В данном разделе необходимо описать первоочередные действия, которые предстоит исполнить в ближайшее время, описать аппаратно-программный комплекс, который обеспечит информационную безопасность организации.

1. 3.2 Разработка политики ИБ и выбор решений по обеспечению политики ИБ

В основе организационных мер защиты информации лежит политика безопасности, от эффективности которой в наибольшей степени зависит успешность мероприятий по обеспечению информационной безопасности.

Под политикой информационной безопасности понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов организации. Это позволяет обеспечить эффективное управление и поддержку политики в области информационной безопасности со стороны руководства организации.

Политика безопасности строится на основе анализа рисков. С учетом рисков, выявленных в организации, политика информационной безопасности для организации должна содержать семь разделов:

-«Введение». Необходимость появления политики безопасности на основании выявленных недостатков в информационной безопасности ООО «Стиль»;

-«Цель политики». В этом разделе документа для ООО «Стиль» необходимо отразить цели создания данного документа (в частности, для парольной политики – «установление стандартов для создания «сильных» паролей, их защиты и регулярной смены»);

-«Область применения». В данном разделе необходимо описать объекты или субъекты ООО «Стиль», которые должны выполнять требования данной политики (например, «данная политика применяется ко всем сотрудникам, имеющим любую форму доступа к любым информационным ресурсам компании»);

-«Политика». В данном разделе необходимо описать сами требования к информационной безопасности (например, парольная политика должна содержать пять подразделов: «Создание паролей», «Изменение паролей», «Защита паролей», «Использование паролей при разработке приложений», «Использование паролей при удаленном доступе»);

-«Ответственность». Описывает наказание за нарушение указанных в предыдущем разделе требований;

-«История изменений данной политики». Дает возможность отследить все вносимые в документ изменения (дата, автор, краткая суть изменения).

Такая структура позволит лаконично описать все основные моменты, связанные с предметом политики безопасности организации, не «привязываясь» к конкретным техническим решениям, продуктам и производителям. Иначе изменение политической ситуации в компании и т. п. приведет к необходимости изменения концепции ИБ, а этого происходить не должно.

Кроме того, в политике безопасности организации должны быть определены обязанности должностных лиц по выработке программы безопасности и проведению ее в жизнь. В этом смысле политика безопасности является основой подотчетности персонала.

1. 3.2.1 Административный уровень ИБ

К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации.

Главная цель мер административного уровня - сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство компании должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов, а также назначить ответственных за разработку, внедрение и сопровождение системы безопасности. Для ООО «Стиль» актуальным является создание службы информационной безопасности в составе 3 человек, которые будут отвечать за разработку, внедрение и совершенствование системы безопасности.

С практической точки зрения политику безопасности целесообразно рассматривать на трех уровнях детализации. К верхнему уровню можно отнести решения, затрагивающие организацию в целом. Они носят весьма общий характер и исходят от руководства организации. Список решений этого уровня включает в себя следующие элементы:

• решение сформировать или пересмотреть комплексную программу обеспечения информационной безопасности, назначение ответственных за продвижение программы;

• формулировка целей, которые преследует организация в области информационной безопасности, определение общих направлений в достижении этих целей;

• обеспечение базы для соблюдения законов и правил;

• формулировка административных решений по тем вопросам реализации программы безопасности, которые должны рассматриваться на уровне организации в целом.

Для политики верхнего уровня цели организации в области информационной безопасности формулируются в терминах целостности, доступности и конфиденциальности. Так как компания отвечает за поддержание критически важной базы данных бухгалтерии, то на первом плане стоит задача уменьшение числа потерь, повреждений или искажений данных.

На верхний уровень выносится управление защитными ресурсами и координация использования этих ресурсов, выделение специального персонала для защиты критически важных систем и взаимодействие с другими организациями, обеспечивающими или контролирующими режим безопасности.

Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины. Во-первых, организация должна соблюдать существующие законы. Во-вторых, следует контролировать действия лиц, ответственных за выработку программы безопасности. Наконец, необходимо обеспечить определенную степень исполнительности персонала, а для этого нужно выработать систему поощрений и наказаний.

Вообще говоря, на верхний уровень следует выносить минимум вопросов. Подобное вынесение целесообразно, когда оно сулит значительную экономию средств или когда иначе поступить просто невозможно.

В документ, характеризующий политику безопасности компании необходимо включить следующие разделы:

• вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности;

• организационный, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности;

• классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;

• штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);

• раздел, освещающий вопросы физической защиты;

• управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями;

• раздел, описывающий правила разграничения доступа к производственной информации;

• раздел, характеризующий порядок разработки и сопровождения систем;

• раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;

• юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

К административным мероприятиям защиты, необходимым для проведения в бухгалтерии торговой компании, относятся:

• поддержка правильной конфигурации ОС;

• создание, ведение и контроль журналов работы пользователей в ИС с помощью встроенных механизмов программы 1С: Бухгалтерия 7.7;

• выявление «брешей» в системе защиты;

• проведение тестирования средств защиты;

• контроль смены паролей.

• 3.2.2 Организационный уровень ИБ

К организационным средствам защиты можно отнести организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы ИС и системы защиты на всех этапах их жизненного цикла. При этом организационные мероприятия играют двоякую роль в механизме защиты: с одной стороны, позволяют полностью или частично перекрывать значительную часть каналов утечки информации, а с другой – обеспечивают объединение всех используемых в ИС средств в целостный механизм защиты.

Организационные меры защиты базируются на законодательных и нормативных документах по безопасности информации. Они должны охватывать все основные пути сохранения информационных ресурсов и включать:

• ограничение физического доступа к объектам ИС и реализацию режимных мер;

• ограничение возможности перехвата информации вследствие существования физических полей;

• ограничение доступа к информационным ресурсам и другим элементам ИС путем установления правил разграничения доступа, криптографическое закрытие каналов передачи данных, выявление и уничтожение «закладок»;

• создание твердых копий важных с точки зрения утраты массивов данных;

• проведение профилактических и других мер от внедрения вирусов.

К организационно-правовым мероприятиям защиты, необходимыми для проведения в бухгалтерии ООО «Стиль» относятся:

• организация и поддержание надежного пропускного режима и контроль посетителей;

• надежная охрана помещений компании и территории;

• организация защиты информации, т. е. назначение ответственного за защиту информации, проведение систематического контроля за работой персонала, порядок учета, хранения и уничтожения документов;

Организационные мероприятия при работе с сотрудниками компании включают в себя:

• беседы при приеме на работу;

• ознакомление с правилами и процедурами работы с ИС на предприятии;

• обучение правилам работы с ИС для сохранения ее целостности и корректности данных;

• беседы с увольняемыми.

В результате беседы при приеме на работу устанавливается целесообразность приема кандидата на соответствующую вакансию.

Обучение сотрудников предполагает не только приобретение и систематическое поддержание на высоком уровне производственных навыков, но и психологическое их воспитание в глубокой убежденности, что необходимо выполнять требования промышленной (производственной) секретности, информационной безопасности. Систематическое обучение способствует повышению уровня компетентности руководства и сотрудников в вопросах защиты коммерческих интересов своего предприятия. Беседы с увольняющимися имеют главной целью предотвратить разглашение информации или ее неправильное использование. В ходе беседы следует особо подчеркнуть, что каждый увольняющийся сотрудник имеет твердые обязательства о неразглашении фирменных секретов и эти обязательства, как правило, подкрепляются подпиской о неразглашении известных сотруднику конфиденциальных сведений.

Организационно-технические меры защиты включают следующие основные мероприятия:

• резервирование (наличие всех основных компонентов операционной системы и программного обеспечения в архивах, копирование таблиц распределения файлов дисков, ежедневное ведение архивов изменяемых файлов);

• профилактика (систематическая выгрузка содержимого активной части винчестера на дискеты, раздельное хранение компонентов программного обеспечения и программ пользователей, хранение неиспользуемых программ в архивах);

• ревизия (обследование вновь получаемых программ на дискетах и дисках на наличие вирусов, систематическая проверка длин файлов, хранящихся на винчестере, использование и постоянная проверка контрольных сумм при хранении и передаче программного обеспечения, проверка содержимого загрузочных секторов винчестера и используемых дискет системных файлов);

• фильтрация (разделение винчестера на логические диски с различными возможностями доступа к ним, использование резидентных программных средств слежения за файловой системой);

Все эти мероприятия, в той или иной степени, включают использование различных программных средств защиты. К их числу необходимо отнести программу-архиватор WinRar, программы резервирования важных компонентов файловой системы, просмотра содержимого файлов и загрузочных секторов, подсчета контрольных сумм и собственно программ защиты. Резервирование данных ИС должно проводиться с использованием встроенных средств программы 1С Бухгалтерия 7.7.

2. 3.2.3 Технический уровень ИБ

Инженерно-техническое обеспечение безопасности информации путем осуществления необходимых технических мероприятий должно исключать:

• неправомочный доступ к аппаратуре обработки информации путем контроля доступа в помещении бухгалтерии;

• неправомочный вынос носителей информации персоналом, занимающимся обработкой данных, посредством выходного контроля;

• несанкционированное введение данных в память, изменение или стирание информации, хранящейся в памяти;

• неправомочное пользование системами обработки информации и незаконное получение в результате этого данных;

• доступ в системы обработки информации посредством самодельных устройств и незаконное получение данных;

• возможность неправомочной передачи данных через компьютерную сеть;

• бесконтрольный ввод данных в систему;

• неправомочное считывание, изменение или стирание данных в процессе их передачи или транспортировки носителей информации.

Инженерно-техническая защита использует следующие средства:

• физические средства;

• аппаратные средства;

• программные средства;

Методы защиты информации от большинства угроз базируются на инженерных и технических мероприятиях. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.