Организация и технология защиты конфиденциальной информации в информационных системах. Методическое пособие для студентов

– журналы учета, установленные настоящей Инструкцией.

Технические средства:

– средства защиты от несанкционированного доступа к персональным компьютерам, программному обеспечению, сетям и информации;

– криптографические средства защиты компьютерной информации;

– средства защиты некомпьютерной информации.

2.2. Функции исполнительных органов

2.2.1. Управление по защите информации

Управление по защите информации является основным методическим, координирующим и контрольным органом по вопросам информационной безопасности и исполняет эти функции в соответствии с Положением о Дирекции по безопасности и защите информации. В рамках этих функций Управление по защите информации:

– разрабатывает и проводит в жизнь концепцию обеспечения информационной безопасности ХХХХ;

– разрабатывает руководящие документы;

– разрабатывает методические документы;

– подготавливает для Члена Правления – Директора по безопасности и защите информации и принятия Правлением ХХХХ решения по вопросам информационной безопасности;

– организует и осуществляет взаимодействие с другими подразделениями ХХХХ, его дочерними зависимыми обществами (далее по тексту – ДЗО) и филиалов;

– взаимодействует с государственными органами и сторонними организациями;

– организует и совместно с подразделениями ХХХХ проводит первичное и контрольные информационные обследования;

– совместно с Управлением информационных систем и технологий и заинтересованными подразделениями разрабатывает требования и решения по защите информации для вновь принимаемых в эксплуатацию систем и средств информатизации;

– заказывает и закупает специальные средства защиты информации, контролирует и сопровождает их эксплуатацию после внедрения;

– контролирует эффективность принимаемых мер по обеспечению информационной безопасности, проводит общую оценку ее состояния;

– проводит плановые и внезапные проверки состояния информационной безопасности в подразделениях;

– консультирует и обучает сотрудников по вопросам информационной безопасности.

2.2.2. Руководители подразделений

ХХХХ Руководители структурных подразделений ХХХХ несут персональную ответственность за организацию системы информационной безопасности в подчиненном подразделении и решают следующие задачи:

– осуществляют руководство работой по обеспечению информационной безопасности в подразделении;

– организуют проведение первичного и контрольных информационных обследований подразделения, совместно с начальником Управления по защите информации утверждают Актами результаты информационных обследований;

– после согласования с Членом Правления – Директором по безопасности принимают решение о предоставлении прав доступа к информации подразделения сотрудникам подчиненного подразделения и передают эти решения администратору сети для реализации;

– ходатайствуют перед руководителями других подразделений о предоставлении прав доступа к информации этих подразделений сотрудникам подчиненного подразделения;

– совместно с Управлением по защите информации и Управлением информационных систем и технологий участвует в разработке решений по защите информации для вновь принимаемых в эксплуатацию в подразделении объектов информатизации;

– готовят и направляют в Управление по защите информации заявки на установку специальных средств защиты информации, обучение сотрудников по вопросам информационной безопасности;

– взаимодействуют с Управлением по защите информации по вопросам организации информационной безопасности.

2.2.3. Сотрудники подразделений

ХХХХ Сотрудники подразделений несут ответственность за соблюдение информационной безопасности на закрепленных участках работы. Сотрудники подразделений:

– выполняют индивидуальные процедуры получения доступа к объектам информатизации и защищаемой информации;

– эксплуатируют пользовательские средства защиты информации, установленные на рабочих местах (если такие имеются);

– контролируют состояние информационной безопасности на своих рабочих местах.

2.2.4. Администратор сети

Функции администратора сети возлагаются на штатного сотрудника Управления информационных систем и технологий, в обязанности которого входит администрирование локальной вычислительной сети ХХХХ. По вопросам обеспечения безопасности информации администратор сети подчиняется начальнику Управления по защите информации. Администратор сети:

– составляет и ведет информационную схему сети;

– проводит совместно с сотрудниками Управления по защите информации первичное и контрольные информационные обследования сети, подписывает протоколы и частные Акты обследований;

– эксплуатирует централизованные средства защиты информации в сети (если такие есть);

– контролирует выполнение пользователями сети требований информационной безопасности и правильность эксплуатации пользовательских средств защиты информации (если такие есть), принимает меры к устранению недостатков и письменно сообщает о замеченных недостатках начальнику Управления по защите информации;

– выполняет технологические операции по предоставлению прав доступа к ресурсам сети пользователям, которым эти права предоставлены решениями руководителей подразделений, согласованными с Управлением по защите информации;

– взаимодействует с Управлением по защите информации по всем перечисленным вопросам.

2.3. Информационное обследование

Информационное обследование включает в себя первичное обследование, проводящееся однократно при создании системы информационной безопасности, и контрольные обследования, проводящиеся по мере необходимости актуализации сведений об информационной системе.

Первичное информационное обследование имеет целью составление полной информационной схемы и категорирование информации, объектов информатизации, помещений и сотрудников подразделений ХХХХ.

Обследование состоит в полной проверке всех имеющихся рабочих мест на наличие на них информации, средств информатизации, программных продуктов и составления комплекта документов, содержащих спецификацию этих средств с точки зрения информационной безопасности и закрепляющих их текущее состояние.

Обследование проводится отдельно по подразделениям, а также в локальной вычислительной сети.

Мероприятия обследования подразделения организует руководитель подразделения, а непосредственно проводят сотрудники Управления по защите информации, администратор сети и, при необходимости, сотрудники подразделения. Результатом обследования подразделения являются документы:

1) Информационная схема подразделения (исполняется руководителем подразделения) в составе:

– инвентарный план размещения средств информатизации и средств защиты информации подразделения с указанием их технических характеристик;

– перечень программных продуктов, установленных на каждом из средств информатизации или доступных с этого средства в сети и информации, обрабатываемой этими программными продуктами;

– список сотрудников подразделения с указанием закрепленных за ними средств информатизации и выделенных для них прав доступа;

2) Протоколы категорирования:

– информации;

– средств информатизации;

– помещений подразделения;

– сотрудников управления;

3) Протокол выявленных недостатков по обеспечению информационной безопасности с рекомендациями по ее совершенствованию;

4) Частный Акт информационного обследования подразделения, закрепляющий текущее состояние информационной системы, описанное в Информационной схеме, подписываемый администратором сети и сотрудником Управления по защите информации и утверждаемый начальником Управления по защите информации;

5) План устранения недостатков и реализации рекомендаций информационного обследования.

Мероприятия обследования локальной вычислительной сети организует начальник Управления информационных систем и технологий, а непосредственно проводят сотрудники Управления по защите информации и администратор сети. Результатом обследования сети являются документы:

1) Информационная схема локальной вычислительной сети (исполняется администратором сети) в составе:

– топологическая схема сети с указанием трасс прокладки кабелей, мест размещения серверов, сетевого оборудования и рабочих станций, привязанная к поэтажному плану здания;

– перечень программных продуктов, установленных в сети и информации, обрабатываемой этими программными продуктами;

– список пользователей сети с указанием выделенных им прав доступа;

2) Протокол категорирования программных продуктов и информации сети;

3) Протокол выявленных недостатков по обеспечению информационной безопасности с рекомендациями по ее совершенствованию;

4) Частный Акт информационного обследования локальной вычислительной сети, закрепляющий текущее состояние информационной системы, описанное в Информационной схеме, подписываемый администратором сети и сотрудником Управления по защите информации и утверждаемый начальником Управления по защите информации;

5) План устранения недостатков и реализации рекомендаций информационного обследования.

Контрольные информационные обследования проводятся по планам Управления по защите информации и вне планов в случаях:

– реорганизации подразделений;

– крупных изменений в системе делопроизводства, составе оборудования и программного обеспечения;

– перемещений подразделений в другие помещения.

2.4. Категорирование

Категорирование – это специальная классификация различных объектов, имеющих отношение к информационной системе ХХХХ, по признаку конфиденциальности используемой информации и, соответственно, требуемого уровня ее защиты. В ходе категорирования все объекты разбиваются на группы (категории), для каждой из которых разрабатывается собственный уникальный комплекс мер защиты.

Категорированию подвергаются:

– используемая информация;

– средства;

– помещения;

– сотрудники подразделений.

Категорирование производится в ходе первичного информационного обследования и уточняется при контрольных обследованиях. Настоящей Инструкцией вводятся следующие категории объектов информационной системы:

2.5. Документирование

Основной формой документа в системе информационной безопасности является двусторонний Акт, который составляется и подписывается сотрудниками подразделения, в котором проводится мероприятие, с одной стороны, и сотрудниками Управления по защите информации с другой стороны. Акт утверждается начальником этого подразделения и начальником Управления по защите информации. К Акту прилагаются необходимые в каждом конкретном случае документы: протоколы, справки, схемы и т.д., исполненные в произвольной форме.

По решению Члена Правления – Директора по безопасности и защите информации Акты могут докладываться для ознакомления и принятия решения Правлению ХХХХ.

В обязательном порядке составляются Акты в следующих случаях:

– при проведении первичного и контрольных информационных обследований;

– при проведении проверок состояния информационной безопасности Управлением по защите информации;

– при предоставлении или изменении прав доступа к информации, средствам информатизации и сотрудникам;

– при выявлении нарушений информационной безопасности и их устранении.

2.6. Обучение персонала

Сотрудники ХХХХ (администратор сети, сотрудники Управления по защите информации), непосредственно принимающие участие в обеспечении информационной безопасности, могут направляться на специальное обучение. Остальные сотрудники ХХХХ проходят инструктаж.

3.1. Общие положения

Обеспечение информационной безопасности включает комплекс повседневно проводимых мероприятий, а именно:

– допуск (предоставление прав доступа) к информации, средствам информатизации и в помещения;

– доступ к информации, средствам информатизации и в помещения в соответствии с предоставленными правами;

– содержание средств информатизации;

– обеспечение безопасности информации;

– использование средств защиты информации;

– контроль состояния информационной безопасности;

– действия в случае выявления нарушений информационной безопасности;

– инструктаж по информационной безопасности.

3.2. Допуск

Допуск – это комплекс мероприятий, проводимых с целью предоставления прав доступа сотрудникам ХХХХ, представителям сторонних организаций и посетителям в помещения, к средствам информатизации и к информации ХХХХ.

Допуск заключается в предоставлении соответствующих прав доступа и документальном закреплении их за конкретным лицом, которому они предоставляются.

Право предоставления допуска имеет только руководитель подразделения, в ведении которого находятся объекты, к которым допускается указанное лицо, после обязательного согласования с Членом Правления – Директором по безопасности и защите информации. Руководитель подразделения полностью отвечает за соответствие уровня допуска задачам, решаемым допускаемым лицом. При этом должен строго соблюдаться принцип предоставления сотрудникам минимальных прав, достаточных для выполнения задач.

Допуск может предоставляться:

– сотрудникам своего подразделения;

– сотрудникам других подразделений;

– сотрудникам сторонних организаций, выполняющим работы по заказу ХХХХ с заключением контракта; сотрудникам государственных органов, имеющим соответствующие полномочия;

– посетителям.

Различаются постоянный и разовый допуск. Постоянный допуск предоставляется только сотрудникам ХХХХ или представителям сторонних организаций, выполняющим работы по контракту. Разовый допуск предоставляется как сотрудникам ХХХХ, так и иным лицам, в том числе посетителям.

Порядок действий по предоставлению допуска зависит от того, к какому объекту допускается лицо, какова категория этого объекта, постоянный это допуск или разовый и кому он предоставляется: сотруднику своего подразделения, сотруднику другого подразделения, представителю сторонней организации или посетителю.

Допуск оформляется в письменной форме – для объектов категорий И-0, И-1, С-0, С-1, П-0, П-3 лицам, занимающим должности категорий Д-1…Д-3. Должностные лица категории Д-0 имеют допуск ко всей информации ХХХХ по положению. Лица категорий Д-5…Д-7 получают ограниченный допуск к отдельным массивам информации.

Допуск к объектам категорий И-2, С-2, П-4 обеспечивается устными распоряжениями руководителей подразделений.

Допуск к объектам категории П-1 предоставляется лицам всех категорий секретарями по указанию соответствующих руководителей.

Допуск к объектам категории П-2 может быть только разовым и осуществляется лицами, ответственными за организацию заседаний, совещаний и других мероприятий.

Постоянный допуск во всех случаях оформляется Актом, который составляется в подразделении в 2-х экземплярах, подписывается его сотрудниками, согласовывается с Членом Правления – Директором по безопасности и защите информации и утверждается руководителем подразделения. Допускается составление одного общего Акта сразу на нескольких сотрудников. В Акте для каждого сотрудника указываются подразделение, должность, фамилия, имя, отчество, перечень объектов, к которым предоставляется доступ, с указанием категории каждого объекта, цели доступа и предоставляемых прав, календарный период, на который предоставляется допуск. Первый экземпляр Акта хранится в Управлении по защите информации, второй экземпляр Акта хранится в подразделении.

Сотрудникам других подразделений руководитель подразделения предоставляет постоянный допуск к подведомственным объектам на основании служебных записок от руководителей соответствующих подразделений согласованных с Членом Правления – Директором по безопасности и защите информации.

Максимальный срок постоянного допуска – 1 год, после чего он должен переоформляться.

Постоянный допуск сотрудникам сторонних организаций, выполняющим работы по контракту, предоставляется руководителем подразделения, ответственного за сопровождение контракта, после согласования с Членом Правления – Директором по безопасности и защите информации при условии, что в контракте предусмотрены обязательства партнера по выполнению требований информационной безопасности и сохранению коммерческой тайны.

Разовый допуск предоставляется руководителем подразделения после согласования с Членом Правления – Директором по безопасности и защите информации и оформляется письменно:

– сотрудникам своего подразделения – соответствующей записью в Журнале учета доступа за подписью руководителя подразделения;

– сотрудникам других подразделений – на основании служебной записки на имя начальника допускающего подразделения, соответствующей записью в Журнале учета доступа за подписью руководителя подразделения;

– сотрудникам сторонних организаций, выполняющих работы по контракту, на основании служебной записки от подразделения, ответственного за проведение работ, на имя начальника допускающего подразделения, соответствующей записью в Журнале учета доступа за подписью руководителя подразделения;

– посетителям – соответствующей записью в Журнале учета доступа за подписью руководителя подразделения.

Не может быть предоставлен допуск:

– постоянный и разовый – сотрудникам сторонних организаций и посетителям к информации категории И-0 (посетителям – также и к информации категории И-1);

– постоянный и разовый – сотрудникам сторонних организаций и посетителям к средствам категорий С-0, С-1, если технически не исключена возможность их несанкционированного использования;

– постоянный – сотрудникам сторонних организаций в помещения категорий П-0, П-1, и П-2;

– постоянный и разовый – посетителям в помещения категорий П-0 и П-3;

– постоянный – посетителям в помещения категорий П-1, П-2.

Представителям государственных органов может быть предоставлен допуск к любым объектам информационной системы, но только разовый и в строгом соответствии с имеющимися у них полномочиями. Необходимость допуска письменно в обязательном порядке согласовывается с Членом Правления – Директором по безопасности и защите информации.

Сотрудникам охраны (дежурных смен) предоставляется допуск во все помещения, категорированные по информационной безопасности, для выполнения ими обязанностей по обеспечению физической безопасности объектов.

3.3. Доступ

Доступ – это совокупность действий, выполняемых сотрудниками подразделений:

– с целью получения возможности использования информации в соответствии с имеющимся у них допуском;

– с целью предоставления возможности использования информации сотрудниками других подразделений, сторонних организаций, государственных органов и посетителями.

Таким образом, действия по доступу выполняются только сотрудниками допускающего подразделения, даже если допускаются иные лица.

Порядок доступа в помещения категории П-0…П-2 определяется Правлением ХХХХ индивидуально. Учет доступа в помещения категории П-3 ведут сотрудники охраны (ЧОП). Доступ в помещения категории П-4 не учитывается. Учет доступа к средствам информатизации и информации в локальной вычислительной сети ведет администратор сети.

Для учета доступа в отделе информационных технологий и в охране (ЧОП) заводятся Журналы учета доступа, в которых регистрируются факты получения доступа в зависимости от вида объекта информационной системы и его категории. Учету в Журнале доступа подлежат все факты предоставления доступа всем лицам, имеющим разовый допуск к информационным объектам категорий П-0, С-0, С-1, И-0, И-1.

Общая задача доступа подразделяется на подзадачи:

– доступ в помещения;

– доступ к средствам информатизации;

– доступ к программным продуктам и информации.

Действия по осуществлению доступа подразделяются на организационные и технические.

Ответственность за организацию доступа несет руководитель подразделения, а за правильное выполнение действий по доступу – сотрудник, их выполняющий.

3.3.1. Доступ в помещения

Доступ в помещения сотрудников, чьи рабочие места находятся в этих помещениях, осуществляется в соответствии с Инструкцией о пропускном режиме охраны (ЧОП) с учетом присвоенных этим помещениям категорий информационной безопасности.

Доступ в помещения сотрудников своего подразделения и сотрудников других подразделений, чьи рабочие места расположены в других помещениях, зависит от категории помещения:

– в помещения категории П-0 доступ возможен только при наличии соответствующего допуска через того из сотрудников, работающих в помещении, к которому этот посетитель прибыл;

– в помещения категории П-3 и П-4 доступ свободный.

Доступ в помещения сотрудников сторонних организаций и представителей государственных органов возможен только при наличии соответствующего допуска через того из сотрудников, работающих в помещении, к которому этот посетитель прибыл.

Доступ в помещения категории П-1 контролируется в рабочее время секретарями, в нерабочее время сотрудниками охраны. Нахождение в этих помещениях кого бы то ни было, кроме владельцев кабинетов, секретарей и сотрудников охраны, без сопровождения секретарей (в рабочее время) или сотрудников охраны (в нерабочее время) строго запрещается.

Технические действия по доступу в помещения зависят от того, оборудованы ли помещения соответствующими техническими средствами и, как правило, состоят в снятии помещения с контроля системой охранной сигнализации и вскрытие помещения установленным порядком в начале рабочего дня.

Организационные действия по доступу в помещения выполняются сотрудниками, работающими в них, и заключаются в:

– проверке состояния помещения и находящихся в нем средств информатизации при вскрытии помещения и перед его закрытием;

– принятии мер по недопущению в помещения посторонних лиц, не имеющих допуска или нарушающих правила доступа;

– учете доступа в помещения в Журнале учета доступа там, где это необходимо.

Порядок доступа в помещения сотрудников охраны:

– в помещения категории П-0…П-3 – только в случаях прямой необходимости, в рабочее время вместе с сотрудником, работающим в данном помещении, в нерабочее время

– с последующим составлением служебной записки на имя Генерального директора ЧОП за подписью начальника смены с изложением причин доступа и описанием состояния помещения; в помещения категории П-4 – без ограничений.

3.3.2. Доступ к средствам информатизации

Доступ к средствам информатизации, находящимся на рабочих местах сотрудников (далее – «ответственные за средства информатизации»), осуществляется этими сотрудниками без ограничений.

Доступ к средствам информатизации сотрудников других подразделений, представителей сторонних организаций, представителей государственных органов и посетителей осуществляется в зависимости от категории:

– к средствам информатизации категорий С-0, С-1 – только при наличии допуска. При этом непосредственное использование средства информатизации осуществляется сотрудником, ответственным за него, а лицо, получившее доступ, присутствует при этом;

– к средствам информатизации категории С-2 – самостоятельно и без ограничений.

Для средств информатизации категорий С-0 и С-1 в отделе информационных технологий должен быть заведен Аппаратный журнал, в котором отражаются все критичные операции и события (выход из строя, ремонт, техобслуживание и т.п.), а также операции по обеспечению информационной безопасности.

Управлению информационных систем и технологий категорически запрещёно подключение средств информатизации категорий С-0 и С-1 к ресурсам и сервисам международной компьютерной сети Internet. Локальная вычислительная сеть, имеющая в своём составе средства информатизации категорий С-0 и С-1 не может иметь выход в международную сеть Internet.

Технические действия по осуществлению доступа заключаются в:

– включении питания;

– преодолении установленным порядком имеющихся средств защиты доступа (замок, вход по паролю, идентификация пользователя и др.). Организационные действия заключаются в: