План обеспечения информационной безопасности предприятия
•определение оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса в критических ситуациях.
Кпериодически проводимым мероприятиям относятся:
• распределение реквизитов разграничения доступа;
• ведение и анализ системных журналов, принятие мер по обнаруженным нарушениям установленных пра вил работы;
• проведение с привлечением экспертов анализа состояния защиты и оценки эффективности применяе мых защитных мер, принятие на основе экспертного заключения необходимых мер по совершенствова нию системы защиты;
• мероприятия по пересмотру состава и построения системы защиты.
Кмероприятиям, проводимым по необходимости, относятся мероприятия, осуществляемые при кадровых из менениях, изменении территориального расположения объекта, при изменении архитектуры АС объекта или при изменениях и модификациях СВТ и ПО.
Постоянно проводимые мероприятия включают:
• реализацию выбранных защитных мер, в том числе физической защиты всех компонентов объекта;
• мероприятия по эксплуатации системы защиты;
• контроль за действиями персонала;
• анализ состояния и проверка эффективности применяемых защитных мер.
Пересмотр “Плана защиты” рекомендуется производить раз в год. Кроме того, существует ряд случаев, требу ющих внеочередного пересмотра. К их числу относятся изменения следующих компонент объекта:
Люди. Пересмотр “Плана защиты” может быть вызван кадровыми изменениями, связанными с реорганиза цией организационно штатной структуры объекта, увольнением служащих, имевших доступ к конфиденци альной информации и т.д.
Техника. Пересмотр “Плана защиты” может быть вызван подключением других локальных сетей, изменени ем или модификацией используемых средств вычислительной техники или программного обеспечения. Помещения. Пересмотр “Плана защиты” может быть вызван изменением территориального расположения компонентов объекта.
Кроме того, причиной пересмотра плана защиты может послужить изменение степени конфиденциальности обрабатываемой информации.
Документы, регламентирующие деятельность по защите информации, оформляются в виде различных пла нов, положений, инструкций, наставлений и других аналогичных документов. Рассмотрим основные из них.
3.Основные элементы плана защиты и их содержание
Основным планирующим документом из всей совокупности является план защиты.
План защиты информации представляет собой вербально графический документ, который должен содер жать следующие сведения:
•характеристика защищаемого объекта: назначение, перечень решаемых задач, размещение техничес ких средств и программного обеспечения и их характеристики; (информационно логическая структура объекта защиты)
•цели и задачи защиты информации, перечень пакетов, файлов, баз данных, подлежащих защите, и тре бований по обеспечению доступности, конфиденциальности, целостности этих категорий информации;
•перечень и приоритетность значимых угроз безопасности, от которых требуется защита и наиболее ве роятных путей нанесения ущерба;
•политика информационной безопасности (организационные и технические мероприятия, опреде ляющие – разграничение по уровням конфиденциальности, контроль целостности технической и про граммной среды, контроль за действиями пользователей, защиту от НСД, антивирусную защиту, орга низацию доступа на объект, контроль помещений и технических каналов утечки информации и ряд других;
•функциональная схема системы защиты и план размещения средств защиты информации на объекте;
•порядок ввода в действие средств защиты (календарный план проведения организационно техничес ких мероприятий);
•перечень мероприятий, проводимых единовременно, периодически, по необходимости и постоянно
•ответственность персонала;
•смета затрат на внедрение системы защиты;
•порядок пересмотра плана и модернизации средств защиты.
В основе всех планирующих документов лежит Концепция информационной безопасности предприятия, в ко торой в концентрированном виде приводятся основные взгляды руководства на решение всей совокупности задач обеспечения информационной безопасности. Именно положения Концепции должны найти дальнейшее развитие во всех планирующих документах.
Весьма важным начальным организационным документом Плана защиты является Положение о защите ин" формации, включающее:
•Организационную и функциональную структуру системы защиты информации
•Обобщенную структуру законодательных и нормативных документов по безопасности информации
•Положение об отделе защиты информации
•Положение об администраторе безопасности (инструкция администратора)
12.5
План обеспечения информационной безопасности предприятия
•Правила назначения прав доступа
•Порядок допуска посторонних лиц на объект
•Порядок допуска персонала и посетителей в помещения, в которых обрабатывается критичная информа ция
•Порядок проведения служебного расследования по факту нарушения информационной безопасности
•Требования к процессу разработки программных продуктов
•Порядок приема сдачи программного обеспечения в эксплуатацию
•Инструкцию по обеспечению безопасности речевой информации
•Правила ведения телефонных переговоров
•Порядок проведения конфиденциальных переговоров
•Требования к оснащению выделенных помещений
•Инструкцию пользователю по соблюдению режима информационной безопасности
Еще одним важным документом является Положение о коммерческой тайне, включающее:
•Перечень сведений, составляющих коммерческую тайну
•Материалы обоснования предложений экспертной комиссии по включению сведений в развернутый пе речень
•Номенклатуру должностей работников, допускаемых к сведениям, составляющим коммерческую тайну
•Договор обязательство (контракт) о сохранении коммерческой тайны
•Специальные обязанности руководителей подразделений по защите коммерческой тайны Специальные обязанности лиц, допущенных к сведениям, составляющим коммерческую тайну Не менее важным является план действий персонала в критических ситуациях и способов сохранения ин
формации. Такой план, назначение которого состоит в снижении возможных потерь, связанных с разруше нием данных и программ или отказом оборудования, называется планом обеспечения непрерывной рабо" ты и восстановления информации и содержит следующие пункты:
•перечень и классификация возможных кризисных ситуаций;
•цели обеспечения непрерывности процес
са функционирования объекта, своевре |
Положение |
|
Положение |
|
менности восстановления ее работоспо |
|
|||
собности и чем она достигается; |
о коммерческой |
|
о защите |
|
тайне |
|
информации |
||
• требования, меры и средства обеспече |
|
|||
|
|
|
||
ния непрерывности функционирования и |
План действия |
|
|
|
восстановления процесса обработки ин |
|
|
||
персонала |
|
|
||
формации (порядок ведения текущих, |
|
Договор |
||
в критических |
|
|||
долговременных и аварийных архивов |
|
о порядке обмена |
||
ситуациях |
Технологические |
|||
(резервных копий), а также использова |
электронными |
|||
|
инструкции |
|||
|
документами |
|||
ния резервного оборудования); |
|
|
||
|
|
|
||
• обязанности и порядок действий различных |
Рис.3 Пакет планирующих документов по обеспече |
|||
категорий персонала в кризисных ситуаци |
нию информационной безопасности |
|||
ях, по ликвидации последствий кризисных |
|
|
|
|
ситуаций, минимизации наносимого ущерба и восстановлению нормального процесса функционирования |
||||
объекта. |
|
|
|
|
При организации работ по защите информации не обойтись без Технологических инструкций, включающих |
||||
формы заявок на отключение/подключение, на период отпуска/болезни сотрудника, на возвращение сотруд |
||||
ника после отпуска/болезни. |
|
|
|
|
Ну, и, наконец, еще один документ, необходимый при обмене с партнерами информацией по электронной почте |
||||
|
|
|
|
|
Договор о порядке организации обмена электронными документами, который должен отражать следую |
||||
щие вопросы: |
|
|
|
|
•разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
•определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
•определение порядка генерации, сертификации и распространения ключевой информации (ключей, па ролей и т.п.);
•определение порядка разрешения споров в случае возникновения конфликтов.
Заключение
Таким образом, План защиты включает в себя несколько пакетов документов, каждый из которых отражает одно из направлений деятельности по защите информации.
Детально и качественно разработанные документы плана защиты информации – залог дальнейших успехов в деятельности службы информационной безопасности или администратора безопасности сети.
После разработки плана защиты осуществляется реализация его положений. На данном этапе проводятся мероп риятия, описанные в плане защиты, включая разработку необходимых документов, заключение договоров с по ставщиками, монтаж и настройку оборудования и т.д.
Реализуя план защиты, нужно руководствоваться известным правилом – план не догма, а руководство к действи ям. Необходимо гибко реагировать на те изменения условий решения задач защиты информации, которые суще ственным образом влияют на их эффективность.
12.6