ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 06.12.2020
Просмотров: 4121
Скачиваний: 24
ущерб, который может нанести предприятию недобросовестный
работник, особенно если он наделен полномочиями и возможно
стью доступа к защищаемой информации, может превосходить
ущерб от самых масштабных аварий, сбоев в работе и других на
рушений в работе технических систем. При этом даже самые изощ
ренные формы закрепления юридической ответственности такого
работника, технические системы контроля за его деятельностью,
инструкции и правила не смогут компенсировать просчета, допу
щенного руководством, кадровыми работниками, службой без
опасности при приеме его на работу. В связи с этим представля
ются оправданными высокие расходы по найму и содержанию
квалифицированных сотрудников служб безопасности, владеющих
методиками распознавания лиц, склонных к правонарушениям, с
признаками деградации личности, «темным» прошлым и т.п.
Обратим внимание и на сравнительно новый для России спо
соб подбора кадров, связанный с проведением психофизиологи
ческого исследования с помощью полиграфа («детектора лжи»).
Показателем эффективности данного средства может служить
информация об его использования в правоохранительных орга
нах*.
Что касается обучения персонала, то на современном рынке
этой услуги имеется масса возможностей по подготовке (перепод
готовке) специалистов в области защиты государственной тайны,
конфиденциальной информации, в том числе и по сложным тех
ническим направлениям этой деятельности. Вместе с тем, с на
шей точки зрения, наиболее важной (и эффективной) формой
является организация подготовки персонала по вопросам зашиты
информации непосредственно на предприятии, под руководством
сотрудников службы защиты информации.
*
Приказ Директора Федеральной таможенной службы от 05.09.2006 г. № 839
«Об организации применения полиграфа в деятельности таможенных органов
Российской Федерации»; приказ МВД 1995 г. № 353 «Об обеспечении внедре
ния полиграфа в деятельность органов внутренних дел».
Гл а ва 14
Материально-техническое
и нормативно-методическое
обеспечение комплексной системы
защиты информации
14.1. Состав и значение
материально-технического обеспечения
функционирования КСЗИ
Материально-техническое обеспечение КСЗИ охватывает дея
тельность службы защиты информации по использованию мате
риально-технической базы, материальных и денежных средств в
ходе выполнения задач защиты информации.
Материально-техническая база КСЗИ включает объекты хозяй
ственного и технического назначения. К объектам хозяйственного
назначения относятся здания и помещения, в которых хранятся
носители информации, размещаются подразделения и объекты тех
нического назначения службы. К объектам технического назначе
ния относятся различные технические средства, используемые служ
бой ЗИ, но не предназначенные непосредственно для ЗИ (системы
заземления, электронные системы регулирования доступа в поме
щения, средства охраны, сигнализации, видеонаблюдения и опо
вещения, средства механизации — бумагоуничтожающие машины,
электронные и электрические замки, электрические звонки и т.п.).
К материальным средствам службы ЗИ относятся все виды
средств защиты информации, а также носители информации.
Материально-техническое обеспечение КСЗИ включает:
• планирование и осуществление работы объектов материаль
но-технической базы службы ЗИ;
• своевременное определение потребности, приобретение, учет
и хранение всех видов материальных средств, их распределение,
выдачу (отправку, передачу) по назначению, обеспечение правиль
ного и экономного расходования и ведение отчетности;
• накопление и содержание установленных запасов материаль
ных средств, обеспечение их сохранности;
• правильную эксплуатацию, сбережение, своевременное тех
ническое обслуживание и ремонт;
• создание условий для организации и проведения мероприя
тий ЗИ;
• строительство, ремонт и правильную эксплуатацию зданий и
помещений;
• изучение положения дел, выявление внутренних и внешних
факторов, оказывающих влияние на МТО КСЗИ;
• выявление нарушений, ошибок в МТО, оперативное приня
тие мер по их устранению.
Основными направлениями развития и совершенствования
МТО ЗИ являются:
• повышение технической оснащенности объектов ЗИ матери
ально-техническими средствами;
• улучшение планирования МТО ЗИ;
• строительство и эксплуатация объектов ЗИ в строгом соот
ветствии с требованиями безопасности информации;
• оснащение объектов ЗИ новыми СЗИ;
• обучение пользователей правилам работы с СЗИ;
• внедрение в практику методов наиболее экономного и эф
фективного использования материально-технической базы;
• обеспечение сохранности материальных и денежных средств
и предотвращение их утрат.
Должностные лица, ответственные за МТО КСЗИ, обязаны:
• знать и доводить до подчиненных требования нормативных
актов предприятия по вопросам МТО КСЗИ;
• определять потребность и знать обеспеченность СЗИ матери
альными и денежными средствами для обеспечения ЗИ;
• знать наличие, состояние, порядок эксплуатации (хранения)
материальных средств ЗИ, в том числе в их подразделениях, пра
вильно определять потребность в них;
• своевременно истребовать и получать положенные матери
альные средства ЗИ;
• организовывать ведение учета, правильное хранение, сбере
жение запасов материальных средств КСЗИ, а также их эксплуа
тацию, ремонт и техническое обслуживание;
• участвовать в организации проектирования, строительства и
реконструкции объектов ЗИ;
• осуществлять планирование МТО КСЗИ;
• организовывать работу по экономному, рациональному рас
ходованию материальных средств;
• осуществлять контроль за использованием материальных
средств КСЗИ.
14.2. Перечень вопросов ЗИ, требующих
документационного закрепления
На основе концепции защиты информации (концепции без
опасности предприятия), законодательства и иных нормативных
документов в информационной области с учетом уставных поло
жений и специфики деятельности предприятия определяется и
разрабатывается
комплект внутренних нормативных и мето
дических документов
, как правило, включающий:
• перечни сведений, подлежащих защите на предприятии;
• документы, регламентирующие порядок обращения сотруд
ников предприятия с информацией, подлежащей защите;
• положения об управлениях и отделах (разделы по ЗИ);
• документы по предотвращению несанкционированного до
ступа к информационным ресурсам и АС;
• документы, регламентирующие порядок взаимодействия пред
приятия со сторонними организациями по вопросам, связанным
с обменом информацией;
• документы, регламентирующие пропускной и внутриобъек-
товый режим;
• документы, регламентирующие порядок эксплуатации авто
матизированных систем предприятия;
• документы, регламентирующие действия должностных лиц и
персонала предприятия в условиях чрезвычайных ситуаций, обес
печения бесперебойной работы и восстановления;
• планы защиты автоматизированных систем предприятия;
• документы, регламентирующие порядок разработки, испыта
ния и сдачи в эксплуатацию программных средств;
• документы, регламентирующие порядок закупки программных
и аппаратных средств (в т.ч. средств защиты информации);
• документы, регламентирующие порядок эксплуатации техни
ческих средств связи и телекоммуникации.
«Инструкция по обеспечению защиты информации от не
санкционированного доступа»
содержит:
• определение целей, задач защиты информации в АС и основ
ных путей их достижения (решения);
• требования по организации и проведению работ по защите
информации в АС;
• описание применяемых мер и средств защиты информации
от рассматриваемых угроз, общих требований к настройкам при
меняемых средств защиты информации от НСД;
• распределение ответственности за реализацию «Инструкции...»
между должностными лицами и структурными подразделениями
организации.
«Положение о категорировании ресурсов АС»
содержит:
• формулировку целей введения классификации ресурсов (АРМ,
задач, информации, каналов передачи) по степеням (категориям)
защищенности;
• предложения по числу и названиям категорий защищаемых
ресурсов и критериям классификации ресурсов по требуемым сте
пеням защищенности (категориям);
• определение мер и средств защиты информации, обязательных
и рекомендуемых к применению на АРМ различных категорий;
• образец формуляра ЭВМ (для учета требуемой степени защи
щенности (категории), комплектации, конфигурации и перечня
решаемых на ЭВМ задач);
• образец формуляра решаемых на ЭВМ АС функциональных
задач (для учета их характеристик, категорий пользователей задач
и их прав доступа к информационным ресурсам данных задач).
«Порядок обращения с информацией
,
подлежащей защите»,
содержит:
• определение основных видов защищаемых сведений (инфор
мационных ресурсов);
• общие вопросы организации учета, хранения и уничтожения
документов и магнитных носителей ИОД;
• порядок передачи (предоставления) ИОД третьим лицам;
• определение ответственности за нарушение установленных
правил обращения с защищаемой информацией;
• форму типового «Соглашения (обязательства) сотрудника орга
низации о соблюдении требований обращения с защищаемой
информацией».
«План обеспечения непрерывной работы и восстановления
»
включает:
• общие положения (назначение документа);
• классификацию возможных (значимых) кризисных ситуаций
и указание источников получения информации о возникновении
кризисной ситуации;
• перечень основных мер и средств обеспечения непрерывно
сти процесса функционирования АС и своевременности восста
новления ее работоспособности;
• общие требования к подсистеме обеспечения непрерывной
работы и восстановления;
• типовые формы для планирования резервирования ресурсов
подсистем АС и определения конкретных мер и средств обеспече
ния их непрерывной работы и восстановления;
• порядок действий и обязанности персонала по обеспечению
непрерывной работы и восстановлению работоспособности си
стемы.
«Положение об отделе технической защиты информации»
содержит:
• общие положения, руководство отделом;
• основные задачи и функции отдела;
• права и обязанности начальника и сотрудников отдела, от
ветственность;
• организационно-штатную структуру отдела.
«
Обязанности администратора информационной безопасно
сти подразделения
» содержат:
• основные права и обязанности по поддержанию требуемого
режима безопасности;