Понятие и основные организационные мероприятия по обеспечению информационной безопасности

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Организационное мероприятие по защите информации - мероприятие по защите информации, предусматривающее использование маскирующих свойств окружающей среды и установление временных, территориальных и пространственных ограничений на условия использования и режимы работ объекта.

Организационные мероприятия по обеспечению ИБ – меры, регламентирующие процесс функционирования АС, исполнения её ресурсов, деятельность персонала, порядок взаимодействия пользователей системы:

1. Мероприятия, осуществляемые при проектировании и оборудовании вычислительных центров и др. объектов системы.

2. Мероприятия по разработке правил доступа пользователей к ресурсам системы.

3. Мероприятия, осуществляемые при подборе и подготовке персонала системы.

4. Организация охраны и пропускной режим.

5. Организация учёта и хранения, использования и уничтожения документов и носителей информации.

6. Распространение реквизитов разграничения доступа.

7. Организация явного и скрытого контроля над работой пользователя.

Приведем перечень основных организационных мероприятий по ЗИ:

• разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности;

• внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов ИС и действиям в случае возникновения кризисных ситуаций;

• оформление юридических документов (договора, приказы и распоряжения руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитраж, третейский суд) о правилах разрешения споров, связанных с применением электронной подписи;

• создание научно-технических и методологических основ защиты ИС;

• проверка и сертификация используемых в ИС технических и программных средств на предмет определения мер по их защите от утечки по каналам побочных электромагнитных излучений и наводок;

• определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

• разработка правил управления доступом к ресурсам системы, определение перечня задач, решаемых структурными подразделениями организации с использованием ИС, а также используемых при их решении режимов обработки и доступа к данным;

• определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в ИС;

• выявление наиболее вероятных угроз для данной ИС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней;

• оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты;

• организация надежного пропускного режима;

• определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

• организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

• организация и контроль за соблюдением всеми должностными лицами требований по обеспечению безопасности обработки информации;

• определение перечня необходимых мер по обеспечению непрерывной работы ИС в критических ситуациях, возникающих в результате НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий и т.п.

• контроль функционирования и управление используемыми средствами защиты;

• явный и скрытый контроль за работой персонала системы;

• контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования ИС;

• периодический анализ состояния и оценка эффективности мер защиты информации;

• распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

• анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

• составление правил разграничения доступа пользователей к информации;

• периодическое с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

• проверка принимаемых на работу, обучение их правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности.

70. Политика информационной безопасности как основа организационных мероприятий. Основные требования к разработке организационных мероприятий

Политика информационной безопасности – совокупность требований и правил обеспечения информационной безопасности, разработанных в целях противодействия нарушителю по реализации угроз с учетом ценности защищаемой информации и стоимости системы обеспечения информационной безопасности.

Политика информационной безопасности организации – общее положение о намерениях и целях разработки программы обеспечения информационной безопасности организации (ГОСТ Р ИСО ТО 13569-2007).

На основе ПИБ строится управление, защита и распределение критичной информации в информационной системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение ИС в различных ситуациях.

В результате разработки комплексной СЗИ определяется перечень организационных мероприятий защиты информации, которые представляют собой действия, выполняемые сотрудниками служб безопасности, органов обеспечения безопасности информации, обслуживающим персоналом и пользователями, в интересах обеспечения безопасности информации. Все организационные мероприятия защиты можно разделить на два класса:

1) защитные мероприятия, непосредственно направленные на обеспечение безопасности информации;

2) эксплуатационные мероприятия, связанные с организацией эксплуатации сложных систем.

Подавляющее большинство защитных, организационных мероприятий связано с обслуживанием технических, программных и криптографических средств защиты.

Под эксплуатационными организационными мероприятиями понимается комплекс мероприятий, связанных с необходимостью технической эксплуатации системы защиты информации, как подсистемы сложной человеко-машинной системы.

Требования к разработке организационных мероприятий:

· системность (необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов при всех видах информационной деятельности и информационного проявления, во всех структурных элементах, при всех режимах функционирования, на всех этапах жизненного цикла, с учетом взаимодействия объекта защиты с внешней средой);

· комплексность (согласование разнородных средств при построении целостной системы защиты);

· непрерывность защиты;

· разумная достаточность;

· гибкость управления и применения;

· открытость алгоритмов и механизмов защиты (Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже автору), однако распространить тоже не надо);

· простота применения защитных мер и средств (интуитивно понятны и просты в использовании);

· все организационные меры должны быть обоснованы (на базе исследования системы);

· выполнение всех организационных мер должно контролироваться.