Файл: 1 Политика информационной безопасности ооо смк ресомед г. Москва, 2014 2 Содержание 1.pdf
Добавлен: 29.11.2023
Просмотров: 127
Скачиваний: 3
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
21
• визуальный и технический контроль контролируемой зоны объектов защиты;
• применение систем охранной и пожарной сигнализации и т.д.
Выполнение режимных требований при работе с информацией ограниченного распро-
странения предполагает:
• разграничение допуска к информационным ресурсам ограниченного распространения;
• разграничение допуска к программно-аппаратным ресурсам АС;
• ведение учета ознакомления работников с конфиденциальной информацией;
• включение в функциональные обязанности работников обязательства о неразглашении и сохранности конфиденциальных сведений;
• исключение возможности копирования конфиденциальной информации на отчуждаемые носители информации и передачи её при помощи средств телекоммуникаций (электрон- ная почта, Internet, модемы и т.п.)
• организация уничтожения информационных отходов (бумажных, магнитных и т.д.);
• оборудование служебных помещений сейфами, шкафами для хранения бумажных и маг- нитных носителей информации и т.д.
Мероприятия технического контроля предусматривают:
• контроль проведения технического обслуживания, ремонта носителей информации и средств вычислительной техники;
• проверки поступающего оборудования, предназначенного для обработки закрытой ин- формации, на наличие специально внедренных устройств;
• инструментальный контроль технических средств на наличие побочных электромагнит- ные излучения и наводок;
• оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;
• постоянное обновление технических и программных средств защиты от несанкциониро- ванного доступа к информации в соответствие с меняющейся оперативной обстановкой.
6.3 Оснащение техническими средствами хранения и обработки
информации
Организация хранения конфиденциальных документов и машинных носителей инфор- мации, а также оборудование режимных помещений осуществляется в соответствии с уста- новленными в Обществе требованиями.
В случае оснащения помещений средствами охранной сигнализации, а также автомати- зированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании инструкции, утверждаемой генераль- ным директором Общества или директорами филиалов после согласования с подразделения- ми безопасности соответствующих объектов охраны.
На случай пожара, аварии или стихийного бедствия подразделениями безопасности разрабатывается инструкция, утверждаемая генеральным директором Общества, в которой предусматривается порядок вызова должностных лиц, вскрытия режимных помещений, оче- редность и порядок спасения секретных документов и изделий и дальнейшего их хранения.
Инструкция должна находиться в подразделении охраны, независимо от его ведомственной принадлежности.
Подразделения Общества должны быть обеспечены средствами уничтожения докумен- тов.
Работы по обеспечению информационной безопасности, обрабатываемой с помощью
АС, можно условно разделить на следующие группы:
22
• обеспечение физической безопасности компонентов АС (защита от специально внедрен- ных закладных устройств, повреждений, сбоев питания, краж и т.п.);
• обеспечение логической безопасности АС (защита от несанкционированного доступа, от ошибок в действиях пользователей и программ и т.д.);
• обеспечение социальной безопасности АС (разработка организационных документов, со- ответствующих законодательным нормам, регулирующих применение компьютерных технологий, порядок расследования и наказания за компьютерные преступления, контроль и предотвращение неправильного использования информации в случае, когда она хранит- ся или обрабатывается с помощью компьютерных систем).
7. Основные принципы построения системы комплексной защиты
информации
Построение системы обеспечения информационной безопасности АС и её функциони- рование должны осуществляться в соответствии со следующими основными принципами:
• законность;
• системность;
• комплексность;
• непрерывность;
• своевременность;
• преемственность и непрерывность совершенствования;
• разумная достаточность;
• персональная ответственность;
• минимизация полномочий;
• взаимодействие и сотрудничество;
• гибкость системы защиты;
• открытость алгоритмов и механизмов защиты;
• простота применения средств защиты;
• научная обоснованность и техническая реализуемость;
• специализация и профессионализм;
• обязательность контроля.
Законность
Предполагает осуществление защитных мероприятий и разработку системы информа- ционной безопасности АС в соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ
«Об информации, информационных технологиях и защите информации», другим норматив- ным актам по информационной безопасности, утвержденным органами государственной власти и управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. Принятые меры ин- формационной безопасности не должны препятствовать доступу правоохранительных орга- нов в предусмотренных законодательством случаях к информации конкретных систем.
Пользователи и обслуживающий персонал АС должны иметь представление об ответ- ственности за правонарушения в области систем автоматизированной обработки информа- ции (статьи 272, 273, 274 и 293 Уголовного Кодекса РФ, статьи 13.11 и 13.12 Кодекса РФ об административных правонарушениях и др.).
Системность
Системный подход к построению системы защиты информации в АС предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов,
23 условий и факторов, существенно значимых для понимания и решения проблемы обеспече- ния информационной безопасности АС.
При создании системы защиты должны учитываться все слабые и наиболее уязвимые места системы обработки информации, а также характер, возможные объекты и направления атак на систему со стороны нарушителей (особенно высококвалифицированных злоумыш- ленников), пути проникновения в распределенные системы и НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения и НСД к информации, но и с учетом возможности появления принципиально новых путей реализа- ции угроз безопасности.
Комплексность
Комплексное использование методов и средств защиты компьютерных систем предпо- лагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не со- держащей слабых мест на стыках отдельных её компонентов. Защита должна строиться эше- лонировано. Внешняя защита должна обеспечиваться физическими средствами, организаци- онными и правовыми мерами. Одним из наиболее укрепленных рубежей призваны быть средства защиты, реализованные на уровне операционных систем (ОС) СВТ в силу того, что
ОС – это та часть компьютерной системы, которая управляет использованием всех её ресур- сов. Прикладной уровень защиты, учитывающий особенности предметной области, пред- ставляет внутренний рубеж защиты.
Непрерывность защиты
Защита информации – не разовое мероприятие и не простая совокупность проведенных мероприятий и установленных средств защиты, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС, начиная с самых ранних стадий проектирования, а не только на этапе её эксплуатации.
Большинству физических и технических средств защиты для эффективного выполне- ния своих функций необходима постоянная организационная (административная) поддержка
(своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе средств защи- ты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и дру- гих средств преодоления системы защиты после восстановления её функционирования.
Своевременность
Предполагает упреждающий характер мер обеспечения информационной безопасности, то есть постановку задач по комплексной защите АС и реализацию мер обеспечения инфор- мационной безопасности на ранних стадиях разработки АС в целом и её системы защиты информации, в частности.
Разработка системы защиты должна вестись параллельно с разработкой и развитием самой защищаемой системы. Это позволит учесть требования безопасности при проектиро- вании архитектуры и, в конечном счете, создать более эффективные (как по затратам ресур- сов, так и по стойкости) защищенные системы.
Преемственность и совершенствование
Предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, ана- лиза функционирования АС и её системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.
24
Разумная достаточность
(экономическая целесообразность, сопоставимость возможного ущерба и затрат)
Предполагает соответствие уровня затрат на обеспечение информационной безопасно- сти ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения без- опасности информационных ресурсов не должны заметно ухудшать эргономические показа- тели работы АС, в которой эта информация циркулирует. Излишние меры безопасности, по- мимо экономической неэффективности, приводят к утомлению и раздражению персонала.
Создать абсолютно непреодолимую систему защиты принципиально невозможно. Пока информация находится в обращении, принимаемые меры могут только снизить вероятность негативных воздействий или ущерб от них, но не исключить их полностью. При достаточном количестве времени и средств можно преодолеть любую защиту. Поэтому имеет смысл рас- сматривать некоторый приемлемый уровень обеспечения безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компью- терной системы и может создавать ощутимые дополнительные неудобства пользователям.
Важно правильно выбрать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми (задача анализа рисков).
1 2 3 4 5 6 7 8 9
Персональная ответственность
Предполагает возложение ответственности за обеспечение информационной безопас- ности и системы её обработки на каждого работника в пределах его полномочий. В соответ- ствии с этим принципом распределение прав и обязанностей работников строится таким об- разом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.
Принцип минимизации полномочий
Означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо работнику для выполнения его должностных обя- занностей.
Взаимодействие и сотрудничество
Предполагает создание благоприятной атмосферы в коллективах подразделений Обще- ства. В такой обстановке работники должны осознанно соблюдать установленные правила и оказывать содействие в деятельности подразделений технической защиты информации.
Гибкость системы защиты
Принятые меры и установленные средства защиты, особенно в начальный период их эксплуатации, могут обеспечивать как чрезмерный, так и недостаточный уровень защиты.
Для обеспечения возможности варьирования уровнем защищенности, средства защиты должны обладать определенной гибкостью. Особенно важным это свойство является в тех случаях, когда установку средств защиты необходимо осуществлять на работающую систе- му, не нарушая процесса её нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибкости системы защиты избавляет владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые.
Открытость алгоритмов и механизмов защиты
Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгорит- мов функционирования её подсистем. Знание алгоритмов работы системы защиты не должно давать возможности её преодоления (даже авторами). Это, однако, не означает, что инфор- мация о конкретной системе защиты должна быть общедоступна.