Система организационно-распорядительных документов по организации комплексной системы защиты информации

В уставе организации (основном документе, в соответствии с которым организация осуществляет свою деятельность), во всех положениях о структурных подразделениях организации (департаментов, управлений, отделов, служб, групп, секторов и т.п.) и в функциональных обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, должны быть отражены требования по обеспечению информационной безопасности при работе в АС.

Задачи организации и функции по ОИБ ее подразделений и сотрудников в перечисленных выше документах должны формулироваться с учетом положений действующего в России законодательства по информатизации и защите информации (федеральных законов, указов Президента РФ, постановлений Правительства РФ и других нормативных документов).

Конкретизация задач и функций структурных подразделений, а также детальная регламентация действий сотрудников организации, их ответственность и полномочия по вопросам ОИБ при эксплуатации АС должны осуществляться как путем дополнения существующих документов соответствующими пунктами, так и путем разработки и введения в действие дополнительных внутренних организационно-распорядительных документов по ОИБ.

В целях обеспечения единого понимания всеми подразделениями и должностными лицами (сотрудниками) организации проблем и задач по обеспечению безопасности информации в организации целесообразно разработать Концепцию обеспечения информационной безопасности организации.

В Концепции на основе анализа современного состояния информационной инфраструктуры организации и интересов организации в области обеспечения безопасности должны определяться основные задачи по защите информации и процессов ее обработки, намечаться подходы и основные пути решения данных задач.

Для обеспечения управления и контроля за соблюдением установленных требований к защите информации и с целью обеспечения дифференцированного подхода к защите конкретных АРМ различных подсистем АС организации необходимо разработать и принять Положение об определении требований по защите (категорировании) ресурсов в АС организации. В этом документе необходимо отразить вопросы взаимодействия подразделений организации при определении требуемой степени защищенности ресурсов АС организации в зависимости от степени ценности обрабатываемой информации, характера обработки и обязательств по ОИБ перед сторонними организациями и физическими лицами.

Целесообразно введение классификации защищаемой информации, включаемой в Перечень информационных ресурсов, подлежащих защите, не только по уровню конфиденциальности (конфиденциально, строго конфиденциально и т.д.), но и по уровню ценности информации (определяемой величиной возможных прямых и косвенных экономических потерь в случае нарушения ее целостности и несвоевременности представления — своевременности решения задач).

В данном Перечне необходимо также указывать подразделения организации, являющиеся владельцами конкретной защищаемой информации и отвечающие за установление требований к режиму ее защиты.

Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно специальной Инструкции по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы.

Меры безопасности при вводе в эксплуатацию новых рабочих станций и серверов, а также при изменениях конфигурации технических и программных средств существующих компьютеров в АС должны определяться Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств компьютеров АС.

Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должны осуществляться в соответствии с утвержденным Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию.

Инструкция по организации антивирусной защиты должна регламентировать организацию защиты АС от разрушающего воздействия компьютерных вирусов и устанавливать ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за их ненадлежащее выполнение.

Инструкция по организации парольной защиты призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

При использовании в некоторых подсистемах АС средств криптографической защиты информации и средств электронной цифровой подписи необходим еще один документ, регламентирующий действия конечных пользователей, — Порядок работы с носителями ключевой информации.

Для пользователей защищенных АРМ (на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые дополнения к функциональным обязанностям и технологическим инструкциям, закрепляющие требования по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мер по обеспечению установленного режима защиты информации.

Регламентация предусматривает введение таких ограничений и внедрение таких приемов работы сотрудников, которые, не создавая помех для исполнения ими своих функциональных обязанностей (технологических функций), минимизируют возможности.

С целью достижения оптимального уровня защиты защищаемые предметы и подобъекты классифицируются по важности (значимости) на категории безопасности. В качестве критерия классификации обычно используется характер или масштаб возможного ущерба в случае реализации основных угроз безопасности данному объекту.

Для объектов высшей категории безопасности должен быть установлен максимальный уровень защищенности.

Для решения задач СФЗ создается единая система мер, в состав которой входят организационная подсистема и комплекс инженерно-технических средств охраны (ИТСО). Значительную роль в повышении эффективности СФЗ играет именно комплекс инженерно- технических и программных средств (рис. 1.6), включающий системы контроля и управления доступом (СКУД) персонала, охранной сигнализации (СОС), телевизионного наблюдения (СТН), оперативной связи и оповещения (СОСО), а также обеспечивающие системы

Структурная схема комплекса инженерно-технических средств охраны

Рис. 1.6. Структурная схема комплекса инженерно-технических средств охраны

(освещения, электропитания и др.). Кроме того, должны разрабатываться и выполняться правовое и нормативное обеспечение СФЗ, анализ уязвимости объекта и оценка эффективности существующей СФЗ, подготовка на их основе предложений по совершенствованию СФЗ, защита информации в СФЗ, подготовка персонала СФЗ, эксплуатация инженерно-технических средств.

Результаты работы оформляются в виде ТЭО, которое содержит все необходимые сведения по концепции безопасности, структуре и составу СФЗ и комплекса ИТСО, количественной оценке уязвимости объекта и эффективности существующей и предлагаемой СФЗ, ожидаемые тактические, технические и экономические показатели комплекса ИТСО.

В ТЭО приводятся также рекомендации по организации оперативных действий сил охраны с применением комплекса ИТСО, ориентировочный расчет необходимой численности технического персонала для обслуживания комплекса, необходимой численности сил охраны, а также стоимости всех этапов работ по оборудованию объекта предлагаемым комплексом ИТСО.

 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ     След >