Организационно-технические мероприятия по защите информации

• разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности;

• внесение необходимых изменений и дополнений во все организационно-распорядительные документы по вопросам обеспечения безопасности программно-информационных ресурсов ИС и действиям в случае возникновения кризисных ситуаций;

• оформление юридических документов по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитраж, третейский суд) о правилах разрешения споров, связанных с применением электронной подписи;

• создание научно-технических и методологических основ защиты ИС;

• исключение возможности тайного проникновения в помещения, установки прослушивающей аппаратуры и т.п.;

• проверка и сертификация используемых в ИС технических и программных средств на предмет определения мер по их защите от утечки по каналам побочных электромагнитных излучений и наводок;

• определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;

• разработка правил управления доступом к ресурсам системы, определение перечня задач, решаемых структурными подразделениями организации с использованием ИС, а также используемых при их решении режимов обработки и доступа к данным;

• определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в ИС;

• выявление наиболее вероятных угроз для данной ИС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней;

• оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты;

• организация надежного пропускного режима;

• определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;

• организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией;

• организация и контроль за соблюдением всеми должностными лицами требований по обеспечению безопасности обработки информации;

• определение перечня необходимых мер по обеспечению непрерывной работы ИС в критических ситуациях, возникающих в результате НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий и т.п.

• контроль функционирования и управление используемыми средствами защиты;

• явный и скрытый контроль за работой персонала системы;

• контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования ИС;

• периодический анализ состояния и оценка эффективности мер защиты информации;

• распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);

• анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы;

• составление правил разграничения доступа пользователей к информации;

• периодическое с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

• рассмотрение и утверждение всех изменений в оборудовании ИС, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.;

• проверка принимаемых на работу, обучение их правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности.