• ИНФОЗАЩИТА
• ДОКУМЕНТЫ
• СОВЕТЫ
• ПРОГРАММЫ
• АНТИВИРУСЫ
• Статьи

• 

Советы

• Windows 7
• Windows XP
• Windows Server 2003
• Вирусы
• Железо
• USB-устройства
• Интернет

Антивирусы

• Удаление
• Загрузочные диски
• Антивирусные сканеры
• Антишпионы
• Reset Trial
• Специализированные

Разное

Статьи



Организационные меры по защите информации: состав и содержание документов и мероприятий

В процессе осуществления деятельности любой организации накапливается информация, часть из которой подлежит защите. Требования к защите ее определяются как федеральными законами, так и позицией компании, которая планирует защищать свою конфиденциальную информацию.

Организационные меры по защите информации – это, в первую очередь, разработка внутренних положений, регламентов и процессов взаимодействия в организации, в дополнение к федеральным законам в области защиты информации или в соответствии с ними.

Количество и содержание этих документов зависит от информации, циркулирующей в компании и принятой в ней концепции противодействия информационным угрозам.

Система организационных мер должна обеспечивать соблюдение основных признаков безопасности информации:

• доступность сведений. Под этим определением понимается возможность и для персонала организации в любое время получить требуемые данные, и для клиентов в регулярном режиме получать информационные услуги;
• целостность информации, то есть ее неизменность, отсутствие любых посторонних вмешательств, направленных на изменение или уничтожение данных;
• конфиденциальность или недоступность данных для неавторизованных субъектов;
• авторство информации, или невозможность отрицания принадлежности действий или данных;

Даже при ограниченном бюджете на технические или программные средства защиты информации грамотно обозначить организационные меры и контролировать на постоянной основе их выполнение - значит серьезно уменьшить риски реализации угроз информационной безопасности.

Нужно понимать, что организационные меры – это не совсем вопрос желания или нежелания руководства организации предпринимать усилия в вопросах защиты информации. К примеру статья 18.1 ФЗ №152 ФЗ прямо обязывает оператора персональных данных (ПДн)– юридическое лицо:

• назначить ответственного за организацию обработки ПДн –издание соответствующего приказа или распоряжения;
• - издать политику в отношении обработки ПДн;
• - ознакомить и (или) обучить работников, осуществляющих обработку ПДн, с требованиями по защите ПДн;
• - обеспечить неограниченный доступ к политике в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн (публикация на сайте организации, если он есть).

Дополнительно пункт 2 ст. 19 обязует оператора применять организационные меры согласно Постановлению Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также:

• определить угрозы безопасности ПДн, то есть составить модель угроз;
• учетом машинных носителей ПДн – разработать и вести журналы учета;
• установить правила доступа к персональным данным, например, вести журнал учета допущенных к обработке ПДн ;
• обеспечить регистрацию и учет действий, совершаемых с персональными данными в информационной системе.

В идеале разработка организационных мер начинается с написания и утверждения концепции по обеспечению информационной безопасности организации (концепция). Этот документ является основным для разработки внутренних регламентов и системы защитных мер.

В дальнейшем концепция может стать основой для внедрения систем предотвращения утечек информации (DLP-систем) и других программных продуктов, решающих задачу защиты информационных ресурсов и инфраструктуры компании.

Концепция состоит из следующих разделов:

• определение информационных массивов или, как теперь модно говорить, активов организации, подлежащих защите и основания такой защиты (установленные законом или коммерческие). Описываются программные средства, физические и электронные носители информации, определяется их ценность для компании, критичность изменения или утраты. Раздел готовится совместно с отделами организации, которые являются владельцами информационных массивов. В этом же разделе определяются уровни доступа сотрудников к ресурсам;
• основные принципы защиты информации. Это обычно конфиденциальность, коммерческая целесообразность, соответствие требованиям законодательства. Определяются политики и правила, на основе на которых, выстраивается система защиты информации. Примеры – политика парольной защиты, политика использования программного обеспечения;
• актуальная для организации модель угроз информационной безопасности, а также модель вероятного нарушителя;
• требования к безопасности информационной системы и ее отдельных элементов, составленные на основе анализа бизнес-процессов, архитектуры системы и подготовленной модели рисков;
• методы и средства защиты информации.

Пример концепция информационной безопасности можно скачать по ccылке.

Необходимо понимать, что сама по себе концепция обеспечения информационной безопасности информацию не защищает. Концепция дает понимание что именно и каким образом защищать. Конкретные меры и способы защиты описываются в политиках и положениях в дополнении к концепции. Кроме того, вопросы обеспечения информационной безопасности, в том числе ответственность сотрудников организации за неправомерное обращение с информацией и ее разглашением должны быть отражены в таких нормативных документах организации как:

• устав организации;
• учредительный договор;
• коллективный договор;
• правила внутреннего трудового распорядка;
• трудовые договора с сотрудниками;
• должностные обязанности;
• договоры со сторонними организациями.

Давайте далее попытаемся понять, какие еще организационные документы дополнительно к концепции необходимо иметь. Напомним, что их образцы можно посмотреть здесь.

1. Перечень информационных ресурсов или активов или массивов организации. Может быть как частью концепции, так и самостоятельным документом. Что войдет в перечень, определяет сама организация. Если в общих чертах, то это базы клиентов, стратегии развития, ноу-хау, патенты, бизнес-процессы, и другие данные.
Ну вот как-то так:

• персональные данные, подлежащие защите на основании норм федерального законодательства;

• программы, содержащие производственную и финансовую информацию, например, 1С: Предприятие;

• программные продукты, созданные или доработанные в интересах компании;

• базы документооборота;

• архивы электронной почты и внутренней переписки;

• производственная информация, документы стратегического характера;

• научная информация, данные НИОКР;

• финансовая информация и аналитика, подготавливаемая по заданию руководства предприятия.

Бухгалтерская информация и иные сведения, которые раскрываются в связи с требованиями законодательства, к категории конфиденциальных данных обычно не относятся.

2. Перечень защищаемых помещений – нужен если есть необходимость (и возможность) защищать помещения, в которых происходят конфиденциальные переговоры. К этому блоку отнесем:

• - приказ о защищаемых помещениях и помещениях с ограниченным доступом;
Приложениями к приказу обычно идет перечень защищаемых помещений и помещений с ограниченным доступом и список сотрудников, имеющих доступ в помещения с ограниченным доступом.

• - технический паспорт защищаемого помещения – план помещения с указанием размеров помещения. Также на план наносится расположение всех технических средств – компьютеры, принтеры, телефоны.

3. Порядок разграничения прав доступа к информационным ресурсам

Думается, нужен в любом случае.

Документ устанавливает порядок предоставления, использования, изменения, аннулирования доступа пользователя к информационным ресурсам.

Стоит заметить, что многие программные комплексы имеют в своем составе собственный механизм разграничения доступа. В этом случае пишутся две заявки – одна собственно на ресурс, а вторая – на роли или функции внутри ресурса.

При предоставлении доступа обычно руководствуются двумя моментами:

• ни у кого в организации не может быть полного доступа ко всем ресурсам;

• принцип минимизация доступа, то есть выполнение необходимых функций работником с использованием минимально необходимого уровня доступа.

Порядок разграничения доступа, да и другие организационные и технические меры по защите информации не решают, да и не могут в полной мере защитить от краж информации или других злоупотреблений. Посудите сами – каким образом можно защитится от того, что сотрудник, допущенный к конфиденциальной информации, сфотографирует ее на смартфон, например. Меры эти только затрудняют возможность таких нарушений и помогают определить и наказать виновного, что само по себе немало.

4. Очень неплохо иметь в организации утвержденное положение об использовании программного обеспечения (ПО) и ограниченного перечня разрешенного ПО для установки .

В положении обычно устанавливают запрет на изменение настроек установленного ПО, на использование его не по назначению, на самостоятельную установку. Кроме этого, описывается порядок установки ПО, его поддержка и сопровождение, вывод из эксплуатации. Если есть возможность и желание, в положение можно включить порядок аудита (проверки) использования ПО. Вишенкой на торте является оформление так называемого паспорта персонального компьютера (ПК), куда вносятся сведения об установленном ПО. И при установке нового, изменении и удалении ПО сведения об этом добавляются в паспорт ПК.

Естественно вопросы использования ПО можно решить чисто техническими способами, скажем ограничением прав пользователя средствами операционной системы. Или тот же Kaspersky Security Center позволяет вести контроль запуска и активности программ. Есть специализированные DLP и SIEM системы. Однако целью этого материала является желание показать, как вопросы защиты информации можно решать организационными способами.

5. Положение об использовании сети Интернет и электронной почты.

В этом блоке имеется большой простор для творчества. Рассмотрим основные моменты, которые следует отразить:

• как технически будет организован доступ к сети интернет – отдельные выделенные рабочие места или интернет и почта будут доступны с рабочих мест пользователей;

• в случае использования отдельных рабочих мест будет ли они работать в отдельной подсети, не пересекаясь с основной сетью организации;

• будут ли использоваться межсетевые экраны, прокси-сервера;

• будет ли разрешено пользоваться на рабочем месте личными мобильными устройствами с выходом в интернет и так далее.

Также в положении обычно фиксируют обязанность пользователей использовать интернет и электронную почту только в служебных целях, запрет на скачивание и установку на программного обеспечения из сети интернет.

Полезным также является закрепление права организации на запись информации о посещаемых работниками организации Интернет-ресурсах для последующего анализа и передачи руководству организации для контроля и на доступ к электронным сообщениям работников с целью их архивирования и централизованного хранения, а также мониторинга выполнения требований положения.


6. Положение о парольной защите.

Нужно оно или нет, решать вам. Многое зависит от количества рабочих мест, от вида информации, хранящейся на рабочих местах, отношений и степени доверия в коллективе, наконец. В положении следует отразить следующие моменты:

• требования к длине, сложности, частоте смены пользовательских и администраторских паролей;

• требования к хранению паролей;

• политика в отношении встроенных учетных записей Guest (Гость) и Administrator (Администратор), пароля на BIOS рабочих станций;

• возможность и способ получения доступа к компьютеру, защищенному паролем, в случае продолжительного отсутствия работника (болезнь, командировка, отпуск);

• порядок плановой и внеплановой смены паролей;

• действия в случае компрометации пароля пользователя;

• организация сервисных и временных паролей;

• порядок контроля и ответственности за соблюдение положения.

В случае использования аппаратных средств аутентификации вместо или вместе с парольной защитой необходимо, чтобы этот момент также нашел свое отражение в положении.

7. Положение о резервном копировании.

Сколько судеб было разбито из-за несделанного вовремя резервного копирования (в простонародье – BackUp-а)! Вообще, есть соблазн подумать: а зачем в принципе писать какое-то положение, просто копируй данные вовремя. Собственно , так можно сказать и про любой документ из этого раздела. Все правильно, вот только человек не является совершенным инструментом – он может забыть, заболеть или уволиться без замены. Поэтому иметь положение о резервном копировании в организации очень и очень желательно.

Давайте рассмотрим, что в нем должно присутствовать:

• какая конкретно информация подлежит резервному копированию. Чем подробнее будет описан данный раздел, тем лучше. Чтобы проще понять, что именно следует копировать, просто пройдитесь по своим информационным ресурсам и представьте последствия для деятельности организации в случае утраты того или иного ресурса;

• в положении следует изложить обязанности ответственного за резервное копирование с возложением на него персональной ответственности за полноту и своевременность;

• порядок резервного копирования (время, периодичность);

• контроль результатов, действия в случае обнаружения ошибок;

• порядок хранения резервных копий;

• порядок восстановления данных с резервных копий.

Очень правильно хранить резервные копии на твердых носителях и в помещении, отличном от места резервного копирования.

8. Положение об антивирусном контроле.

В целом современные операционные системы неплохо защищены от вирусных угроз – тут тебе и встроенный антивирус, и защита учетных записей, и брандмауэр. Иметь ли дополнительное антивирусное ПО – решать вам.

Как и в случае с предыдущим пунктом необходимо предусмотреть назначение ответственного и определение его обязанностей.

Кроме того, в положении могут быть зафиксированы:

• организация антивирусного контроля в организации – порядок закупки и установки антивирусного ПО, что и как часто проверять, порядок и частота обновления антивирусных баз и антивирусов;

• профилактика вирусных заражений – прописать конкретные действия, например, проверка наличия вирусов на рабочих станциях, вернувшихся с ремонта или ограничение доступа к компьютерам посторонних лиц;

• порядок реагирования на вирусное заражение – порядок информирования ответственного, определение источника заражения, методика лечения зараженного компьютера, действия после восстановления зараженных программ и файлов.

Составной частью положения об антивирусном контроле может быть инструкция пользователя по антивирусной защите, в которой в понятной для простого пользователя форме описаны источники вирусного заражения и его симптомы, а также приведены обязанности пользователя, например:

• при включении компьютера убедиться в запуске антивирусного ПО;

• проверка на вирус всех внешних носителей информации;

• самостоятельное резервное копирование ценной служебной информации.

9. Положение об использовании съемных носителях информации или положение об использовании мобильных устройств и носителей информации

Мобильные устройства и носители информации – это и есть главный бич защиты информации и главная головная боль всех безопасников.

Каждый смартфон сотрудника, ноутбук, usb-диск или флэшка – это потенциальная дырка в безопасности.

Политика в отношении мобильных носителей информации может строится от полного разрешения до полного запрета:

1. Разрешено все – все пользователи имеют право использовать любые мобильные носители информации без учета.

В этом случае можно обойтись вовсе без положения, а требование проверки мобильных носителей зафиксировать в положении об антивирусном контроле.

2. Разрешены как носители организации (корпоративные), так и личные. На корпоративных носителях, как правило, находится и обрабатывается конфиденциальная информация организации, на личных – общедоступная. Ведется учет носителей.

В таком случае в положение следует отразить:

• каким образом пользователь получает носитель;

• как можно и как нельзя его использовать (предоставление на сторону, вынос и т.д.);

• порядок ведения учета носителей;

• обязанности, запреты, ответственность пользователей.

3. Разрешены только корпоративные носители информации.

В таком случае в положении будет то же самое, что и в предыдущем пункте плюс запрет на использование личных мобильных носителей информации. Поскольку все используемые носители будут известны, потребуется запретить использование личных носителей. Сделать это можно, например, средствами операционной системы (реестр, локальные или групповые политики безопасности), бесплатными (Ratool) или специальными (Блокхост Сеть, DeviceLock DLP и др.) программами.

4. Полный запрет использования мобильных носителей информации. Обмен с «внешним миром» происходит только через отдел ИТ или ИБ, что и находит отражение в положении.

Что же касается смартфонов (или планшетов) сотрудников, то единственный надежный способ защиты данных от фотографирования и последующего выноса – запрет на использование таких устройств на рабочем месте. По этому пути давно пошли в вооруженных силах, во ФСТЭК, в ряде крупных корпораций, например, Аэрофлот. Запрет и последствия его нарушения необходимо отразить в порядке внутри объектового режима или правилах внутреннего распорядка организации.

На этом, думается, можно закончить список основных организационных документов. Из часто встречающихся на практике еще можно отметить:

• Планы мероприятий и планы работ по защите информации, в том числе план действий по обеспечению информационной безопасности и план работ по защите информации;

Составление планов хоть и является не самым простым делом в начале осуществления деятельности по защите информации, но в дальнейшем будет здорово помогать в организации такой работы.

• План обеспечения непрерывной работы и восстановления работоспособности.

В документе подробно описывается порядок действий отделов (работников) ИТ и ИБ при различных нештатных ситуациях: отказы электропитания, продолжительное отсутствие предоставления услуг сети Интернет и тому подобных для скорейшего восстановления работы информационных систем организации;

• Регламент реагирования на инциденты информационной безопасности – что считать инцидентом, порядок реагирования и расследования;
• Памятка сотруднику по информационной безопасности содержит рекомендации по безопасным с точки зрения защиты информации приемам работы.

И не забывайте, что все организационные документы подлежат обязательному пересмотру хотя бы ежегодно!

Мероприятия по защите информации организационного характера не ограничиваются разработкой документов. В идеале необходимо произвести:

• документирование и оптимизацию бизнес-процессов;
• установку градации сотрудников и их уровней доступа к информации, содержащей коммерческую тайну;
• создание подразделений или назначение лиц, ответственных за обеспечение информационной безопасности, иногда изменение структуры предприятия в соответствии с требованиями безопасности;
• информирование и обучение персонала по вопросам защиты информации на постоянной основе;
• организацию мероприятий по тестированию подготовки персонала к работе с системой в критических ситуациях;
• обеспечение технической защиты помещений и оборудования с дальнейшей сертификацией классов защиты, определение их соответствия нормативно-правовым требованиям;
• создание системы безопасности для цепочки поставщиков, во взаимодействии с которыми передаются конфиденциальные данные, внесение в договоры с контрагентами оговорок о сохранении коммерческой тайны и мер ответственности за ее разглашение;
• установка пропускной системы для сотрудников, выдача им электронных средств идентификации;
• выполнение всех требований законодательства по защите персональных данных;
• разработка системы взаимодействия с государственными органами в случае запроса ими у организации информации, которая может быть отнесена к конфиденциальной.

    ©TrinoSoft 2013-2022    

Для правообладателей      Обратная связь      О проекте