Раздел3_11

13 Определение порядка учёта, выдачи, использования и хранения съёмных носителей информации, содержащих эталонные и резервные копии

программ и массивов информации, архивные данные и т. п.

14Организация учёта, хранения, использования и уничтожения документов и носителей с закрытой информацией.

15Организация и контроль за соблюдением всеми должностными лицами требований по обеспечению безопасности обработки информации.

16Определение перечня необходимых мер по обеспечению не-

прерывной работы системы в критических ситуациях, возникающих в

результате НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий и т. п.

17 Контроль функционирования и управление используемыми средствами защиты.

18 Явный и скрытый контроль за работой персонала системы.

19 Контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования компьютерной системы.

20 Периодический анализ состояния и оценка эффективности

мер защитыинформации.

21 Распределение реквизитов разграничения доступа (паролей,

ключей шифрования и т. п.).

22 Анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы.

23 Составление правил разграничения доступа пользователей к инфор-

мации.

24 Периодическое с привлечением сторонних специалистов осуществление

анализа состояния и оценки эффективности мер и применяемых средств за-

щиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты.

25 Рассмотрение и утверждение всех изменений в оборудовании

компьютерных систем, проверка их на удовлетворение требованиям защиты,

документальное отражение изменений и т. п.

26 Проверка принимаемых на работу, обучение их правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности.

При организация секретного делопроизводства,

во вpемя pаботы по защите тайны необходимо обpатить особое внимание

на документы организации, поскольку большинство стpуктуp в нашей

стpане основные объемы инфоpмации, в том числе конфиденциальной,

хpанят в документах.

Следует соблюдать опpеделённые пpавила. Это даёт весомые гаpантии надежной охpаны коммеpческих секpетов и ставит заслон на пути утечки ин-

фоpмации. Эти пpавила сводятся кследующему:

–стpогий контpоль (лично или чеpез службу безопасности) за допуском

пеpсонала к секpетным документам;

–контpоль за пpинятием соответствующими служащими письменных обязательств о сохpанении тайны фиpмы;

–внедpение в повседневную пpактику механизмов и технологий защиты тайны фиpмы;

Веpоятность утечки секpетной инфоpмации из документов особенно велика в пpоцессе их пеpесылки. При возможности, следует пользоваться услугами военизиpованной фельдсвязи. Или доставку

секpетных документов и ценностей осуществлять собственными силами с

пpивлечением охpанников организации или обpащаться в специальные фиpмы.

Служащие, ответственные за сохpанность, использование и своевpеменное уничтожение секpетных документов, должны быть

защищены от соблазна тоpговли секpетами организации pадикальным способом – хоpошей платой за pаботу.

В пpоцессе хpанения и пеpесылки секpетных документов могут быть

пpименены сpедства защиты и сигнализации о несанкциониpованном доступе к ним. Одна из них – невидимое светочувствительное покpытие, наносимое на документы, котоpое пpоявляется под воздействием света, указывая тем самым на факт несанкциониpованного ознакомления с документами или их фотогpафиpования.

Для ведения секpетного делопpоизводства должны пpивлекаться люди, пpошедшие специальную пpовеpку, и в честности котоpых нет сомнений. Кpоме того, эти люди должны быть соответствующим обpазом подготовлены и обучены, т. к. пpофессиональные недочёты и

отступление от пpавил в их pаботе могут слишком доpого стоить.

Помещения, в котоpых ведется pабота с секpетными документами, долж-

ны хоpошо охpаняться, а доступ туда должен быть закpыт для постоpон-

них лиц.

Эти помещения должны иметь пpочные пеpекpытия и стены, усиленную

металлическую двеpь, пpочные оконные pамы с двойными стёклами и pешёткой, плотные штоpы.

Хpанилище должно быть обоpудовано охpанной и пожаpной сигнализацией и тщательно охpаняться силами внутpенней охpаны. Доступ в хpанилище стpого огpаничен.

Не pекомендуется pасполагать такое помещение на пеpвом и последнем этажах здания.

Секpетные документы хpаняться в сейфах или несгоpаемых металлических шкафах

При проведении мероприятий по защите информации следует учиты-

вать, правила, которые имеют ничтожное значение, ЕСЛИ ПОЛЬЗОВАТЕЛЬ АКТИВНО ИХ НАРУШАЕТ.

Нужно создавать пользовательскую группу разработки правил безопасности. Пригласите в неё добровольцев или сформируйте из равноправных представителей всех служб и отделов.

В общем виде совокупность мероприятий, направленных на

предотвращение угроз, определяется следующим образом:

а) введение избыточности

ных; б) резервированиетехнических средств;

в) регулирование доступа к техническим средствам, ПО, массивам

информации;

д) регулирование использования программно-аппаратных средств и массивов информации;

е) криптографическая защита информации;

ж) контроль элементов компьютерной системы;

и) регистрация сведений;

к) своевременное уничтожение ненужной информации;

л) сигнализация;

м) своевременноереагирование.

Главным принципом построения системы защиты должен быть принцип адаптируемости, т. е. способности к приспособлению при

изменении структуры технологических схем или условий функциони-

рования компьютерной системы.

Другими принципами могут быть:

– минимизация затрат, максимальное использование серийных средств;

–обеспечение решения требуемой совокупности задач защиты;

–комплексное использование средств защиты, оптимизация архитекту-

ры;

–удобство для персонала;

–простота эксплуатации.

Можно заключить, что СЗИ компьютерных систем целесообразно строить в виде ВЗАИМОСВЯЗАННЫХ ПОДСИСТЕМ, а именно:

–подсистема криптографической защиты;

–подсистема обеспечения юридической значимости электронных

документов;

–подсистема защиты от НСД;

–подсистема организационно-правовой защиты;

–подсистема управления СЗИ.

Построение системы защиты информации в таком виде позволит обеспе-

чить комплексность процесса защиты информации в системах, управля-

емость процесса и возможность адаптации при изменении условий функ-

ционирования систем.

Подсистема криптографической защиты объединяет средства такой за-

щиты информации и по ряду функций кооперируется с подсистемой защиты от НСД.

Подсистема обеспечения юридической значимости электронных документов служит для придания юридического статуса документам в электронном представлении и является определяющим моментом при переходе к безбумажной технологии документооборота. Данную подсистему удобно и целесообразно рассматривать как часть подсистемы криптографической защиты.

Подсистема защиты от НСД предотвращает доступ несанкционированных пользователей к ресурсам компьютерных систем.

Подсистема управления СЗИ предназначена для управления клю-

чевыми структурами подсистемы криптографической защиты, а

также контроля и диагностирования программно-аппаратных средств и

обеспечения взаимодействия всех подсистем СЗИ.

Подсистема организационно-правовой защиты предназначена для регламентации деятельности пользователей компьютерных систем и

представляет собой упорядоченную совокупность организационных решений, нормативов, законов и правил, определяющих общую организацию работ по защите информации в системах.

Система защиты информации представляет собой совокупность авто-

матизированных рабочих мест (АРМ), входящих в состав компьютерных си-

стем, и программно-аппаратных средств, интегрированных в АРМ пользова-

телей компьютерных систем.

ОРГАНИЗАЦИЯ МЕРОПРИЯТИЙ. Проведите занятия по информационной безопасности. Первые несколько занятий должны носить установочный характер, не пытайтесь разработать окончательный документ в первый же день. Подумайте о приглашении квалифицированного консультанта по безопасности, который мог бы дать вашим пользователям знания по информационной безопасности. Если консультант достаточно квалифицирован и ваша организация может себе это позволить, пригласите его на последующие собрания группы как наставника при разработке правил. Несмотря на то, что привлечение консультанта для самостоятельной разработки правил может снизить расходы, вы потеряете интерес и внимание рядового пользователя. Работая таким способом, вы создадите правила безопасности, к которым будет иметь отношение каждый сотрудник. Несмотря на то, что в результате может появиться и не самый совершенный документ, эффективность правил повысится ощутимо.

Нельзя приступать к внедрению правил, пока пользователи не приобретут навыков, необходимых для их соблюдения. Безопасность требует не только знаний, но и действий. Все пользователи должны знать, что нужно предпринять и чего делать не стоит, когда они сталкиваются с нарушением или возможностью его возникновения; к кому нужно обращаться при возникновении подозрений. Пользователи должны быть уверены в том, что меры по обеспечению безопасности принимаются в их же интересах, а не по иным соображениям.

Пользователи помогают внедрить правила в жизнь. Вовлекайте их в этот процесс путем обсуждения предлагаемых мер на открытых собраниях и предоставления им возможности высказывать свои соображения в письменном виде. Поскольку пользователи являются обычными людьми, им свойственно забывать о правилах. Проводите несколько раз в год занятия по правилам обеспечения безопасности. Для закрепления основных положений используйте стенды, электронную почту и инструктажи. Новички не знают правила так, как опытные сотрудники. Необходимо информировать всех вновь принятых на работу о правилах безопасности в органи-

зации. Обеспечьте пользователей руководством, в котором изложен материал приемлемого объема. Даже если пользователи усвоили правила, то у них может возникнуть вопрос, как эти правила внедрить. Предоставляйте вместе со всеми правилами модельные процедуры внедрения и примеры. Записывайте вопросы сотрудников (вместе с вашими ответами и пояснениями) в сопроводительной документации к правилам. Сообщайте пользователям об этих дополнениях.

Дополняйте правила модельными процедурами и примерами реализации. Убедитесь, что ваши правила посвящены защите от истинных опасностей — от тех, вероятность возникновения которых достаточно реальна и действительно представляют для вас угрозу.

Прежде всего, очень важно научиться правильно мыслить. Попробуйте задать себе такие вопросы: «Как я могу узнать, кто использует вверенную мне сеть и её информационные ресурсы? Почему это для меня важно? К какой категории — локальных или удалённых — относятся пользователи? Как я могу заставить пользователей, сообщивших мне свои имена, доказать их подлинность?» Не стоит тратить время на системы и технологии, которые не помогают вам ответить на все эти вопросы.

После того как пользователи доказали подлинность своих имён, задайте себе новую группу вопросов: «Каким образом я могу управлять действиями пользователей? Важно ли это для меня? Должен ли быть ограничен доступ пользователей ко всему объёму информации? Если ограничения есть, то кто их устанавливает и следит за их соблюдением?».

Защищённых линий связи не бывает. Сети, по определению, имеют очень невысокий уровень безопасности или вовсе не защищены. Если вы собираетесь передавать информацию по линиям связи, определите, какая её часть должна иметь закрытый, конфиденциальный характер. Подумайте о том, как вы можете добиться конфиденциальности при передаче данных. Может быть, позаботиться, чтобы содержимое ваших посланий не могло быть искажено? Сегодня конфиденциальность электронных сообщений не выше, чем у почтовых открыток.

При передаче банковской информации нужно тщательно следить за правильностью передачи реквизитов перечисляемых денежных сумм. Достоинства любой системы безопасности нельзя по-настоящему оценить, пока не возникла реальная угроза. Сутью проблемы безопасности является обеспечение работоспособности информационной системы в угрожающих и критических ситуациях.

Две разные организации никогда не придут к одинаковому решению в вопросе защиты информации. Воспроизведите свои текущие или старые бумажные процессы и постарайтесь найти способ использовать их в качестве составного элемента системы управления электронной информацией и ее безопасностью.

3.5.1 Примеры политики безопасности

Взаимодействие сInterNet.

1 Сотрудники не должны использовать InterNet для своих личных целей, и не должны посещать вредные и порнографические сайты, а так-

же не должны получать доступ или использовать информацию, которая счи-

тается оскорбительной. Деятельность сотрудников может контролиро-

ваться. Нарушители могут быть привлечены к ответственности, вплоть до

уголовного наказания.

2 Соединение с InterNet – это ресурс организации. Деятельность сотрудников организации в InterNet может наблюдаться, протоколиро-

ваться и периодически проверяться

гарантии того, сотрудники работают правильно, и могла защититься от неавторизованного использования Интернета.

3 Организация может получить доступ к любой информации пользователей или к любому взаимодействию пользователей. Органи-

зация может разгласить информацию, полученную таким образом упол-

номоченным на это третьим лицам, включая правоохранительные органы. Использование (список ресурсов) означает согласие пользователя с тем, что за его деятельностью осуществляется контроль.

4 В случае использования ресурсов InterNet в личных целях (в ис-

ключительных случаях) сообщения должны включать строку о том, что точ-

ка зрения, выраженная в письме – личная точка зрения, а не точка зрения

организации.

5 Доступ из InterNet к ресурсам организации разрешён только тогда,

когда это требуется для выполнения служебных обязанностей.

6 Формами неприемлемого использования InterNet, которые могут привести к ответственности, являются: неавторизованные попытки получить до-

ступ к компьютеру, использование рабочего времени и ресурсов организации для личной выгоды, кража или копирование файлов без разрешения, посылка конфиденциальных файлов организации во внешние компьютеры или в другие внутренние компьютеры неавторизованными на это людьми, отказ помогать сотрудникам отдела информационной безопасности, посылка пи- сем-пирамид по электронной почте.

7 Личные бюджеты пользователей онлайновых сервисов не должны ис-

пользоваться с компьютеров организации. Для получения доступа к платным сервисам с компьютера организации, она должна предварительно осуществить подписку на них и заплатить за это деньги.

8 Сотрудники не должны позволять членам своих семей или посторонним лицам получать доступ к компьютерам организации.

9 Для всех компьютеров организации, на которых размещены кри-

тические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должно быть запрещено взаимодействие с InterNet.

Электронная почта организации.

1 Система электронной почты (ЭП) предоставляется сотрудникам в целях оказания помощи при выполнении ими своих обязанностей.

2 Аппаратное и программное обеспечение для системы ЭП принадлежит ор-

ганизации. Все сообщения, созданные, переданные или полученные с

помощью системы ЭП, являются и остаются собственностью органи-

зации. Сообщения не могут быть личной собственностью ни одного из сотруд-

ников.

3 Использовать систему ЭП можно исключительно для выполнения сво-

их служебных обязанностей. ЭП не предназначена для применения в личных целях.

4 Система ЭП не может использоваться для агитации или рекла-

мы коммерческих предприятий, пропаганды религиозных или политических