Нормативно-методические документы по обеспечению безопасности информации

Требования к содержанию нормативно-методических документов по ЗИ

ИС должна быть защищена путем внедрения продуманных правил безопасности. СЗИ должна использовать набор правил для того, чтобы определить, может ли данный субъект получить доступ к данному объекту. Для ИС целесообразно внедрение правил обеспечения безопасности и получение полномочий, с помощью которых можно было бы эффективно реализовать доступ к секретной информации. Пользователи не обладающие соответствующими полномочиями, не должны получать доступ к секретной информации. Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для некоторых пользователей или пользовательских групп, например, исходя из служебных обязанностей. ИС должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи).

Нормативные документы, определяющие порядок защиты ИС должны удовлетворять следующим требованиям:

-соответствовать структуре, целям и задачам ИС,

-описывать общую программу обеспечения безопасности сети, включая вопросы эксплуатации и усовершенствования,

-перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры,

-определять ответственных за внедрение и эксплуатацию всех средств защиты.

-определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.

Разработка нормативно-методической основы ЗИ

Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле. Целесообразно обратить внимание на следующие вопросы:

-принадлежность информации; об информации обязан заботиться тот, кому она принадлежит,

-определение важности информации; пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней,

-значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще? Если право на сохранение тайны будет признано в вашей организации, то может ли она выработать такие правила, которые обеспечивали бы права пользователей на защиту информации?

Нормативно-методическая документация должна содержать следующие вопросы защиты информации:

-какие информационные ресурсы защищаются,

-какие программы можно использовать на служебных компьютерах,

-что происходит при обнаружении нелегальных программ или данных,

-дисциплинарные взыскания и общие указания о проведении служебных расследований,

-на кого распространяются правила,

-кто разрабатывает общие указания,

-кто имеет право изменять указания,

-точное описание полномочий и привилегий должностных лиц,

-кто может предоставлять полномочия и привилегии,

-порядок предоставления и лишения привилегий в области безопасности,

-полнота и порядок отчетности о нарушениях безопасности и преступной деятельности,

-особые обязанности руководства и служащих по обеспечению безопасности,

-объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют),

-дата ввода в действие и даты пересмотра,

-кто и каким образом ввел в действие эти правила.

План защиты информации может содержать следующие сведения:

-назначение ИС;

-перечень решаемых ИС задач;

-конфигурация;

-характеристики и размещение технических средств и программного обеспечения;

-перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;

-требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;

-список пользователей и их полномочий по доступу к ресурсам системы;

-цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;

-перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;

-основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;

-требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;

-основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС).

-цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и чем она достигается;

-перечень и классификация возможных кризисных ситуаций;

-требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);

-обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;

-разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

-определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

-определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);

-определение порядка разрешения споров в случае возникновения конфликтов.