Пояснительная записка (Определение норм и правил менеджмента информационной безопасности в государственном органе власти), страница 3

На рисунке 2.3 показана иерархия документов в области информационной безопасности. Политика безопасности должна являться документом первого уровня в организации. Остальные документы (инструкции, процедуры и так далее) в области безопасности находятся на втором уровне.

Рисунок 2.3 – Иерархия документов информационной безопасности

1. Организационные вопросы информационной безопасности

1. Обязательства руководства по отношению к информационной безопасности

Руководство должно поддерживать обеспечению информационной безопасности с помощью разделения обязанностей и необходимых назначений на должности.

Руководство может выполнять следующее:

• формулировать и утверждать политику информационной безопасности;

• анализировать эффективность политики безопасности;

• выделять ресурсы, необходимые для обеспечения информационной безопасности;

• создавать программы для повышения осведомленности пользователей в области информационной безопасности;

• при необходимости привлекать сторонних специалистов по информационной безопасности.

1. Координация вопросов информационной безопасности

Координация вопросов информационной безопасности должна включать участие представителей различных подразделений. Это позволит быть уверенным в том, что:

• осуществление информационной безопасности осуществляется в соответствии с политикой безопасности;

• выявляются инциденты в области безопасности и в ответ на эти инциденты разрабатываются соответствующие действия;

• обеспечивается осведомленности персонала в организации в области информационной безопасности.

1. Разделение обязанностей по обеспечению информационной безопасности

Обязанности в области информационной безопасности должны быть разделены. Разделять обязанности нужно в соответствии с политикой безопасности. Те лица, на которых возложены обязанности, могут распределять эти обязанности между другими лицами, но ответственность будет нести первоначальное лицо. Нужно назначить ответственность за активы и описать обязанности лиц, отвечающих за них.

При необходимости, обязанности по защите активов можно дополнять отдельными документами, такими как инструкции или руководства.

1. Соглашение о неразглашении

Требования для соглашения о неразглашении должны периодически пересматриваться и отвечать потребностям организации в области защиты информации. Соглашение должно быть составлено таким образом, чтобы оно имело юридическую силу. Кроме того, в соглашении нужно определить:

• информацию, которая не должна быть разглашена;

• срок действия соглашения;

• обязанности лиц, подписавших соглашение;

• право организации осуществлять мониторинг деятельность, связанную с конфиденциальной информацией;

• разрешенное использование информации и права лиц, подписавших соглашение;

• ответственность лиц за нарушение данного соглашения о неразглашении.

При необходимости, в организации может использоваться несколько соглашений о неразглашении.

1. Контакты с другими инстанциями и профессиональными группами

В организации нужно разработать инструкции для контакта с различными организациями, такими как: органы правопорядка, пожарная и налоговая инспекция, Интернет-провайдеры. Кроме организаций такого рода, можно поддерживать контакты со специализированными группами по информационной безопасности. Это может обеспечить:

• быстрого получения информационных сообщений, исправлений для программного обеспечения;

• получение консультаций в области информационной безопасности;

• получение информации о новых информационных технологиях, угрозах и уязвимостей.

При передаче третьим сторонам конфиденциальную информацию, то нужно создать соглашение о конфиденциальности. В соглашении нужно описать:

• описание информации, подлежащей защите;

• ответственность сторон за нарушение договора;

• срок действия договора;

• действия, которые должны быть предприняты в случае нарушения договора.

1. Взаимодействие со сторонними организациями

При необходимости предоставления доступа к информационной системе сторонней организации, нужно описать следующее:

• какие средства обработки информации используются сторонней организацией;

• сотрудники, которые будут иметь доступ к средствам обработки информации;

• каким образом осуществляется доступ сотрудников к этим средствам обработки информации;

• описать услуги, предоставляемые организацией;

• инструкции, на случай возникновения инцидентов информационной безопасности;

• правовые и нормативные документы, на основании которых должна регулироваться деятельность.

• Все сотрудники сторонней организации должны быть ознакомлены со своими обязанностями и берут на себя ответственность в отношении обработки информации.

1. Определение ценных активов организации

В любой организации существуют активы, которые должны быть описаны. Все активы необходимо идентифицировать, то есть обозначить их местоположение, описать формат актива, существует ли резервирование данного актива, какую ценность он имеет для организации. Активами могут являться:

• информация: базы данных, системная документация, эксплуатационная документация, договора, планы непрерывности деятельности;

• физические средства: персональные компьютеры, серверы;

• персонал;

• программное обеспечение.

Каждому активу должен быть назначен владелец, который должен нести ответственность за сохранность актива и обеспечение его безопасности. Можно возложить некоторые обязанности на сотрудника, ежедневно работающего с активом, но ответственность должна сохраняться на владельце актива.

1. Классификация информации

Следует классифицировать информацию, учитывая её критичность для организации или законодательные требования. Нужно назначить период времени, после которого следует производить пересмотр информации, поскольку её критичность для организации может измениться. Классификацией и пересмотром должен заниматься владелец актива.

1. Процедуры при трудоустройстве, выполнении трудовых обязанностей и прекращении деятельности

1. При трудоустройстве

При найме сотрудников на работу необходимо иметь уверенность том, что сотрудники имеют достаточную квалификацию для выполнения своих служебных обязанностей для минимизации рисков из-за человеческого фактора. Новые сотрудники обязаны подписывать соглашение о неразглашении, если такое имеется в организации и обязаны ознакомиться со своими обязанностями в области информационной безопасности.

Предварительная проверка кандидата, должна осуществляться в соответствии с законодательством и должна включать:

• положительные рекомендации кандидата;

• проверка кандидата на точность указанной биографии;

• подтверждение документов об образовании.

В организации должны существовать процедуры проверки кандидата, должен быть создан список сотрудников, которые имеют на это право, и нужно описать случаи, в которых такая проверка должна проводиться.

1. Требования к сотруднику при выполнении должностных обязанностей

Сотрудник должен быть осведомлён об политики информационной безопасности, об угрозах информационной безопасности, об ответственности за нарушение информационной безопасности и обязательствах. Также сотрудник должен быть ознакомлен с требованиями иной организационно-учредительной документацией Учреждения в области информационной безопасности.

Сотрудник обязан выполнять все требования безопасности и должен знать, что за невыполнение требований организационно-учредительной документации в отношении него может быть начато рассмотрение дисциплинарного процесса.

1. Прекращение работы сотрудника

При прекращении деятельности сотрудника в организации, он обязан вернуть всё оборудование, которые было ему предоставлено на время работы и должны аннулироваться все права доступа. Если нужно, то устанавливается время, в течение которого, на сотрудника ещё продолжают действовать некоторые обязанности. Если сотрудник использовал свои технические средства для работы, то надо убедиться в том, что значимая информация была удалена или передана в организацию.

1. Расследование нарушений информационной безопасности

Если по вине сотрудника произошло нарушение информационной безопасности, то стоит начать дисциплинарный процесс. При рассмотрении дисциплинарного нарушения, необходимо учитывать такие факторы как: тяжесть нарушения и его последствия для Учреждения, впервые ли сотрудник совершает нарушение или повторно и иные факторы. В зависимости от тяжести нарушения, должны быть предусмотрены меры такие как: аннулирование всех прав, привилегий пользователя.

1. Обучение персонала и осведомление в области информационной безопасности

Сотрудники организации должны периодически проходить обучение в целях осведомления о новых требованиях, правил и процедур в Учреждении, правовой ответственности, правил использования средств защиты. Обучение должно соответствовать уровню квалификации сотрудника и обязанностям сотрудника. Это может позволить сотрудникам распознавать инциденты информационной безопасности и правильное реагировать на них.

1. Управление инцидентами информационной безопасности

В любом учреждении могут происходить инциденты информационной безопасности, а с учётом использования средств автоматизации их число только увеличивается. Существует множество инцидентов информационной безопасности, таких как отказ в обслуживании, кража конфиденциальных данных, взломы серверов, несанкционированный доступ. Таким образом, инциденты могут быть внутренними и внешними.

Внутренний инцидент – это инцидент, источник которого связан с учреждением (например, сотрудник).

Внешний инцидент – это инцидент, источник которого не связан с учреждением.

1. Информирование об инцидентах

При инциденте информационной безопасности, пользователь должен знать, каким образом он должен сообщить в отдел информационной безопасности. Поэтому должна быть внедрена процедура информирования об инцидентах информационной безопасности, содержащая описание действий пользователя. Должно быть назначено контактное лицо, для уведомления от сотрудников об инцидентах. Сотрудники должны быть ознакомлены с этой процедурой. Нужно обеспечить обратную связь, то есть сотрудник должен знать, что проблема была решена.

Нужно разработать процедуры, которые необходимо выполнять при инцидентах безопасности, поскольку инциденты могут быть разными, например, вредоносное программное обеспечение или отказ в обслуживании. Затем нужно проанализировать случившийся инцидент и разработать действия для дальнейшего предотвращения такого рода инцидентов.

Случившийся инцидент безопасности в дальнейшем можно использовать с целью повышения осведомлённости пользователей во время их обучения.

1. Доказательства инцидента информационной безопасности

В организации нужно предусмотреть вероятность того, что результат инцидента может привести к судебному иску. Доказательства могут быть в электронном виде или бумажном. В случае бумажных документов, нужно хранить оригинал в безопасном месте, нужно зафиксировать кто, когда и где обнаружил документ.

В случае информации в электронном виде, должна быть создана копия файлов, процесс копирования должен протоколироваться и все это должно храниться в защищенном месте.

1. События информационной безопасности

В организации должны быть определены возможные события безопасности, которые подлежат регистрации. Минимальный набор событий для регистрации в журнал должен быть таким [4]:

• вход (выход), а также попытки входа пользователей в информационную систему и загрузки операционной системы;

• подключение машинных носителей информации и вывод информации на носители информации;

• запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации;

• попытки доступа программных средств к определяемым организацией защищаемым объектам доступа и иным объектам доступа;

• попытки удаленного доступа;

• блокировка учётной записи, в случае неверного ввода пароля;

• попытки доступа к файлам и папкам, к которым у пользователя нет разрешений;

• запуск и завершение процессов;

• смена пароля;

• создание, изменение, удаление учётных записей.

1. Физическая безопасность

1. Контроль доступа

В организации нужно определить зоны, в которых находится информация и технические средства обработки информации. При создании контролируемой зоны необходимо:

• точно определен периметр контролируемой зоны;

• создать пропускной пункт для обеспечения контролируемого доступа в пределы контролируемой зоны.

Нужно обеспечить контроль доступа в контролируемую зону через пропускной пункт, для этого нужно рассмотреть:

• регистрацию всех проходов через пропускной пункт с регистрацией даты и времени;

• сопровождение посторонних, не имеющих доступ в пределы контролируемой зоны;

• доступ в помещения, где находится информация и средства обработки информации должен быть только у авторизированных лиц;

• правила доступа нужно периодически пересматривать.

1. Защита от внешних угроз и окружающей среды

В организации должна быть разработана защиты от стихийных бедствий, для этого нужно:

• хранить материалы (например, легковоспламеняющиеся или большие количества бумаги) на расстоянии от контролируемой зоны или таким образом, чтобы уменьшить их влияние в случае стихийного бедствия;

• организовать хранение резервного оборудования так, чтобы оно не было повреждено в результате стихийного бедствия.

1. Работы в контролируемой зоне

При проведении работ в контролируемой зоне, нужно обеспечить безопасность и устранение возможности неконтролируемого нахождения посторонних. Пребывание посторонних должно контролироваться, должна быть ограничена возможность доступа в ненужные для работы помещения и должно быть запрещено использование записывающего оборудования.

1. Зоны общего доступа и отгрузки

Зоны общего доступа и отгрузки должна быть под наблюдением, поскольку через такие зоны может быть осуществлено несанкционированное проникновение в пределы контролируемой зоны.

1. Обеспечение безопасности технических средств

1. Размещение оборудования

Оборудование нужно устанавливать таким образом, чтобы взаимодействие сотрудников с ним было минимальным. Устройства вывода, к которым относятся мониторы, принтеры, необходимо разместить так, чтобы исключить несанкционированный просмотр информации. Размещать устройства вывода стоит размещать задней частью по отношению к окнам и дверным проёмам.