СОДЕРЖАНИЕ (кликабельно)
1. Вступление .................................................................................................................................. 5
2. Общие положения....................................................................................................................... 5
2.1. Политика информационной безопасности высшего (концептуального) уровня ................. 7
2.2. Политика ________________ – клиент ..................................................................................... 7
2.3. Политика ________________ – вышестоящая организация .................................................. 7
2.4. Политика ________________ – другие организации (контрагенты)..................................... 8
2.5. Политика ________________ – подразделение ________________....................................... 8
2.6. Политика ________________ – сотрудник ________________ ............................................. 8
3. Цели и задачи .............................................................................................................................. 8
4. Принципы организации и функционирования системы информационной безопасности .. 9
5. Правовое обеспечение информационной безопасности ....................................................... 10
6. Объекты защиты ....................................................................................................................... 11
7. Основные виды угроз объектам информационной безопасности........................................ 11
7.1. Непреднамеренные угрозы информационной безопасности ............................................... 12
7.2. Умышленные действия сторонних лиц (аутсайдеры), зарегистрированных пользователей и
обслуживающего персонала ........................................................................................................... 12
8. Порядок проведения работ по обеспечению информационной безопасности ................... 12
9. Защита информации в автоматизированных системах и сетях............................................ 15
9.1. Порядок организации и проведения работ по обеспечению информационной безопасности
15
9.2. Основные компоненты комплексной защиты информации ................................................. 15
9.3. Цели обеспечения информационной безопасности в автоматизированных системах и сетях
16
9.4. Средства и меры защиты.......................................................................................................... 16
9.4.1.
Защита от несанкционированного доступа в помещения ............................................. 17
9.4.2.
Идентификация и аутентификация пользователей ........................................................ 17
9.4.3.
Защита на уровне серверов систем.................................................................................. 18
9.4.4.
Защита телекоммуникационной сети .............................................................................. 18
9.4.5.
Защита на уровне ПК ........................................................................................................ 19
9.4.6.
Криптозащита .................................................................................................................... 19
9.5. Средства и меры контроля и управления ............................................................................... 20
9.6. Организация защиты и контроля............................................................................................. 20
9.7. Организация безотказной работы ........................................................................................... 20
9.7.1.
Средства и способы организации безотказной работы и восстановления сетей и систем
21
9.7.2.
Бесперебойное электропитание........................................................................................ 21
9.7.3.
Резервное копирование программного обеспечения и данных .................................... 21
9.7.4.
Резервирование аппаратных ресурсов............................................................................. 21
9.7.5.
Организационные меры по обеспечению безотказной работы..................................... 21
9.8. План обеспечения безотказной работы и восстановления ................................................... 22
9.9. Степень доверия к средствам защиты, контроля и управления ........................................... 23
10. Защита речевой информации................................................................................................... 23
10.1.
Организация работ по защите речевой информации ..................................................... 23
10.2.
Каналы утечки речевой информации .............................................................................. 23
10.3.
Противодействие утечке речевой информации.............................................................. 24
11. Защита информации на материальных носителях................................................................. 24
11.1.
Организации работ по защите сведений, составляющих коммерческую тайну, на
материальных носителях................................................................................................................. 25
11.1.1.
Элементы защиты коммерческой тайны ..................................................................... 25
11.1.2.
Обозначение документов, содержащих коммерческую тайну.................................. 25
11.1.3.
Порядок допуска к сведениям, составляющим коммерческую тайну
________________............................................................................................................................ 25
11.2.
Организация работы с документами, содержащими коммерческую тайну ................ 26
11.3.
Порядок обеспечения сохранности материальных носителей информации ............... 27
11.4.
Порядок обеспечения сохранности документов (дел)................................................... 27
11.5.
Порядок обеспечения сохранности магнитных носителей ........................................... 27
11.6.
Контроль за выполнением требований внутреннего режима при работе со сведениями,
содержащими коммерческую тайну .............................................................................................. 28
11.7.
Обязанности лиц, допущенных к коммерческой тайне ________________................ 28
12. Управление информационной безопасностью....................................................................... 29
12.1.
Организация управления информационной безопасностью автоматизированных систем
и сетей 29
12.1.1.
_______________............................................................................................................ 29
12.1.2.
Администраторы систем и сетей.................................................................................. 30
12.1.3.
Ответственные за информационную безопасность в подразделениях..................... 30
12.1.4.
_____________________________ на местах .............................................................. 30
12.2.
Организация управления защитой речевой информации.............................................. 30
12.3.
Обеспечение физической защиты объектов ................................................................... 30
12.4.
Организация управления защитой конфиденциальных документов ........................... 31
13. Ответственность........................................................................................................................ 31
14. Заключительные положения.................................................................................................... 31
Таблица № 1. Основные непреднамеренные угрозы.................................................................... 33
Таблица № 2. Основные возможные умышленные угрозы......................................................... 35
>
1.
Вступление
Настоящая Концепция является составной частью пакета документов «Политика информационной
безопасности ООО «______________», разрабатываемой в соответствии с требованиями законодательства
Российской Федерации и представляет собой официально принятую систему взглядов на проблему
информационной безопасности и пути ее решения в виде систематизированного изложения целей, задач,
принципов и способов достижения информационной безопасности. Концепция является методологической
основой практических мер по ее реализации.
Для более эффективного отражения реалий и возможности оперативного дополнения, пакет
документов «Политика информационной безопасности ООО «______________» состоит из следующих
иерархически-зависимых документов:
Концепция обеспечения информационной безопасности ________________
, настоящий
документ, описывающий общие принципы и подходы в организации информационной безопасности
________________. Именно этот документ должен быть понятен и одобрен руководством
________________, так как он составляет основу для построения информационной безопасности
________________. Утверждается установленным порядком;
Стандарты
информационной безопасности ________________ (применения ПО, ПК и
т.д.) В документах построены общие модели, необходимые для обеспечения информационной
безопасности ________________. Дополняются по мере необходимости. Утверждается установленным
порядком;
Процедуры
информационной безопасности
________________
(пользователей,
администраторов и контролеров). В документах указывается, что должно быть сделано и делаться в
обозримом будущем сотрудниками ________________ для того, чтобы уровень информационной
безопасности соответствовал Стандартам информационной безопасности. Дополняются по мере
необходимости. Утверждается установленным порядком;
План обеспечения безотказной работы и восстановления
. Документ, описывающий
действия и распределение обязанностей при нарушении информационной безопасности ________________
в том или ином виде, создающем предпосылки к нанесению существенного ущерба ________________ и
процесс восстановления нормальной деятельности. Дополняется по мере необходимости. Утверждается
установленным порядком.
2.
Общие положения
В настоящей Концепции используются следующие базовые понятия, составляющие основу
информационной безопасности:
информационная безопасность
- это защищенность информации и поддерживающей
инфраструктуры от способных нанести ущерб ее владельцам и пользователям неблагоприятных и
несанкционированных воздействий случайного или преднамеренного характера, естественного или
искусственного происхождения. Информационная безопасность предполагает обеспечение целостности,
доступности и конфиденциальности информации.
конфиденциальность
- свойство информации, указывающее на необходимость введения
ограничений на круг лиц, имеющих доступ к данной информации, и обеспечиваемое способностью системы
сохранять указанную информацию в тайне от лиц, не имеющих полномочий на право доступа к ней;
целостность
- свойство информации, указывающее, что информация не подверглась
несанкционированной модификации или несанкционированному уничтожению;
доступность
- свойство информации, обеспечивающее беспрепятственный доступ к ней
определенного круга лиц для проведения санкционированных операций по ознакомлению,
документированию, модификации и уничтожению;
коммерческая тайна
- информация, имеющая действительную или потенциальную
коммерческую ценность в силу ее неизвестности третьим лицам, к ней нет свободного доступа на законном
основании. ________________, как обладатель такой информации, принимает меры к охране ее
конфиденциальности. Соблюдение всех перечисленных условий позволяет ________________ потребовать
возмещения убытков, понесенных от разглашения коммерческой тайны.
носители информации
, содержащие элементыкоммерческой тайной:
автоматизированные системы и телекоммуникационные сети различного назначения, в которых
информация обрабатывается, хранится и передается (объекты информационной безопасности);
материальные носители (бумажные, магнитные, оптические носители, чипы), в которых сведения,
составляющие коммерческую тайну, находят свое отображение в виде символов, образов, сигналов,
технических решений и процессов (объекты информационной безопасности);
сотрудники, допущенные к сведениям, составляющим коммерческую тайну (субъекты
информационной безопасности).
документированная информация (документ)
- зафиксированная на материальном
носителе информация с реквизитами, позволяющими ее идентифицировать;
допуск к коммерческой тайне
- процедура оформления доступа сотрудников к сведениям,
составляющим коммерческую тайну;
доступ к сведениям, составляющим коммерческую тайну
- санкционированное
полномочным должностным лицом ознакомление сотрудников со сведениями, составляющими
коммерческую тайну;
гриф конфиденциальности
- реквизит, свидетельствующий о степени конфиденциальности
сведений, содержащихся на их носителе, проставляемый на самом носителе и (или) в сопроводительной
документации к нему;
перечень сведений, составляющих коммерческую тайну
- совокупность категорий
сведений, в соответствии с которыми сведения относятся к коммерческой тайне ________________ и
охраняются на основаниях и в порядке, установленных федеральным законодательством;
утечка (компрометация) информации
- результат несанкционированного ознакомления с
нею;
разглашение коммерческой тайны
- предание огласке сведений лицом, которому эти
сведений были доверены по службе, работе или стали известны иным путем, в результате чего они стали
достоянием посторонних лиц;
утрата документов или материальных носителей, содержащих сведения,
относящиеся к коммерческой тайне
- выход (в том числе и временный) документов или материальных
носителей из владения ответственного за их сохранность лица, которому они были доверены по службе или
работе, являющийся результатом нарушения установленных правил обращения с ними, вследствие чего эти
документы или материальные носители стали, либо могли стать достоянием посторонних лиц;
идентификация
- присвоение пользователю и объекту доступа идентификатора и (или)
сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;
аутентификация
- проверка принадлежности пользователя предъявленным им
идентификаторам, подтверждение подлинности.
2.1.
Политика информационной безопасности высшего (концептуального)
уровня
В соответствии с принятыми определениями, ________________ как информационная система
принимает участие во взаимодействии со следующими субъектами и системами:
клиент
________________ как субъект, формирующий основу для создания
информационных объектов и являющийся их конечным владельцем;
вышестоящая
организация
как информационная система, получающая от
________________ и направляющая в ________________ различные информационные объекты;
другие организации
как субъекты и системы, обменивающиеся с ________________
информационными объектами;
подразделение
________________ (управление, служба, отдел, рабочая группа и т.п.) как
структура, составленная из отдельных субъектов;
отдельный работник
________________ как субъект, формирующий информационные
объекты и работающий с ними.
2.2.
Политика ________________ – клиент
________________ ставит своей задачей соблюдение интересов клиентов в вопросах их безопасности
при выполнении работ.
________________ сохраняет в конфиденциальности все данные по своим клиентам и их
деятельности, как это указано в действующих законодательных актах РФ.
________________ предоставляет сведения о своих клиентах только тем организациям, которые имею
право на получение таких данных в соответствии с действующими законодательными актами РФ.
________________ соблюдает интересы своих клиентов в вопросах безопасности, если это не вредит
интересам самого ________________.
________________ вправе требовать от клиентов предоставления достоверной и своевременной
информации, необходимой для корректного и безопасного осуществления деятельности ________________,
соответствия деятельности клиента требованиям безопасности, которыми руководствуется
________________, а также сохранения в тайне тех сведений о ________________, которые закреплены в
договорных обязательствах с клиентом.
2.3.
Политика ________________ – вышестоящая организация
________________ в своей деятельности руководствуется требованиями законов и других
нормативных актов РФ, нормативными актами вышестоящей организации, в частности Положениями и
Инструкциями по обеспечению информационной безопасности ООО «____________».
________________ разрабатывает самостоятельно стандарты, методы и процедуры ИБ в соответствии
с мировыми (государственными) стандартами.
2.4.
Политика ________________ – другие организации (контрагенты)
Вступая в любые виды экономических отношений с другими организациями, ________________
следует их требованиям безопасности, если они не понижают уровень требований к соблюдению мер
безопасности самого ________________.
________________ вправе требовать увеличения уровня безопасности со стороны контрагента, если
данный уровень не соответствует требованиям ________________.
________________ готов оказать помощь контрагентам в организации должного уровня безопасности
при защите финансово-экономических интересов.
2.5.
Политика ________________ – подразделение ________________
________________ требует от своих подразделений поддержания уровня безопасности,
соответствующего стандартам ________________.
Специалисты по различным видам безопасности ________________ оказывают консультационную
помощь и другие виды поддержки сотрудникам подразделений ________________ в вопросах безопасности.
Клиент, обращаясь в любое подразделение ________________, вправе ожидать, что его интересы
будут защищены на одинаково высоком уровне безопасности.
2.6.
Политика ________________ – сотрудник ________________
________________ требует от своих сотрудников, как рядовых работников, так и руководителей
различных уровней, соблюдения всех мер безопасности в интересах ________________, клиентов,
акционеров и экономики государства.
Сотрудники ________________ регулярно проходят и будут проходить обучение различным аспектам
правил безопасности, необходимым для поддержания общего уровня безопасности ________________ на
должном уровне.
3.
Цели и задачи
Главной целью информационной безопасности является обеспечение устойчивого функционирования
________________ и защита информационных ресурсов, принадлежащих ________________, его
акционерам, инвесторам и клиентам от случайных (ошибочных) и направленных противоправных
посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых
сведений.
Целями
Концепции являются:
формирование целостного представления об информационной безопасности и взаимосвязь ее с
другими элементами системы безопасности ________________;
определение путей реализации мероприятий, обеспечивающих необходимый уровень
информационной безопасности.
Задачами
информационной безопасности ________________ являются:
обеспечение конституционных прав граждан по сохранению личной тайны и конфиденциальности
персональных данных, имеющихся в информационных системах;
прогнозирование, своевременное выявление и устранение угроз объектам информационной
безопасности на основе правовых, организационных и инженерно-технических мер и средств обеспечения
защиты;
минимизация ущерба и быстрейшее восстановление программных и аппаратных средств,
информации, пострадавших в результате кризисных ситуаций, расследование причин возникновения таких
ситуаций и принятие соответствующих мер по их предотвращению.
4.
Принципы организации и функционирования системы информационной
безопасности
Организация и функционирование системы информационной безопасности должны соответствовать
следующим принципам:
Обоснованность
. Используемые возможности и средства защиты информационных
ресурсов должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки
зрения заданного уровня безопасности.
Комплексность
. Предполагает обеспечение защиты информационных ресурсов от
возможных угроз всеми доступными законными средствами, методами и мероприятиями; обеспечение
согласованности организационных мер и мероприятий, инженерно-технических и программно-аппаратных
средств;
Непрерывность
. Означает постоянное поддержание всей системы защиты в актуальном
состоянии и совершенствование ее в соответствии с изменяющимися условиями функционирования
________________. Обеспечение безопасности информационных ресурсов в течение всего их жизненного
цикла, на всех технологических этапах их обработки и использования, во всех режимах функционирования;
Законность
. Предполагает разработку системы информационной безопасности
________________ на основе федерального законодательства в области информатизации и защиты
информации и других нормативных актов по безопасности, утвержденных органами государственного
управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и
пресечения правонарушений.
Специализация
. Эксплуатация технических средств и реализация системы мер по
обеспечению информационной безопасности должны осуществляться профессионально подготовленными
специалистами.
Взаимодействие и координация
. Означает осуществление мер обеспечения
информационной безопасности на основе четкой взаимосвязи соответствующих подразделений и служб,
координации их усилий для достижения поставленных целей.
Совершенствование
. Предусматривает развитие мер и средств обеспечения
информационной безопасности на основе собственного опыта, появления новых технических средств.
Централизация управления
. Означает управление информационной безопасностью по
единым организационным, функциональным и методологическим принципам.
5.
Правовое обеспечение информационной безопасности
Правовая форма защиты информации - защита информации, базирующаяся на применении
Гражданского и Уголовного кодексов, федеральных законов и других нормативно-правовых актов,
регулирующих деятельность в области информатики, информационных отношений и защиты информации.
Настоящая Концепция базируется на следующих нормативно-правовых актах:
«Гражданский кодекс Российской Федерации» от 21.11.94 г., ч.1, ст. 139;
«Гражданский кодекс Российской Федерации» от 22.12.95 г., ч.2, ст. 857;
«Уголовный Кодекс Российской Федерации» от 24.05.96г., ст. 183, 272, 273, 274;
«Трудовой кодекс Российской Федерации» от 30.12.01, ст. 85,86,87,88,89,90
«Кодекс Российской Федерации об административных правонарушениях» от 30.12.01, ст. 13.12,
13.13, 13.14;
Федеральный Закон Российской Федерации «Об информации, информатизации и защите
информации» от 25.01.95г. № 24-ФЗ;
Федеральный закон «О лицензировании отдельных видов деятельности» от 08.08.2001 №128-ФЗ (в
ред. от 21.03.2002 № 31-ФЗ);
Федеральный Закон Российской Федерации «О бухгалтерском учете» от 21.11.96г. №129-ФЗ;
Указ Президента РФ от 06.03.97г. № 188 «Об утверждении перечня сведений конфиденциального
характера»;
Постановление Правительства РФ от 30.04.02. № 290 «О лицензировании деятельности по
технической защите конфиденциальной информации»;
Приказ ФАПСИ от 13.06.01г. № 152 «Об утверждении Инструкции об организации и обеспечении
безопасности хранения, обработки и передачи по каналам связи с использованием средств
криптографической защиты информации с ограниченным доступом, не содержащей сведений,
составляющих государственную тайну»;
Положение о коммерческой тайне ООО «________________» от __.__.___ г.;
Положение о Подразделении безопасности ООО «________________».
Гражданский кодекс РФ и Закон «Об информации, информатизации и защите информации»
позволяют рассматривать информацию как специфический объект права. Закон выделяет три категории
информации:
информация, составляющая государственную тайну;
персональные данные;
информация, составляющая коммерческую тайну.
Предметом рассмотрения данной Концепции является информация второй и третьей категории.
________________ в процессе осуществления своей деятельности выступает не только собственником, но и
пользователем информации, доверенной ему клиентами, контрагентами или сотрудниками.
________________ вправе распоряжаться такой информацией, а, следовательно, и выбирать степень её
защиты. Решение задач правового обеспечения информационной безопасности ________________
достигается формированием системы внутренних инструкций, положений, планов, правил.
6.
Объекты защиты
К объектам информационной безопасности, подлежащим защите, относятся:
информационные ресурсы с ограниченным доступом, составляющие коммерческую тайну, а также
иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные
массивы и базы данных, программное обеспечение, а также акустическая (речевая) информация;
сведения, ставшие известными сотрудникам ________________ в процессе исполнения ими своих
должностных обязанностей;
средства и системы информатизации (автоматизированные системы и вычислительные сети
различного уровня и назначения, линии телефонной, факсимильной, радиосвязи, технические средства
передачи информации, средства размножения и отображения информации, вспомогательные технические
средства и системы);
служебные помещения, в которых хранится и обрабатывается информация ограниченного доступа;
технические средства и системы защиты информационных ресурсов.
7.
Основные виды угроз объектам информационной безопасности
Определение и прогнозирование возможных угроз и степени их опасности необходимы для
обоснования, выбора и реализации защитных мероприятий. Комплексный подход к проблеме
защиты информации необходимо проводить с учётом двух факторов: предполагаемой вероятности
возникновения угрозы и возможного ущерба от её осуществления.
Объективность оценки достигается при проведении детального аудита функционирования
________________. Аудит проводится собственными силами или с привлечением сторонних
организаций.
Угрозы можно разделить на внешние и внутренние, при этом последние могут представлять особую
опасность. Угрозы объектам информационной безопасности проявляются в виде:
разглашения конфиденциальной информации;
утечки конфиденциальной информации через технические средства различного назначения;
несанкционированного доступа к охраняемым информационным ресурсам;
несанкционированного уничтожения и модификации информационных ресурсов;
нарушения работы автоматизированных систем и сетей.
Источниками угроз могут быть:
некомпетентность или халатность пользователей или персонала;
злой умысел, независимо от того, внешним или внутренним относительно систем является источник
угрозы (только для систем, обрабатывающих конфиденциальную информацию);
умышленное проникновение сторонних лиц в помещения, к аппаратуре и оборудованию;
случайные события и стихийные бедствия.
Ситуация, возникающая в результате воздействия какой-либо угрозы, называется кризисной.
Кризисные ситуации могут быть преднамеренными и непреднамеренными и иметь различную степень
тяжести в зависимости от вызвавших их факторов риска, степени их воздействия, уязвимого места,
категории информации.Кризисные ситуации могут иметь следующие степени тяжести:
Угрожающая
- воздействие на объект информационной безопасности, которое может
привести к полному выходу его из строя, а также уничтожение, модификацию или компрометацию (утечку)
наиболее важной для ________________ информации. Для устранения угрожающей ситуации требуется,
как правило, полная или частичная замена оборудования, программ и данных.
Серьезная
- воздействие на объект информационной безопасности, которое может привести
к выходу из строя отдельных компонентов, потере производительности, а также осуществлению
несанкционированного доступа (НСД) к программам и данным. В этом случае система сохраняет
работоспособность. Для устранения серьезной ситуации требуется, как правило, частичная замена
(восстановление) оборудования, программ и данных, корректировка параметров системы, проведение
организационно-технических мероприятий.
Обычная
- попытка воздействия на объект информационной безопасности, не наносящая
ощутимого ущерба, но требующая реакции и расследования. Для устранения обычной ситуации, как
правило, требуется корректировка параметров защиты.
7.1.
Непреднамеренные угрозы информационной безопасности
Пользователи, операторы, системные администраторы и сотрудники ________________,
обслуживающие систему, являются внутренними источниками (
инсайдеры) случайных
воздействий, т.к. имеют непосредственный доступ к процессам обработки информации и могут
совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и
процедур.
Основные непреднамеренные угрозы (действия, совершаемые людьми случайно, по
незнанию, невнимательности или халатности, из любопытства, но без злого умысла) и меры по
нейтрализации соответствующих угроз и снижению возможного наносимого ими ущерба приведены в
Таблице № 1.
7.2.
Умышленные действия сторонних лиц (аутсайдеры),
зарегистрированных пользователей и обслуживающего персонала
Основные возможные пути умышленной дезорганизации работы, вывода АС из строя,
проникновения в систему и несанкционированного доступа к информации (с корыстными целями, по
принуждению, из желания отомстить и т.п.) и меры по нейтрализации соответствующих угроз и снижению
возможного наносимого ими ущерба приведены в Таблице № 2.
8.
Порядок проведения работ по обеспечению информационной
безопасности
Работа по обеспечению информационной безопасности в ________________ включает следующие
этапы:
определение информации, содержащей коммерческую тайну, и сроков ее действия;
категорирование помещений по степени важности обрабатываемой в них информации;
определение категории информации, обрабатываемой каждой отдельной системой;
описание системы, определение факторов риска, определение уязвимых мест систем;
выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;
выбор средств и мер контроля и управления для своевременной локализации и минимизации
воздействия факторов риска
Отнесение информации к коммерческой тайне
- установление ограничений на распространение
информации, требующей защиты. Среди сведений, относимых к категории «коммерческая тайна»,
применительно к ________________ можно выделить: деловую информацию о деятельности
______________, финансовую документацию, различные сведения о клиентах, партнерах, сметы, отчёты,
перспективные планы развития, аналитические материалы и исследования и т.п.
Отнесение информации к коммерческой тайне осуществляется в соответствии с принципами
законности, обоснованности и своевременности.
Обоснованность отнесения информации к коммерческой тайне заключается в установлении путем
экспертной оценки целесообразности защиты конкретных сведений исходя из жизненно важных интересов
________________, вероятных финансовых и иных последствий нарушения режима соблюдения
коммерческой тайны. Своевременность отнесения сведений к коммерческой тайне заключается в
установлении ограничений на распространение этих сведений с момента их получения (разработки) или
заблаговременно.
Степень конфиденциальности информации
, составляющей коммерческую тайну, должна
соответствовать степени тяжести ущерба, который может быть нанесен безопасности ________________
вследствие её распространения. В соответствии с этим среди информации, относимой к коммерческой
тайне, выделяются две группы:
информация общего характера;
информация, доступ к которой должен носить исключительный характер. Такой информации
отдельно присваивается гриф «Конфиденциально».
Категорирование помещений
производится по степени важности обрабатываемой в них
информации. В зависимости от категории обрабатываемой информации принимаются соответствующие
меры по защите помещений.
Для каждой информационно-вычислительной системы ________________, а в отдельных случаях для
персональных компьютеров (ПК), определяется
категория обрабатываемой в ней информации с учетом
«Перечня информации, составляющей коммерческую тайну __________».
В зависимости от категории обрабатываемой информации принимаются соответствующие меры по ее
защите в системе.
Основная задача этапа
описания систем - описание защищаемого периметра, т.е. определение
средств и непосредственных данных, подлежащих защите. В описание системы включаются:
цели и задачи системы;
пользователи и обслуживающий персонал;
способы взаимодействия с другими системами как внутри ________________, так и с внешними
объектами и субъектами;
физическую топологию сети в зданиях ________________;
логическую топологию сети ________________, ее основные характеристики;
перечень используемого оборудования, включая коммуникационное, периферийное, серверное и
ПК оборудование, их основные характеристики;
перечень используемого программного обеспечения (системное, прикладное, коммуникационное и
т.п.) и их характеристики.
Описание системы должно проводиться с учетом организационной структуры подразделений,
которые будут ее эксплуатировать.
Факторы риска
— возможные ситуации, возникновение которых может расцениваться как угроза, и
способные нанести ущерб материального или нематериального характера. Фактор риска оказывает
воздействие на определенные участки объектов информационной безопасности и может учитываться или не
учитываться в зависимости от степени воздействия на жизнедеятельность ________________.
Основными факторами риска для ________________ являются:
a)
стихийные бедствия или чрезвычайные ситуации, приводящие к полному или частичному
выходу из строя технических средств систем;
b)
несанкционированный доступ к серверам, элементам аппаратуры и оборудованию в
серверных помещениях;
c)
неисправности и нарушения в функционировании программных и технических средств,
отказ в санкционировании доступа к оборудованию, программам и данным, вызванные случайными сбоями
или отказами;
d)
несанкционированные проникновения в информационно-вычислительную систему, в том
числе по внешним каналам связи;
e)
мошенничество или умысел, а также некомпетентность или халатность, которые привели к
нарушению целостности или доступности информации;
f)нарушение конфиденциальности отдельных данных;
g)
несанкционированный доступ к системным и прикладным данным и программам, а также
ресурсам систем;
h)
повторное использование внешних и внутренних носителей информации для съема
информации;
i)нарушение конфиденциальности массивов данных.
Для подсистем, в которых циркулирует открытая информация, следует учитывать риски по п.п. а - е.
При работе с конфиденциальной информацией во внимание принимаются события, перечисленные в п.п. а-
i. Перечень факторов риска может уточняться по мере выявления ранее неизвестных угроз.
Уязвимые места
- элементы технических средств, программ и данных, а также жизнь и здоровье
субъектов информационной безопасности, которые могут быть подвергнуты воздействию факторов риска.
Уязвимые места – это элементы, которые необходимо защищать и контролировать.
Уязвимые места объектов информационной безопасности и примерная подверженность их факторам
риска (требование защиты):
все технические средства - от стихийных бедствий, диверсий, несанкционированного доступа
(НСД), сбоев и отказов;
все автоматизированные рабочие места (АРМ) и терминалы - от НСД;
все системное программное обеспечение и системные ресурсы, обеспечивающие
функционирование автоматизированных систем и сетей ________________ - от НСД, приводящего к
нарушению целостности и доступности;
опорная сеть ________________ и передаваемые по ней данные - от нарушения целостности и
доступности и НСД;
конфиденциальная и строго конфиденциальная информация - от нарушения конфиденциальности;
ресурсы и приложения систем, внутренние и внешние носители информации в системах,
обрабатывающих конфиденциальную информацию - от повторного использования («сборки мусора»);
помещения, слаботочное оборудование, вычислительная техника подсистем, на которых
обрабатывается конфиденциальная информация - от перехвата информации по каналам электромагнитного
излучения и закладных устройств.
Перечень уязвимых мест системы ________________ может уточняться по мере выявления ранее
неизвестных угроз.
Для каждого конкретного объекта информационной безопасности осуществляется
выбор
конкретных средств и методов защиты, контроля и управления
с учетом уязвимых мест и факторов
риска.
Результаты перечисленных этапов отражаются в «___________» и «____________». Эти документы
утверждаются Генеральным директором ________________, что придает им статус нормативных, и
обязательных для исполнения всеми пользователями системы и обслуживающим персоналом систем,
независимо от статуса.
9.
Защита информации в автоматизированных системах и сетях
Основным объектом защиты является информация, циркулирующая в программно-аппаратных
средствах, информационно-вычислительных системах и сетях, используемых в ________________ (торговая
автоматизированная система, автоматизированная система бухгалтерского учета, корпоративная
информационно-аналитическая система, корпоративная система документооборота, система
автоматизированная система банковских расчетов, телефонная сеть и т.п.).
9.1.
Порядок организации и проведения работ по обеспечению
информационной безопасности
Непосредственное руководство работами по обеспечению информационной безопасности
________________ осуществляется ________________ (далее - ____________) ____________ (далее -
____________), сформированного из специалистов, имеющих специальное образование или прошедших
переподготовку по вопросам информационной безопасности. Работы по защите проводятся с привлечением
уполномоченных лиц подразделений ____________, филиалов и дополнительных офисов на основе анализа
материалов по системам обработки информации, в первую очередь от ___________, и выработки на их
основе рекомендаций, направленных на улучшение характеристик применяемых средств защиты или
внедрения новых.
9.2.
Основные компоненты комплексной защиты информации
Основным компонентом защиты информации является «___________», определяющий средства и
способы обеспечения защиты при обработке информации в автоматизированных системах и сетях
различного назначения, используемых в ________________.
В ___________ включаются следующие этапы работ:
оценка существующего программно-аппаратного обеспечения;
приобретение дополнительных программно-технических средств;
монтаж и наладка систем безопасности;
тестирование системы безопасности, проверка эффективности средств защиты;
обучение пользователей и персонала, обслуживающего систему.
Законом «Об информации, информатизации и защите информации» вводится обязательное
применение сертифицированных отечественных программно-аппаратных средств защиты информации.
Поставщики средств должны иметь необходимые лицензии на распространение продукции и/или её
обслуживание, а также иные лицензии в соответствии с законодательством РФ.
Наличие сертифицированных средств даст ________________ преимущества при проведении
страхования информации.
9.3.
Цели обеспечения информационной безопасности в автоматизированных
системах и сетях
Основной целью является защита информационно-вычислительных систем ________________ и
отдельных ее компонентов от воздействия факторов риска, а также минимизация воздействий от них.
Информационная безопасность достигается путем:
предотвращения кризисных ситуаций, способных нанести ущерб программным и аппаратным
средствам, информации, а также персоналу;
минимизации ущерба и быстрейшего восстановления программных и аппаратных средств,
информации, пострадавших в результате кризисных ситуаций, расследование причин и принятие
соответствующих мер.
Информационная безопасность реализуется с помощью средств защиты и управления защитой,
контроля и регистрации, обеспечения безотказной работы и восстановления систем и сетей.
Предотвращение кризисных ситуаций осуществляется средствами защиты, предохраняющими уязвимые
места систем от воздействия факторов риска. В случае возникновения кризисных ситуаций,
предотвращение которых средствами защиты невозможно, работа систем осуществляется по Плану
обеспечения безотказной работы и восстановления ________________. Ликвидация последствий кризисных
ситуаций, расследование причин ее возникновения и принятие мер осуществляется по ___________
________________.
Каждая система, в том числе отдельные серверы, а если требуется - отдельные ПК (рабочие места),
должны иметь собственный план защиты. Он должен содержать требования по управлению защитой в
конкретной системе с учетом требований Плана обеспечения информационной безопасности на
календарный год.
9.4.
Средства и меры защиты
Меры по созданию режима защиты информационных ресурсов подразделяются на технические и
организационно-правовые.
При осуществлении технических мер применяются
следующие средства защиты
автоматизированных систем:
1. Средства контроля доступа и управления полномочиями:
средства контроля доступа в помещения;
средства идентификации и аутентификации при доступе к подсистемам программно-технических
средств коллективного пользования (ПТС КП);
средства контроля доступа к серверам;
средства контроля доступа к сети передачи данных;
средства защиты на уровне ПК;
средства протоколирования действий пользователей и обслуживающего персонала в системе.
2.
Средства криптографической защиты информации (СКЗИ), применяемые для связи с
внешними платежными и торговыми системами или для связи с клиентами.
3.
Средства защиты от утечки информации по каналам электромагнитного излучения с
использованием внедренных технических устройств.
Перечисленные средства необходимо использовать с учетом следующих базовых принципов:
каждый пользователь должен иметь минимум полномочий, необходимых и достаточных для
решения своих задач. Применение данного принципа сводит к минимуму возможность НСД и облегчает
расследование нарушений и фактов проникновения;
все элементы информационной системы ________________ должны быть разделены на «контуры
защиты». Защита организуется внутри контура и между ними. Суть этого принципа заключается в том, что
информация определенной категории сосредоточена внутри контура, а вход и выход за пределы контура
контролируются.
К организационно-правовым мероприятиям следует отнести, наряду с общими обязательствами по
сохранению коммерческой тайны, подписание специального Обязательства следовать требованиям
информационной безопасности. Оно должно включать следующие положения:
использование материальных и нематериальных активов __________ только в производственных
интересах;
добровольное согласие на автоматический контроль за действиями внутри информационной
системы ________________ и внешних коммуникаций.
9.4.1.
Защита от несанкционированного доступа в помещения
Система контроля и управления доступом (СКД) в помещения, отнесённые к «зонам безопасности»,
должна обеспечивать протоколирование перемещений сотрудников путем установки системы запирающих
устройств, открывающихся персональными карточками - ключами и управляемых с единой консоли
(специально выделенного ПК).
Контроль за использованием и управлениемСКДосуществляет ___________.
9.4.2.
Идентификация и аутентификация пользователей
Необходимым элементом обеспечения информационной безопасности является однозначная
идентификация (определение личности) и аутентификация (подтверждение личности) пользователей,
применяемые в ________________ в виде парольной защиты и логической сертификации. При этом
требуется:
использовать обязательную парольную защиту в качестве базовой с предотвращением перехвата
пароля. Пароль должен обновляться не реже 1 раза в месяц. При работе с приложениями также используется
механизм
аутентификации;
для доступа к узлам или другой аппаратуре, обрабатывающей конфиденциальную информацию,
использовать усиление парольной защиты в виде специальных программно-аппаратных средств;
минимизировать привилегированный доступ к удаленным узлам.
Управление средствами идентификации и аутентификации осуществляется администраторами сетей
и системпод контролем ___________.
9.4.3.
Защита на уровне серверов систем
Средства защиты серверов предназначены для обеспечения конфиденциальности и целостности
путем защиты от НСД к программному и аппаратному составу ПК, среде исполнения процесса, областям
пользователей, областям оперативной памяти и дискового пространства, данным на чтение/
модификацию/уничтожение. Обеспечение доступности достигается средствами мониторинга и
диагностики, а также с помощью средств и мер безотказной работы.
Конкретные способы и методы использования средств защиты определяются особенностями
конкретной системы или сервера и регламентируются ___________.
9.4.4.
Защита телекоммуникационной сети
Телекоммуникационная сеть ________________ представляет собой совокупность локальных сетей
________________, удаленных филиалов и самостоятельных подразделений, а также опорной сети
________________ (сети провайдеров телекоммуникационных услуг).
Основными задачами защиты телекоммуникационной сети является:
обеспечение конфиденциальности передаваемой информации (криптозащита и предотвращение
прослушивания локального трафика);
целостность конфигурации и трафика сети;
доступность ресурсов сети;
контроль доступа для предотвращения НСД извне сети;
контроль доступа и управления коммуникационным оборудованием локальной сети.
Транспортные задачи защиты сетей ________________ решаются на основе существующих
программно-аппаратных коммуникационных средств. Те задачи, которые не могут быть решены на уровне
транспортной службы сети, должны решаться средствами операционных систем и приложений.
Одним из самых уязвимых мест любой системы является точка входа в сеть общего пользования
(Internet). В связи с этим предлагается применять следующие меры по защите внутренней сети:
рабочие места и узлы, с которых осуществляется взаимодействие с сетью общего пользования,
должны быть выделены в самостоятельную логическую подсеть, доступ к другим сетям должен быть
блокирован логически либо физически;
взаимодействие с сетью общего пользования должно осуществляться через специальный шлюз;
если сеть общего пользования используется для передачи конфиденциальной информации, то такая
передача должна осуществляться с применением сертифицированных средств криптозащиты;
доступ сотрудников ________________ к сети общего пользования должен быть строго
регламентирован.
9.4.5.
Защита на уровне ПК
Защита на уровне ПК является защитой рабочего места пользователя и одним из основных элементов
комплексной защиты для однозначной идентификации «пользователь - рабочее место». Средства защиты
ПК должны обеспечивать:
идентификацию и аутентификацию пользователя;
невозможность изменения системных параметров в «___________», реинсталляцию программного
обеспечения с внешнего носителя, несанкционированное копирование данных на съемные носители
информации;
защиту системного и прикладного программного обеспечения, в том числе сетевого, от
реконфигурации;
отсутствие программ-вирусов и программ-закладок;
невозможность физического доступа к ресурсам ПК;
запрет на массовое применение считывающих устройств с внешних носителей информации.
Исключение делается для пользователей, имеющих разрешение руководства ________________.
ведение системного журнала по основным событиям.
На каждом рабочем месте на базе ПК должны быть прописаны только два типа пользователя -
непосредственно пользователь и закрепленный администратор. Администратор может входить в систему
для реконфигурации в терминальном режиме.
Конфигурирование, контроль и управление средствами защиты ПК осуществляет Департамент
информационных технологий.
Использование привилегий для целей, не являющихся отражением должностных обязанностей
администратора, является нарушением требований информационной безопасности и в каждом конкретном
случае расследуется силами Службы ИБ с привлечением лиц, допустивших указанные действия, к
ответственности.
ПК, на которых осуществляется обработка информации ограниченного пользования, должны быть
проверены на предмет закладных устройств.
9.4.6.
Криптозащита
В настоящее время Криптозащита является единственно надежным средством защиты
конфиденциальной информации при передаче по каналам связи.
В каждой системе ________________ используется, как правило, штатное программно-аппаратное
средство криптозащиты. Порядок применения конкретных систем криптозащиты изложен в инструкциях
пользователей подсистем.
Помещения для размещения технических средств криптографической защиты информации должны
находиться в зоне безопасности. Под зоной безопасности понимается территория ________________, в
которой имеют право находиться только работники ________________, имеющие в неё допуск. Обязательно
использование автоматизированной системы контроля и управления доступа в помещение с
регламентацией санкционированного права допуска.
Управление средствами криптозащиты осуществляют соответствующие должностные лица в каждой
подсистеме. Контроль и учет использования средств криптозащиты осуществляет ___________.
9.5.
Средства и меры контроля и управления
Главной задачей средств контроля является своевременное обнаружение и регистрация ситуаций,
которые в соответствии с установленными факторами риска могут быть расценены как угроза системе.
Контроль включает в себя:
регистрацию событий в целях профилактики информационной безопасности или же тех событий,
которые могут быть расценены как угроза;
выдачу соответствующих сообщений на консоль оператора или/и протоколирование параметров
событий в системном журнале.
Средства управления предназначены для оперативной реакции со стороны администраторов систем
на различные, в т.ч. и кризисные ситуации, а также для настройки основных параметров системы.
Основными функциями управления являются:
ликвидация аварийных ситуаций;
конфигурирование программно-аппаратных средств подсистем;
защита от НСД;
регистрация пользователей и распределение ресурсов.
9.6.
Организация защиты и контроля
Организационные меры являются основным элементом, связывающим в единое целое средства и
меры защиты, контроля и управления, а также правила их использования и применения. К
организационным мерам относятся также разработка руководящих и нормативных документов, контроль за
их выполнением. Основой организации защиты и контроля систем и сетей является «___________».
___________ разрабатывается в целях:
определения целей и общих принципов защиты информации, факторов риска и уязвимых мест
систем;
определения на некоторый момент времени состава всех информационно-вычислительных систем,
программных и аппаратных средств, их конфигурацию, средств защиты, контроля и управления;
определения общих правил обработки информации;
определения обязанностей пользователей и персонала систем по защите информации.
9.7.
Организация безотказной работы
Для обеспечения безотказной работы и восстановления автоматизированных систем и сетей в случаях
аварий, стихийных бедствий и других кризисных ситуаций предусматриваются соответствующие меры и
средства. Они составляют основу «___________».
9.7.1.
Средства и способы организации безотказной работы и восстановления
сетей и систем
Для обеспечения безотказной работы и восстановления сетей и систем помимо организационных мер
используется специальное оборудование и процедуры.
9.7.2.
Бесперебойное электропитание
Бесперебойное электропитание - наиболее важный элемент обеспечения безотказной работы. Оно
обеспечивается путем установки системы перехода на резервное питание при выходе из строя основного,
установкой источников бесперебойного питания, дающих возможность системе функционировать до
прибытия сотрудников эксплуатационных служб и устранения аварии электропитания (минимум 2-3 часа),
а также установкой дизель - генератора для обеспечения электропитания при серьезных авариях
электросети.
9.7.3.
Резервное копирование программного обеспечения и данных
Резервное копирование и хранение программ и данных на внешних носителях - основной способ их
сохранения.
Резервное копирование может быть полным (копии со всех данных) и выборочным (копии наиболее
важных данных). Способ и периодичность резервного копирования определяется для каждой системы
индивидуально.
Целесообразно хранить несколько поколений данных и на каждую копию иметь дубликат, который
должен храниться отдельно от основной копии в специальном оборудованном защищенном помещении
________________ на значительном удалении от действующей системы.
9.7.4.
Резервирование аппаратных ресурсов
Резервирование аппаратных ресурсов применяется для обеспечения восстановления
работоспособности системы при отказах аппаратных средств. Основным критерием использования
резервных ресурсов является критичность по отношению к жизнедеятельности ________________ и
экономическая целесообразность.
Наиболее уязвимыми элементами системы являются серверы, используемые для работы систем, и
каналы связи. В связи с этим целесообразно применять отказоустойчивые серверы, в которых
конструктивно резервируются и дублируются наиболее критичные элементы. Для наиболее важных систем
необходимо использовать «холодный резерв» - второй комплект оборудования.
Для обеспечения функционирования систем при обмене данными по внешним сетям, необходимо
предусмотреть резервирование каналов связи и коммуникационного оборудования, в том числе разных
поставщиков телекоммуникационных услуг (провайдеров).
9.7.5.
Организационные меры по обеспечению безотказной работы
Помимо мер по предотвращению возникновения кризисных ситуаций, необходимо предусмотреть
организационные мероприятия для устранения их последствий, которые включают в себя:
локализацию области воздействия фактора риска;
уведомление соответствующих должностных лиц о факте возникновения кризисной ситуации;
предотвращение расширения кризисной ситуации, при необходимости выведение из эксплуатации
системы, комплексов или отдельных компонентов;
обеспечение безотказной работы - оперативную корректировку параметров системы, удаление или
выведение из эксплуатации пораженных элементов системы, загрузку копий программного обеспечения
и/или переход на резервное оборудование;
полное устранение причин кризисной ситуации;
восстановление аппаратных, программных и информационных элементов систем;
расследование причин кризисной ситуации, пересмотр Плана (при необходимости).
9.8.
План обеспечения безотказной работы и восстановления
Для определения действий в кризисных ситуациях в целях обеспечения безотказной работы и
восстановления функционирования систем разрабатывается
План безотказной работы и восстановления.
План должен содержать следующие сведения:
1.
Общие положения:
цели плана;
классы кризисных ситуаций с указанием основных факторов риска, их вызывающих;
перечень ответственных лиц и порядок их уведомления о факте возникновения кризисной ситуации;
приоритетность действий администрации и персонала ________________ в случае возникновения
кризисной ситуации;
условия пересмотра плана.
2.
Описание средств и процедур обеспечения безотказной работы и восстановления:
средства обеспечения бесперебойного электропитания;
правила и процедуры резервирования и резервного копирования системного и прикладного
программного обеспечения, наборов и баз данных с указанием периодичности копирования, носителя
резервной копии, срока восстановления, ответственного за резервное копирование и хранение копий, места
хранения;
резервные аппаратные ресурсы системы (включая каналы связи) с указанием местонахождения,
основных характеристик, срока ввода в эксплуатацию;
средства и меры, позволяющие удостовериться в целостности и доступности резервных копий и
ресурсов.
3.
План мероприятий:
уведомление определенных ответственных лиц (согласно перечню) о факте возникновения
кризисной ситуации;
локализация и описание нарушения;
немедленная реакция на нарушение - действие пользователей и персонала в момент обнаружения
нарушения;
возобновление обработки после устранения нарушения и первичного восстановления, либо после
переключения на резервную систему;
полная проверка системы на предмет отсутствия причин, ведущих к возникновению кризисной
ситуации;
полное восстановление функционирования системы - удаление и замена поврежденных
компонентов системы, проверка целостности и доступности программных и аппаратных средств, данных,
возобновление обработки в полном объеме;
оценка ущерба от нарушения, расследование причин возникновения кризисной ситуации.
9.9.
Степень доверия к средствам защиты, контроля и управления
Надежность средств защиты, контроля и управления, призванных обеспечить информационную
безопасность, определяется на основе технических и эксплуатационных характеристик средств, внесённых в
документацию и подтвержденных тестированием.
Кризисные ситуации, не предусмотренные ___________ на календарный год, считаются случайными
и отвечающими допустимому уровню риска. Реакция сотрудников ___________, а также сотрудников
подразделений на такие ситуации определяется ___________.
Кризисные ситуации, возникающие в результате несоответствия технической документации
поставленному в ________________ продукту (оборудованию, программному обеспечению),
рассматриваются как случайные угрозы, ответственность за которые несет разработчик. Для минимизации
воздействия незадокументированных свойств принимаются следующие меры:
разработка ПО для обработки информации ограниченного распространения проводится
сотрудниками ___________ или привлечёнными российскими компаниями по согласованию с ___________;
по всем системам имеются договоры поддержки с фирмами-производителями или
распространителями;
до заключения договоров с разработчиками на поставку ПО сторонами должны быть подписаны
соглашения о соблюдении режима конфиденциальности, куда вносится пункт об ответственности за
недокументированные свойства разработок;
периодическая проверка состояния системного и прикладного ПО на предмет диагностики штатного
состояния.
10.
Защита речевой информации
Основной целью защиты конфиденциальной речевой информации является предотвращение
несанкционированного съёма информации по всевозможным каналам, которые могут иметь естественный
характер или создаваться преднамеренно.
10.1.
Организация работ по защите речевой информации
Защита речевой информации представляет собой процесс, организуемый и поддерживаемый в
________________ с целью предупреждения ее утечки. Непосредственные работы по защите речевой
информации проводит ___________.
10.2.
Каналы утечки речевой информации
Возможными каналами утечки речевой информации являются:
умышленное или неумышленное разглашение сотрудниками ________________ сведений,
отнесённых к коммерческой тайне;
естественный акустический канал;
виброакустический канал;
естественный визуальный канал;
радиолинии телефонной связи;
линии проводной телефонной связи;
побочные утечки от технических средств обработки информации;
радиолинии;
проводные линии.
Каналы утечки могут быть естественные и искусственные.
Естественные каналы существуют в ДМЦ и для трансляции снимаемых сигналов не требуются какие-
либо «закладные» технические средства.
Искусственные каналы (с использованием внедренных технических устройств) создаются
преднамеренно.
10.3.
Противодействие утечке речевой информации
Противодействие утечке речевой информации представляет собой систему мер, направленную на
выявление естественных и искусственных каналов утечки и предотвращению утечки по этим каналам.
Противодействие должно носить непрерывный и плановый характер.
Меры противодействия утечки речевой информации делятся на административные и организационно-
технические.
Административные меры:
проведение категорирования служебных помещений ________________, дополнительных офисов;
разработка инструкций по защите коммерческой тайны при проведении деловых встреч и
переговоров, ведении телефонных разговоров и контроль их выполнения;
разработка нормативных документов по порядку проведения обследований служебных помещений
и технических средств на предмет определения естественных и искусственных каналов утечки;
обеспечение режима доступа в служебные помещения.
Организационно-технические меры:
проведение специальных обследований служебных помещений и технических средств;
проведение специальных обследований строящихся и ремонтируемых зданий и помещений;
приобретение специальных технических средств обнаружения каналов утечки и их закрытия,
организация учета и контроля их использования;
оборудование категорированных помещений специальными средствами защиты от утечки
информации;
оборудование служебных помещений средствами разграничения доступа.
11.
Защита информации на материальных носителях
Защите подвергаются сведения, составляющие коммерческую тайну, находящиеся на материальных
носителях (бумажных, магнитных, оптических, чиповых картах и т.п.)
11.1.
Организации работ по защите сведений, составляющих коммерческую тайну,
на материальных носителях
Защита коммерческой тайны представляет собой процесс, организуемый и поддерживаемый в
________________ с целью предупреждения несанкционированного доступа к охраняемой информации и
исключения ее уничтожения, разглашения и утечки через различные каналы.
11.1.1. Элементы защиты коммерческой тайны
Защита коммерческой тайны предусматривает:
порядок определения информации, содержащей коммерческую тайну, и сроков ее действия;
систему допуска сотрудников ________________, частных и командированных лиц к сведениям,
составляющим коммерческую тайну;
обязанности лиц, допущенных к таким сведениям;
порядок работы с документами, содержащими сведения, составляющие коммерческую тайну;
обеспечение сохранности документов, дел и изданий с грифом конфиденциальности;
принципы организации и проведения контроля за обеспечением установленного порядка при работе
со сведениями, составляющими коммерческую тайну;
ответственность должностных лиц и персонала за разглашение сведений и утрату документов,
содержащих коммерческую тайну.
Система защиты коммерческой тайны ________________ основывается на:
повседневной деятельности подразделений, отвечающих за обеспечение защиты коммерческой
тайны;
строгом выполнении требований положений, приказов, распоряжений, других нормативных и
распорядительных документов, по обеспечению сохранности коммерческой тайны;
применением специальных технических и программных средств защиты информации;
контроле за выполнением требований нормативных документов.
11.1.2. Обозначение документов, содержащих коммерческую тайну
В соответствии с «Перечнем информации, составляющей коммерческую тайну ________________,
информации, отнесённой к коммерческой тайне на общих основаниях, специальный гриф не присваивается.
Документам, содержащим информацию ограниченного распространения, гриф «Конфиденциально»
может быть присвоен на стадии его создания должностным лицом, подписывающим документ
(руководителем подразделения) с обязательным последующим подтверждением присвоенного грифа со
стороны Генерального директора ________________. Гриф «Конфиденциально» также может быть
присвоен входящему документу вышеуказанными должностными лицами ________________.
11.1.3. Порядок допуска к сведениям, составляющим коммерческую тайну
________________
К коммерческой тайне ________________ допускаются сотрудники, личные и деловые качества
которых обеспечивают их способность хранить коммерческую тайну, и только после подписания
сотрудником письменного обязательства по сохранению коммерческой тайны.
Допуск сотрудников к коммерческой тайне ________________ подтверждается ___________после
проведения соответствующей процедуры.
Сотрудники ________________ могут получать разрешение на доступ к сведениям, составляющим
коммерческую тайну ________________ с грифом «Конфиденциально», только в пределах своих
должностных обязанностей и в объемах, необходимых им для выполнения полученного от руководства
________________ задания.
Руководители подразделений и ___________ обязаны обеспечить систематический контроль за
допуском к сведениям, составляющим коммерческую тайну, только тех сотрудников, которым они
необходимы для выполнения служебных обязанностей.
11.2.
Организация работы с документами, содержащими коммерческую тайну
Организация и практическая работа по ведению делопроизводства с документами, содержащими
коммерческую тайну, производится в соответствии с «___________». Сотрудники ________________,
работающие с документами, содержащими коммерческую тайну, действуют в рамках своих полномочий,
определённых в должностных инструкциях.
Объектами делопроизводства являются документы, магнитные и оптические носители (дискеты,
магнитные ленты, магнитооптические диски, оптические диски и т.п.), содержащие сведения, составляющие
коммерческую тайну, а также парольно-ключевые и криптографические материалы, используемые при
работе с шифровальными средствами, применяемыми в ________________.
Отсутствие грифа на носителях информации, содержащих коммерческую тайну, означает, что
документ содержит сведения общего характера и предполагает, что автор документа и руководитель,
подписывающий (утверждающий) документ, предусмотрели все возможные последствия от
необоснованной передачи документа в другие подразделения ________________ и несут за это
ответственность.
На документах, содержащих сведения с грифом «Конфиденциально», проставляется номер
экземпляра. Все операции с такими документами (прием, рассылка, уничтожение, размножение и т.д.),
отражаются в учетных формах отдельно от учёта другой служебной информации. Размножение документов
с грифом «Конфиденциально», производится только с письменного разрешения Генерального директора
________________.
Снятие или снижение грифа конфиденциальности с документа производится руководителем,
подписавшим (утвердившим) документ, по истечении установленного срока действия грифа, либо при
корректировке «Перечня информации, составляющей коммерческую тайну __________».
Снятие грифа конфиденциальности с информации, владельцем которой на договорных началах или в
соответствии с законодательством является сторонняя организация, разрешается после письменного
согласия этой организации.
Вся поступающая в ________________ корреспонденция, имеющая гриф конфиденциальности,
принимается ответственными сотрудниками Общего отдела ________________, которым поручена работа с
этими материалами. Полученная корреспонденция не вскрывается и передаётся далее по назначению.
Руководитель, получивший конфиденциальный документ, адресует его конкретным исполнителям с учетом
пределов их полномочий и требований распространения такой информации.
Рассылка конфиденциальных документов производиться Общим отделом ________________ на
основании подписанных Руководством ________________ сопроводительных писем с указанием учетных
номеров отправляемых экземпляров. Пересылка пакетов с конфиденциальными документами может
осуществляться через органы спецсвязи или фельдсвязи. При необходимости, допускается доставка
конфиденциальных документов нарочным из числа сотрудников ________________, допущенных к работе
с такими документами.
Дискеты, магнитные ленты, магнитно-оптические диски, оптические диски (далее магнитные
носители), содержащие сведения, составляющие коммерческую тайну, подлежат обязательному учету в
___________.
Парольно-ключевые и криптографические материалы подлежат обязательной регистрации и учету в
___________.
11.3.
Порядок обеспечения сохранности материальных носителей информации
При работе с документами и магнитными носителями, содержащими коммерческую тайну,
сотрудники ________________ обязаны следить как за сохранностью самих документов и носителей, так и
за сохранностью содержащейся в них информации (не допускать несанкционированного ознакомления с
документами посторонних лиц, в том числе сотрудников ________________).
11.4.
Порядок обеспечения сохранности документов (дел)
Хранение документов с информацией, отнесённой к коммерческой тайне ________________, должно
осуществляться таким образом, чтобы исключить возможность ознакомления с ними лиц, не имеющих
права доступа к ним. Хранение документов с грифом «Конфиденциально» разрешается исполнителям
только в металлических шкафах или сейфах.
Конфиденциальные документы выдаются в ___________ ________________ исполнителям под
роспись в журнале учета.
Исполненные конфиденциальные документы в течение календарного года подшиваются в дела. Дела
с исполненными документами за прошедший календарный год сдаются для хранения в архив. Дела из
архива могут выдаваться исполнителям по письменному запросу должностного лица в соответствии со
схемой выдачи разрешений на доступ к информации.
Выдача конфиденциальных документов представителям сторонних организаций осуществляется по
письменному указанию уполномоченного на это руководителя ________________.
Уничтожение конфиденциальных документов производится комиссией, назначаемой Приказом по
________________ и состоящей из сотрудников ___________ и ___________, в сроки, определяемые в
соответствии с действующим «____________». Уничтожению подлежат также черновики, испорченные
листы и недописанные проекты конфиденциальных документов. Уничтожение производится путем
измельчения, исключающим восстановление текста документа. Факт уничтожения оформляется актом по
установленной форме.
11.5.
Порядок обеспечения сохранности магнитных носителей
Магнитные носители для работы с конфиденциальной информацией выдаются исполнителям в
___________под роспись в журнале учета.
Передача конфиденциальной информации на магнитных носителях представителям сторонних
организаций осуществляется по письменному указанию руководителя ________________, имеющего
соответствующие полномочия.
Хранение магнитных носителей, содержащих электронные документы с грифом «Конфиденциально»,
разрешается исполнителям только в сейфах, имеющих средства контроля на несанкционированный доступ.
11.6.
Контроль за выполнением требований внутреннего режима при работе со
сведениями, содержащими коммерческую тайну
Под внутренним режимом при работе с коммерческой тайной подразумевается соблюдение условий
работы, исключающих возможность утечки сведений, содержащих коммерческую тайну.
Контроль за соблюдением указанного режима осуществляется в целях изучения и оценки состояния
сохранности коммерческой тайны, выявления и установления причин утечки информации или факторов,
которые могут привести к таким событиям, и выработки предложений по их устранению.
Контроль за обеспечением режима при работе со сведениями, содержащими коммерческую тайну,
осуществляют ___________и руководители структурных подразделений.
При выявлении фактов утраты документов или разглашения сведений, составляющих коммерческую
тайну, а также нарушения конфиденциального делопроизводства ставятся в известность Генеральный
директор ________________, Руководитель ___________ и курирующий Заместитель Генерального
директора ________________. Для разбирательства указанных случаев приказом или распоряжением
Генерального директора ________________создается комиссия, которая определяет соответствие
содержания утраченного документа проставленному грифу и выявляет обстоятельства утраты
(разглашения).
По результатам работы, комиссия готовит заключение и представляет на утверждение Генеральному
директору ________________.
11.7.
Обязанности лиц, допущенных к коммерческой тайне ________________
Руководители ________________, его структурных подразделений и дополнительных офисов
принимают меры по защите коммерческой тайны путем ограничения круга лиц, имеющих доступ к
защищаемой информации, установлению грифа конфиденциальности, по физической сохранности
документации и магнитных носителей и другие меры по защите коммерческой тайны.
Сотрудники ________________, допущенные к сведениям, составляющим коммерческую тайну,
несут ответственность за точное выполнение требований, предъявляемых к ним в целях обеспечения
сохранности указанных сведений.
До получения доступа к работе, связанной с коммерческой тайной, им необходимо изучить
нормативные документы по защите коммерческой тайны и подписать обязательство о сохранении
коммерческой тайны.
Сотрудники ________________, допущенные к коммерческой тайне, обязаны:
строго хранить коммерческую тайну. Обо всех известных фактах утечки сведений, составляющих
коммерческую тайну, а также об утрате документов с грифом конфиденциальности, сообщать
непосредственному руководителю и в ___________;
предъявлять для проверки по требованию представителям ___________и руководителю
подразделения все числящиеся носители информации с грифом конфиденциальности, а в случае нарушения
установленных правил работы с ними представлять соответствующие объяснения;
строго соблюдать правила пользования документами и магнитными носителями, имеющими гриф
конфиденциальности;
исполненные входящие документы, а также документы, предназначенные для рассылки, подшивки
в дело или уничтожения сдавать в Общий отдел;
выполнять требования внутреннего режима, исключающие возможность ознакомления с
конфиденциальными сведениями посторонних лиц, включая и сотрудников ________________, не
имеющих к указанным сведениям прямого отношения;
исключить использование сведений, составляющие коммерческую тайну ________________, в
личных целях, а также заниматься прямо или косвенно какой-либо деятельностью, которая может нанести
ущерб ________________;
сохранять коммерческую тайну организаций, с которыми у ________________ имеются деловые
отношения.
12.
Управление информационной безопасностью
Общее руководство информационной безопасностью в ________________ осуществляет Генеральный
директор ________________.
Исходя из представленных в Концепции задач, принципов организации и функционирования системы
обеспечения информационной безопасности и основных угроз определяются следующие направления
деятельности ________________ по управлению информационной безопасностью:
организация управления информационной безопасностью в автоматизированных системах и сетях;
организация защиты речевой информации,
обеспечение физической защиты объектов ____________, на которых обрабатывается и хранится
информация, составляющая коммерческую тайну;
участие в организации общего делового документооборота;
организация и защита оборота конфиденциальных документов.
12.1.
Организация управления информационной безопасностью
автоматизированных систем и сетей
Управление средствами защиты, установление полномочий пользователям и контроль должны
осуществляться централизованно, с учетом особенностей обработки и передачи информации в конкретных
системах и участках сети.
Работы по обеспечению информационной безопасности в системах и сетях непосредственно
осуществляют:
_______________;
администраторы систем и сетей;
лица, ответственные за информационную безопасность в подразделениях ________________;
_______________.
12.1.1. _______________
_______________ является основой централизованного управления и контроля информационной
безопасности в системах и сетях ________________.
Основной задачей _______________ является организация непрерывной, плановой и
целенаправленной работы по обеспечению информационной безопасности и контроль выполнения
нормативных документов ________________ по информационной безопасности.
12.1.2. Администраторы систем и сетей
Администраторами систем и сетей назначаются сотрудники _______________, которые отвечают за
обеспечение работоспособности систем и сетей, выполнение _______________.
Основные задачи администраторов:
непосредственное управление системами и сетями, контроль целостности систем и сетей,
обеспечение безотказной работы и восстановление работоспособности систем при сбоях и отказах.
12.1.3. Ответственные за информационную безопасность в подразделениях
Ответственными за информационную безопасность в подразделениях являются сотрудники
структурных подразделений ________________. Основная их задача - контроль выполнения сотрудниками
подразделения правил работы в автоматизированных системах и сетях ________________.
12.1.4. _____________________________ на местах
Основной задачей _______________ в части обеспечения информационной безопасности является
организация и проведение всего комплекса мероприятий по защите информации в филиалах и
обособленных подразделениях.
12.2.
Организация управления защитой речевой информации
Организацию, планирование и проведение мероприятий по защите речевой информации
осуществляет _______________.
Основными задачами защиты речевой информации являются:
контроль соблюдения сотрудниками ________________ порядка и правил обращения с
конфиденциальной информацией и недопущение ее разглашения;
выявление и пресечение возможных каналов утечки речевой информации;
методическое руководство по защите речевой информации в подразделениях ________________.
Общий контроль за обеспечением защиты речевой информации осуществляет _______________.
12.3.
Обеспечение физической защиты объектов
Организацию и обеспечение физической защиты объектов ________________ (включая
дополнительные офисы и филиалы), на которых осуществляется обработка и хранение сведений
конфиденциального характера, осуществляет _______________ _______________.
Основными задачами являются:
организация защиты зданий, служебных помещений и прилегающих к ним территорий от
возможного проникновения и посягательств со стороны посторонних лиц и исключение возможного
хищения, искажения и уничтожения ими сведений конфиденциального характера;
обеспечение соблюдения сотрудниками и посетителями ________________ порядка и правил
прохода и поведения на территории ________________;
обеспечение физической безопасности материальных носителей информации при их хранении и
транспортировке.
12.4.
Организация управления защитой конфиденциальных документов
Организация и обеспечение защиты конфиденциальных документов в подразделениях
________________ возлагается на:
руководителей подразделений (начальников _______________) — в _______________;
начальников _______________ — в _______________;
руководителей филиалов (обособленных подразделениях) – в филиалах.
Организация учета материальных носителей, содержащих сведения, составляющие коммерческую
тайну (конфиденциального делопроизводства), возлагается на _______________ и _______________, в
филиалах - на специально выделенных для этих целей сотрудников, назначаемых приказом по филиалу.
Для учета и хранения парольно - ключевых и криптографических материалов шифровальных средств,
используемых в ________________, в рамках _______________ организуется самостоятельный участок
конфиденциального делопроизводства.
Основными задачами организации системы конфиденциального делопроизводства являются:
контроль за подбором и расстановкой кадров на участке конфиденциального делопроизводства;
организация конфиденциального документооборота в ________________;
осуществление закрытой переписки;
организация и осуществление разрешительной системы допуска исполнителей к работе с
конфиденциальными документами.
Текущий контроль за выполнение требований по защите информации на материальных носителях
возлагается на _______________.
13.
Ответственность
Степень санкций, накладываемых на сотрудников ________________, допустивших нарушение в
сфере информационной безопасности, определяется руководством ________________ с учетом величины
рисков, привнесенных данным нарушением, а также прогнозируемого или наступившего ущерба и
преследует следующие цели:
формирование сознания ответственности за нарушения требований информационной безопасности
________________;
создание условий, препятствующих дальнейшему нанесению вреда информационным активам
________________.
14.
Заключительные положения
С момента утверждения и ввода к исполнению, настоящая Концепция заменяет все
предыдущие документы ________________ в части, противоречащей настоящей Концепции.
Настоящая Концепция является обязательной для использования всеми должностными
лицами и структурными подразделениями ________________, участвующими в прямом либо
косвенном контексте в процессах, описываемых настоящей Концепцией.
Нормативные, методические и иные документы ________________, созданные до принятия
настоящей Концепции и противоречащие ее положениям, должны пересматриваться и
корректироваться заинтересованными подразделениями.
Контроль за исполнением положений настоящей Концепции возлагается на Руководителя
_______________ ________.
Таблица № 1. Основные непреднамеренные угрозы
Основные непреднамеренные угрозы ИБ |
Меры по нейтрализации угроз и снижению
возможного наносимого ущерба
|
Действия сотрудников ________________, при-
водящие к частичному или полному отказу системы
или нарушению работоспособности аппаратных или
программных средств; отключению оборудования
или изменение режимов работы устройств и
программ; разрушению информационных ресурсов
системы (неумышленная порча оборудования,
удаление, искажение программ или файлов с важной
информацией, в том числе системных, повреждение
каналов связи, неумышленная порча носителей
информации и т.п.)
|
1.Организационные меры (регламентация действий,
введение запретов)
2.Применение физических средств,
препятствующих неумышленному совершению
нарушения
3.Применение аппаратно-программных средств
разграничения доступа к ресурсам
4.Резервирование критичных ресурсов
|
Несанкционированный запуск технологических
программ, способных при некомпетентном
использовании вызывать потерю работоспособности
системы (зависания или зацикливания) или
осуществляющих необратимые изменения в системе
(форматирование или реструктуризацию носителей
информации, удаление
|
1.Организационные меры (удаление всех
потенциально опасных программ с дисков ПК)
2.Применение аппаратно-программных средств
разграничения доступа к технологическим и
инструментальным программам на дисках ПК
|
Несанкционированное внедрение и использование
неучтенных программ (игровых, обучающих,
технологических и других, не являющихся
необходимыми для выполнения сотрудниками своих
служебных обязанностей) с последующим
необоснованным расходованием ресурсов
(процессорного времени, оперативной памяти,
памяти на внешних носителях и т.п.)
|
1.Организационные меры (введение запретов)
2.Применение аппаратно-программных средств,
препятствующих несанкционированному
внедрению и использованию неучтенных программ
|
Непреднамеренное заражение компьютера вирусами
|
1.Организационные меры (регламентация действий,
введение запретов)
2.Технологические меры (применение
специальных программ обнаружения и
уничтожения вирусов)
3.Применение аппаратно-программных средств,
препятствующих заражению компьютеров
компьютерными вирусами
|
Разглашение, передача или утрата атрибутов
разграничения доступа (паролей, ключей
шифрования или электронной цифровой подписи,
идентификационных карточек, и т.п.)
|
1.Организационные меры (регламентация действий,
введение запретов, усиление ответственности)
Применение физических средств обеспечения
сохранности указанных реквизитов
|
Игнорирование организационных ограничений
(установленных правил) при работе в системе
|
1.Организационные меры (усиление
ответственности и контроля)
Использование дополнительных физических и
технических средств защиты
|
Некомпетентное использование, настройка или
неправомерное отключение средств защиты
|
1.Организационные меры (обучение персонала,
усиление ответственности и контроля)
|
Ввод ошибочных данных
|
1.Организационные меры (усиление
ответственности и контроля)
2.Технологические меры контроля за ошибками
операторов ввода данных
|
Таблица № 2. Основные возможные умышленные угрозы
Основные возможные пути умышленной
дезорганизации работы
|
Меры по нейтрализации угроз и снижению
возможного наносимого ущерба
|
Физическое разрушение или вывод из строя всех или
отдельных наиболее важных компонентов
автоматизированной системы (устройств, носителей
важной системной информации, лиц из числа
персонала и т.п.), отключение или вывод из строя
подсистем обеспечения функционирования
вычислительных систем (электропитания, линий
связи и т.п.)
|
1.Организационные меры (регламентация действий,
введение запретов)
2.Применение физических средств,
препятствующих умышленному совершению
нарушения
3. Резервирование критичных ресурсов
|
Внедрение агентов в число персонала системы (в
том числе, возможно, и в административную группу,
отвечающую за безопасность), вербовка (путем
подкупа, шантажа, угроз и т.п.) пользователей,
имеющих определенные полномочия по доступу к
защищаемым ресурсам
|
Организационные меры(подбор, расстановка и
работа с кадрами, усиление контроля и
ответственности)
Автоматическая регистрация действий персонала
|
Хищение носителей информации (распечаток,
магнитных дисков, лент, микросхем памяти,
запоминающих устройств, компьютеров), хищение
производственных отходов (распечаток, записей,
списанных носителей информации и т.п.)
|
Организационные меры (организация хранения и
использования носителей с защищаемой
информацией, регламентация процедур безопасной
утилизации производственных отходов)
|
Несанкционированное копирование носителей
информации, чтение остаточной информации из
оперативной памяти и с внешних запоминающих
устройств
|
1.Организационные меры (организация хранения и
использования носителей с защищаемой
информацией)
2.Применение технических средств разграничения
доступа к защищаемым ресурсам и автоматической
регистрации получения твердых копий документов
(на физических носителях – бумаге и т.д.)
|
Незаконное получение паролей и других реквизитов
разграничения доступа (агентурным путем,
используя халатность пользователей, путем подбора,
путем имитации интерфейса системы
программными закладками и т.д.) с последующей
маскировкой под зарегистрированного пользователя
|
1.Организационные меры (регламентация действий,
введение запретов, работа с кадрами)
2. Применение технических средств,
препятствующих внедрению программ перехвата
паролей, ключей и других реквизитов
|
Несанкционированное использование ПК
пользователей, имеющих уникальные физические
характеристики, такие как номер рабочей станции в
сети, физический адрес, адрес в системе связи,
аппаратный блок кодирования и т.п
|
1.Организационные меры (строгая регламентация
доступа в помещения и допуска к работам на данных
ПК).
2.Применение физических и технических средств
разграничения доступа
|
Несанкционированная модификация программного
обеспечения - внедрение программных закладок,
вирусов и т.п., то есть таких модулей и участков кода
программ, которые не нужны для осуществления
заявленных функций, но позволяющих преодолевать
систему защиты, скрытно и незаконно осуществлять
доступ к системным ресурсам с целью регистрации
и передачи защищаемой информации или
дезорганизации функционирования системы
|
1.
Организационные меры (строгая
регламентация допуска к работам)
2.
Применение физических и технических
средств разграничения доступа и препятствующих
несанкционированной модификации аппаратно-
программной конфигурации ПК
3.Применение средств контроля целостности
программ
|
Перехват данных, передаваемых по каналам связи, и
их анализ с целью получения конфиденциальной ин-
формации. Выяснение протоколов обмена, правил
вхождения в связь и авторизации пользователей, а
также последующие попытки их имитации для
проникновения в систему
|
1.Физическая защита каналов связи
2.Применение средств криптографической защиты
передаваемой информации
|
Вмешательство в процесс функционирования сетей
общего пользования с целью несанкционированной
модификации данных, доступа к конфиденциальной
информации, дезорганизации работы подсистем и
т.п.
|
1.Организационные меры (регламентация
подключения и работы в сетях общего пользования)
2.Применение специальных технических средств
защиты (межсетевых экранов, средств контроля
защищенности и обнаружения атак на ресурсы
системы и т.п.)
|
Автор: Хобта И.В.
Если вам нужны услуги в области проведения ревизионной деятельности, то обращайтесь в нашу компанию Revision - 8 800 777 70 58.
Комментариев пока нет