ПОДРАЗДЕЛЕНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ, ПОДБОР, ПОДГОТОВКА ПЕРСОНАЛА И ОБУЧЕНИЕ ПОЛЬЗОВАТЕЛЕЙ

Для эффективного функционирования системы защиты информации в организации должна быть создана специальная служба технической защиты информации, которая представляет собой систему штатных или нештатных подразделений, предназначенных для квалифицированной разработки (совершенствования) системы защиты информации и организационного (административного) обеспечения ее функционирования во всех подразделениях.

На эти подразделения обычно возлагаются следующие основные задачи:

- реализация политики обеспечения безопасности информации и определение требований к системе защиты информации;

  • - организация мероприятий и координация работ всех подразделений организации по комплексной защите информации;
  • - контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

Основными функциями подразделения защиты информации являются:

  • - формирование требований к системе защиты при создании (совершенствовании) ИС организации;
  • - участие в проектировании системы защиты, ее испытаниях и приемке в эксплуатацию;
  • - планирование, организация и обеспечение функционирования системы защиты ИС;
  • - распределение между пользователями необходимых реквизитов защиты;
  • - наблюдение за функционированием системы защиты и ее элементов;
  • - проверка надежности функционирования системы защиты;
  • - обучение пользователей и обслуживающего персонала ИС правилам безопасной обработки информации;
  • - регламентация действий и контроль администраторов баз данных (БД), серверов и сетевых устройств (лиц, обеспечивающих применение ПО, систем управления БД, средств разграничения доступа и других средств защиты информации);
  • - взаимодействие с ответственными лицами, обеспечивающими безопасность информации в других подразделениях организации;
  • - контроль соблюдения пользователями и персоналом ИС установленных правил обращения с защищаемой информацией в процессе ее обработки;
  • - принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус службы защиты определяется:

  • - численностью службы защиты, необходимой для выполнения всех указанных выше функций;
  • - подчинением службы защиты конкретному лицу, несущему персональную ответственность за соблюдение правил обращения с защищаемой информацией;
  • - отсутствием у персонала службы защиты других обязанностей, связанных с функционированием ИС;
  • - возможностью доступа должностных лиц службы защиты во все помещения, где размещается аппаратура ИС и правом прекращения обработки защищаемой информации при возникновении непосредственной угрозы;
  • - правом руководителя службы защиты запрещать включение новых элементов в состав ИС, при их несоответствии требованиям защиты информации и возможности возникновения серьезных последствий для безопасности информации;
  • - обеспечением службы защиты информации всеми необходимыми условиями выполнения своих функций.

Должностные лица подразделений защиты информации должны иметь следующие права:

  • - определять необходимость и разрабатывать нормативные документы по обеспечению безопасности информации, в том числе, регламентирующие деятельность должностных лиц организации;
  • - получать информацию от должностных лиц подразделений по применению информационных технологий и эксплуатации ИС;
  • - участвовать в проработке технических решений по обеспечению безопасности информации при проектировании и разработке комплексов задач (задач);
  • - принимать участие в испытаниях разработанных комплексов задач (задач) для оценки качества реализации требований но обеспечению безопасности информации;
  • - контролировать деятельность должностных лиц подразделений по обеспечению безопасности информации.

В состав подразделения защиты информации должны быть включены должностные лица ответственные за выполнение следующих мероприятий:

  • - администрирование средств защиты от НСД (выбор, установка, настройка, снятие защиты, контроль журналов регистрации событий, оперативный контроль работы пользователей и реагирование на события НСД и т. и.);
  • - администрирование криптографических средств защиты (установка, настройка, снятие СКЗИ, генерация и распределение ключей и т. д.);
  • - защиту информации в разрабатываемых программистами и внедряемых прикладных программах (участие в разработке технических заданий по защите информации, выбор средств и методов защиты, участие в испытаниях новых прикладных программ для проверки выполнения требований НСД к информации и т. д.);
  • - защиту от утечки информации по техническим каналам.

Перед допуском к эксплуатации пользователи ИС, а также отдельные лица из числа руководящего и обслуживающего персонала должны быть ознакомлены (в части их касающейся) с перечнем сведений, подлежащих засекречиванию и защите, уровнем своих полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения.

Защита информации по указанным направлениям возможна только после выработки у всех пользователей организации необходимых и обязательных норм и навыков их исполнения. К этим нормам относится запрещение любых умышленных или неумышленных действий, нарушающих нормальную работу и требующих дополнительных ресурсов, нарушающих целостность хранимых и обрабатываемых данных, а также законных интересов пользователей ИС подразделения.

Все должностные лица, использующие конкретные подсистемы ИС подразделения, должны быть ознакомлены, в части их касающейся, с организационно-распорядительными документами по защите ИС подразделения, знать и неукоснительно выполнять технолог ические инструкции и обязанности по обеспечению безопасности информации при использовании ИС. Требования указанных документов до лиц, допущенных к обработке защищаемой информации, доводятся начальниками подразделений иод роспись.

Любое грубое нарушение установленного порядка и правил работы ИС должностными лицами структурных подразделений должно расследоваться, а к виновным должны применяться меры воздействия. Ответственность за действия, совершенные с нарушением установленных правил безопасной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства центральных или региональных органов ФТС России. Поэтому для установления персональной ответственности пользователей за свои действия необходимы:

  • - индивидуальная идентификация пользователей с закреплением за ними идентификатора, позволяющего осуществлять разграничение доступа в соответствии с принципом обоснованности;
  • - проверка подлинности пользователей (аутентификация) по паролям, закрытым ключам, биометрическим характеристикам личности и т. п.;
  • - регистрация (протоколирование) работы системы контроля доступа к ресурсам ИС с определением даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
  • - реакция на попытки НСД (сигнализация, блокировка и т. д.).
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ ОРИГИНАЛ   След >