Объектов информатизации

– обеспечивает:
• дифференцированный подход к защите различных АРМ и подсистем;
• унификацию различных вариантов средств ЗИ;
• реализацию разрешительной системы доступа к ресурсам АС;
• согласованность действий различных подразделений КСЗИ;
• учет динамики развития АС;
• минимизацию необходимого числа специалистов отдела ЗИ.
20.
Кадровое обеспечение функционирования КСЗИ
Количественный состав и структура службы ЗИ определяется после за- вершения разработки КСЗИ с учетом ее технической структуры и режимов функционирования.
Организационно-штатная структура определяет количество подразделе- ний, их подчиненность, перечень должностей. Каждому должностному лицу устанавливаются его права и обязанности в соответствии с занимаемой долж- ностью.
Обязанности персонала предприятия по ЗИ определяются в коллективном договоре, трудовых договорах и должностных инструкциях.
При отборе персонала используются следующие методы: тестирование; ознакомление с личными делами, рекомендациями, отзывами с предыдущих мест работы; проведение конкурсов на замещение вакансий; аттестация со- трудников; проверка наличия судимостей и других правонарушений; изучение кредитных историй; собеседование и психофизиологическое исследование на полиграфе (детекторе лжи).
Ответственность за нарушения в области ИБ (юридический аспект):
– в Уставе организации и в функциональных (технологических) обязан- ностях всех сотрудников, участвующих в процессах автоматизированной обра- ботки информации, необходимо отразить требования по обеспечению ИБ при работе в АС;
– при приеме на работу каждый сотрудник должен подписать Соглаше- ние-обязательство о соблюдении установленных требований по сохранению государственной, служебной и коммерческой тайны, а также об ответственно- сти за нарушение правил работы с защищаемой информацией в АС;
78

– все пользователи, руководящий и обслуживающий персонал АС долж- ны быть ознакомлены с перечнем сведений, подлежащих защите, в части их ка- сающейся (в соответствии со своим уровнем полномочий);
– доведение требований организационно-распорядительных документов по вопросам ИБ до лиц, допущенных к обработке защищаемой информации, должно осуществляться руководителями подразделений под роспись.
Сотрудники организации несут ответственность по действующему зако- нодательству за разглашение сведений, составляющих (государственную, бан- ковскую, коммерческую) тайну, и сведений ограниченного распространения, ставших им известными по роду работы.
Любое грубое нарушение порядка и правил работы в АС сотрудниками структурных подразделений должно расследоваться. К виновным должны при- меняться адекватные меры воздействия.
Нарушения установленных правил и требований по ИБ являются основа- нием для применения к сотруднику административных мер наказания, вплоть до увольнения и привлечения к уголовной ответственности (ст. 81 ТК РФ).
Мера ответственности сотрудников за действия, совершенные в наруше- ние установленных правил обеспечения безопасной автоматизированной обра- ботки информации, должна определяться с учетом нанесенного ущерба, нали- чия злого умысла и других факторов по усмотрению руководства.
Для реализации принципа персональной ответственности сотрудников за свои действия необходимы:
– индивидуальная идентификация сотрудников и инициированных ими процессов при работе в АС, т.е. установление за ними уникальных идентифика- торов пользователей, на основе которых будет осуществлять разграничение до- ступа и регистрация событий;
– проверка подлинности соответствия пользователей и сотрудников
(аутентификация) на основе паролей, ключей, специальных устройств, биомет- рических характеристик личности сотрудников и т.п.;
– регистрация (протоколирование) работы механизмов контроля доступа пользователей к ресурсам ИС с указанием даты, времени, идентификаторов поль- зователя, запрашиваемых им ресурсов, вида взаимодействия и его результата;
– оперативная реакция на попытки НСД (сигнализация, блокировка и т.д.).
Каждый сотрудник, участвующий в рамках своих функциональных обя- занностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, ПО и данным АС обязан:
79

– производить обработку защищаемой информации в подсистемах АС в строгом соответствии с утвержденными технологическими инструкциями для данных подсистем;
– строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
– знать и строго выполнять правила работы со средствами ЗИ, установ- ленными на его рабочей станции;
– хранить в тайне свой пароль. Периодически в соответствии с «Инструк- цией по организации парольной защиты АС» менять свой пароль;
– передавать для хранения установленным порядком свое индивидуаль- ное устройство идентификации ( Touch Memory , Smart Card , Proximity и т.п.) и другие реквизиты разграничения доступа и носители ключевой информации только руководителю своего подразделения или ответственному за ИБ в подразделении (в пенале, опечатанном своей личной печатью);
– надежно хранить и никому не передавать личную печать и использо- вать ее только для опечатывания пенала с реквизитами доступа и носителями ключевой информации;
– если сотруднику (исполнителю) предоставлено право защиты (подтвер- ждения подлинности и авторства) документов, передаваемых по технологиче- ским цепочкам в АС, при помощи ЭЦП, то он дополнительно обязан соблюдать все требования «Порядка работы с ключевыми носителями (дискетами)»;
– выполнять требования «Инструкции по организации антивирусной защи- ты в АС» в части касающейся действий пользователей рабочих станций (PC);
– немедленно ставить в известность ответственного за безопасность ин- формации и руководителя подразделения в случае утери носителей ключевой информации, индивидуального устройства идентификации или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
• нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах или иных фактов совершения в его отсутствие попыток НСД к закрепленной за ним защищенной рабочей станции;
• некорректного функционирования установленных на PC технических средств защиты;
• несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств PC ;
• непредусмотренных формуляром PC отводов кабелей и подключённых устройств;
80

• отклонений в нормальной работе системного и прикладного ПО, за- трудняющего эксплуатацию PC, выхода из строя или неустойчивого функцио- нирования узлов PC или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения;
– присутствовать при работах по изменению аппаратно-программной конфигурации закрепленной за ним РС, по завершении таких работ проверять ее работоспособность.
Категорическизапрещается:
•
использовать компоненты программного и аппаратного обеспечения АС не по назначению (в неслужебных целях);
• самовольно вносить какие-либо изменения в конфигурацию аппаратно- программных средств РС или устанавливать дополнительно любые программ- ные и аппаратные средства, не предусмотренные формулярами РС;
• осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;
• записывать и хранить конфиденциальную информацию (сведения огра- ниченного распространения) на неучтенных носителях;
• оставлять включенной без присмотра свой компьютер, не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
• передавать кому-либо свой персональный ключевой носитель (дискету,
Touch Memory и т.п.) кроме ответственного за ИБ или руководителя своего подразделения установленным порядком, делать неучтенные копии ключевого носителя, снимать с него защиту записи и вносить какие-либо изменения в за- писанные на носитель файлы;
• использовать свои ключи ЭЦП для формирования цифровой подписи любых электронных документов, кроме электронных документов, регламенти- рованных технологическим процессом на его рабочем месте;
• оставлять без личного присмотра на рабочем месте или где бы то ни бы- ло свое персональное устройство идентификации, носители ключевой инфор- мации, носители и распечатки, содержащие сведения ограниченного распро- странения;
• умышленно использовать недокументированные свойства и ошибки в
ПО или в настройках средств защиты, которые могут привести к нарушениям
ИБ и возникновению кризисной ситуации. Об обнаружении такого рода оши- бок – ставить в известность ответственного за безопасность информации и ру- ководителя своего подразделения.
81

Для других сотрудников группы безопасности (руководителя, админи- стратора) также должны быть подробно разработаны их права и обязанности; документы, определяющие порядок работы с носителями ключевой информа- ции и устанавливающие ответственность за нарушения.
Для обучения персонала вопросам ЗИ в современных условиях наиболее важной и эффективной формой является организация занятий непосредственно на предприятии под руководством опытных сотрудников службы защиты ин- формации.
21
. Материально-техническое и нормативно-методическое
обеспечение функционирования КСЗИ
Материально-техническое обеспечение (МТО) позволяет удовлетворить потребность в расходных материалах, запасных изделиях и приборах, инстру- ментах и других материальных средствах, необходимых для эксплуатации
КСЗИ.
Состав МТО КСЗИ зависит от ее структуры и определяется [ 8 ]:
1) при планировании и осуществлении работы объектов материально- технической базы службы ЗИ;
2) при определении потребности, приобретении, учете и хранении всех видов материальных средств, их распределении, выдаче (отправке, передаче) по назначению, обеспечении правильного и экономного расходования и ведении отчетности;
3) при накоплении и содержании установленных запасов материальных средств, обеспечении их сохранности;
4) при эксплуатации, сбережении, своевременном техническом обслужи- вании и ремонте;
5) при создании условий для организации и проведения мероприятий ЗИ;
6) при строительстве, ремонте и эксплуатации зданий и помещений;
7) при изучении положения дел, выявлении внутренних и внешних фак- торов, оказывающих влияние на МТО КСЗИ;
8) при выявлении нарушений, ошибок в МТО и оперативном принятии мер по их устранению.
При работе с МТО КСЗИ на предприятии необходимо:
– разработать нормативные акты по вопросам МТО КСЗИ;
82

– уметь определять потребность материально-технических средств для обеспечения нормального функционирования КСЗИ;
– знать наличие, состояние и порядок хранения материальных средств ЗИ;
– своевременно пополнять МТО КСЗИ;
– вести учет, правильное хранение, сбережение запасов материальных средств КСЗИ, а также их эксплуатацию, ремонт и техническое обслуживание;
– рационально и экономно расходовать материальные средства;
– осуществлять контроль за использованием МТО КСЗИ.
Состав нормативно-методического обеспечения КСЗИ определяют:
–
законодательные акты – законы, указы президента, постановления пра- вительства, кодексы (гражданский, уголовный, административный), ГОСТы;
–
руководящие методические документы – документы министерств и ве- домств (Гостехкомиссия, ФСБ), а также документы, разработанные на предпри- ятиях по вопросам ЗИ;
–
информационно-справочная база – словари, каталоги, специализирован- ные журналы, справочники, электронные БД.
Нормативные документы, определяющие правила безопасности должны удовлетворять следующим требованиям:
– соответствовать структуре, целям и задачам ИС;
– описывать общую программу обеспечения безопасности сети, включая вопросы эксплуатации и усовершенствования;
– перечислять возможные угрозы информации и каналы утечки;
– перечислять рекомендуемые защитные меры;
– определять ответственных за внедрение и эксплуатацию всех средств защиты;
– определять права и обязанности пользователей;
– содержать перечень и классификацию возможных кризисных ситуаций;
– определять порядок разрешения споров в случае возникновения кон- фликтов.
В комплект внутренних нормативных и методических документов по обеспечению функционирования КСЗИ на предприятии должны входить доку- менты, регламентирующие:
– перечень сведений, подлежащих защите;
– порядок обращения сотрудников с конфиденциальной информацией;
– меры по предотвращению НСД к информационным ресурсам и АС;
– обмен информацией со сторонними организациями;
83

– пропускной и внутриобъектный режим;
– порядок эксплуатации АС предприятия;
– действия должностных лиц и персонала предприятия в условиях ЧС, обеспечения бесперебойной работы и восстановления;
– планы защиты АС;
– порядок разработки, испытания и сдачи в эксплуатацию ПС;
– порядок закупки программных и аппаратных средств (в том числе средств ЗИ);
– порядок эксплуатации технических средств связи и телекоммуникации.
22
. Назначение, структура и содержание управления КСЗИ
Управление – это процесс осуществления информационных воздействий на объекты управления для формирования их целенаправленного поведения.
Сущность управления КСЗИ заключается в целенаправленной деятельно- сти руководства предприятия, должностных лиц и службы ЗИ, направленной на достижение целей защиты информации.
Основными функциями управления в КСЗИ являются:
– планирование (оценка обстановки, выработка замысла разрешения сло- жившейся ситуации, выработка возможных вариантов решения, принятие ре- шения руководителем, разработка плана в соответствии с принятым решением);
– руководство выполнением принятого плана (решения);
– управление КСЗИ в условиях ЧС;
– контроль и коррекция реализуемого плана (решения).
Управление КСЗИ является частью функционирования предприятия в це- лом. В связи с этим практическая реализация КСЗИ предусматривает наличие следующих функций управления:
1. Организаторская: органы управления КСЗИ выдают приказы исполни- телям на выполнение каких-либо действий.
2. Аналитическая: анализ состояний окружающей среды по вопросам обеспечения ИБ.
3. Целеуказательная: определение целей, частных функций и задач КСЗИ в целом и отдельных её подсистем.
4. Контрольная: контроль результатов выполнения принятых решений.
Процесс управление в комплексной системе защиты информации являет- ся непрерывным и многоуровневым:
84

Уровни управления
Решаемые задачи
Органы управления
Стратегический
Стратегия КСЗИ
Руководство предприятия
Оперативный
Концепция
Служба ИБ
Тактический
Политика безопасности
Руководители отделов
Операционный
Регламент по ЗИ
Отдельные сотрудники
Объектом управления может быть как коллектив людей (пользователей системы), так и технические средства.
Критерием эффективности принимаемых решений могут служить:
– на стадии принятия решения – вероятность того, что система перейдет к заданному уровню защищенности информации;
– на стадии контроля – соответствие заданному уровню безопасности.
Построение КСЗИ и ее функционирование должны осуществляться в со- ответствии со следующими принципами управления:
1)
принцип научности,предполагающий построение КСЗИ на строго научных основах;
2)
принцип системности и комплексности,делающий необходимым изу- чение системы защиты и управляющий системы совместно и нераздельно с учетом всех взаимосвязанных элементов, условий и факторов;
3)
принцип единоначалия в управлении и коллегиальности в выработке
решений,предполагающий, что в рамках системы любое коллегиальное реше- ние должно разрабатываться коллегиально. Необходимо добиваться всесторон- ности разработок, учитывать мнения многих специалистов по различным во- просам. При этом принятое коллегиальное решение проводится в жизнь под персональную ответственность руководителя;
4)
принцип централизованности и децентрализованности.Централиза- ция и децентрализация должны находиться в единстве и дополнять друг друга;
5)
принцип пропорциональности в управлении,означающий, что рост и усложнение объекта ведут к росту субъекта управления;
6)
принцип экономии времени,делающий необходимым постоянное уменьшение трудоемкости операций в производственном процессе;
7)
принцип целевой совместимости и сосредоточения,состоящий в со- здании связанной, целенаправленной системы, при которой все ее звенья обра- зуют единый механизм, направленный на решение общей задачи. Работа от- дельных служб предприятия строится таким образом, чтобы в конечном итоге в заданное время появилась именно та продукция, в которой нуждается конечный потребитель;
85

8)
принцип непрерывности и надежности,предполагающий создание та- ких условий, при которых достигаются устойчивость и непрерывность заданно- го режима производственного процесса;
9)
принцип планомерности, пропорциональности и динамизма,состоящий в том, что производственная система должна быть нацелена на достижение не только текущих, но и долговременных целей своего развития;
10)
принцип эффективности управления,(актуален, поскольку на практи- ке в производственном процессе существует многовариантность путей дости- жения одной и той же поставленной цели).
Соблюдение принципов управления позволит существенно повысить эф- фективность управления КСЗИ.