Вайнштейн Ю.В., Демин С.Л., Кирко И.Н. и др. Основы информационной безопасности

Подождите немного. Документ загружается.

Исполненные конфиденциальные документы формируются в дела в

соответствии с номенклатурой дел.

Период нахождения конфиденциальных документов в делах может

быть кратковременным и долговременным. Это зависит от специфики

предприятия.

При сроке от 1 до 3 лет период нахождения конфиденциальных

документов в делах считается кратковременным, а при сроке более 3 лет 

долговременным. Персональные, производственные, профессиональные

данные не должны иметь периода хранения.

Контрольные вопросы

1. Для чего создается Перечень конфиденциальных сведений?

18.Когда возникают угрозы конфиденциальным документам?

19.При каких условиях ПЭВМ может хранить конфиденциальные

сведения?

20.Какие нарушения ИБ предупреждает учет?

21.Почему нельзя называть конфиденциальные документы секретными?

161

ГЛАВА 11. РЕЖИМ  ОСНОВА ОБЕСПЕЧЕНИЯ КОМПЛЕКСНОЙ

ЗАЩИТЫ ИНФОРМАЦИИ

11.1. Разработка Политики безопасности

Автоматизация процессов деятельности (бизнес-процессов)

практически любого современного предприятия способствует увеличению

производительности труда и росту «прозрачности» управления за счет

расширения функциональности корпоративной информационной системы

(КИС). С другой стороны, одновременно с этим повышается уровень

информационных рисков. Так, существенному повышению возможности

несанкционированного использования или модификации информации,

блокированию процесса ее получения, или введению в оборот ложной

информации, приводящей к принятию ошибочных решений и, как следствие,

к значительному материальному ущербу, способствуют:

 увеличение объемов обрабатываемой, передаваемой и хранимой

в КИС информации;

 сосредоточение в базах данных информации различного уровня

важности и конфиденциальности;

 расширение круга пользователей, имеющих доступ к

информационным ресурсам;

 увеличение числа удаленных рабочих мест, появление

мобильных рабочих мест;

 широкое использование для передачи данных различных

каналов связи, в т.ч. глобальной сети Internet и др.

С технической точки зрения, существует множество решений,

направленных на борьбу с основными проблемами безопасности

информации, причем рынок подобных решений постоянно увеличивается.

Однако постоянно меняющаяся политическая, социальная и экономическая

ситуация, быстрые темпы развития информационных технологий,

необходимость постоянного совершенствования систем защиты информации

не позволяют с высокой степенью детализации заранее определить

конкретные проектные и технические решения, позволяющие достичь

требуемого уровня обеспечения безопасности информации. Более того, для

комплексного решения проблемы помимо технической необходимо

162

учитывать и нормативно-организационную составляющую, включающую в

себя: подготовка квалифицированных кадров, разработка перспективных

планов приобретения средств информатизации и защиты информации,

совершенствования информационной инфраструктуры организации и т.д.

Анализ мирового и отечественного опыта обеспечения безопасности

диктует необходимость создания целостной системы обеспечения

безопасности информации (СОБИ), взаимоувязывающей разнообразные

организационные и технические меры защиты, использующей современные

методы прогнозирования, анализа и моделирования. Для построения СОБИ, в

максимальной степени отвечающей интересам бизнеса, необходимо на самом

раннем этапе выработать стратегическую линию, долгосрочные подходы к

комплексному решению задач обеспечения безопасности информации,

учитывающие прогнозы грядущих изменений и позволяющие адаптировать

СОБИ к любой достаточно сложной и изменчивой бизнес-ситуации.

Кроме того, создание полномасштабной СОБИ требует значительных

финансовых затрат. Покрыть требуемые затраты сразу, как правило, не

представляется возможным. Это приводит к необходимости поэтапного

построения системы (развертывания ее отдельных элементов). Очевидно, что

для целостного объединение этих элементов, разрабатываемых или

закупаемых в разное время, в единую систему защиты, необходим единый

архитектурный замысел.

Таким образом, для начала работ по защите информации на практике

руководству предприятия необходимо принять решение о том, как оно

планирует защищаться, выбрать методы и процедуры защиты информации

для своего конкретного случая, определить характеристики используемых

технических средств. Иными словами, организация должна сформировать

свою Политику безопасности информации.

Политика безопасности информации  совокупность нормативных

документов, определяющих (или устанавливающих) порядок обеспечения

безопасности информации на конкретном предприятии, а также

выдвигающих требования по поддержанию подобного порядка. Важно

подчеркнуть, что документы, разрабатываемые при формировании Политики

безопасности должны иметь официальный юридический статус (подпись

первого лица), обязательный для исполнения всеми сотрудниками

предприятия.

163

Разработка Политики безопасности информации является

основополагающим этапом при разработке и последующем внедрении СОБИ,

так как от правильного формирования корпоративных правил и процедур

обеспечения безопасности в определяющей степени зависит уровень всех

дальнейших проектных решений и, в конечном итоге  уровень безопасности.

Если требования, выдвинутые в начале разработки не полны или ошибочны,

то,

СОБИ в ряде случаев не сможет полностью отвечать своему предназначению.

Очевидно, что разработать Политику безопасности информации, т.е.

построить полную систему правил и требований по безопасности

информации, возможно только в том случае, если проанализированы все

информационные риски и определена нормативная база, регулирующая

вопросы защиты информации. Поэтому предварительным этапом для

разработки Политики безопасности должно являться Комплексное

обследование защищенности КИС организации.

Разработка Политики безопасности преследует следующие основные

цели:

 формирование системы взглядов на проблему обеспечения

безопасности информации и пути ее решения с учетом современных

тенденций развития технологий и методов защиты информации;

 формулирование рекомендаций к повышению степени

защищенности информационной системы;

 выработка общих требований к средствам защиты информации.

Как говорилось выше, под Политикой безопасности информации

понимается согласованный по целям защиты информации пакет

нормативных, организационно-распорядительных и эксплуатационных

документов, регламентирующих все вопросы организации, управления и

контроля безопасности, а также эксплуатации средств защиты. Структура

данного пакета документов представляется в виде трех иерархических

уровней.

Первый уровень Политики безопасности информации содержит

головной документ  Концепцию информационной безопасности,

определяющую цели и задачи защиты информации в КИС, корпоративные

требования и практические правила управления информационной

164

безопасностью, состав других документов, регламентирующих вопросы

безопасности информации.

«Концепция безопасности информации» отражает официальную

принятую в организации систему взглядов на проблему обеспечения

безопасности информации и пути ее решения с учетом современных

тенденций развития информатизации в Российской Федерации. По своей сути

это  стратегия решения вопросов защиты информации.

Таким образом, на первом уровне Политики безопасности

формулируются цели обеспечения информационной безопасности,

вырабатываются и внедряются единые корпоративные стандарты, которые в

дальнейшем определяют правила и требования по всем вопросам

информационной безопасности и становятся обязательными для всех

структурных подразделений организации. Данный документ является

системообразующим документом, интегрирующим все документы Политики

безопасности по поставленным целям и задачам информационной

безопасности.

Второй уровень, как правило, содержит два документа  Регламент

обеспечения безопасности информации и Профиль защиты, которые

являются нормативными или организационно-распорядительными

документами, т.е. регламентируют все вопросы организации и проведения

работ по защите информации, положения о инфраструктурных элементов

информационной безопасности, разрешительной системе допуска

исполнителей к документам и сведениям, регламентах выполнения

информационных процессов, должностных инструкций и т.д., а также

технические требования к составляющим СОБИ.

«Регламент обеспечения безопасности информации» разрабатывается

на основании «Концепции безопасности информации» и в директивной

форме излагает порядок обращения с защищаемой информацией, основные

правила действий сотрудников и их ответственность в обеспечении

безопасности информации в любых ситуациях и на всех стадиях жизненного

цикла КИС предприятия.

«Профиль защиты» разрабатывается в соответствии с ГОСТ ИСО/МЭК

15408 «Информационная технология. Методы и средства обеспечения

безопасности. Критерии оценки безопасности информационных технологий»

и содержит технические требования к программно-аппаратным средствам

165

защиты, в том числе и встроенным в общесистемное программное

обеспечение.

По своей сути Регламент и Профиль формируют тактические приемы

реализации стратегических целей, определенных Концепцией, и

устанавливают ответственность должностных лиц.

После разработки документов первого и второго уровней проводится

следующий этап работ (или третий уровень)  разработка исполнительной

документации, включающей в себя различные должностные положения и

инструкции, целесообразность которых определяется по результатам первого

и второго этапов. Кроме того, данный уровень содержит эксплуатационные

документы средств защиты информации, обеспечивающих систему

разграничения доступа к защищаемым ресурсам, систему мониторинга и

контроля за средствами защиты. Третий уровень политики безопасности

опирается на эксплуатационную документацию используемых программно-

технических средств защиты, общесистемного и прикладного программного

обеспечения, а также на стратегию и тактику защиты, обеспечиваемую

техническими и программными средствами СОБИ и КИС.

Таким образом, при формировании Политики безопасности

необходимо:

 определить перечень нормативных документов, необходимых

для подготовки Концепции информационной безопасности и

Регламента обеспечения безопасности информации;

 сформировать терминологический аппарат;

 уяснить основные направления обеспечения безопасности

информации в КИС и описать основные требования к СОБИ, к

системе управления безопасностью информации, к инженерному и

техническому оборудованию помещений и др.;

 разработать проект Концепции, отражающий основные цели и

задачи обеспечения безопасности информации на стадии

проектирования и создания СОБИ, на стадии эксплуатации СОБИ, а

также вопросы контроля обеспечения безопасности информации,

страхования информационных рисков и ответственности

должностных лиц за исполнение положений Концепции;

 разработать Регламент обеспечения безопасности информации,

в котором будет дано описание общих правил разграничения доступа

166

к информации, определение обязанности персонала по обеспечению

безопасности информации, правила использования персональных

компьютеров и т.п.

11.2. Разработка Концепции безопасности информации

Формирование стратегических целей обеспечения безопасности

информации охватывает следующие направления:

11.2.1. Определение общих положений Концепции

 Определение назначения и правовой основы Концепции (назначение

Концепции, ее правовой статус, ответственность за ее выполнение,

правовая основа, установление прав собственности на информацию,

деление информации по категориям, определение объектов защиты и

субъектов отношений);

 Уточнение основных целей и задач обеспечения безопасности

информации (определение возможного ущерба, целей и задач

обеспечения безопасности информации, угроз безопасности

информации);

 Определение принципов обеспечения безопасности информации

(законности, максимальной дружественности и прозрачности,

превентивности, оптимальности и разумной разнородности,

адекватности и непрерывности, системного подхода и рациональной

этапности, адаптивности, доказательности и обязательности контроля,

самозащиты и конфиденциальности СОБИ, многоуровневости и

равнопрочности, простоты применения и апробированности защиты,

преемственности и совершенствования, персональной

ответственности и минимизации привилегий, разделения

обязанностей и т.д.);

 Описание состояния безопасности информации в КИС (оценка общей

структуры КИС, основных подходов к оценке состояния безопасности

информации, источников угроз безопасности информации,

уязвимостей объектов информатизации, методов реализации угроз,

прогнозирование возможных атак на объекты защиты).

167

11.2.2. Уяснение основных направлений обеспечения безопасности

информации и описание требований к безопасности информации

 Основные направления обеспечения безопасности информации

(определение технической политики и приоритетов целей

обеспечения безопасности информации);

 Основные методы противодействия угрозам безопасности

информации (правовые, экономические, организационные,

инженерно-технические, технические, программно-аппаратные);

 Выбор уровня защиты объектов информатизации (определение

категории защиты объекта информатизации и класса защищенности

КИС);

 Основные требования к СОБИ (общие, к физическому,

технологическому, пользовательскому, локальному и сетевому

уровням защиты);

 Основные требования к системе защиты информации (общие,

общие требования по сегментированию и сопряжению сегментов, к

физическому, технологическому, пользовательскому, локальному,

сетевому уровням защиты, а также к подсистемам управления

доступом, аудита и мониторинга, защиты пери метра, распределения

ключей и сертификатов, хранения данных и резервного копирования,

к аттестации объектов информатизации);

 Основные требования к системе управления безопасностью

информации (определение принципов управления безопасностью

информации, структуры системы управления безопасностью

информации, требований к специалистам системы управления

обеспечением безопасности и комплексному администрированию

КИС, а также общих требований по организации допуска

пользователей КИС);

 Основные требования к инженерному и техническому

оборудованию помещений (по построению защищенных помещений,

размещению технических средств, использованию вспомогательных

технических средств, оборудованию рабочего места администратора

безопасности)

168

11.2.3. Разработка специальных глав Концепции

 Обеспечение безопасности информации на стадии

проектирования и создания СОБИ;

 Обеспечение безопасности информации на стадии эксплуатации

КИС;

 Контроль обеспечения безопасности информации при

проектировании СОБИ;

 Страхование информационных рисков;

 Ответственность должностных лиц за исполнение положений

Концепции;

 Подготовка приложений и иллюстрационных материалов.

11.3. Разработка Регламента обеспечения безопасности информации

Разработка Регламента включает в себя следующие работы:

11.3.1. Подготовка к разработке Регламента

 Изучение Концепции обеспечения безопасности информации и

других руководящих документов;

 Сбор дополнительной исходной информации;

11.3.2. Определение общих положений Регламента

 Соответствие принятой политики безопасности действующему

законодательству;

 Информационные ресурсы и необходимый уровень их защиты;

 Описание общих правил разграничения доступа к информации;

 Порядок разработки и сопровождения информационных систем;

 Организация обучения и переподготовки персонала.

11.3.3. Определение обязанностей

персонала по обеспечению безопасности информации

169

 Определение подразделений, отвечающих за обеспечение

безопасности информации (организационная структура

подразделений обеспечивающих режим безопасности информации и

задачи подразделений по обеспечению безопасности информации);

 Определение ответственности за обеспечение режима

безопасности информации (обязанностей руководства, службы

защиты информации, службы комплексного администрирования

КИС, службы безопасности, службы эксплуатации

(жизнеобеспечения) технических средств, кадровой службы,

руководителей подразделений, пользователей, а также

ответственность должностных лиц за выполнение требований

безопасности информации);

 Определение порядка взаимодействия с другими организациями

(по обмену информацией со сторонними организациями,

предоставлению информации государственным и муниципальным

организациям, следственным и надзорным органам, взаимодействию

со средствами массовой информации;

 Определение порядка использования паролей пользователей

(генерации паролей и ключевой информации, смены паролей

плановой и в случае компрометации, прекращения действия

паролей);

 Определение порядка регистрации пользователей и назначения

им прав доступа (наделения пользователей полномочиями доступа к

информационным ресурсам организации, внесения изменений в

списки пользователей, исключения из списков сотрудников,

выбывших из организации, учета временно выбывших сотрудников и

блокирования их полномочий).

11.3.4. Определение правил

использования компьютеров и информационных систем

 Для обеспечения безопасности при использовании

программного обеспечения (определение порядка введение новых

программных продуктов в эксплуатацию, использования

приложений, баз данных, систем электронного документооборота,

170