Требования к обеспечению информационной безопасности

Постоянно проводимые мероприятия

Постоянно проводимые мероприятия  включают:

• мероприятия по обеспечению) достаточного уровня физической защиты всех компонентов АС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности СВТ, носителей информации и т.п.).

• мероприятия по непрерывной  поддержке функционирования и управлению (администрированию) используемыми средствами защиты;

• организацию явного и скрытого контроля за работой пользователей  и персонала системы;

• контроль за реализацией выбранных  мер защиты в процессе проектирования, разработки, ввода в строй, функционирования, обслуживания и ремонта АС;

• постоянно (силами службы безопасности) и периодически (с привлечением сторонних  специалистов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.

Служба безопасности (отдел защиты информации)

Выполнение различных мероприятий  по созданию и поддержанию работоспособности  системы защиты должно быть возложено на специальную службу - службу компьютерной безопасности.

Служба обеспечения безопасности информации должна представлять собой систему штатных подразделений и нештатных сотрудников, организующих и обеспечивающих комплексную защиту информации.

На основе утвержденной системы  организационно-распорядительных документов подразделения выполняют следующие основные действия:

• определяет критерии, по которым  различные АРМ относятся к  той или иной категории по требуемой  степени защищенности, и оформляет  их в виде «Положения об определении  требований по защите (категорировании) ресурсов»;

• определяет типовые конфигурации и настройки программно-аппаратных средств защиты информации для АРМ различных категорий (требуемых степеней защищенности);

• по заявкам руководителей подразделений (используя формуляры АРМ и  формуляры задач) проводит анализ возможности  решения (а также совмещения) указанных задач на конкретных АРМ (с точки зрения обеспечения безопасности) и принимает решение об отнесении АРМ к той или иной группе по степени защищенности;

• совместно с отделом технического обслуживания Управления автоматизации проводит работы по установке на АРМ программно-аппаратных средств защиты информации;

• согласовывает и утверждает предписания  на эксплуатацию АРМ (формуляры АРМ), подготовленные в подразделениях организации;

• обеспечивает проведение необходимых  дополнительных специальных мероприятий по обеспечению безопасности информации;

• определяет организацию, методики и средства контроля эффективности  противодействия попыткам несанкционированного доступа к информации (НСД) и незаконного  вмешательства в процесс функционирования АС.

Управление автоматизации (отдел эксплуатации и отдел телекоммуникаций

• по заявкам руководителей подразделений (используя формуляры АРМ и  формуляры задач) проводит анализ возможности  решения указанных задач на конкретных АРМ и уточнение содержания необходимых для этого изменений в конфигурации аппаратных и программных средств АРМ;

• на основе утвержденных заявок начальников  подразделений установленным порядком производит:

• установку (развертывание, обновление версий) программных средств, необходимых для решения на АРМ конкретных задач (используя полученные в ФАП дистрибутивы и формуляры задач);

• удаление (затирание) программных  пакетов, необходимость в использовании  которых отпала;

• установку (развертывание) новых  АРМ (ПЭВМ) или подключение дополнительных устройств (узлов, блоков), необходимых для решения на АРМ конкретных задач;

• изъятие или замену ПЭВМ (отдельных  устройств, узлов, блоков), необходимость  в использовании которых отпала, предварительно осуществляя установленным порядком затирание остаточной информации на изымаемых машинных носителях;

• принимает участие в заполнении (корректировке сведений) формуляров АРМ и выдаче предписаний к эксплуатации АРМ;

• в своей деятельности сотрудники отдела эксплуатации руководствуются «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ АС организации».

Управление автоматизации (фонд алгоритмов и программ – ФАП)

• ведет общий перечень задач, решаемых в АС организации;

• по запросу начальников подразделений  организации предоставляет общий  перечень и копии формуляров конкретных задач, решаемых в АС;

• совместно с отделами разработки и сопровождения Управления автоматизации  и отделом защиты информации оформляет  формуляры установленного образца на новые функциональные задачи АС, сдаваемые в ФАП;

• хранит установленным порядком и  осуществляет резервное копирование  и контроль целостности лицензионных дистрибутивов или эталонных носителей, принятых в ФАП программных пакетов;

• осуществляет выдачу установленным  порядком (во временное пользование) специалистам отдела технического обслуживания Управления автоматизации лицензионных дистрибутивов или эталонных  носителей программных пакетов (их целостных копий) для их развертывания или обновления на АРМ АС организации по заявкам начальников отделов.

Все Управления и отделы (структурные подразделения) организации

• определяют функциональные задачи, которые должны решаться в подразделении  с использованием АРМ АС организации;

• все необходимые изменения в конфигурации АРМ и полномочиях пользователей подразделения осуществляют на основе заявок в соответствии с "Инструкцией по внесению изменений в списки пользователей АС организации и наделению их полномочиями доступа к ресурсам системы" и "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ автоматизированной системы организации";

• заполняют формуляры АРМ и  представляют их на утверждение в  отдел технической защиты Управления безопасности;

• обеспечивают надлежащую эксплуатацию установленных на АРМ средств  защиты информации.

Система организационно-распорядительных документов по организации комплексной  системы защиты информации

В Уставе организации (основном документе, в соответствии с которым организация осуществляет свою деятельность), во всех положениях о структурных подразделениях организации (департаментов, управлений, отделов, служб, групп, секторов и т.п.) и в функциональных обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, должны быть отражены требования по обеспечению информационной безопасности при работе в АС.

Задачи  организации и функции по ОИБ  ее подразделений и сотрудников  в перечисленных выше документах должны формулироваться с учетом положений действующего в России законодательства по информатизации и защите информации (Федеральных Законов, Указов Президента РФ, Постановлений Правительства РФ и других нормативных документов).

Конкретизация задач и функций структурных подразделений, а также детальная регламентация действий сотрудников организации, их ответственность и полномочия по вопросам ОИБ при эксплуатации АС должны осуществляться как путем дополнения существующих документов соответствующими пунктами, так и путем разработки и введения в действие дополнительных внутренних организационно-распорядительных документов по ОИБ.

В целях обеспечения единого понимания  всеми подразделениями и должностными лицами (сотрудниками) организации  проблем и задач по обеспечению безопасности информации в организации целесообразно разработать «Концепцию обеспечения информационной безопасности» организации. В Концепции на основе анализа современного состояния информационной инфраструктуры организации и интересов организации в области обеспечения безопасности должны определяться основные задачи по защите информации и процессов ее обработки, намечаться подходы и основные пути решения данных задач.

Необходимым элементом организации работ  по обеспечению безопасности информации, ее носителей и процессов обработки в АС организации является категорирование, то есть определение требуемых степеней защищенности (категорий) ресурсов АС (информации, задач, каналов взаимодействия задач, компьютеров). Для обеспечения управления и контроля за соблюдением установленных требований к защите информации и с целью обеспечения дифференцированного подхода к защите конкретных АРМ различных подсистем АС организации необходимо разработать и принять «Положение об определении требований по защите (категорировании) ресурсов» в АС организации. В этом документе необходимо отразить вопросы взаимодействия подразделений организации при определении требуемой степени защищенности ресурсов АС организации в зависимости от степени ценности обрабатываемой информации, характера обработки и обязательств по ОИБ перед сторонними организациями и физическими лицами.

Целесообразно введение классификации защищаемой информации, включаемой в «Перечень информационных ресурсов, подлежащих защите», не только по уровню конфиденциальности (конфиденциально, строго конфиденциально и т.д.), но и по уровню ценности информации (определяемой величиной возможных прямых и косвенных экономических потерь в случае нарушения ее целостности и несвоевременности представления - своевременности решения задач).

В данном Перечне необходимо также  указывать подразделения организации, являющиеся владельцами конкретной защищаемой информации и отвечающие за установление требований к режиму ее защиты.

Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно специальной "Инструкции по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы ".

Меры  безопасности при вводе в эксплуатацию новых рабочих станций и серверов, а также при изменениях конфигурации технических и программных средств существующих компьютеров в АС должны определяться "Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств компьютеров АС".

Разработка  ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с утвержденным «Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию».

«Инструкция по организации антивирусной защиты» должна регламентировать организацию защиты АС от разрушающего воздействия компьютерных вирусов и устанавливать ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за их ненадлежащее выполнение.

«Инструкция по организации парольной защиты» призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

При использовании в некоторых подсистемах  АС средств криптографической защиты информации и средств электронной цифровой подписи необходим еще один документ, регламентирующий действия конечных пользователей, - «Порядок работы с носителями ключевой информации».

Для пользователей защищенных АРМ (на которых  обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие  средства защиты) должны быть разработаны необходимые дополнения к функциональным обязанностям и технологическим инструкциям, закрепляющие

требования  по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мер по обеспечению установленного режима защиты информации.