по уровням защищенности, физически объединенных в единую сеть;
разнообразие категорий пользователей и обслуживающего персонала.

В общем виде, единая АС представляет собой совокупность локальных вычислительных сетей подразделений, объединенных между собой средствами телекоммуникаций. Каждая локальная вычислительная сеть объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков ), обеспечивающих решение задач отдельными структурными подразделениями организации.

Объекты информатизации включают:

технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование );
информационные ресурсы;
программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение );
автоматизированные системы связи и передачи данных (средства телекоммуникации);
каналы связи;
служебные помещения.

3.2. Типы информационных активов организации, подлежащих защите

В подсистемах АС организации циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, коммерческая, персональные данные ) и открытые сведения.

В документообороте АС присутствуют:

платежные поручения и финансовые документы;
отчеты (финансовые, аналитические и др. );
сведения о лицевых счетах;
персональные данные;
другая информация ограниченного распространения.

Защите подлежит вся информация, циркулирующая в АС и содержащаяся в следующих типах информационных активов:

сведения, составляющие коммерческую и служебную тайну, доступ к которым ограничен организацией, как собственником информации, в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации » правами и Федеральным законом «О коммерческой тайне »;
персональные данные, доступ к которым ограничен в соответствии с Федеральным законом «О персональных данных »;
открытые сведения, в части обеспечения целостности и доступности информации.

3.3. Категории пользователей Автоматизированной системы

В организации имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным ресурсам АС:

простые пользователи (конечные пользователи, работники подразделений организации );
администраторы серверов (файловых серверов, серверов приложений, серверов баз данных ), локальных вычислительных сетей и прикладных систем;
системные программисты (ответственные за сопровождение общего программного обеспечения ) на серверах и рабочих станциях пользователей;
разработчики прикладного программного обеспечения;
специалисты по обслуживанию технических средств вычислительной техники;
администраторы информационной безопасности и др.

3.4. Уязвимость основных компонентов Автоматизированной системы

Наиболее уязвимыми компонентами АС являются сетевые рабочие станции – автоматизированные рабочие места (далее – АРМ ) работников. С АРМ работников могут быть предприняты попытки несанкционированного доступа к информации или попытки несанкционированных действий (непреднамеренных и умышленных ) в компьютерной сети. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Недостатки протоколов обмена и средств разграничения доступа к ресурсам серверов могут дать возможность несанкционированного доступа к защищаемой информации и оказания влияния на работу различных подсистем. При этом могут предприниматься попытки как удаленного (со станций сети ), так и непосредственного (с консоли сервера ) воздействия на работу серверов и их средств защиты.

Мосты, шлюзы, концентраторы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.

4. Основные принципы обеспечения информационной безопасности

4.1. Общие принципы безопасного функционирования

Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на его бизнес-цели.
Прогнозируемость развития проблем. Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.
Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем.
Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
Эффективность защитных мер. Организация должна эффективно реализовывать принятые защитные меры.
Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.
Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.

4.2. Специальные принципы обеспечения информационной безопасности

Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации.
Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутреннем документе. Неопределенность приводит к “расплывчатости ” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.
Знание своих клиентов и работников. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (работников ), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.
Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.
Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.
Доступность услуг и сервисов. Организация должна обеспечить для своих клиентов и контрагентов доступность услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями ) и/или иными документами.
Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно, наблюдаем (прозрачен ) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

5. Цели и задачи обеспечения информации безопасности

5.1. Субъекты информационных отношений в Автоматизированной системе

Субъектами правоотношений при использовании АС и обеспечении безопасности информации являются:

Организация как собственник информационных ресурсов;
подразделения организации, обеспечивающие эксплуатацию АС;
работники структурных подразделений организации, как пользователи и поставщики информации в АС в соответствии с возложенными на них функциями;
юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС;
другие юридические и физические лица, задействованные в процессе создания и функционирования АС (разработчики компонент системы, организации, привлекаемые для оказания различных услуг в области информационных технологий и др. ).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

конфиденциальности определенной части информации;
достоверности (полноты, точности, адекватности, целостности ) информации;
защиты от навязывания ложной (недостоверной, искаженной ) информации;
своевременного доступа к необходимой информации;
разграничения ответственности за нарушения законных прав (интересов ) других субъектов информационных отношений и установленных правил обращения с информацией;
возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п. ).

5.2. Цель обеспечения безопасности информации

Основной целью обеспечения безопасности информации является защита субъектов информационных отношений от возможного нанесения им материального, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:

доступности обрабатываемой информации для зарегистрированных пользователей;
конфиденциальности определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;
целостности и аутентичности информации, хранимой, обрабатываемой и передаваемой по каналам связи.

5.3. Задачи обеспечения безопасности информации

Для достижения основной цели обеспечения безопасности информации система информационной безопасности АС должна обеспечивать эффективное решение следующих задач:

защиту от вмешательства в процесс функционирования АС посторонних лиц;
разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС, то есть защиту от несанкционированного доступа;
регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;
защиту от несанкционированной модификации и контроль целостности (обеспечение неизменности ) среды исполнения программ и ее восстановление в случае нарушения;
защиту от несанкционированной модификации и контроль целостности используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
защиту информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
защиту информации, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
обеспечение аутентификации пользователей, участвующих в информационном обмене;
обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.

5.4. Пути решения задач обеспечения безопасности информации

Решение задач обеспечения безопасности информации достигается:

строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, АРМ );
регламентацией процессов обработки информации и действий работников структурных подразделений организации, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе организационно-распорядительных документов по вопросам обеспечения безопасности информации;
полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
назначением и подготовкой работников, ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации;
наделением каждого работника минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС;
четким знанием и строгим соблюдением всеми работниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
персональной ответственностью за свои действия каждого работника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;
реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС;
применением технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
разграничением потоков информации и запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
эффективным контролем за соблюдением работниками требований по обеспечению безопасности информации;
постоянным мониторингом сетевых ресурсов, выявлением уязвимостей, своевременным обнаружением и нейтрализацией внешних и внутренних угроз безопасности компьютерной сети;
юридической защитой интересов организации от противоправных действий в области информационной безопасности.
проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС.

6.Угрозы безопасности информации

6.1. Угрозы безопасности информации и их источники

Наиболее опасными угрозами безопасности информации, обрабатываемой в АС, являются:

нарушение конфиденциальности (разглашение, утечка ) сведений, составляющих служебную или коммерческую тайну, в том числе персональных данных;
нарушение работоспособности (дезорганизация работы ) АС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
нарушение целостности (искажение, подмена, уничтожение ) информационных, программных и других ресурсов АС.

Основными источниками угроз безопасности информации АС являются:

неблагоприятные события природного и техногенного характера;
террористы, криминальные элементы;
компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
поставщики программно-технических средств, расходных материалов, услуг и т.п.;
подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования и его ремонт;
несоответствие требованиям надзорных и регулирующих органов, действующему законодательству;
сбои, отказы, разрушения/повреждения программных и технических средств;
работники, являющиеся легальными участниками процессов в АС и действующие вне рамок предоставленных полномочий;
работники, являющиеся легальными участниками процессов в АС и действующие в рамках предоставленных полномочий.

6.2. Непреднамеренные действия, приводящие к нарушению информационной безопасности, и меры по их предотвращению

Работники организации, имеющие непосредственный доступ к процессам обработки информации в АС, являются потенциальным источником непреднамеренных случайных действий, которые могут привести к нарушению информационной безопасности.

Основные непреднамеренные действия, приводящие к нарушению информационной безопасности (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла ) и меры по предотвращению подобных действий и минимизации наносимого ими ущерба приведены в Таблице 1 .

Таблица 1

Основные действия, приводящие к нарушению информационной безопасности
Действия работников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п. )	Организационные меры (). Применение физических средств, препятствующих неумышленному совершению нарушения. Применение технических (аппаратно-программных ) средств разграничения доступа к ресурсам. Резервирование критичных ресурсов.
Несанкционированный запуск программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания ) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п. )	Организационные меры (удаление всех потенциально опасных программ с АРМ ). Применение технических (аппаратно-программных ) средств разграничения доступа к программам на АРМ.
Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения работниками своих служебных обязанностей ) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п. )	Организационные меры (введение запретов ). Применение технических (аппаратно-программных ) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ.
Непреднамеренное заражение компьютера вирусами	Организационные меры (регламентация действий, введение запретов ). Технологические меры (применение специальных программ обнаружения и уничтожения вирусов ). Применение аппаратно-программных средств, препятствующих заражению компьютерными вирусами.
Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭП, идентификационных карточек, пропусков и т.п. )	Организационные меры (регламентация действий, введение запретов, усиление ответственности ). Применение физических средств обеспечения сохранности указанных реквизитов.
Игнорирование организационных ограничений (установленных правил ) при работе в системе	Организационные меры (). Использование дополнительных физических и технических средств защиты.
Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасности	Организационные меры (обучение персонала, усиление ответственности и контроля ).
Ввод ошибочных данных	Организационные меры (усиление ответственности и контроля ). Технологические меры контроля за ошибками операторов ввода данных.

6.3. Умышленные действия по нарушению информационной безопасности и меры по их предотвращению

Основные умышленные действия (с корыстными целями, по принуждению, из желания отомстить и т.п. ), приводящие к нарушению информационной безопасности АС, и меры по их предотвращению и снижению возможного наносимого ущерба приведены в Таблице 2 .

Таблица 2

Основные умышленные действия, приводящие к нарушению информационной безопасности	Меры по предотвращению угроз и минимизации ущерба
Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п. ), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п. )	Организационные меры (регламентация действий, введение запретов ). Применение физических средств, препятствующих умышленному совершению нарушения. Резервирование критичных ресурсов.
Внедрение агентов в число персонала системы (в том числе, в административную группу, отвечающую за безопасность ), вербовка (путем подкупа, шантажа, угроз и т.п. ) пользователей, имеющих определенные полномочия по доступу к защищаемым ресурсам	Организационные меры (подбор, расстановка и работа с кадрами, усиление контроля и ответственности ). Автоматическая регистрация действий персонала.
Хищение носителей информации (распечаток, магнитных дисков, лент, запоминающих устройств и целых ПЭВМ ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п. )	Организационные меры ().
Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств	Организационные меры (организация хранения и использования носителей с защищаемой информацией ). Применение технических средств разграничения доступа к защищаемым ресурсам и автоматической регистрации получения твердых копий документов.
Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д. ) с последующей маскировкой под зарегистрированного пользователя.	Организационные меры (регламентация действий, введение запретов, работа с кадрами ). Применение технических средств, препятствующих внедрению программ перехвата паролей, ключей и других реквизитов.
Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.	Организационные меры (строгая регламентация доступа в помещения и допуска к работам на данных АРМ ). Применение физических и технических средств разграничения доступа.
Несанкционированная модификация программного обеспечения – внедрение программных «закладок» и «вирусов» («троянских коней» и «жучков» ), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования системы	Организационные меры (строгая регламентация допуска к работам ). Применение физических и технических средств разграничения доступа и препятствующих несанкционированной модификации аппаратно-программной конфигурации АРМ. Применение средств контроля целостности программ.
Перехват данных, передаваемых по каналам связи, их анализ с целью получения конфиденциальной информации и выяснения протоколов обмена, правил вхождения в сеть и авторизации пользователей, с последующими попытками их имитации для проникновения в систему	Физическая защита каналов связи. Применение средств криптографической защиты передаваемой информации.
Вмешательство в процесс функционирования системы из сетей общего пользования с целью несанкционированной модификации данных, доступа к конфиденциальной информации, дезорганизации работы подсистем и т.п.	Организационные меры (регламентация подключения и работы в сетях общего пользования ). Применение специальных технических средств защиты (межсетевых экранов, средств контроля защищенности и обнаружения атак на ресурсы системы и т.п. ).

6.4. Утечка информации по техническим каналам

При эксплуатации технических средств АС возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств:

побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
наводки информативного сигнала, обрабатываемого на средствах электронно-вычислительной техники, на провода и линии, выходящие за пределы контролируемой зоны офисов, в т.ч. на цепи заземления и электропитания;
различные электронные устройства перехвата информации (в т.ч. «закладки» ), подключенные к каналам связи или техническим средствам обработки информации;
просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения ) информации, работоспособности технических средств, средств защиты информации и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства («закладки» ).

С учетом специфики обработки и обеспечения безопасности информации угрозы утечки конфиденциальной информации (в том числе персональных данных ) по техническим каналам являются для организации неактуальными.

6.5. Неформальная модель вероятного нарушителя

Нарушитель — это лицо, которое предприняло попытку выполнения запрещенных операций (действий ) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов ) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п. ) и использующее для этого различные возможности, методы и средства.

Система защиты АС должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др. ):

«Неопытный (невнимательный) пользователь » – работник, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам АС с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему ) аппаратные и программные средства.
«Любитель » — работник, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса ». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей ), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции ) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств ). Помимо этого, он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты ), самостоятельно разработанные программы или стандартные дополнительные технические средства.
«Мошенник » – работник, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему ) аппаратные и программные средства от своего имени или от имени другого работника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п. ).
«Внешний нарушитель (злоумышленник) » — постороннее лицо или бывший работник, действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола ), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети АС организации.
«Внутренний злоумышленник » — работник, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести, возможно в сговоре с лицами, не являющимися работниками организации. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ ), а также комбинации воздействий как изнутри, так и из сетей общего пользования.

Внутренним нарушителем может быть лицо из следующих категорий персонала:

зарегистрированные конечные пользователи АС (работники подразделений и филиалов );
работники, не допущенные к работе с АС;
персонал, обслуживающий технические средства АС (инженеры, техники );
работники подразделений разработки и сопровождения программного обеспечения (прикладные и системные программисты );
технический персонал, обслуживающий здания и помещения организации (уборщицы, электрики, сантехники и другие работники, имеющие доступ в здания и помещения, где расположены компоненты АС );
руководители различных уровней.

уволенные работники;
представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго- , водо- , теплоснабжения и т.п. );
представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
члены преступных организаций и конкурирующих коммерческих структур или лица, действующие по их заданию;
лица, случайно или умышленно проникшие в сети из внешних сетей («хакеры» ).

Пользователи и обслуживающий персонал из числа работников имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации. Действия этой группы нарушителей напрямую связаны с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами.

Уволенные работники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа.

Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность работников организации всеми доступными им силами и средствами.

Хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в АС. Наибольшую угрозу они представляют при взаимодействии с работающими или уволенными работниками и криминальными структурами.

Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации.

7. Техническая политика в области обеспечения безопасности информации

7.1. Основные положения технической политики

Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия ), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение ), а отдельные разрабатываемые элементы АС должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных ) средств и организационных мероприятий.

Основными направлениями реализации технической политики обеспечения безопасности информации АС является обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий.

В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются:

реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала ) к работам, документам и информации конфиденциального характера;
ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается ) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;
разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки и защиты информации в подсистемах различного уровня и назначения, входящих в АС;
учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок;
криптографическая защита информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
надежное хранение машинных носителей информации, криптографических ключей (ключевой информации ) и их обращение, исключающее хищение, подмену и уничтожение;
необходимое резервирование технических средств и дублирование массивов и носителей информации;
снижение уровня и информативности побочных излучений и наводок, создаваемых различными элементами автоматизированных подсистем;
электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;
противодействие оптическим и лазерным средствам наблюдения.

7.2. Формирование режима безопасности информации

С учетом выявленных угроз безопасности АС режим безопасности информации должен формироваться как совокупность способов и мер защиты циркулирующей в АС информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Комплекс мер по формированию режима безопасности информации включает:

установление в АС организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство );
выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам;
организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа ) к информационным ресурсам АС;
комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий.

8. Меры, методы и средства обеспечения безопасности информации

8.1. Организационные меры

Организационные меры — это меры организационного характера, регламентирующие процессы функционирования АС, использование их ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности и снизить размер ущерба в случае их реализации.

8.1.1. Формирование политики безопасности

Главная цель организационных мер — сформировать политику в области обеспечения безопасности информации, отражающую подходы к защите информации, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику в области обеспечения безопасности АС целесообразно разбить на два уровня. К верхнему уровню относятся решения, затрагивающие деятельность организации в целом. Примером таких решений могут быть:

формирование или пересмотр комплексной программы обеспечения безопасности информации, определение ответственных за ее реализацию;
формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации;
принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне организации в целом;
обеспечение нормативной (правовой ) базы вопросов безопасности и т.п.

Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:

какова область применения политики безопасности информации;
каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;
кто имеет права доступа к информации ограниченного распространения;
кто и при каких условиях может читать и модифицировать информацию и т.д.

Политика нижнего уровня должна:

предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;
определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;
выбирать программные и аппаратные средства криптографической защиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

8.1.2. Регламентация доступа к техническим средствам

Эксплуатация защищенных АРМ и серверов Банка должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п. ). Размещение и установка технических средств таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой ) информации лицами, не имеющими к ней отношения. Уборка помещений с установленным в них оборудованием должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

В помещениях во время обработки информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией.

По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану.

Для хранения служебных документов и машинных носителей с защищаемой информацией работники обеспечиваются металлическими шкафами, а также средствами уничтожения документов.

Технические средства, которые используются для обработки или хранения конфиденциальной информации должны опечатываться.

8.1.3. Регламентация допуска работников к использованию информационных ресурсов

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей АС информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение ) с помощью заданных программно-технических средств доступа.

Допуск работников к работе с АС и доступ к их ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком.

Основными пользователями информации в АС являются работники структурных подразделений организации. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

открытая и конфиденциальная информация размещаются по возможности на различных серверах;
каждый работник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
начальник имеет права на просмотр информации своих подчиненных;
наиболее ответственные технологические операции должны производиться по правилу «в две руки» — правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

Все работники, допущенные к работе в АС и обслуживающий персонал АС, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы. Каждый работник при приеме на работу должен подписывать Обязательство о соблюдении требований по сохранению конфиденциальной информации и ответственности за их нарушение, а также о выполнении правил работы с защищаемой информацией в АС.

Обработка защищаемой информации в подсистемах АС должна производиться в соответствии с утвержденными технологическими инструкциями (порядками ) для данных подсистем.

Для пользователей, защищенных АРМ должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.

8.1.4. Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

Все операции по ведению баз данных в АС и допуск работников к работе с этими базами данных должны быть строго регламентированы. Любые изменения состава и полномочий пользователей баз данных АС должны производиться установленным порядком.

Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на работников Департамента информационных технологий. При этом могут использоваться как штатные, так и дополнительные средства защиты СУБД и операционных систем.

8.1.5. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов

Подлежащие защите ресурсы системы (задачи, программы, АРМ ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных ).

Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация или с которых возможен доступ к защищаемым ресурсам, должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, USB, LPT порты, дисководы НГМД, CD и другие носители информации ) на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.

Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами ).

Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств, существующих АРМ в АС организации должны осуществляться только установленным порядком.

Все программное обеспечение (разработанное специалистами организации, полученное или приобретенной у фирм-производителей ) должно установленным порядком проходить испытания и передаваться в депозитарий программ организации. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из депозитария программные средства. Использование в АС программного обеспечения, не учтенного в депозитарии программ, должно быть запрещено.

Разработка программного обеспечения, проведение испытаний разработанного и приобретенного программного обеспечения, передача программного обеспечения в эксплуатацию должна осуществляться в соответствии с установленным порядком.

8.1.6. Подготовка и обучение пользователей

До предоставления доступа к АС ее пользователи, а также руководящий и обслуживающий персонал должны быть ознакомлены с перечнем конфиденциальной информации и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки такой информации.

Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает в АС. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.

Все работники, использующие при работе конкретные подсистемы АС, должны быть ознакомлены с организационно-распорядительными документами по защите АС в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться руководителями подразделений под подпись.

8.1.7. Ответственность за нарушение требований информационной безопасности

По каждому серьезному нарушению требований информационной безопасности работниками организации должно проводиться служебное расследование. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
проверка подлинности пользователей (аутентификация ) на основе паролей, ключей на различной физической основе и т.п.;
регистрация (протоколирование ) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д. ).

8.2. Технические средства защиты

Технические (аппаратно-программные ) средства защиты — различные электронные устройства и специальные программы, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т.д. ).

С учетом всех требований и принципов обеспечения безопасности информации в АС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

средства аутентификации пользователей и элементов АС (терминалов, задач, элементов баз данных и т.п. ), соответствующих степени конфиденциальности информации и обрабатываемых данных;
средства разграничения доступа к данным;
средства криптографической защиты информации в линиях передачи данных и в базах данных;
средства регистрации обращения и контроля за использованием защищаемой информации;
средства реагирования на обнаруженный НСД или попытки НСД;
средства снижения уровня и информативности побочных излучений и наводок;
средства защиты от оптических средств наблюдения;
средства защиты от вирусов и вредоносных программ;
средства электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размещается оборудование.

На технические средства защиты от НСД возлагается решение следующих основных задач:

идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п. );
регламентация доступа пользователей к физическим устройствам рабочих станций (дискам, портам ввода-вывода );
избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;
создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
защита от проникновения компьютерных вирусов и вредоносных программ;
контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
регистрация действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
регистрация всех событий НСД, происходящих на рабочих станциях;
оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости ) любой станции сети.

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:

физическая целостность всех компонент АС обеспечена;
каждый работник (пользователь системы ) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
использование на рабочих станциях инструментальных и технологических программ (тестовых утилит, отладчиков и т.п. ), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано;
в защищенной системе нет программирующих пользователей, а разработка и отладка программ осуществляется за пределами защищенной системы;
все изменения конфигурации технических и программных средств производятся строго установленным порядком;
сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п. ) располагается в местах, недоступных для посторонних (специальные помещениях, шкафах, и т.п. );
службой информационной безопасности осуществляется непрерывное управление и административная поддержка функционирования средств защиты информации.

8.2.1. Средства идентификации и аутентификации пользователей

В целях предотвращения доступа в АС посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте ) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости — и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности ) пользователей должна осуществляться на основе использования паролей (секретных слов) или специальных средств аутентификации проверки уникальных характеристик (параметров) пользователей.

8.2.2. Средства разграничения доступа к ресурсам Автоматизированной системы

После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю, т.е. какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:

механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:

на контролируемую территорию;
в отдельные помещения;
к элементам АС и элементам системы защиты информации (физический доступ );
к ресурсам АС (программно-математический доступ );
к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д. );
к активным ресурсам (прикладным программам, задачам, формам запросов и т.п. );
к операционной системе, системным программам и программам защиты и т.п.

8.2.3. Средства обеспечения и контроля целостности программных и информационных ресурсов

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

средствами подсчета контрольных сумм;
средствами электронной подписи;
средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности );
средствами разграничения доступа (запрет доступа с правами модификации или удаления ).

В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:

дублирование системных таблиц и данных;
дуплексирование и зеркальное отображение данных на дисках;
отслеживание транзакций;
периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
антивирусная защита и контроль;
резервное копирование данных по заранее установленной схеме.

8.2.4. Средства контроля событий безопасности

Средства контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п. ), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля должны предоставлять возможности:

постоянного контроля ключевых узлов сети и сетеобразующего коммуникационного оборудования, а также сетевой активности в ключевых сегментах сети;
контроля использования пользователями корпоративных и публичных сетевых сервисов;
ведения и анализа журналов регистрации событий безопасности;
своевременным обнаружением внешних и внутренних угроз информационной безопасности.

При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:

дата и время события;
идентификатор субъекта (пользователя, программы ), осуществляющего регистрируемое действие;
действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа ).

Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:

вход пользователя в систему;
вход пользователя в сеть;
неудачная попытка входа в систему или сеть (неправильный ввод пароля );
подключение к файловому серверу;
запуск программы;
завершение программы;
попытка запуска программы, недоступной для запуска;
попытка получения доступа к недоступному каталогу;
попытка чтения/записи информации с диска, недоступного пользователю;
попытка запуска программы с диска, недоступного пользователю;
нарушение целостности программ и данных системы защиты и др.

Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности ):

извещение владельца информации о НСД к его данным;
снятие программы (задания ) с дальнейшего выполнения;
извещение администратора баз данных и администратора безопасности;
отключение терминала (рабочей станции ), с которого были осуществлены попытки НСД к информации или неправомерные действия в сети;
исключение нарушителя из списка зарегистрированных пользователей;
подача сигнала тревоги и др.

8.2.5. Криптографические средства защиты информации

Одним из важнейших элементов системы обеспечения безопасности информации АС должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи и хранении на машинных носителях информации.

Все средства криптографической защиты информации в АС должны строиться на основе базисного криптографического ядра. На право использования криптографических средств информации организация должна иметь установленные законодательством лицензии.

Ключевая система применяемых в АС средств криптографической защиты должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе средств абонентского и канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.

В АС, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться стандартизованные алгоритмы электронной подписи.

8.3. Управление системой обеспечения безопасности информации

Управление системой обеспечения безопасности информации в АС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические ) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС информации в условиях реализации основных угроз безопасности.

Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.

Управление системой обеспечения безопасности информации реализуется специализированной подсистемой управления, представляющей собой совокупность органов управления, технических, программных и криптографических средств, а также организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.

Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается и передается на вышестоящие пункты управления.

Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки конфиденциальной информации возлагается на работников департамента информационных технологий и департамента экономической безопасности.

К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.

8.4. Контроль эффективности системы защиты

Контроль эффективности системы защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Оценка эффективности мер защиты информации проводится с использованием организационных, технических и программных средств контроля на предмет соответствия установленным требованиям.

Контроль может осуществляться как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

8.5. Особенности обеспечения информационной безопасности персональных данных

Классификация персональных данных проводится в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.

О персональных данных ” к специальным категориям персональных данных;
персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных ” к биометрическим персональным данным;
персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных ” к общедоступным или обезличенным персональным данным.

Передача персональных данных третьему лицу должна осуществляться на основании Федерального закона или согласия субъекта персональных данных. В том случае, если организация поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Организация должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ, в сроки, установленные законодательством РФ в следующих случаях:

по достижении целей обработки или при утрате необходимости в их достижении;
по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных - если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ;
при невозможности устранения оператором допущенных нарушений при обработке персональных данных.

В организации должны быть определены и документально зафиксированы:

порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных );
порядок обработки обращений субъектов персональных данных (или их законных представителей ) по вопросам обработки их персональных данных;
порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных;
подход к отнесению АС к информационным системам персональных данных (далее — ИСПДн );
перечень ИСПДн. В перечень ИСПДн должны быть включены АС, целью создания и использования которых является обработка персональных данных.

Для каждой ИСПДн должны быть определены и документально зафиксированы:

цель обработки персональных данных;
объем и содержание обрабатываемых персональных данных;
перечень действий с персональными данными и способы их обработки.

Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.

Требования по обеспечению безопасности персональных данных в ИСПДн в общем случае реализуются комплексом организационных, технологических, технических и программных мер, средств и механизмов защиты информации.

Организация выполнения и (или ) реализация требований по обеспечению безопасности персональных данных должна осуществляться структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персональных данных, либо на договорной основе организацией - контрагентом организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Создание ИСПДн организации должно включать разработку и согласование (утверждение ) предусмотренной техническим заданием организационно распорядительной, проектной и эксплуатационной документации на создаваемую систему. В документации должны быть отражены вопросы обеспечения безопасности обрабатываемых персональных данных.

Разработка концепций, технических заданий, проектирование, создание и тестирование, приемка и ввод в действие ИСПДн должны осуществляться по согласованию и под контролем структурного подразделения или должностного лица (работника), ответственного за обеспечение безопасности персональных данных.

Все информационные активы, принадлежащие ИСПДн организации, должны быть защищены от воздействий вредоносного кода. В организации должны быть определены и документально зафиксированы требования по обеспечению безопасности персональных данных средствами антивирусной защиты и порядок проведения контроля реализации этих требований.

В организации должна быть определена система контроля доступа, позволяющая осуществлять контроль доступа к коммуникационным портам, устройствам ввода вывода информации, съемным машинным носителям и внешним накопителям информации ИСПДн.

Руководители эксплуатирующих и обслуживающих ИСПДн подразделений организации обеспечивают безопасность персональных данных при их обработке в ИСПДн.

Работники, осуществляющие обработку персональных данных в ИСПДн, должны действовать в соответствии с инструкцией (руководством, регламентом и т.п. ), входящей в состав эксплуатационной документации на ИСПДн, и соблюдать требования документов по обеспечению ИБ.

Обязанности по администрированию средств защиты и механизмов защиты, реализующих требования по обеспечению ИБ ИСПДн организации, возлагаются приказами (распоряжениями ) на специалистов департамента информационных технологий.

Порядок действий специалистов Департамента информационных технологий и персонала, занятых в процессе обработки персональных данных, должен быть определен инструкциями (руководствами ), которые готовятся разработчиком ИСПДн в составе эксплуатационной документации на ИСПДн.

Указанные инструкции (руководства ):

устанавливают требования к квалификации персонала в области защиты информации, а также актуальный перечень защищаемых объектов и правила его обновления;
содержат в полном объеме актуальные (по времени ) данные о полномочиях пользователей;
содержат данные о технологии обработки информации в объеме, необходимом для специалиста по информационной безопасности;
устанавливают порядок и периодичность анализа журналов регистрации событий (архивов журналов );
регламентируют другие действия.

Параметры конфигурации средств защиты и механизмов защиты информации от НСД, используемых в зоне ответственности специалистов Департамента информационных технологий, определяются в эксплуатационной документации на ИСПДн. Порядок и периодичность проверок установленных параметров конфигурации устанавливаются в эксплуатационной документации или регламентируются внутренним документом, при этом проверки должны проводиться не реже чем раз в год.

В организации должен быть определен и документально зафиксирован порядок доступа в помещения, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных, предусматривающий контроль доступа в помещения посторонних лиц и наличие препятствий для несанкционированного проникновения в помещения. Указанный порядок должен быть разработан структурным подразделением или должностным лицом (работником ), ответственным за обеспечение режима физической безопасности и согласован структурным подразделением или должностным лицом (работником ), ответственным за обеспечение безопасности персональных данных, и департаментом экономической безопасности.

Пользователи и обслуживающий персонал ИСПДн не должны осуществлять несанкционированное и (или ) не регистрируемое (бесконтрольное ) копирование персональных данных. С этой целью организационно-техническими мерами должно быть запрещено несанкционированное и (или ) не регистрируемое (бесконтрольное ) копирование персональных данных, в том числе с использованием отчуждаемых (сменных ) носителей информации, мобильных устройств копирования и переноса информации, коммуникационных портов и устройств ввода вывода, реализующих различные интерфейсы (включая беспроводные ), запоминающих устройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов ), а также устройств фото и видеосъемки.

Контроль обеспечения безопасности персональных осуществляется специалистом по информационной безопасности, как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

Скачать ZIP файл (65475)

Пригодились документы - поставь «лайк» или :