Характеристика организационных мер и средств защиты КС

Как было показано в предыдущей лекции, организационный уровень СЗИ КС включает в себя проведение организационных мероприятий, технологических операций, регламентов применения определенных методов и средств и является составной частью системы защиты всего объекта информатизации. Достижение высокого уровня защищенности КС невозможно без применения комплекса организационных мер. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования механизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей КС, должно регламентировать правила автоматизированной обработки информации (включая и правила ее защиты), устанавливать меру ответственности за нарушение этих правил и контролировать их выполнение.

о рганизационные (административные) меры - это меры, регламентирующие процессы функционирования КС, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности.

Система организационных и организационно-технических защитных включает в себя:

-разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

-мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (проводимые по необходимости);

-многократно проводимые мероприятия (периодические или стохастические).

Организационные средства - средства, с помощью которых реализуются организационные меры, и не относящиеся к программным или техническим видам. К ним можно отнести:

-нормативно-правовую базу государства;

-организационно-распорядительную документацию;

-административный ресурс и т.п.

К разовым мероприятиям относят:

-общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты АС;

-мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов КС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);

-мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);

-проведение спецпроверок всех применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок;

-внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов КС и действиям в случае возникновения кризисных ситуаций;

-оформление юридических документов (в форме договоров, приказов и распоряжений руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи;

-определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

-мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используемых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адекватных требований по основным направлениям защиты);

-организацию пропускного режима;

-определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

-организацию учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

-определение порядка проектирования, разработки, отладки, модификации, приобретения, спец. исследования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует, и что при этом они должны делать);

-создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подразделений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программно-информационных ресурсов автоматизированной системы обработки информации;

-разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности;

-определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса КС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов ТС, ошибок в программах и действиях персонала, стихийных бедствий.

К многократно проводимым мероприятиям относят:

-мониторинг работоспособности ТС и СЗИ;

-распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

-анализ системных журналов и лог-файлов;

-мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

-периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

-мероприятия по пересмотру состава и построения системы защиты;

-анализ состояния и оценка эффективности мер и применяемых средств защиты;

-наблюдение за работой персонала и пользователей КС;

-обучение персонала и пользователей.

К мероприятиям, проводимым по необходимости, относят:

-принятие мер по обнаруженным нарушениям правил работы;

-мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

-мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);

-мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).

В качестве примера проведения комплекса организационных мероприятий можно рассмотреть выделение режимных зон (помещений) на объекте информатизации. К основным мероприятиям по защите информации в выделенных помещениях относятся:

1. Категорирование выделенных помещений в зависимости от важности, секретности и условий обработки информации в соответствии с нормативными документами Гостехкомиссии России.

-Назначение сотрудников, ответственных за выполнение требований по защите информации в выделенных помещениях.

-Обеспечение эффективного контроля за доступом в выделенные помещения, а также в смежные помещения.

-Инструктирование сотрудников, работающих в выделенных помещениях, о правилах эксплуатации технических средств обработки информации и связи с соблюдением требований по защите информации.

-Исключение неконтролируемого доступа к линиям связи, управления сигнализации в ВП, а также в смежные помещения и в коридор.

-Исключение применения в выделенных помещениях технических средств и аппаратуры, не прошедших специсследований, спецпроверки и не разрешенных для использования в данном помещении.

-Осуществление сотрудниками, ответственными за безопасность информации, контроля за проведением всех монтажных и ремонтных работ в выделенных и смежных с ними помещениях, а также в коридорах.

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в КС может быть (а при больших объемах защищаемой информации - должна быть) создана специальная штатная служба обеспечения компьютерной безопасности. Основные функции службы:

-формирование требований к системе защиты в процессе создания АС;

-участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

-планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

-распределение между пользователями необходимых реквизитов защиты;

-наблюдение за функционированием системы защиты и ее элементов;

-организация проверок надежности функционирования системы защиты;

-обучение пользователей и персонала АС правилам безопасной обработки информации;

-контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

-принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.