работа. На сегодняшней день, в связи с развитием Информационных Технологий и компьютеризацией экономики одним из важнейших вопросов в деятельности компании становится обеспечение информационной безопасности (ИБ)
 Скачать 306.16 Kb.
|
|
II. Проектная часть 2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты информации предприятия 2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия Нормативно-правовая база состоит из нескольких основных групп документов, которые учитываются при обеспечении информационной безопасности, а именно: 1.Международное правовое обеспечение, составляемое при использовании международных нормативных актов (Конвенции, Соглашения или Декларации), к которым присоединилась (ратифицировала или подписала) Российская Федерация, а также все заключенные от ее лица международные договоры (пакты). 2. Международное нормативно-техническое обеспечение, составленное при помощи международных Стандартов, Рекомендаций и Регламентов в сфере информационных технологий и в сфере информационной безопасности. 3. Национальное правовое обеспечение, состоящее из нормативных актов РФ (Конституция РФ, Федеральные законы, Указы Президента РФ), подзаконные акты (Постановление и Распоряжение Правительства РФ, нормативные акты уполномоченных федеральных органов государственной власти), также нормативные и подзаконные акты субъектов РФ. 4. Национальное нормативно-техническое обеспечение, которое составляют действующие в РФ технические регламенты, стандарты, руководящие документы, также подзаконные акты уполномоченных федеральных органов государственной власти в основном нормативно-технического характера. В процессе организации системы обеспечения информационной безопасности и защиты информации, предприятие ООО “Альпина” опирается на список следующих федеральных законов, а также государственных стандартов РФ в области информационной безопасности: - Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 N 149-ФЗ. - Федеральный закон "О связи" от 07.07.2003 N 126-ФЗ. - Федеральный закон "О безопасности" от 28.12.2010 N 390-ФЗ - Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ. - Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ. - Федеральный закон "О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных" от 19.12.2005 N 160-ФЗ. - Федеральный закон "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием федерального закона "О ратификации Конвенции Совета Европы О защите физических лиц при автоматизированной обработке персональных данных" и федерального закона "О персональных данных" от 7.05.2013 N 99-ФЗ. - Федеральный закон "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях" от 21.07.2014 N 242-ФЗ. - Закон РФ "О государственной тайне" от 21.07.1993 N 5485-1. - Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ. - Федеральный закон "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 187-ФЗ. - Федеральный закон "О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 193-ФЗ. - Федеральный закон "О внесении изменений в Уголовный кодекс Российской Федерации и статью 151 Уголовно-процессуального кодекса Российской Федерации в связи с принятием Федерального закона "О безопасности критической информационной инфраструктуры Российской Федерации" от 26.07.2017 N 194-ФЗ. - Федеральный закон "О лицензировании отдельных видов деятельности" от 04.05.2011 N 99-ФЗ. - Федеральный закон "Об экспортном контроле" от 18.07.1999 г. N 183-ФЗ . - Федеральный закон "О техническом регулировании" от 27.12.2002 N 184-ФЗ. - Трудовой кодекс Российской Федерации от 30.12.2001 N 197-ФЗ. - Гражданский кодекс Российской Федерации часть 4 (ГК РФ ч.4) 18.12.2006 N 230-ФЗ. - "Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ. - "Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ. ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» Р 50.1.056-2005 «Техническая защита информации. Основные термины и определения» ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель» ГОСТ Р ИСО/МЭК 15408-2-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности» ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Требования доверия к безопасности» ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» ГОСТ Р ИСО/МЭК 13335-1-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» ГОСТ Р ИСО/МЭК ТО 13335-3-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 3. Методы менеджмента безопасности информационных технологий» ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Информационная технология. Методы и средства обеспечения безопасности. Часть 4. Выбор защитных мер» ГОСТ Р ИСО/МЭК ТО 13335-5-2006 «Информационная технология. Методы и средства обеспечения безопасности. Часть 5. Руководство по менеджменту безопасности сети» ГОСТ Р ИСО/МЭК 15026-2002 «Информационная технология. Уровни целостности систем и программных средств» ГОСТ Р ИСО/МЭК ТО 18044-2007 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов информационной безопасности» ГОСТ Р ИСО/МЭК 18045-2008 «Информационная технология. Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» ГОСТ Р ИСО/МЭК 19794-2-2005 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 2. Данные изображения отпечатка пальца - контрольные точки» ГОСТ Р ИСО/МЭК 19794-4-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 4. Данные изображения отпечатка пальца» ГОСТ Р ИСО/МЭК 19794-5-2006 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными. Часть 5. Данные изображения лица» ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство» ГОСТ Р 51898-2002 «Аспекты безопасности. Правила включения в стандарты» ГОСТ Р 52069.0-2003 «Защита информации. Система стандартов. Основные положения» ГОСТ Р 52447-2005 «Защита информации. Техника защиты информации. Номенклатура показателей качества» ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хеширования» Если в политической сфере пока не выработали общих норм международного права, определяющих направления борьбы с угрозами информационной безопасности, то в сфере стандартизации мер и систем безопасности нормы не только разработаны, но и успешно применяются. Это стандарты производственного и коммерческого оборота, который относятся к системе ISO/IEC 27000. Двойная аббревиатура ISO/IEC указывает на то, что стандарты – это итог сотрудничества Международной комиссии по стандартизации (ISO), чьими нормативными актами определяется качество процессов производства и менеджмента, и Международной Энергетической комиссии (IEC). ISO/IEC 27000 содержат ряд рекомендаций и практических советов для внедрения системы менеджмента информационной безопасности (СМИБ). В России на базе ISO/IEC 27000 и внутренних разработок приняты около 22 тыс. внутренних стандартов аналогичных систем, некоторые из них утверждены в качестве ГОСТов, например, ГОСТ Р ИСО/МЭК 27000–2012. С целью повышения качества управления компании в плане организации системы обеспечения информационной безопасности и защиты информации, разработаны и утверждены генеральным директором необходимые формы документов: Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации; Инструкция администратора безопасности; Инструкция ответственного за организацию обработки персональных данных; Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них; Инструкция по реагированию на инциденты информационной безопасности; Инструкция пользователя государственной информационной системы; Приказ об утверждении внутренних нормативных актов по защите информации; Политика информационной безопасности в составе: Общие положения; Технологические процессы обработки защищаемой информации в информационных системах; Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы; Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения; Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники; Правила и процедуры выявления, анализа и устранения уязвимостей; Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации; Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций; Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы; Форма задания на внесение изменений в списки пользователей информационной системы; Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам); Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы; Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения; Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями; Форма списка разрешенного программного обеспечения в информационной системе; Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям; Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе; Порядок резервирования информационных ресурсов; План обеспечения непрерывности функционирования информационной системы. План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе; Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники; Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации; Форма журнала учета приема/выдачи съемных машинных носителей информации; Форма журнала учета средств защиты информации; Форма журнала учета периодического тестирования средств защиты информации; Форма журнала проведения инструктажей по информационной безопасности; Форма журнала учета мероприятий по контролю обеспечения защиты информации. В том числе, документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами: Положение о защите и обработке персональных данных в составе: Общие положения; Основные понятия и состав персональных данных; Общие принципы обработки персональных данных; Порядок сбора и хранения персональных данных; Процедура получения персональных данных; Передача персональных данных третьим лицам; Порядок уничтожения и блокирования персональных данных; Защита персональных данных; Согласие на обработку персональных данных; Организация доступа работников к персональным данным субъектов; Права и обязанности оператора персональных данных; Права и обязанности работников, допущенных к обработке персональных данных; Права субъекта персональных данных; Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. Правила рассмотрения запросов субъектов персональных данных или их представителей; Приказ об утверждении перечня лиц, допущенных к обработке персональных данных; Форма перечня лиц, допущенных к обработке персональных данных; Политика в отношении обработки персональных данных; Приказ об определении уровня защищенности персональных данных; Форма акта определения уровня защищенности персональных данных; Правила обработки персональных данных без использования средств автоматизации; Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные; Форма акта уничтожения персональных данных; Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении; Форма согласия субъекта на обработку его персональных данных; Положение о системе видеонаблюдения; Форма соглашения о неразглашении персональных данных; Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав. Также разработаны документы, необходимые при использовании в системе защиты информации криптографических средств: Приказ о порядке хранения и эксплуатации средств криптографической защиты информации (СКЗИ); Форма перечень сотрудников, допущенных к работе с СКЗИ; Инструкция по обеспечению безопасности эксплуатации СКЗИ; Форма акта об уничтожении криптографических ключей и ключевых документов; Схема организации криптографической защиты информации. 2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия Организационно-административные мероприятия – это меры, регламентирующие процессы функционирования автоматизированной системы обработки экономической информации, применение ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить вероятность осуществления угроз безопасности информации. Организационно-административные мероприятия предполагают: - минимизацию утечки информации через персонал (организация мероприятий по подбору и расстановке кадров, создание благоприятного климата в коллективе и т. д.); - организацию специального делопроизводства и документооборота для конфиденциальной информации, устанавливающих порядок подготовки, применения, хранения, уничтожения и учета документированной информации на любых видах носителей; - выделение специальных защищенных помещений для размещения средств вычислительной техники и связи, а также хранения носителей информации; - выделение специальных средств компьютерной техники для обработки конфиденциальной информации; - организацию хранения конфиденциальной информации на промаркированных отчуждаемых носителях в специально отведенных для этой цели местах; - применение в работе сертифицированных технических и программных средств, установленных в аттестованных помещениях; - организацию регламентированного доступа пользователей к работе со средствами компьютерной техники, связи и в хранилище (архив) носителей конфиденциальной информации; - установление запрета на использование открытых каналов связи для передачи конфиденциальной информации; - контроль соблюдения требований по защите конфиденциальной информации. Система организационных мероприятий, направленных на максимальное предотвращение утечки информации через персонал, включает: - оценка у претендентов на вакантные должности при подборе кадров таких личностных качеств, как порядочность, надежность, честность и т. д.; - ограничение круга лиц, допускаемых к конфиденциальной информации; - проверка надежности сотрудников, допускаемых к конфиденциальной информации, письменное оформление допуска; - развитие и поддержание у работников компании корпоративного духа, создание внутренней среды, способствующей проявлению у сотрудников чувства принадлежности к своей организации, позитивного отношения человека к организации в целом (лояльность); - проведение инструктажа работников, участвующих в мероприятиях, непосредственно относящихся к одному из возможных каналов утечки информации. Все лица, принимаемые на работу, проходят инструктаж и знакомятся с памяткой о сохранении служебной или коммерческой тайны. Памятка разрабатывается системой безопасности с учетом специфики организации. Сотрудник, получивший доступ к конфиденциальной информации, подписывает индивидуальное письменное обязательство об ее неразглашении. Обязательство составляется в одном экземпляре и храниться в личном деле сотрудника не менее 5 лет после его увольнения. При увольнении из организации сотрудником дается подписка. Функции отобрания обязательства и подписок возлагаются на кадровый аппарат организации. Служащий организации, подписывая подобного рода документ, должен четко представлять, что конкретно из конфиденциальной информации является тайной организации. В том числе по этой причине необходимо, чтобы вся конфиденциальная информация была обособлена от остальных сведений, а документы, ее содержащие, носили соответствующий гриф. Использование обязательств о сохранении конфиденциальной информации позволяет обеспечить ее юридическую защиту, к которой имеет (или имел) доступ персонал организации. Все руководители, сотрудники и технический персонал должны быть охвачены регулярной подготовкой по вопросам обеспечения информационной безопасности. При этом должно быть два вида обучения: первоначальное и систематическое. С увольняющимися сотрудниками проводятся беседы, направленные на предотвращение разглашения конфиденциальной информации. Эти обязательства, как правило, подкрепляются соответствующей подпиской. Организацией конфиденциального делопроизводства является: - документирование информации; - учет документов и организация документооборота; - обеспечение надежного хранения документов; - проверка наличия, своевременности и правильности их исполнения; - своевременное уничтожение документов. При выборе и оборудовании специальных защищенных помещений для размещения средств вычислительной техники и связи, а также хранения носителей информации рекомендуется придерживаться следующих требований: - оптимальной формой помещения является квадратная или близкая к ней; - помещение не должно быть проходным для обеспечения контроля доступа, желательно размещать его недалеко от постов охраны, что снижает шансы незаконного проникновения; - помещение должно быть оборудовано пожарной и охранной сигнализацией, системой пожаротушения, рабочим и аварийным освещением, кондиционированием, средствами связи; - рабочие помещения должны быть закрыты от посещения посторонних лиц; - всех посетителей (кроме деловых партнеров) должны встречать и сопровождать по территории фирмы работники кадрового аппарата, службы безопасности или охраны; - посетителям взамен удостоверений личности, выдаются разовые карточки гостя, размещаемые на груди или лацкане пиджака; - исключается доступ посторонних лиц в хранилища конфиденциальных документов, зал совещаний, отдел маркетинга, службу безопасности и т.д.; - хранение конфиденциальной информации, полученной в результате резервного копирования, должно осуществляться на промаркированных отчуждаемых носителях в специально отведенных для этой цели местах. Ответственность за организацию системы обеспечения информационной безопасности и защиты предприятия ООО “Альпина” возложена на сотрудников следующих подразделений: служба безопасности, ИТ-отдел, юридическое управление, отдел кадров, функциональные подразделения, в которых обрабатывается информация, требующая защиты. Квалификационные требования, предъявляемые к сотрудникам отделов, отвечающих за обеспечение ИБ, содержатся в должностных инструкциях. Специалисты по защите информации должны проходить регулярную переподготовку и обучение. 2.2 Комплекс проектируемых программно-аппаратных средств обеспечения информационной безопасности и защиты информации предприятия 2.2.1 Структура программно-аппаратного комплекса информационной безопасности и защиты информации предприятия |