Формирование режима безопасности информации



С учетом выявленных угроз безопасности информации АС ОРГАНИЗАЦИИ режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизированной системе информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Комплекс мер по формированию режима безопасности информации включает:

· установление в ОРГАНИЗАЦИИ организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство);

· выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам (аттестация объектов информатизации);

· организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам АС ОРГАНИЗАЦИИ;

· комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий;

· комплекс оперативных мероприятий подразделений безопасности по предотвращению (выявлению) проникновения в ОРГАНИЗАЦИИ информаторов, связанных с преступными группировками.

Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации и разработку (введение в действие) следующих организационно-распорядительных документов:

· Положение о сохранности информации ограниченного распространения.Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) учреждениям и организациям;

· Перечень сведений, составляющих служебную и коммерческую тайну. Перечень определяет сведения, отнесенные к категориям конфиденциальных («ДСП», коммерческая тайна, банковская тайна, персональные данные), уровень и сроки обеспечения ограничений по доступу к защищаемой информации;

· Приказы и распоряжения по установлению режима безопасности информации:

· о создании комиссии по формированию Перечня сведений;

· о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации;

· о вводе в эксплуатацию объектов информатизации;

· о назначении выделенных помещений;

· о допуске сотрудников к работе с информацией ограниченного распространения;

· о назначении лиц ответственных за обеспечение сохранности информации ограниченного распространения в АС ОРГАНИЗАЦИИ и др.;

· Инструкции и функциональные обязанности сотрудникам:

· по организации охранно-пропускного режима;

· по организации делопроизводства;

· по организации работы с информацией на магнитных носителях;

· о защите информации ограниченного распространения в АС ОРГАНИЗАЦИИ;

· по организации модификаций аппаратно-программных конфигураций ЭВМ;

· другие нормативные документы.

Организационно-технические мероприятия по защите информации ограниченного распространения от утечки по техническим каналам предусматривают:

· комплекс мер и соответствующих технических средств, ослабляющих утечку речевой и сигнальной информации - пассивная защита (защита);

· комплекс мер и соответствующих технических средств, создающих помехи при съеме информации - активная защита (противодействие);

· комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации - поиск (обнаружение).

Физическая охрана объектов информатизации (компонентов компьютерных систем) включает:

· организацию системы охранно-пропускного режима и системы контроля допуска на объект;

· введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые и электронные замки, карточки допуска и т.д.);

· визуальный и технический контроль контролируемой зоны объекта защиты;

· применение систем охранной и пожарной сигнализации и т.д.

Выполнение режимных требований при работе с информациейограниченного распространения предполагает:

· разграничение допуска к информационным ресурсам ограниченного распространения;

· разграничение допуска к программно-аппаратным ресурсам АС ОРГАНИЗАЦИИ;

· ведение учета ознакомления сотрудников с информацией ограниченного распространения;

· включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного распространения;

· организация уничтожения информационных отходов (бумажных, магнитных и т.д.);

· оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации и т.д.

Мероприятия технического контроля предусматривают:

· контроль за проведением технического обслуживания, ремонта носителей информации и средств ЭВТ;

· проверки поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств;

· инструментальный контроль технических средств на наличие побочных электромагнитные излучения и наводок;

· оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;

· защита выделенных помещений при проведении закрытых (секретных) работ (переговоров), создание акустических, виброакустических и электромагнитных помех для затруднения съема информации;

· постоянное обновление технических и программных средств защиты от несанкционированного доступа к информации в соответствие с меняющейся оперативной обстановкой.


Дата добавления: 2018-02-15; просмотров: 301;