Файл: 1 Политика информационной безопасности ооо смк ресомед г. Москва, 2014 2 Содержание 1.pdf

25
Простота применения средств защиты
Механизмы защиты должны быть интуитивно понятны и просты в использовании.
Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обыч- ной работе зарегистрированных установленным порядком пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций (ввод не- скольких паролей и имен и т.д.).
Научная обоснованность и техническая реализуемость
Информационные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня информационной безопасности и должны соответствовать установленным нормам и требованиям информаци- онной безопасности.
Специализация и профессионализм
Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятель- ности по обеспечению безопасности информационных ресурсов, имеющих опыт практиче- ской работы и государственную лицензию на право оказания услуг в этой области (Феде- ральный закон от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности»).
Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами Общества (специалистами по информа- ционной безопасности).
Обязательность контроля
Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил информационной безопасности на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств.
Контроль деятельности любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкциониро- ванные действия пользователей.
8. Меры, методы и средства обеспечения требуемого уровня
защищённости информационных ресурсов
8.1 Меры обеспечения безопасности
Все меры обеспечения безопасности АС подразделяются на:
• правовые (законодательные);
• морально-этические;
• организационные (административные);
• физические;
• технические (аппаратные и программные).
8.1.1 Законодательные (правовые) меры защиты
К правовым мерам защиты относятся действующие в РФ законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязан- ности участников информационных отношений в процессе её обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым

26 неправомерному использованию информации, и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, про- филактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.
8.1.2 Морально-этические меры защиты
К морально-этическим мерам относятся нормы поведения, которые традиционно сло- жились или складываются по мере распространения компьютеров и сети Internet в обществе.
Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неформаль- ные (например, общепризнанные нормы честности и т.п.), так и формальные, то есть оформ- ленные в некоторый свод правил (устав) или предписаний. Морально-этические меры защи- ты являются профилактическими и требуют постоянной работы по созданию здорового мо- рального климата в коллективах подразделений.
8.1.3 Организационные (административные) меры защиты
Организационные (административные) меры защиты – это меры организационного ха- рактера, регламентирующие процессы функционирования системы обработки данных, ис- пользование её ресурсов, деятельность обслуживающего персонала, а также порядок взаимо- действия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
Формирование политики безопасности
Главная цель административных мер, предпринимаемых на высшем управленческом уровне – сформировать политику в области обеспечения информационной безопасности (от- ражающую подходы к защите информации) и обеспечить её выполнение, выделяя необходи- мые ресурсы и контролируя состояние дел.
С практической точки зрения политику в области обеспечения информационной без- опасности в АС целесообразно разбить на два уровня. К верхнему уровню относятся реше- ния руководства, затрагивающие деятельность Общества в целом. Примером таких решений являются:
• принятие решения о формировании комплексной программы обеспечения информацион- ной безопасности, определение ответственных за её реализацию;
• формулирование целей, постановка задач, определение направлений деятельности в обла- сти информационной безопасности;
• принятие решений по вопросам реализации программы безопасности, которые рассматри- ваются на уровне Общества в целом;
• обеспечение нормативной (правовой) базы вопросов безопасности и т.п.
Политика верхнего уровня должна четко определить область влияния и ограничения при определении целей информационной безопасности; определить, какими ресурсами (ма- териальные, персонал) они будут достигнуты; и найти разумный компромисс между прием- лемым уровнем безопасности и функциональностью АС.
Политика нижнего уровня определяет процедуры и правила достижения целей и реше- ния задач информационной безопасности и детализирует (регламентирует) эти правила:
• какова область применения политики информационной безопасности;
• каковы роли и обязанности должностных лиц, отвечающие за проведение политики ин- формационной безопасности;
• кто имеет права доступа к информации ограниченного распространения;

27
• кто и при каких условиях может читать и модифицировать информацию и т.д.
Политика нижнего уровня:
• регламентирует информационные отношения, исключающие возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных ин- формационных ресурсов;
• определяет групповые и иерархические принципы и методы разделения секретов и раз- граничения доступа к информации ограниченного распространения;
• определяет программно-математические и технические (аппаратные) средства криптоза- щиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.
Регламентация доступа в помещения АС
Эксплуатация защищенных серверов АС должна осуществляться в помещениях, обору- дованных автоматическими замками, средствами сигнализации, исключающих возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающих физиче- скую сохранность находящихся в помещении защищаемых ресурсов (серверов, документов, реквизитов доступа и т.п.). Размещение и установка технических средств таких серверов должна исключать возможность визуального просмотра вводимой (выводимой) информации лицами, не имеющими к ней отношения. Уборка помещений должна производиться с соблю- дением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.
В помещениях во время обработки и отображения на ПЭВМ информации ограниченно- го распространения должен присутствовать только персонал, допущенный к работе с данной информацией. Запрещается прием посетителей в помещениях, когда осуществляется обра- ботка защищаемой информации.
Для хранения служебных документов и машинных носителей с защищаемой информа- цией помещения снабжаются сейфами и металлическими шкафами.
В случае оснащения помещений средствами охранной сигнализации, а также автомати- зированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой инструк- ции, утверждаемой руководством Общества.
Регламентация допуска работников к использованию ресурсов АС
В рамках разрешительной системы допуска устанавливается: кто, кому, какую инфор- мацию и для какого вида доступа может предоставить и при каких условиях; система разгра- ничения доступа, которая предполагает определение для всех пользователей автоматизиро- ванной информационной системы информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
Допуск работников подразделений Общества к работе с автоматизированной системой и доступ к её ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно «Положению о распределении доступа пользователей к проведению операций в программном обеспечении, а также к базам данных в компьютерных системах Общества».
Основными пользователями информации в АС являются работники структурных подразде- лений Общества. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:
• открытая и конфиденциальная информация размещаются по возможности на различных серверах (это упрощает обеспечение защиты) или различных ресурсах одного сервера;
• каждый работник пользуется только предписанными ему правами по отношению к ин-

28 формации, с которой ему необходима работа в соответствии с должностными обязанно- стями;
• руководитель имеет права на просмотр информации своих подчиненных только в уста- новленных пределах в соответствии со своими должностными обязанностями;
• наиболее ответственные технологические операции должны производиться по принципу разделения ответственности, т.е. правильность введенной информации подтверждается другим должностным лицом (работником), не имеющим права ввода информации.
Все работники Общества, допущенные к работе (пользователи) и обслуживающий пер- сонал АС, должны нести персональную ответственность за нарушения установленного по- рядка автоматизированной обработки информации, правил хранения, использования и пере- дачи находящихся в их распоряжении защищаемых ресурсов АС. Каждый работник (при приеме на работу) должен подписывать «Договор о неразглашении конфиденциальной ин- формации», а также ознакомиться с «Инструкцией о порядке работы с конфиденциальной информацией в АС».
Обработка защищаемой информации в подсистемах АС должна производиться в соот- ветствии с утвержденными технологическими инструкциями (регламентами, процедурами и пр.) для данных подсистем.
Для пользователей защищенных АРМ (то есть АРМ, на которых обрабатывается кон- фиденциальная информация или решаются подлежащие защите задачи и на которых уста- новлены соответствующие средства защиты) должны быть разработаны необходимые техно- логические инструкции, включающие требования по обеспечению информационной без- опасности.
Регламентация процессов ведения баз данных и осуществления модификации информа-
ционных ресурсов
Все операции по ведению баз данных Общества и допуск работников подразделений
Общества к работе с этими базами данных строго регламентируются (производятся в соот- ветствии с утвержденными технологическими инструкциями). Любые изменения состава и полномочий пользователей баз данных АС производятся в установленном порядке.
Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на специальных пользователей – администраторов соответству- ющих баз данных. При этом могут использоваться как штатные, так и дополнительные сред- ства защиты СУБД и операционных систем.
Регламентация процессов обслуживания и осуществления модификации аппаратных и
программных ресурсов АС
Все рабочие места, серверы и программные ресурсы АС должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы (программы, АРМ) подлежат строго- му учету (на основе использования соответствующих формуляров или специализированных баз данных).
Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается конфиденциальная информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неразрешенные для использования в работе устройства ввода-вывода информации (USB-, COM-, LPT-порты, НГМД, CD, DVD- дисководы, устрой- ства Flash-памяти и другие носители информации) на таких АРМ должны быть отключены
(удалены) или заблокированы, не нужные для работы программные средства и данные с дис- ков АРМ также должны быть удалены. Порядок подключения устройств ввода-вывода на таких АРМ должен быть регламентирован.
Для упрощения сопровождения, обслуживания и организации защиты АРМ должны

29 оснащаться программными средствами и конфигурироваться унифицировано (в соответ- ствии с установленными правилами).
Должны быть предусмотрены механизмы, исключающие несанкционированное изме- нение конфигурации аппаратных средств, установленных на рабочих местах пользователей.
Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и про- граммных средств существующих АРМ в АС должны осуществляться только установленным порядком.
Все программное обеспечение (разработанное специалистами Общества, полученное централизованно или приобретенной у фирм-производителей) должно установленным по- рядком проходить испытания и передаваться в библиотеку эталонного программного обес- печения (БЭПО) Общества. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из БЭПО программные средства. Использова- ние в АС ПО, не учтенного в БЭПО, должно быть запрещено.
Разработка ПО задач, проведение испытаний разработанного и приобретенного ПО, пе- редача ПО в эксплуатацию должна осуществляться в соответствии с установленным поряд- ком разработки, проведения испытаний и передачи задач в эксплуатацию.
Обеспечение и контроль физической целостности (неизменности конфигурации) аппа-
ратных ресурсов АС
На всех АРМ, подлежащих защите, должны быть установлены необходимые техниче- ские средства защиты (соответствующие категории данных, обрабатываемых данным АРМ).
Кадровая работа (подбор и подготовка персонала, обучение пользователей)
До начала этапа эксплуатации автоматизированной системы её пользователи, а также необходимый руководящий и обслуживающий персонал должны быть ознакомлены с переч- нем сведений, подлежащих защите, в части их касающейся, и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения.
Защита информации по всем перечисленным направлениям возможна только после вы- работки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает с АС. К таким нормам относятся запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС, вызывают дополни- тельные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.
Все работники Общества, использующие при работе конкретные подсистемы АС, должны быть ознакомлены с организационно-распорядительными документами по защите
АС в части, их касающейся, должны знать и неукоснительно выполнять технологические ин- струкции и общие обязанности по обеспечению информационной безопасности при исполь- зовании АС. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться руководителями подразделений под лич- ную подпись.