безопасности информации — это состояние, при котором обеспечены её конфиденциальность, доступность и целостность.
Сегодня современные методы и решения дают возможность обеспечить высокий уровень информационной безопасности, однако и затраты на эти мероприятия могут оказаться весьма значительными — в крупных организациях затраты на защиту информационных систем иногда достигают 20- 30% ИТ-бюджета.
Ко всему прочему, сегодня значительно усилился законодательный уровень защиты информации, в большинстве случаев обязывающий предприятия заниматься данной проблемой. Принятые законы предусматривают не только обязанность владельцев предприятий и бюджетных организаций применять меры защиты информации, но и ответственность за их не исполнение как в виде штрафов, так и административной ответственности.
Нормативно-методические документы по защите информации
— Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации.
— Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации.
Документирование по информационной безопасности
Все компьютеры, подключаемые посредством удаленного доступа к информационной сети, должны иметь программное обеспечение антивирусной защиты, имеющее последние обновления.
Все работы в пределах офисов выполняются в соответствии с должностными обязанностями и только на компьютерах, разрешенных к использованию. Внос в здания и помещения личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т.п.), а также вынос их за пределы производится только при согласовании с руководителем предприятия.
Все данные (конфиденциальные или строго конфиденциальные), составляющие коммерческую тайну и хранящиеся на жестких дисках портативных компьютеров, должны быть зашифрованы. Все портативные компьютеры должны быть оснащены программным обеспечением по шифрованию жесткого диска.
Руководители подразделений должны периодически пересматривать права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.
В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.
Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.
Доступ третьих лиц к системам.
Каждый сотрудник обязан немедленно уведомить руководителя Организации информационных технологий и руководителя Организации защиты информации обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.
Доступ третьих лиц к информационным системам должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам должен быть четко определен, контролируем и защищен.
Удаленный доступ.
Пользователи получают право удаленного доступа к информационным ресурсам с разрешения руководства.
Сотрудникам, использующим в работе портативные компьютеры, может быть предоставлен удаленный доступ к сетевым ресурсам в соответствии с правами в корпоративной информационной системе.
Сотрудники и третьи лица, имеющие право удаленного доступа к информационным ресурсам, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети и к каким-либо другим сетям, не принадлежащим организации.
становления ее работоспособности и чем она достигается;
· перечень и классификация возможных кризисных ситуаций;
· требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);
· обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы.
Договор о порядке организации обмена электронными документами должен включать документы, в которых отражаются следующие вопросы:
· разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
· определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
· определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
· определение порядка разрешения споров в случае возникновения конфликтов.
План обеспечения непрерывной работы и восстановления информации должен отражать следующие вопросы:
· цель обеспечения непрерывности процесса функционирования АС, своевременность вос
План защиты информации в АС должен содержать следующие сведения:
· описание защищаемой системы (основные характеристики защищаемого объекта): назначение АС, перечень решаемых АС задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в АС и требований по обеспечению доступности, конфиденциальности, целостности этих категорий информации, список пользователей и их полномочий по доступу к ресурсам системы и т.п.;
· цель защиты системы и пути обеспечения безопасности АС и циркулирующей в ней информации;
· перечень значимых угроз безопасности АС, от которых требуется защита и наиболее вероятных путей нанесения ущерба;
· основные требования к организации процесса функционирования АС и мерам обеспечения безопасности обрабатываемой информации;
· требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;
· основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности АС (особые обязанности должностных лиц АС).
Необходимыми мерами для организации защиты информации является также разработка следующих групп организационно-распорядительных документов:
· документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в АС (план защиты информации в АС, план обеспечения непрерывной работы и восстановления информации);
· документы, определяющие ответственность взаимодействующих организаций (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).