Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов АС ОРГАНИЗАЦИИ



На всех АРМ, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных АРМ).

Узлы и блоки оборудования СВТ, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к их монтажным схемам должны закрываться и опечатываться (пломбироваться) сотрудниками службы технической защиты информации ОРГАНИЗАЦИИ. О вскрытии (опечатывании) блоков ПЭВМ делается запись в «Журнале учета нештатных ситуаций, фактов вскрытия и опечатывания блоков ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств АРМ подразделения».

Повседневный контроль за целостностью и соответствием печатей (пломб) на системных блоках ПЭВМ должен осуществляться пользователями АРМ и администраторами безопасности информации (ответственными за безопасность информации подразделений ОРГАНИЗАЦИИ). Периодический контроль - сотрудниками службы технической защиты информации ОРГАНИЗАЦИИ.

Кадровая работа (подбор и подготовка персонала, обучение пользователей)

До начала этапа эксплуатации автоматизированной системы ее пользователи, а также необходимый руководящий и обслуживающий персонал должны быть ознакомлены с перечнем сведений, подлежащих засекречиванию и защите, в части их касающейся, и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения.

Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает с АС ОРГАНИЗАЦИИ. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС ОРГАНИЗАЦИИ, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.

Все сотрудники ОРГАНИЗАЦИИ, использующие при работе конкретные подсистемы АС ОРГАНИЗАЦИИ, должны быть ознакомлены с организационно-распорядительными документами по защите АС ОРГАНИЗАЦИИ в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации при использовании АС. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться начальниками подразделений под роспись.

Подразделения технической защиты информации

Для непосредственной организации (построения) и эффективного функционирования системы защиты информации в ОРГАНИЗАЦИИ должна быть создана специальная служба технической защиты информации.

Служба технической защиты информации должна представлять собой систему штатных или нештатных подразделений, предназначенных для организации квалифицированной разработки (совершенствования) системы защиты информации и организационного (административного) обеспечения ее функционирования во всех подразделениях ОРГАНИЗАЦИИ.

На эти подразделения целесообразно возложить решение следующих основных задач:

· проведение в жизнь политики обеспечения безопасности информации, определение требований к системе защиты информации;

· организация мероприятий и координация работ всех подразделений ОРГАНИЗАЦИИ по комплексной защите информации;

· контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

Основные функции подразделения безопасности заключаются в следующем:

· формирование требований к системе защиты в процессе создания (развития) АС ОРГАНИЗАЦИИ;

· участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;

· планирование, организация и обеспечение функционирования системы защиты информации в процессе функционирования АС;

· распределение между пользователями необходимых реквизитов защиты;

· наблюдение за функционированием системы защиты и ее элементов;

· организация проверок надежности функционирования системы защиты;

· обучение пользователей и персонала АС правилам безопасной обработки информации;

· регламентация действий и контроль за администраторами баз данных, серверов и сетевых устройств (за сотрудниками, обеспечивающими правильность применения имеющихся в составе ОС, СУБД и т.п. средств разграничения доступа и других средств защиты информации);

· взаимодействие с ответственными за безопасность информации в подразделениях ОРГАНИЗАЦИИ;

· контроль за соблюдением пользователями и персоналом АС установленных правил обращения с защищаемой информацией в процессе ее автоматизированной обработки;

· принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус службы защиты определяется следующим образом:

· численность службы защиты должна быть достаточной для выполнения всех перечисленных выше функций;

· служба защиты должна подчиняться лицу, которое несет персональную ответственность за соблюдение правил обращения с защищаемой информацией;

· персонал службы защиты не должен иметь других обязанностей, связанных с функционированием АС;

· сотрудники службы защиты должны иметь право доступа во все помещения, где установлена аппаратура АС ОРГАНИЗАЦИИ и право прекращать автоматизированную обработку информации при наличии непосредственной угрозы для защищаемой информации;

· руководителю службы защиты должно быть предоставлено право запрещать включение в число действующих новые элементы АС ОРГАНИЗАЦИИ, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности информации;

· службе защиты информации должны обеспечиваться все условия, необходимые для выполнения своих функций.

Для решения задач, возложенных на подразделение защиты информации, его сотрудники должны иметь следующие права:

· определять необходимость и разрабатывать нормативные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность сотрудников подразделений ОРГАНИЗАЦИИ;

· получать информацию от сотрудников подразделений ОРГАНИЗАЦИИ по вопросам применения информационных технологий и эксплуатации АС;

· участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке комплексов задач (задач);

· участвовать в испытаниях разработанных комплексов задач (задач) по вопросам оценки качества реализации требований по обеспечению безопасности информации;

· контролировать деятельность сотрудников подразделений ОРГАНИЗАЦИИ по вопросам ОБИ.

В состав подразделения защиты информации должны входить следующие специалисты:

· ответственные за администрирование средств защиты от НСД (выбор, установка, настройка, снятие средств защиты, просмотр журналов регистрации событий, оперативный контроль за работой пользователей и реагирование на события НСД и т.п.);

· ответственные за администрирование криптографических средств защиты (установка, настройка, снятие СКЗИ, генерация и распределение ключей и т.д.);

· ответственные за решение вопросов защиты информации в разрабатываемых программистами и внедряемых прикладных программах (участие в разработке технических заданий по вопросам защиты информации, выбор средств и методов защиты, участие в испытаниях новых прикладных программ с целью проверки выполнения требований по защите информации и т.д.);

· специалисты по защите от утечки информации по техническим каналам.


Дата добавления: 2018-02-15; просмотров: 244;