Концепция Обеспечения ИБ. КОНЦЕПЦИЯ ОБЕСПЕЧЕНИЯ ИБ. Обеспечения безопасности информации в автоматизированной системе организации
 Скачать 161.32 Kb.
|
|
КОНЦЕПЦИЯ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ В АВТОМАТИЗИРОВАННОЙ СИСТЕМЕ ОРГАНИЗАЦИИ
20__ год СОДЕРЖАНИЕ ВВЕДЕНИЕ 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1. Назначение и правовая основа документа 2. ОБЪЕКТЫ ЗАЩИТЫ 2.1. Назначение, цели создания и эксплуатации АС ОРГАНИЗАЦИИ как объекта информатизации 2.2. Структура, состав и размещение основных элементов АС ОРГАНИЗАЦИИ, информационные связи с другими объектами 2.3. Категории информационных ресурсов, подлежащих защите 2.4. Категории пользователей АС ОРГАНИЗАЦИИ, режимы использования и уровни доступа к информации 2.5. Уязвимость основных компонентов АС ОРГАНИЗАЦИИ 3. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ 3.1. Интересы затрагиваемых при эксплуатации АС ОРГАНИЗАЦИИ субъектов информационных отношений 3.2. Цели защиты 3.3. Основные задачи системы обеспечения безопасности информации АС ОРГАНИЗАЦИИ 3.4. Основные пути достижения целей защиты (решения задач системы защиты) 4. ОСНОВНЫЕ УГРОЗЫ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ 4.1. Угрозы безопасности информации и их источники 4.2. Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации в АС ОРГАНИЗАЦИИ 4.3. Умышленные действия сторонних лиц, зарегистрированных пользователей и обслуживающего персонала 4.4. Утечка информации по техническим каналам 4.5. Неформальная модель возможных нарушителей 5. ОСНОВНЫЕ ПОЛОЖЕНИЯ ТЕХНИЧЕСКОЙ ПОЛИТИКИ В ОБЛАСТИ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ 5.1. Техническая политика в области обеспечения безопасности информации 5.2. Формирование режима безопасности информации 5.3. Оснащение техническими средствами хранения и обработки информации 6. ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ 7. МЕРЫ, МЕТОДЫ И СРЕДСТВА ОБЕСПЕЧЕНИЯ ТРЕБУЕМОГО УРОВНЯ ЗАЩИЩЕННОСТИ ИНФОРМАЦИОННЫХ РЕСУРСОВ 7.1. Меры обеспечения безопасности 7.1.1. Законодательные (правовые) меры защиты 7.1.2. Морально-этические меры защиты 7.1.3. Организационные (административные) меры защиты 7.2. Физические средства защиты 7.2.1. Разграничение доступа на территорию и в помещения 7.3. Технические (программно-аппаратные) средства защиты 7.3.1. Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей 7.3.2. Средства разграничения доступа зарегистрированных пользователей системы к ресурсам АС 7.3.3. Средства обеспечения и контроля целостности программных и информационных ресурсов 7.3.4. Средства оперативного контроля и регистрации событий безопасности 7.3.5. Криптографические средства защиты информации 7.4. Защита информации от утечки по техническим каналам 7.5. Защита речевой информации при проведении закрытых переговоров 7.6. Управление системой обеспечения безопасности информации 7.7. Контроль эффективности системы защиты 8. ПЕРВООЧЕРЕДНЫЕ МЕРОПРИЯТИЯ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ АС ОРГАНИЗАЦИИ ПЕРЕЧЕНЬ НОРМАТИВНЫХ ДОКУМЕНТОВ, РЕГЛАМЕНТИРУЮЩИХ ДЕЯТЕЛЬНОСТЬ В ОБЛАСТИ ЗАЩИТЫ ИНФОРМАЦИИ СПИСОК ИСПОЛЬЗОВАННЫХ СОКРАЩЕНИЙ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ ВВЕДЕНИЕ Настоящая Концепция определяет систему взглядов на проблему обеспечения безопасности информации в единой информационной телекоммуникационной системе (далее автоматизированной системе - АС) ОРГАНИЗАЦИИ и представляет собой систематизированное изложение целей и задач защиты, а также основных принципов и способов достижения требуемого уровня безопасности информации в АС ОРГАНИЗАЦИИ. Правовой базой для разработки настоящей Концепции служат требования действующих в Российской Федерации законодательных и нормативных документов, перечень которых приведен в Приложении 1. Концепция является методологической основой для формирования и проведения в ОРГАНИЗАЦИИ единой политики в области обеспечения безопасности информации (политики безопасности), для принятия управленческих решений и разработки практических мер по ее воплощению. Список основных использованных в настоящей Концепции сокращений приведен в Приложении 2. Перечень использованных специальных терминов и определений - в Приложении 3. 1. ОБЩИЕ ПОЛОЖЕНИЯ 1.1.Назначение и правовая основа документа Настоящая «Концепция обеспечения безопасности информации в автоматизированной системе ОРГАНИЗАЦИИ» (далее – Концепция) определяет систему взглядов на проблему обеспечения безопасности информации в АС ОРГАНИЗАЦИИ, и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в АС ОРГАНИЗАЦИИ. Законодательной основой настоящей Концепции являются Конституция Российской Федерации, Гражданский и Уголовный кодексы Российской Федерации, законы, указы, постановления, распоряжения и другие нормативные правовые акты действующего законодательства Российской Федерации, документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России) /ранее - Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России)/, Федеральной службы безопасности Российской Федерации (ФСБ России) /ранее - Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ)/, а также нормативно-методические материалы и организационно-распорядительными документы ОРГАНИЗАЦИИ отражающие вопросы обеспечения информационной безопасности в автоматизированных системах. Концепция учитывает современное состояние и ближайшие перспективы развития АС ОРГАНИЗАЦИИ, цели, задачи и правовые основы ее создания и эксплуатации, режимы функционирования данной системы, а также результаты анализа угроз безопасности для ресурсов АС ОРГАНИЗАЦИИ. Основные положения и требования Концепции распространяются на все структурные подразделения ОРГАНИЗАЦИИ, в которых осуществляется автоматизированная обработка информации, содержащей сведения, составляющие банковскую, коммерческую, служебную тайну или персональные данные, а также на подразделения, осуществляющие сопровождение, обслуживание и обеспечение нормального функционирования АС ОРГАНИЗАЦИИ. Основные положения Концепции могут быть распространены также на подразделения других организаций и учреждений, осуществляющие взаимодействующие с АС ОРГАНИЗАЦИИ в качестве поставщиков и потребителей (пользователей) информации АС ОРГАНИЗАЦИИ. Концепция является методологической основой для: формирования и проведения единой политики в области обеспечения безопасности информации в АС ОРГАНИЗАЦИИ; принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации; координации деятельности структурных подразделений ОРГАНИЗАЦИИ при проведении работ по созданию, развитию и эксплуатации АС ОРГАНИЗАЦИИ с соблюдением требований обеспечения безопасности информации; разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации АС ОРГАНИЗАЦИИ. Концепция не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов АС, защиты от стихийных бедствий, сбоев в системе энергоснабжения, а также меры по обеспечению личной безопасности персонала и клиентов ОРГАНИЗАЦИИ. Однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности ОРГАНИЗАЦИИ в целом (имущественная, физическая и т.д.). Это позволяет не только принципиально, но и практически сопрягать их, оптимизируя затраты на построение такой системы. Научно-методической основой Концепции является системный подход, предполагающий проведение исследований, разработку системы защиты информации и процессов ее обработки в АС с единых методологических позиций с учетом всех факторов, оказывающих влияние на защиту информации, и с позиции комплексного применения различных мер и средств защиты. При разработке Концепции учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий. Основные положения Концепция базируются на качественном осмыслении вопросов безопасности информации и не концентрируют внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации. 2. ОБЪЕКТЫ ЗАЩИТЫ Основными объектами информационной безопасности в ОРГАНИЗАЦИИ являются: информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления; процессы обработки информации в АС - информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал; информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты АС. 2.1.Назначение, цели создания и эксплуатации АС ОРГАНИЗАЦИИ как объекта информатизации АС ОРГАНИЗАЦИИ предназначена для автоматизации деятельности должностных лиц (сотрудников) ОРГАНИЗАЦИИ. Создание и применение АС ОРГАНИЗАЦИИ преследует следующие цели: повышение качества управления производственными процессами; повышение качества контроля за движением материальных и финансовых ресурсов ОРГАНИЗАЦИИ; повышение оперативности и достоверности процедур сбора данных о состоянии материальных и финансовых ресурсах ОРГАНИЗАЦИИ; сокращение финансовых и временных затрат на поддержку внутреннего и внешнего документооборота; повышение оперативности и обоснованности прогнозирования коммерческой деятельности ОРГАНИЗАЦИИ; повышение оперативности и обоснованности планирования расходов финансовых ресурсов ОРГАНИЗАЦИИ и т.д. следующих основных процессов: интегрированной обработки информации, формирования и ведения специализированных баз данных; взаимодействия с клиентами ОРГАНИЗАЦИИ и другими внешними организациями; информационно-справочного обслуживания структурных подразделений ОРГАНИЗАЦИИ; анализа и прогнозирования деятельности ОРГАНИЗАЦИИ, обоснования принятия управленческих решений. 2.2.Структура, состав и размещение основных элементов АС ОРГАНИЗАЦИИ, информационные связи с другими объектами АС ОРГАНИЗАЦИИ является распределенной системой, объединяющей автоматизированные системы (подсистемы) центральных и территориальных подразделений ОРГАНИЗАЦИИ в единую корпоративную вычислительную (информационно -телекоммуникационную) сеть. В АС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой вычислительной сети. В ряде подсистем АС Организации предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными) организациями по коммутируемым и выделенным каналам с использованием специальных средств передачи информации. Комплекс технических средств АС Организации включает средства обработки данных (ПЭВМ, сервера БД, почтовые сервера и т.п.), средства обмена данными в ЛВС с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и т.д.), а также средства хранения (в т.ч. архивирования) данных. К основным особенностям функционирования АС ОРГАНИЗАЦИИ, относятся: большая территориальная распределенность системы; объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации; большое разнообразие решаемых задач и типов обрабатываемых сведений (данных), сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей; объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности (грифов секретности); непосредственный доступ к вычислительным и информационным ресурсам большого числа различных категорий пользователей (источников и потребителей информации) и обслуживающего персонала; наличие большого числа каналов взаимодействия с “внешним миром” (источниками и потребителями информации); непрерывность функционирования АС ОРГАНИЗАЦИИ; высокая интенсивность информационных потоков в АС ОРГАНИЗАЦИИ; наличие в АС ярко выраженных функциональных подсистем с различными требованиями по уровням защищенности (физически объединенных в единую сеть); разнообразие категорий пользователей и обслуживающего персонала системы. Общая структурная и функциональная организация АС ОРГАНИЗАЦИИ определяется организационно-штатной структурой органов ОРГАНИЗАЦИИ и задачами, решаемыми его структурными подразделениями с применением средств автоматизации. В самом общем виде, единая телекоммуникационная информационная система ФК представляет собой совокупность локальных вычислительных сетей (ЛВС) отделений ОРГАНИЗАЦИИ, объединенных средствами телекоммуникации. Каждая ЛВС в АС ОРГАНИЗАЦИИ объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков), обеспечивающих решение задач отдельными структурными подразделениями отделений ОРГАНИЗАЦИИ. Объекты информатизации АС ОРГАНИЗАЦИИ включают: технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование); информационные ресурсы, содержащие сведения ограниченного доступа и представленные в виде документов или записей в носителях на магнитной, оптической и другой основе, информационных физических полях, массивах и базах данных; программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение); автоматизированные системы связи и передачи данных (средства телекоммуникации); каналы связи по которым передается информация (в том числе ограниченного распространения); служебные помещения, в которых циркулирует информация ограниченного распространения; технические средства (звукозаписи, звукоусиления, звуковоспроизведения, изготовления, тиражирования документов, переговорные и телевизионные устройства и другие технические средства обработки графической, смысловой и буквенно-цифровой информации), используемые для обработки информации; технические средства и системы, не обрабатывающие информацию (вспомогательные технические средства и системы - ВТСС), размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения ограниченного распространения. Обеспечение функционирования и эксплуатация АС ОРГАНИЗАЦИИ осуществляется Главным управлением (департаментом) ОРГАНИЗАЦИИ, территориальными управлениями (департаментами) ОРГАНИЗАЦИИ и отделениями ОРГАНИЗАЦИИ на основании требований организационно-распорядительных документов руководства ОРГАНИЗАЦИИ. 2.3.Категории информационных ресурсов, подлежащих защите В подсистемах АС ОРГАНИЗАЦИИ циркулирует информация различных уровней конфиденциальности (секретности) содержащая сведения ограниченного распространения (служебная коммерческая, банковская информация, персональные данные) и открытые сведения. В документообороте АС ОРГАНИЗАЦИИ присутствуют: платежные поручения и другие расчетно-денежные документы; отчеты (финансовые, аналитические и др.); сведения о лицевых счетах; обобщенная информация и другие конфиденциальные (ограниченного распространения) документы. и т.д. Защите подлежит вся информация, циркулирующая в АС ОРГАНИЗАЦИИ и содержащая: сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации (ОРГАНИЗАЦИЕЙ) в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации» правами; сведения, составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом «О банках и банковской деятельности»; сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом «Об информации информатизации и защите информации». |