Порядок застосування комплексів засобів захисту в АС, їх організаційне забезпечення.

Основні організаційні та організаційно-технічні заходи щодо створення і підтримання функціонування комплексної системи захисту

Вони включають:

· разові (одноразово проводяться і повторювані тільки при повному перегляді прийнятих рішень) заходи;

· заходи, що проводяться при здійсненні або виникнення певних змін у самій захищається АС або в зовнішньому середовищі (за необхідності);

· періодично проводяться (через певний час) заходи;

· постійно (безперервно або дискретно у випадкові моменти часу) проводяться заходи.

Разові заходи

До разових заходів відносять:

· загальносистемні заходи по створенню науково-технічних і методологічних основ (концепції та інших керівних документів) захисту АС;

· заходи, що здійснюються при проектуванні, будівництві та обладнанні обчислювальних центрів та інших об'єктів АС (виключення можливості таємного проникнення в приміщення, виключення можливості встановлення прослуховуючої апаратури і т.п.);

· заходи, що здійснюються при проектуванні, розробці та введенні в експлуатацію технічних засобів і програмного забезпечення (перевірка і сертифікація використовуваних технічних і програмних засобів, документування і т.п.);

· проведення спецперевірок всіх застосовуються в АС засобів обчислювальної техніки і проведення заходів щодо захисту інформації від витоку каналами побічних електромагнітних випромінювань і наведень;

· розробка та затвердження функціональних обов'язків посадових осіб служби комп'ютерної безпеки;

· внесення необхідних змін і доповнень у всі організаційно-розпорядчі документи (положення про підрозділи, функціональні обов'язки посадових осіб, інструкції користувачів системи і т.п.) з питань забезпечення безпеки програмно-інформаційних ресурсів АС і діям у разі виникнення кризових ситуацій;

· оформлення юридичних документів (у формі договорів, наказів і розпоряджень керівництва організації) з питань регламентації відносин з користувачами (клієнтами), які працюють в автоматизованій системі, між учасниками інформаційного обміну і третьою стороною (арбітражем, третейським судом) про правила вирішення спорів, пов'язаних із застосуванням електронного підпису;

· визначення порядку призначення, зміни, затвердження та надання конкретним посадовим особам необхідних повноважень по доступу до ресурсів системи;

· заходи щодо створення системи захисту АС і створенню інфраструктури;

· заходи щодо розробки правил керування доступом до ресурсів системи (визначення переліку завдань, що вирішуються структурними підрозділами організації з використанням АС, а також використовуються при їх вирішенні режимів обробки і доступу до даних; визначення переліку файлів та баз даних, які містять відомості, що становлять комерційну і службову таємницю, а також вимоги до рівнів їх захищеності від НСД при передачі, зберігання і обробки в АС; виявлення найбільш імовірних загроз для даної АС, виявлення вразливих місць процесу обробки інформації і каналів доступу до неї; оцінку можливого збитку, викликаного порушенням безпеки інформації, розробку адекватних вимог за основними напрямками захисту);

· організацію надійного пропускного режиму;

· визначення порядку обліку, видачі, використання і зберігання знімних магнітних носіїв інформації, що містять еталонні та резервні копії програм і масивів інформації, архівні дані і т.п.;

· організацію обліку, зберігання, використання та знищення документів та носіїв з закритою інформацією;

· визначення порядку проектування, розробки, налагодження, модифікації, придбання, специсследования, прийому в експлуатацію, зберігання і контролю цілісності програмних продуктів, а також порядок поновлення версій використовуваних і встановлення нових системних і прикладних програм на робочих місцях захищеної системи (хто володіє правом вирішення таких дій, хто здійснює, хто контролює і що при цьому вони повинні робити);

визначення порядку проектування, розробки, налагодження, модифікації, придбання, специсследования, прийому в експлуатацію, зберігання і контролю цілісності програмних продуктів, а також порядок поновлення версій використовуваних і встановлення нових системних і прикладних програм на робочих місцях захищеної системи (хто володіє правом вирішення таких дій, хто здійснює, хто контролює і що при цьому вони повинні робити);

· створення відділів (служб) комп'ютерної безпеки або, в разі невеликих організацій і підрозділів, призначення позаштатних відповідальних, які здійснюють єдине керівництво, організацію та контроль за додержанням всіма категоріями посадових осіб вимог щодо забезпечення безпеки програмно-інформаційних ресурсів автоматизованої системи обробки інформації;

· визначення переліку необхідних регулярно проведених превентивних заходів і оперативних дій персоналу щодо забезпечення безперервної роботи і відновлення обчислювального процесу АС в критичних ситуаціях, що виникають як наслідок НСД, збоїв і відмов СВТ, помилок у програмах і діях персоналу, стихійних лих.

Періодично проводяться заходи

До періодично проведених заходів відносять:

· розподіл реквізитів розмежування доступу (паролів, ключів шифрування і т.п.);

· аналіз системних журналів, вжиття заходів щодо виявлених порушень правил роботи;

· заходи щодо перегляду правил розмежування доступу користувачів до інформації в організації;

· періодично з залученням сторонніх фахівців здійснення аналізу стану і оцінки ефективності заходів і застосовуваних засобів захисту. На основі отриманої в результаті такого аналізу інформації приймати необхідні заходи по вдосконаленню системи захисту;

· заходи щодо перегляду складу і побудови системи захисту.

Заходи, що проводяться по необхідності

До заходів, що проводяться за необхідності, відносять:

· заходи, здійснювані при кадрових змінах у складі персоналу системи;

· заходи, що здійснюються при ремонті і модифікаціях обладнання та програмного забезпечення (суворе санкціонування, розгляд і затвердження всіх змін, перевірка їх на задоволення вимог захисту, документальне відображення змін і т.п.);

· заходи по підбору і розстановці кадрів (перевірка прийнятих на роботу, навчання правилам роботи з інформацією, ознайомлення з мірами відповідальності за порушення правил захисту, навчання, створення умов, при яких персоналу було б невигідно порушувати свої обов'язки і т.д.).

Постійно проводяться заходи

Постійно проводяться заходи включають:

· заходи по забезпеченню достатнього рівня фізичного захисту всіх компонентів АС (протипожежна охорона, охорона приміщень, пропускний режим, забезпечення збереження та фізичної цілісності СВТ, носіїв інформації і т.п.).

· заходи щодо безперервної підтримки функціонування і управління використовуваними засобами захисту;

· явний і прихований контроль за роботою персоналу системи;

· контроль за реалізацією обраних заходів захисту в процесі проектування, розробки, введення в дію і функціонування АС;

· постійно (силами відділу (служби безпеки) і періодично (з залученням сторонніх фахівців) здійснюваний аналіз стану і оцінка ефективності заходів і застосовуваних засобів захисту.

Перелік основних нормативних та організаційно-розпорядчих документів, необхідних для організації комплексної системи захисту інформації від НСД

Для організації та забезпечення ефективного функціонування комплексної системи комп'ютерної безпеки повинні бути розроблені наступні групи організаційно-розпорядчих документів:

· документи, що визначають порядок і правила забезпечення безпеки інформації під час її обробки в АС (план захисту інформації в АС, план забезпечення безперервної роботи і відновлення інформації);

· документи, що визначають відповідальність взаємодіючих організацій (суб'єктів) при обміні електронними документами (договір про організацію обміну електронними документами).

План захисту інформації в АС повинен містити такі відомості:

· опис захищається системи (основні характеристики об'єкта, що захищається): призначення АС, перелік вирішуваних АС завдань, конфігурація, характеристики і розміщення технічних засобів і програмного забезпечення, перелік категорій інформації (пакетів, файлів, наборів та баз даних, в яких вони містяться), підлягають захисту в АС та вимог щодо забезпечення доступності, конфіденційності, цілісності цих категорій інформації, перелік користувачів та їх повноваження по доступу до ресурсів системи і т.п.;

· мета захисту системи та шляхи забезпечення безпеки АС і циркулюючої в ній інформації;

· перелік значущих загроз безпеки АС, від яких вимагається захист і найбільш вірогідних шляхів нанесення збитку;

· основні вимоги до організації процесу функціонування АС і заходів забезпечення безпеки оброблюваної інформації;

· вимоги до умов застосування і визначення зон відповідальності встановлених в системі технічних засобів захисту від НСД;

· основні правила, що регламентують діяльність персоналу з питань забезпечення безпеки АС (особливі обов'язки посадових осіб АС).

План забезпечення безперервної роботи і відновлення інформації повинен відображати такі питання:

· мета забезпечення безперервності процесу функціонування АС, своєчасність відновлення її працездатності і чим вона досягається;

· перелік і класифікація можливих кризових ситуацій;

· вимоги, заходи і засоби забезпечення безперервної роботи і відновлення процесу обробки інформації (порядок створення, зберігання і використання резервних копій інформації та дублюючих ресурсів і т.п.);

· обов'язки та порядок дій різних категорій персоналу системи в кризових ситуаціях з ліквідації їх наслідків, мінімізації завдається шкоди та відновлення нормального процесу функціонування системи.

Договір про порядок організації обміну електронними документами має включати документи, в яких відображаються такі питання:

· розмежування відповідальності суб'єктів, які беруть участь у процесах обміну електронними документами;

· визначення порядку підготовки, оформлення, передачі, прийому, перевірки автентичності і цілісності електронних документів;

· визначення порядку генерації, сертифікації та розповсюдження ключової інформації (ключів, паролів тощо);

· визначення порядку вирішення спорів у випадку виникнення конфліктів.