Управление автоматизации (фонд алгоритмов и программ – ФАП)

ведет общий перечень задач, решаемых в АС организации;

по запросу начальников подразделений организации предоставляет общий перечень и копии формуляров конкретных задач, решаемых в АС;

совместно с отделами разработки и сопровождения Управления автоматизации и отделом защиты информации оформляет формуляры установленного образца на новые функциональные задачи АС, сдаваемые в ФАП;

хранит установленным порядком и осуществляет резервное копирование и контроль целостности лицензионных дистрибутивов или эталонных носителей, принятых в ФАП программных пакетов;

осуществляет выдачу установленным порядком (во временное пользование) специалистам отдела технического обслуживания Управления автоматизации лицензионных дистрибутивов или эталонных носителей программных пакетов (их целостных копий) для их развертывания или обновления на АРМ АС организации по заявкам начальников отделов.

Все Управления и отделы (структурные подразделения) организации определяют функциональные задачи, которые должны решаться в подразделении с использованием АРМ АС организации;

все необходимые изменения в конфигурации АРМ и полномочиях пользователей подразделения осуществляют на основе заявок в соответствии с «Инструкцией по внесению изменений в списки пользователей АС организации и наделению их полномочиями доступа к ресурсам системы» и «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АРМ автоматизированной системы организации»;

заполняют формуляры АРМ и представляют их на утверждение в отдел технической защиты Управления безопасности;

обеспечивают надлежащую эксплуатацию установленных на АРМ средств защиты информации.

 

 

9. СИСТЕМА ОРГАНИЗАЦИОННО-РАСПОРЯДИТЕЛЬНЫХ
ДОКУМЕНТОВ ПО ОРГАНИЗАЦИИ КОМПЛЕКСНОЙ
СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

В Уставе организации (основном документе, в соответствии с которым организация осуществляет свою деятельность), во всех положениях о структурных подразделениях организации (департаментов, управлений, отделов, служб, групп, секторов и т. п.) и в функциональных обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, должны быть отражены требования по обеспечению информационной безопасности при работе в АС.

Задачи организации и функции по ОИБ ее подразделений и сотрудников в перечисленных выше документах должны формулироваться с учетом положений действующего в России законодательства по информатизации и защите информации (Федеральных Законов, Указов Президента РФ, Постановлений Правительства РФ и других нормативных документов).

Конкретизация задач и функций структурных подразделений, а также детальная регламентация действий сотрудников организации, их ответственность и полномочия по вопросам ОИБ при эксплуатации АС должны осуществляться как путем дополнения существующих документов соответствующими пунктами, так и путем разработки и введения в действие дополнительных внутренних организационно-распорядительных документов по ОИБ.

В целях обеспечения единого понимания всеми подразделениями и должностными лицами (сотрудниками) организации проблем и задач по обеспечению безопасности информации в организации целесообразно разработать «Концепцию обеспечения информационной безопасности» организации. В Концепции на основе анализа современного состояния информационной инфраструктуры организации и интересов организации в области обеспечения безопасности должны определяться основные задачи по защите информации и процессов ее обработки, намечаться подходы и основные пути решения данных задач.

Необходимым элементом организации работ по обеспечению безопасности информации, ее носителей и процессов обработки в АС организации является категорирование, т. е. определение требуемых степеней защищенности (категорий) ресурсов АС (информации, задач, каналов взаимодействия задач, компьютеров). Для обеспечения управления и контроля за соблюдением установленных требований к защите информации и с целью обеспечения дифференцированного подхода к защите конкретных АРМ различных подсистем АС организации необходимо разработать и принять «Положение об определении требований по защите (категорировании) ресурсов» в АС организации. В этом документе необходимо отразить вопросы взаимодействия подразделений организации при определении требуемой степени защищенности ресурсов АС организации в зависимости от степени ценности обрабатываемой информации, характера обработки и обязательств по ОИБ перед сторонними организациями и физическими лицами.

Целесообразно введение классификации защищаемой информации, включаемой в «Перечень информационных ресурсов, подлежащих защите», не только по уровню конфиденциальности (конфиденциально, строго конфиденциально и т. д.), но и по уровню ценности информации (определяемой величиной возможных прямых и косвенных экономических потерь в случае нарушения ее целостности и несвоевременности представления – своевременности решения задач).

В данном Перечне необходимо также указывать подразделения организации, являющиеся владельцами конкретной защищаемой информации и отвечающие за установление требований к режиму ее защиты.

Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно специальной «Инструкции по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы».

Меры безопасности при вводе в эксплуатацию новых рабочих станций и серверов, а также при изменениях конфигурации технических и программных средств существующих компьютеров в АС должны определяться «Инструкцией по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств компьютеров АС».

Разработка ПО задач (комплексов задач), проведение испытаний разработанного и приобретенного ПО, передача ПО в эксплуатацию должна осуществляться в соответствии с утвержденным «Порядком разработки, проведения испытаний и передачи задач (комплексов задач) в эксплуатацию».

«Инструкция по организации антивирусной защиты» должна регламентировать организацию защиты АС от разрушающего воздействия компьютерных вирусов и устанавливать ответственность руководителей и сотрудников подразделений, эксплуатирующих и сопровождающих АС, за их ненадлежащее выполнение.

«Инструкция по организации парольной защиты» призвана регламентировать процессы генерации, смены и прекращения действия паролей пользователей в автоматизированной системе организации, а также, контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

При использовании в некоторых подсистемах АС средств криптографической защиты информации и средств электронной цифровой подписи, необходим еще один документ, регламентирующий действия конечных пользователей, – «Порядок работы с носителями ключевой информации».

Для пользователей защищенных АРМ (на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые дополнения к функциональным обязанностям и технологическим инструкциям, закрепляющие

требования по обеспечению информационной безопасности при работе в АС и ответственность сотрудников за реализацию мер по обеспечению установленного режима защиты информации.

Регламентация предусматривает введение таких ограничений и внедрение таких приемов работы сотрудников, которые, не создавая помех для исполнения ими своих функциональных обязанностей (технологических функций), минимизируют возможности.