Для ознакомления пользователей с требованиями защиты информации под роспись предлагаются следующие документы:
Инструкция по авторизации пользователей Памятка пользователям информационной системы по вопросам информационной безопасности. Памятка руководителям структурных подразделений по вопросам информационной безопасности. Инструкция о порядке учёта, хранения и обращения машинных носителей информации в подразделениях предприятия. Положение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях предприятия. Инструкция о пропускном и внутриобъектовом режиме охраны здания и внутренних помещений. Положение о работе с персональными данными работников. Положение о порядке отнесения информации в подразделениях к конфиденциальной. Реестр документов, образующихся в деятельности предприятия, относящихся к утвержденному перечню сведений конфиденциального характера. Листы ознакомления с данными документами передаются специалисту отдела кадров. При приеме на работу специалист, выполняющий работу с конфиденциальными данными, подписывает «Обязательство о неразглашении». Все проведенные мероприятия по защите информации необходимо протоколировать в журналах:
Журнал мероприятий по защите информации, где протоколируются все действия, связанные с проведением работ по защите информации с датой и росписью специалиста, их проводившего;
— Журнал регистрации нештатных ситуаций, связанных с защитой информации, куда заносится информация о происшествиях, связанных с нарушениями требований защиты информации и принятых мерах к специалистам, допустившим нарушения. Кроме того, документооборот с удостоверяющими центрами и ЭЦП предполагает ведение следующих документов:
журнал поэкземплярного учета криптосредств;
— карточки ключей ЭЦП;
— заявления пользователей на регистрацию в УЦ. В таблице 3 приведено распределение обязанностей по специалистам в области информационной безопасности. Таблица 3 Функциональные обязанности специалистов в области информационной безопасности Должность
ФункцииОтветственность
Руководитель подразделения
Контроль за соблюдением требований законодательства защиты конфиденциальной информации, подписание документов в области защиты конфиденциальной информации
Ответственность за выявленные нарушения в области защиты информации, обнаруженные в деятельности (дисциплинарная, административная, уголовная) Заместитель руководителя подразделения
Возглавляет комиссии, необходимые при проведении работ по обеспечению требований защиты конфиденциальной информации, подписывает акты по технологическим операциям
Ответственность за работу комиссии по обеспечению требований защиты информации
Администратор защиты информации (назначается из числа специалистов) Практическая реализация комплексной защиты информации, ведение документации по защите информации, разработка нормативных актов, внесение предложений, выявление фактов нарушения требований защиты информации Ответственность за организацию защиты информации
Начальник отдела
Контроль за выполнением требований защиты информации в возглавляемом отделе. Ответственность за нарушение требований защиты информации в отделе
Специалист отдела
Мониторинг требований защиты информации на рабочем месте
Ответственность за нарушение требований защиты информации
В таблице 3 приведено сопоставление типовых угроз мероприятиям технологической и организационной компонент информационной безопасности
Таблица 3. Обеспечение системы защиты информации в соответствии с типовыми угрозами
УгрозаТехнология защиты
Документационное обеспечение
Визуальный съём отображаемой информации (присутствие посторонних лиц при обработке данных специалистом) Блокировка экрана с помощью электронного ключа"Инструкция о пропускном и внутриобъектовом режиме"Вредоносная программа;
Антивирусное программное обеспечение"Положение об антивирусной защите"Вторжение в ИСПД по информационно-телекоммуникационным сетям
Технология VipNet"Аппаратный журнал VipNet Coordinator"Закладка аппаратная
Тестирование аппаратных средств"Акт ввода в эксплуатацию средств вычислительной техники"Закладка программная
Тестирование программных средств"Положение о Фонде Алгоритмов и Программ"Произвольное копирование баз данных
Разграничение доступа"Таблицы разграничения доступа к информационным ресурсам","Инструкция о резервном копировании информационных ресурсов"Накопление данных пользователем ИСПДОграничение прав доступа"Обязательство о неразглашении информации конфиденциального характера"Программные ошибки
Информирование разработчиков"Акт ввода в промышленную эксплуатацию"Ошибочные действия персонала
Программные средства защиты"Лист ознакомления пользователя с инструкцией по работе с программой"Компрометация ЭЦПГенерация новых ключей, расследование причин компрометации"Инструкция по работе с криптографическими средствами"Компрометация пароля
Смена пароля, расследование причин компрометации"Инструкция по парольной защите"Для технологического обеспечения требований защиты конфиденциальности информации предлагается использование средств автоматизации, описание которых приведено в таблице 5.
Введение
в эксплуатацию каждого из программно-технических средств определяется локальным документом. Технология защиты информации на предприятиях предполагает ведение соответствующей номенклатуры дел, в которую включаются документы, указанные в таблицах 3−4.Таблица 5. Описание технологических средств защиты информации в рамках проекта системы информационной безопасности
Название программно-технического средства
ФункцияРегламентирующий документ
Электронный ключ eTokenЗащита автоматизированной системы от несанкционированного доступа, средство аутентификации пользователя, парольный менеджер"Положение об использовании электронных ключей в подразделениях"Средства криптозащиты (Verba, VipNet) Защита данных при передаче по каналам связи, использование электронно-цифровой подписи"Положение об использовании средств криптографической защиты информации", «Акты ввода в эксплуатацию криптосредства"Биометрический сканер BioLinkЗащита от несанкционированного доступа на уровне сканирования отпечатка пальцев"Положениепо защите информационных ресурсов от несанкционированного доступа (НСД)"Таким образом, локальные нормативные акты в технологии информационной безопасности должны соответствовать требованиям соответствующего класса информационной системы. Заключение
В настоящее время организация эффективной системы защиты информационной системы становится критически важным стратегическим фактором развития любой компании. По сути, информация является одним из ключевых элементов бизнеса. При этом под информацией понимаются не только статические информационные ресурсы (базы данных, текущие настройки оборудования и другие), но и динамические информационные процессы обработки данных. В рамках данной курсовой работы мной проведен анализ существующих нормативных актов в области информационной безопасности. Показано, что технология защиты информации регулируется федеральными законами, нормативными документами федеральных служб, в соответствии с которыми производится классификация информационной системы предприятия. В соответствии с присвоенным классом информационной системы проектируется системы защиты информации предприятия. Этапами работы над проектом явились:
изучение федеральных законов в области информационной безопасности;
— изучение нормативных актов ФАПСИ, ФСТЭК, ФСБ в области защиты информации;
— изучение принципов категорирования информационных систем в части защиты информации;
— анализ локальных нормативных актов предприятий, обеспечивающих организацию защиты информации. Показано, что комплекс мер по обеспечению информационной безопасности включает в себя ряд организационных и технологических компонент, позволяющих исполнить требования законодательства и обеспечить безопасность данных информационной системы предприятия. Результаты работы могут быть использованы при проектировании системы информационной безопасности на предприятиях разной формы собственности и различного вида деятельности. Список источников и литературы
Нормативно-правовые акты
Конституция Российской Федерации. Принята всенародным голосованием 12 дек.
1993 г. // Рос. газ.— 1993.— 25 дек. Трудовой кодекс Российской Федерации: федер.
закон от 30дек. 2001 г. №
197-ФЗ (ред. от 30.
12.2006)//СЗРФ.—2002.—№ 1 (ч. 1).—Ст. 3Об информации, информатизации и защите информации: федер. закон от 27 июля 2006 г. № 149-ФЗ (ред. от 27.
07.2010)//СЗ РФ — 2006 — № 31 — Ст. 3448О персональных данных: федер. закон от 27 июля 2006 г. № 152-ФЗ (ред. от 27.
07.2010)//СЗ РФ — 2006 — № 31 — Ст. 3451
Об электронной подпииси: федер. закон от 06апреля 2011 г. № 63-ФЗ Литература
Герасименко В.А., Малюк А. А. Основы защиты информации. — М.: МИФИ, 1997
Грибунин В.Г., Чудовский В. В. Комплексная система защиты информации на предприятии. — М.: Академия, 2009. — 416 с. Гришина Н. В. Комплексная система защиты информации на предприятии. — М.: Форум, 2010. -
240 с. Дудихин В. В., Дудихина О. В. Конкурентная разведка в Internet. Советы аналитика — М:. ДМК Пресс, 2002. — 192 с. Емельянова Н. З., Партыка Т. Л., Попов И. И. Защита информации в персональном компьютере.
— М.: Форум, 2009. — 368 с. Завгородний В. И. Комплексная защита в компьютерных системах: Учебное пособие. -
М.: Логос; ПБОЮЛ Н. А. Егоров, 2001. — 264 с. Комплексная система защиты информации на предприятии. Часть 1. — М.: Московская Финансово-Юридическая Академия, 2008. -
124 с. Малюк А. А, Пазизин С. В, Погожин Н. С.
Введение
в защиту информации в автоматизированных системах. — М.: Горячая Линия — Телеком, 2011. -
146 с. Малюк А. А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие. -
М.: Горячая Линия — Телеком, 2004. — 280 с. Парошин А. А. Нормативно-правовые аспекты защиты информации. — Владивосток: Изд-во ДВГУ, 2010. -
116с.Хорев П. Б. Методы и средства защиты информации в компьютерных системах. — М.: Академия, 2008. — 256 с.
