Система обеспечения информационной безопасности в государственном учреждении

-  изменения в информационной архитектуре системы и внедряемые компо-ненты должны проверяться на совместимость с существующими частями системы.

5.2. Управление ресурсами  (инвентаризация и классификация  ресурсов) 

Управление ресурсами  должно быть организованно для строгого учета и регламентации использования  информационных ресурсов центра. Наличие  системы инвентаризации и классификации  ресурсов центра с точки зрения безопасности позволяет повысить эффективность  системы защиты инфор-мации за счет учета большего количества возможных каналов несанкционированного доступа к информации. Например, наличие модемов (сотовых телефонов) на автоматизированных рабочих местах и потенциальная возможность их использования, является одним из распространенных способов нарушения политики информационной безопасности.

Необходимо проводить  инвентаризацию и классификацию  следующих ресурсов:

-  информационных ресурсов: баз и файлов данных, системной и пользова-тельской документации, учебных материалов, инструкций по эксплуата-ции, планов по поддержанию работоспособности системы, архивов ин-формации;

-  программных ресурсов: приложений, операционных систем и системного программного обеспечения, средств разработки;

-  физических ресурсов: вычислительной техники (процессоров, мониторов, переносных компьютеров), коммуникационного оборудования (маршрутизаторов, телефонных станций, факсов, автоответчиков, модемов), магнитных носителей (лент, кассет и дисков), другого технического оборудования (источников питания, кон-диционеров и т.п.)

-  вычислительных и коммуникационных сервисов, вспомогательных сис-тем (отопления, освещения и т.п.)

Все информационные ресурсы должны быть классифицированы по сте-пени важности. Для каждого класса должен быть регламентирован порядок копирования, хранения, передачи почтой, факсом, электронной почтой, голосом, включая мобильные телефоны, уничтожения и т.п.

Примерный перечень вопросов, которые необходимо включать в годо-вой план практических мероприятий по обеспечению безопасности информации указан в Приложении № 1. 

5.3. Кадровая политика  и управление персоналом 

Наиболее неуправляемым  элементом в системе защиты информации яв-ляется персонал. Правильная кадровая политика и организация управления персоналом позволяют снизить риски этого фактора. Задача обеспечения ин-формационной безопасности должна решаться на всех уровнях управления центром.  

5.3.1. Безопасность  при выборе персонала и работе  с ним 

Необходимо включить задачи по обеспечению безопасности в должностные обязанности всех сотрудников.

При приеме на работу рекомендуется проводить:

-  проверку рекомендаций;

-  проверку данных из резюме;

-  подтверждение ученых степеней и образования;

-  идентификацию личности (через отдел ФСБ);

-  включение соглашения о соблюдении режима информационной безопасности в условия трудового договора с работником.

При приеме на работу новых сотрудников необходимо, чтобы  они ознакомились и подписали:

-  письменную формулировку их должностных обязанностей;

-  письменную формулировку прав доступа к ресурсам центра (в том числе и информационным);

-  соглашение о конфиденциальности;

-  специальные соглашения о перлюстрации всех видов служебной корре-спонденции (мониторинг сетевых данных, телефонных переговоров, факсов и т.д.).  

5.3.2. Подготовка и  переподготовка пользователей и  специалистов

по защите информации 

В центре необходимо иметь систему повышения уровня технической грамотности и информированности  пользователей в области информационной безопасности, а также переподготовки специалистов по защите информации. Для  этого необходимо регулярное проведение тренингов для персонала и  контроль готовности новых сотрудников  по применению правил информационной защиты, а также периодическая  переподготовка помощника начальника штаба по ОБИ и системных администраторов. Особенно важно проводить тренинги при изменении конфигурации информационной системы (внедрении новых технологий и прикладных автоматизированных систем, смены оборудования, опера-ционной системы, ключевых приложений, принятии новых правил или инст-рукций и т.д.)  

5.3.3. Реагирование  на нарушения информационной  безопасности 

Для организации  своевременного реагирования на нарушения  информационной безопасности необходимо создать систему аудита событий  информационной безопасности, которая  должна включать средства системного аудита для автоматизированных участков обработки информации, а также  регламент представления отчетов  об инцидентах в области информационной безопасности для всех сотрудников  центра и другую информацию о состоянии  системы защиты:

-  отчеты об инцидентах;

-  отчеты о недостатках в системе безопасности;

-  отчеты о сбоях и неисправностях компьютерных систем.

Регламент реагирования на нарушения информационной безопасности или в случае обнаружения нестандартной  ситуации должен предусматривать:

-  регистрацию всех симптомов проявления нарушения;

-  изоляцию компьютера, и если возможно приостановка его использова-ния;

-  немедленный отчет о факте нарушения непосредственному начальнику и помощнику начальника штаба по ОБИ;

-  запрет на принятие самостоятельных действий, не регламентированных документами или несанкционированными службой защиты информации;

-  изучение инцидента отчет о результатах анализа причин произо-шедшего;

-  дисциплинарные, административные или уголовные меры воздействия на нарушителей. 

5.4. Физическая безопасность 

Обеспечение физической безопасности всей информационной системы  и отдельных ее элементов является одной из основных задач, решаемых подси-стемой защиты информации.

Физическая защита должна быть направлена на обеспечение  безопасно-сти:

-  периметра информационной системы (защита контролируемой зоны);

-  периметра отдельных объектов системы управления (выделенных территорий, зданий, помещений);

-  носителей информации, оборудования и каналов передачи данных, хранящих, обрабатывающих и передающих информацию в открытом виде (магнитных и бумажных носителей информации, экранов мониторов, серверов и рабочих станций, открытых каналов связи и т.п.);

-  ключевых элементов криптографических и парольных систем.

Основные направления  физической защиты:

-  контроль физического доступа к оборудованию, на контролируемую территорию и в помещения;

-  обеспечение безопасности кабельной системы;

-  обеспечение безопасности при утилизации отработавшего оборудования и носителей информации;

-  обеспечение безопасности рабочих мест. 

5.4.1. Контроль физического  доступа к оборудованию, на контролируемую  территорию и в помещения 

Рекомендуется выполнять  следующие мероприятия физической защиты:

-  допуск лиц в сооружения центра осуществляется по постоянным, времен-ным или разовым пропускам, установленного образца;

-  все перемещения представителей промышленности и других сторонних организаций должны контролироваться с регистрацией причины, места посещения, времени и даты входа и выхода. Исключить перемещения указанных лиц по сооружениям и территории центра без сопровождающего;

-  расположение критических элементов информационных систем должно исключать случайный доступ к ним посторонних лиц. Например, доступ в серверную комнату должен быть ограничен физически, регулироваться системой контроля доступа и исключать возможность получения информации другими способами (наблюдением через окно за действиями администратора, подслушиванием, и т.п.);

-  запретить бесконтрольную работу представителей других организаций на средствах обработки информации. Все работы проводятся в присутствии лица ответственного за эксплуатацию данного оборудования;

-  здания и помещения с критическими элементами информационной систе-мы должны быть обычными на внешний вид и не раскрывать своего назначения;

-  допуск сотрудников центра в помещения содержащие автоматизированные линии обработки информации, осуществляется согласно списков, утвержденных командиром данного подразделения;

-  ключи от помещений выдаются дежурной службой лицам, указанным в списках, при предъявлении документа удостоверяющего личность. Списки утверждаются начальником центра;

-  оборудование, предназначенное для ликвидации неисправностей и резервные копии должны храниться на безопасном удалении от основного объекта во избежание уничтожения при происшествии на основном объекте.

Расположение систем обработки и хранения информации, для минимизации возможности  случайного или преднамеренного  несанкционированного доступа к  данным в процессе их обработки, должно производиться в соответствии с  требованиями по безопасности помещений.

Основные требования по обеспечению физической безопасности обору-дования:

-  оборудование должно располагаться с учетом требования минимизации доступа в рабочее помещение лиц, не связанных с обслуживанием этого оборудования

-  системы обработки и хранения информации, содержащие важные дан-ные, должны быть расположены так, чтобы минимизировать возможность случайного или преднамеренного доступа к ним неуполномоченных лиц в процессе их обработки;

-  объекты, требующие специальной защиты, должны быть изолированы;

-  меры защиты должны быть приняты для минимизации потенциальных угроз от краж, огня, взрывов, дыма, воды, пыли, вибрации, химических веществ, побочных электромагнитных излучений и наводок;

-  политика руководства центра должна запрещать прием пищи, напитков и курение вблизи оборудования;

-  оборудование должно подвергаться регулярным осмотрам и дистанционному контролю с целью обнаружения признаков, которые могут повлечь за собой отказ системы;

-  должны быть учтены воздействия от происшествий на соседних объектах (пожар у соседей, наводнение или затопление верхнего этажа, взрыв на улице и т.д.). 

5.4.2. Обеспечение  безопасности кабельной системы 

Защита кабельной  системы направлена на снижение вероятности  несанкционированного доступа к  информации путем гальванического  подключения к информационным кабелям  или снятия информации через побочные электромагнитные излучения и наводки  на другие кабели, а также на обеспечение  защиты кабельного оборудования от электромагнитных помех.

Международные стандарты  предлагают следующие рекомендации по защите кабельных систем:

-  силовые и телекоммуникационные линии должны проходить под землей. В противном случае, им требуется адекватная альтернативная защита;

-  сетевые кабели должны быть защищены от несанкционированного под-ключения или повреждения. Этого можно достигнуть при помощи их прокладки вне общедоступных зон;

-  с целью снижения влияния электромагнитных помех, силовые и коммуникационные кабели должны быть разнесены в пространстве;

-  для важных или особо важных систем должно быть предусмотрены следующие меры защиты:

-  линии связи должны быть закрыты защитными коробами, кроссовые по-мещения и шкафы должны надежно запираться и опечатываться; контроль целостности должен осуществляться регулярно. Для защиты цепей телефонных аппаратов от утечки секретной информации за счёт акустического преобразования используется фильтр «ГРАНИТ-8», во всех случаях параллельно микрофонному капсюлю подключается конденсатор ёмкостью 10000 пФ. Для защиты открытых двухпроводных линий открытой телефонной связи, радиотрансляции, часофикации, сигнализации используются «ГРАНИТ-6», «ГРАНИТ-7», «ГРАНИТ-9», «ГРАНИТ-10»;

- линии связи должны быть продублированы;

- применение оптического кабеля;

- обнаружение несанкционированных подключений к линиям связи и оповещение персонала.

Современным решением для создания кабельной инфраструктуры организации является построение структурированной  кабельной системы (СКС), которая  позволяет применять высоконадежные технологии, проверенные практикой  и основанные на международных стандартах. СКС рассчитана на эксплуатацию в течение всего жизненного цикла здания и позволяет значительно сократить расходы на поддержание и модернизацию кабельной инфраструктуры при расширении организации, изменении профиля ее деятельности или реконструкции помещений. Наличие СКС позволяет эффективно использовать площадь помещений, эргономично организовать рабочие места сотрудников, повысить электробезопасность и снизить вероятность несанкционированного доступа к кабельным комму-никациям.