Пояснительная записка (1198832), страница 2
Текст из файла (страница 2)
Объектами информатизации в учреждении являются:
-
информационные системы;
-
технические средства приема, обработки, хранения и передачи информации ограниченного доступа;
-
вспомогательные технические средства и системы для приема, обработки, хранения и передачи информации ограниченного доступа;
-
помещения, в которых размещаются технические средства с информацией ограниченного доступа;
-
личные дела и архив кадрового делопроизводства;
-
хозяйственно-договорная документация и учредительные документы;
-
бухгалтерские документы, содержащие информацию ограниченного доступа.
Для автоматизированной обработки используются следующие технические средства:
-
сервера, на которых обрабатываются информация;
-
АРМ сотрудников организации;
-
сетевое оборудование;
-
машинные носители информации;
-
системы резервного питания;
-
средства копирования и размножения документов (локальные и сетевые принтеры, прочие печатающие устройства).
-
Категории информационных ресурсов, подлежащих защите
Федеральный закон № 152-ФЗ «О персональных данных» [2] служит основанием для отнесения персональных данных к информации ограниченного доступа и в Учреждении обрабатываются следующие категории персональных данных:
-
персональные данные о государственных гражданских служащих, лиц, занимающих должности, не отнесенные к государственным должностям, работников внештатных служб, обсуживающем персонале, лиц, привлекаемых по договорам ГПХ;
-
персональные данные кандидатов на замещение вакантных должностей;
-
персональные данные лиц, ранее состоявших на гражданской службе (в трудовых отношениях), личные дела которых не переданы на хранение в государственный архив Хабаровского края;
-
персональные данные участников отношений, возникающих при статистических наблюдениях и сборе первичных статистических и административных данных;
-
персональные данные участников отношений, возникающих при осуществлении государственным органом исполнительной власти контрольных (надзорных) функций при выявлении нарушений порядка представления статистической информации;
-
персональные данные участников отношений, возникающих при ответах на обращения, запросы и жалобы, а также при предоставлении письменных доказательств в суды и правовые органы;
-
персональные данные физических лиц, заключивших с Учреждением договоры гражданско-правового характера;
-
журнал с персональными данными для однократного пропуска посетителей.
К информации конфиденциального характера относится:
-
финансовая и бухгалтерская документация;
-
сведения о защищаемых информационных ресурсах в локальных сетях Учреждения;
-
сведения, поступающие из УФНС по Хабаровскому краю для ведения статистики в рамках информационного взаимодействия в процессе государственной регистрации юридических лиц и индивидуальных предпринимателей;
-
другие сведения, составляющие деловую информацию о внутренней деятельности Учреждения.
-
Угрозы информационной безопасности
Под угрозой информационной безопасности понимается совокупность условий и факторов, создающих потенциальную или реальную опасность нарушения информационной безопасности.
На объектах информатизации (ОИ) основными источниками защищаемой информации являются:
-
пользователи (операторы), программисты, администраторы ИС, руководители разработки и эксплуатации ИС, обслуживающий персонал;
-
документы на твердой основе, различного характера и назначения, включая электронные документы на машинных носителях информации, с защищаемой информацией;
-
штатные технические средства ИС обработки защищаемой информации: АРМ, средства обеспечения производственной деятельности людей, информационные и телекоммуникационные линии связи.
Документооборот в Учреждении может осуществляться без использования технических средств, то есть с документами в бумажном виде. Существует отдельный кабинет с архивными данными. Таким образом, появляются угрозы безопасности для бумажных носителей, а значит необходимо обеспечить защиту таких носителей от угроз:
-
уничтожения, повреждения документов в результате техногенных и антропогенных угроз;
-
кражи документов;
-
несанкционированного доступа.
Под угрозами информационной безопасности понимается потенциальная возможность нарушения её следующих основных характеристик:
-
конфиденциальности (разглашение, утечка) сведений, составляющих государственную, служебную или коммерческую тайну, а также персональных данных;
-
доступности программно-технических комплексов, блокирование информации, нарушение технологических процессов обработки информации, срыв своевременного решения выполняемых задач;
-
целостности информационных, программных и других ресурсов, а также фальсификация (подделка) документов.
Основными источниками угроз безопасности информации в Учреждении являются:
-
непреднамеренные (ошибочные, случайные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия пользователей информационной системы, приводящие к разглашению сведений ограниченного доступа, потере ценной информации или нарушению работоспособности компонентов информационной системы;
-
преднамеренные действия допущенных к информационным ресурсам пользователей, которые приводят к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности компонентов информационной системы;
-
деятельность преступных групп и формирований, политических и экономических структур, разведок иностранных государств, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности информационной системы в целом и ее отдельных компонентов;
-
удаленное несанкционированное вмешательство посторонних лиц из территориально удаленных сегментов корпоративной информационной системы и внешних информационно-телекоммуникационных сетей общего пользования (прежде всего сеть Интернет) через легальные и несанкционированные каналы подключения к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам;
-
ошибки, допущенные при разработке компонентов информационной системы и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты);
-
аварии, стихийные бедствия.
-
Существующие меры по обеспечению информационной безопасности учреждения
В Учреждении осуществляется контроль доступа в контролируемую зону, двери в кабинеты оборудованы замками и датчиками сигнализации. Помещения, где обрабатываются персональные данные, оборудованы опечатывающим устройством, имеются запирающиеся шкафы. Такие кабинеты сдаются под охрану. Хранилища и серверные имеют железную дверь, ставятся на сигнализацию, запираются на ключ и опечатываются.
В Учреждении назначено ответственное лицо по информационной безопасности. В целях осуществления внутреннего контроля соответствия обработки персональных данных установленным требованиям в Учреждении организовывается проведение периодических проверок условий обработки персональных данных. Пользователи осведомлены и проинструктированы о порядке работы и защиты персональных данных. На автоматизированных рабочих местах установлены средства защиты от несанкционированного доступа и средства антивирусной защиты. Таким образом, несмотря на наличие созданной системы безопасности, в Учреждении отсутствуют правила, которые бы определяли взаимодействие систем безопасности с сотрудниками Учреждения.
-
Определение норм и правил управления информационной безопасностью
-
Управление информационной безопасностью
Управление информационной безопасностью – это циклический процесс, включающий осознание степени необходимости защиты информации и постановку задач; сбор и анализ данных о состоянии информационной безопасности в организации, реализацию и внедрение соответствующих механизмов контроля, распределение ролей и ответственности, обучение и мотивацию персонала, оперативную работу по осуществлению защитных мероприятий; мониторинг функционирования механизмов контроля, оценку их эффективности и соответствующие корректирующие воздействия.
Как и любую другую систему управления, систему управления информационной безопасности невозможно построить без привлечения руководства организации. После принятия решения о создании системы управления информационной безопасностью, руководству нужно создать совет или коллегию, для утверждения документов, таких как политика безопасности, назначение ответственных лиц в области информационной безопасности и осуществления координации по мероприятиям в информационной безопасности. В совете по информационной безопасности следует назначить сотрудника, возглавляющего совет по информационной безопасности.
В общем случае организационная структура информационной безопасности может выглядеть как на рисунке 2.1.
Рисунок 2.1 – Организационная структура ИБ
На руководство возлагаются следующие задачи:
-
утверждение направления развития системы управления информационной безопасностью;
-
создание организационной структуры управления информационной безопасностью;
-
согласование и утверждение документов в области обеспечения информационной безопасности;
-
обеспечение ресурсами.
Совет по информационной безопасности должен включать в себя руководство, заинтересованных пользователей, начальников отделов, администраторов. В обязанности совета должны входить:
-
стандартизацией документов по информационной безопасности организации;
-
разработкой норм и правил управления информационной безопасности;
-
обеспечением выполнения норм и правил управления информационной безопасностью;
-
контроль выполнения политик безопасности;
-
способствовать осведомленности, обучению персонала в области информационной безопасности;
-
анализировать инциденты информационной безопасности, реализовывать меры в ответ на эти инциденты;
-
поддерживать стандартизацию в области информационной безопасности;
-
координировать деятельность отделов в области информационной безопасности.
Также нельзя забывать об остальном персонале, необходимо его вовлекать в процесс информационной безопасности, поскольку неосведомлённость персонала в области информационной безопасности, отсутствие обучение персонала приводит к нарушениям безопасности и сводит на нет создание, как систем защиты, так и систем управления информационной безопасностью.
В системе управления информационной безопасностью применяется процессный подход [6].
Рисунок 2.2 – Процессный подход СУИБ
На рисунке видно, что такой подход подразумевает четыре вида процесса:
-
разработка системы управления информационной безопасности;
-
внедрение системы управления информационной безопасности;
-
анализ системы управления информационной безопасности;
-
улучшение системы управления информационной безопасности.
При разработке системы управления информационной безопасностью, должна быть разработана политика безопасности, определены границы действия системы управления. При внедрении системы управления информационной безопасностью осуществляется внедрение политики безопасности, разработанных норм и правил.
После внедрения системы управления, организации нужно проводить её мониторинг и анализ:
-
осуществлять анализ норм и правил управления информационной безопасностью;
-
проводить внутренние аудиты;
-
обеспечивать уверенность в том, что мероприятия эффективны и выполняют требования информационной безопасности.
На основании результатов мониторинга системы управления информационной безопасностью, в систему должны вноситься изменения, которые повысят её эффективность.
После принятия решения о создании системы управления информационной безопасностью, нужно разработать нормы и правила по управлению информационной безопасностью. В работе будут рассмотрены и проанализированы следующие возможные нормы и правила менеджмента информационной безопасности в соответствии со стандартом ГОСТ Р ИСО/МЭК 27002-2012 [7]:
-
политика информационной безопасности;
-
организационные вопросы информационной безопасности;
-
определение ценных активов организации;
-
безопасность, связанная с персоналом;
-
инциденты информационной безопасности;
-
физическая безопасность;
-
требования к управлению доступом к информационным системам;
-
управление эксплуатацией технических средств;
-
предотвращение остановки деятельности организации в случае сбоев технических средств или стихийных бедствий;
-
соответствие законодательству;
-
приобретение, разработка и эксплуатация информационных систем.
Таким образом, в самом начале должна быть создана политика информационной безопасности, в которой нужно описать цели и задачи информационной безопасности, изложить правила по обеспечению информационной безопасности.
-
Политика информационной безопасности
Политика безопасности – это документ, который определяет основные правила, принципы и требования в области информационной безопасности. В политике безопасности должны быть описаны цели информационной безопасности, методы их достижения и ответственность сотрудников и руководства. Если в организации существует система управления информационной безопасностью, то об этом должно быть сказано в политике. Руководство должно быть вовлечено в процесс создания политики безопасности, поскольку должна быть выработана чёткая позиция по отношению к информационной безопасности.
В документе должна быть отражена следующая информация:
-
основные положения информационной безопасности, в соответствии с какими нормативно-правовыми документами разработана, цели и методы её достижения информационной безопасности;
-
правила по обеспечению информационной безопасности;
-
объекты защиты;
-
угрозы информационной безопасности;
-
ответственность сотрудников и руководства за нарушение информационной безопасности.
Должно быть назначено ответственное лицо, которое будет ответственно за контроль и пересмотр политики информационной безопасности. Контроль может осуществляться с помощью внутренних проверок. Политику стоит пересматривать не реже установленных сроков с учётом внутренних проверок и выявленных инцидентов или нарушений информационной безопасности, либо в случае изменений в организации таких как:
-
изменения в правовой сфере;
-
изменения в организационной среде;
-
изменения в технической и физической среде.
После разработки или изменения политики, с ней должны быть ознакомлены все сотрудники.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
