Требования к содержанию нормативно-методических документов по ЗИ
ИС должна быть защищена путем внедрения продуманных правил безопасности. СЗИ должна использовать набор правил для того, чтобы определить, может ли данный субъект получить доступ к данному объекту. Для ИС целесообразно внедрение правил обеспечения безопасности и получение полномочий, с помощью которых можно было бы эффективно реализовать доступ к секретной информации. Пользователи не обладающие соответствующими полномочиями, не должны получать доступ к секретной информации. Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для некоторых пользователей или пользовательских групп, например, исходя из служебных обязанностей. ИС должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи).
Нормативные документы, определяющие порядок защиты ИС должны удовлетворять следующим требованиям:
-соответствовать структуре, целям и задачам ИС,
-описывать общую программу обеспечения безопасности сети, включая вопросы эксплуатации и усовершенствования,
-перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры,
-определять ответственных за внедрение и эксплуатацию всех средств защиты.
-определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.
Разработка нормативно-методической основы ЗИ
Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле. Целесообразно обратить внимание на следующие вопросы:
-принадлежность информации; об информации обязан заботиться тот, кому она принадлежит,
-определение важности информации; пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней,
-значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще? Если право на сохранение тайны будет признано в вашей организации, то может ли она выработать такие правила, которые обеспечивали бы права пользователей на защиту информации?
Нормативно-методическая документация должна содержать следующие вопросы защиты информации:
-какие информационные ресурсы защищаются,
-какие программы можно использовать на служебных компьютерах,
-что происходит при обнаружении нелегальных программ или данных,
-дисциплинарные взыскания и общие указания о проведении служебных расследований,
-на кого распространяются правила,
-кто разрабатывает общие указания,
-кто имеет право изменять указания,
-точное описание полномочий и привилегий должностных лиц,
-кто может предоставлять полномочия и привилегии,
-порядок предоставления и лишения привилегий в области безопасности,
-полнота и порядок отчетности о нарушениях безопасности и преступной деятельности,
-особые обязанности руководства и служащих по обеспечению безопасности,
-объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют),
-дата ввода в действие и даты пересмотра,
-кто и каким образом ввел в действие эти правила.
План защиты информации может содержать следующие сведения:
-назначение ИС;
-перечень решаемых ИС задач;
-конфигурация;
-характеристики и размещение технических средств и программного обеспечения;
-перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;
-требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;
-список пользователей и их полномочий по доступу к ресурсам системы;
-цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;
-перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
-основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;
-требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;
-основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС).
-цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и чем она достигается;
-перечень и классификация возможных кризисных ситуаций;
-требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);
-обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;
-разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
-определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
-определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
-определение порядка разрешения споров в случае возникновения конфликтов.
