Нормативные документы, регламентирующие деятельность персонала по защите информации

 

 

 

Кафедра «Системы Информационной Безопасности»

 

 

Дисциплина: «Комплексные системы защиты информации»

 

 

 

 

РЕФЕРАТ

 

на тему:

«Нормативные документы, регламентирующие деятельность персонала по защите информации»

 

 

 

 

 

Выполнил

студент

 

 

Проверил

 

 

 

 

 

Брянск 2013

 

Содержание

 

 

ВВЕДЕНИЕ

На рынке защиты информации предлагается много отдельных инженерно-технических, программно-аппаратных, криптографических средств защиты информации. В литературе по защите информации можно найти описание методов и средств на их основе, теоретических моделей защиты. Однако для того, чтобы создать на предприятии условия эффективной защиты информации, необходимо объединить отдельные средства защиты в систему. При этом надо помнить, что главным элементом этой системы является человек. Причем человек является ключевым элементом системы и вместе с тем самым трудно формализуемым и потенциально слабым ее звеном.

Создание системы защиты информации (СЗИ) не является главной задачей предприятия, как, например, производство продукции и получение прибыли. Поэтому создаваемая СЗИ не должна приводить к ощутимым трудностям в работе предприятия, а создание СЗИ должно быть экономически оправданным. Тем не менее, она должна обеспечивать защиту важных информационных ресурсов предприятия от всех реальных угроз.

Предложенный подход к защите информации обеспечит целостное видение проблемы, повышение качества, следовательно, и надежности защиты информации.

Следует подчеркнуть, что автор умышленно уходит от понятия «информационная безопасность», используя термин «защита информации».

Информационную безопасность принято рассматривать как обеспечение состояния защищенности:

• личности, общества, государства от воздействия недоброкачественной информации;
• информации и информационных ресурсов от неправомерного и несанкционированного воздействия посторонних лиц;
• информационных прав и свобод гражданина и человека.

 

1. Состав нормативно-методической документации

Состав нормативно-методического  обеспечения может быть определен  следующим образом: законодательная  база, руководящие методические документы  и информационно-справочная база. К  первому компоненту относятся: законы, указы президента, постановления правительства, кодексы (гражданский, уголовный, административный), госты. Во второй компонент могут входить документы министерств и ведомств (Гостехкомиссия, ФСБ), а также документы, разработанные на предприятиях по вопросам защиты информации. В состав информационно- справочной базы входят словари, каталоги, специализированные журналы, справочники, электронные базы данных.

Нормативно-методическая документация должна содержать следующие  вопросы защиты информации:

• какие информационные ресурсы защищаются;
• какие программы можно использовать на служебных компьютерах;
• что происходит при обнаружении нелегальных программ или данных;
• дисциплинарные взыскания и общие указания о проведении служебных расследований;
• на кого распространяются правила;
• кто разрабатывает общие указания;
• точное описание полномочий и привилегий должностных лиц;
• кто может предоставлять полномочия и привилегии;
• порядок предоставления и лишения привилегий в области безопасности;
• полнота и порядок отчетности о нарушениях безопасности и преступной деятельности;
• особые обязанности руководства и служащих по обеспечению безопасности;
• объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют);
• дата ввода в действие и даты пересмотра;
• кто и каким образом ввел в действие эти правила.

План защиты информации может содержать следующие сведения:

• назначение ИС;
• перечень решаемых ИС задач;
• конфигурация;
• характеристики и размещение технических средств и программного обеспечения;
• перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;
• требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;
• список пользователей и их полномочий по доступу к ресурсам системы;
• цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;
• перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
• основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;
• требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;
• основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);
• цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и чем она достигается;
• перечень и классификация возможных кризисных ситуаций;
• требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т. п.);
• обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;
• разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
• определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
• определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);
• определение порядка разрешения споров в случае возникновения конфликтов.

В целях обеспечения комплексного подхода к формированию законодательства по проблемам защиты информации и информатизации в России в апреле 1992 г. была утверждена «Программа подготовки законодательного и нормативного обеспечения работ в области информатизации и защиты информации». В соответствии с этой Программой была намечена разработка базового Закона РФ в области информатизации «Об информации, информатизации и ЗИ», а также еще ряда специальных законов.

Реализация Программы должна была позволить создать правовые основы процесса информатизации в России, нормативно закрепить права граждан, организаций и государства на информацию и системы автоматизации с учетом правил охраны государственной и коммерческих тайн, порядка правовой, организационной и технической защиты информации и информационного ресурса в целом, основ защиты и правовых гарантий прав потребителя информации, защитить права собственника и автора и решить многие другие проблемы.

Нормативно-методическое обеспечение КСЗИ представляет собой комплекс положений законодательных актов, нормативов, методик, правил, регламентирующих создание и функционирование КСЗИ, взаимодействие подразделений и лиц, входящих в структуру системы, а также статус органов, обеспечивающих функционирование КСЗИ.

К содержанию нормативно-методических документов по ЗИ предъявляются требования. ИС должна быть защищена путем внедрения продуманных правил безопасности. СЗИ должна использовать набор правил для того, чтобы определить, может ли данный субъект получить доступ к данному объекту. Для предприятия целесообразно внедрение правил обеспечения безопасности и получение полномочий, с помощью которых можно было бы эффективно реализовать доступ к конфиденциальной информации. Пользователи, не обладающие соответствующими полномочиями, не должны получать доступ к конфиденциальной информации. Кроме того, необходимо применение дискриминационных методов управления, обеспечивающих доступ к данным только для некоторых пользователей или пользовательских групп, например, исходя из служебных обязанностей. Информационная система должна быть защищена с помощью правил безопасности, которые ограничивают доступ к объектам (файлы, приложения) со стороны субъектов (пользователи). Нормативные документы, определяющие порядок защиты, должны удовлетворять следующим требованиям:

— соответствовать структуре, целям и задачам предприятия;

— описывать общую программу обеспечения безопасности, включая вопросы эксплуатации и усовершенствования;

— перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры;

— определять ответственных за внедрение и эксплуатацию всех средств защиты;

— определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности.

Прежде чем приступить к разработке документов, определяющих порядок ЗИ, нужно провести оценку угроз, определить информационные ресурсы, которые целесообразно защищать в первую очередь, и подумать, что необходимо для обеспечения их безопасности. Правила должны основываться на здравом смысле. Целесообразно обратить внимание на следующие вопросы:

— принадлежность информации; об информации обязан заботиться тот, кому она принадлежит;

— определение важности информации; пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней;

— значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще?

Если право на сохранение тайны будет признано в вашей организации, то может ли она выработать такие правила, которые обеспечивали бы права пользователей на защиту информации?

 

2. Классификация нормативно-методической документации и предъявляемые требования к ней

На основе законодательных и нормативных актов строится правовая защита информации, призванная обеспечить государственную законодательную базу и нормативное обоснование комплексной системы защиты информации на предприятии независимо от его формы собственности и категории защищаемых сведений. Кроме законов и других государственных нормативных документов, правовое обеспечение системы защиты конфиденциальной информации должно включать в себя комплекс внутренней нормативно-организационной документации, в которую могут входить такие документы предприятия, как:

• устав;
• коллективный трудовой договор;
• трудовые договоры с сотрудниками предприятия;
• правила внутреннего распорядка служащих предприятия;
• должностные обязанности руководителей, специалистов и служащих предприятия.
• инструкции пользователей информационно-вычислительных сетей и баз данных;
• инструкции администраторов ИВС и БД;
• положение о подразделении по защите информации;
• концепция системы защиты информации на предприятии;
• инструкции сотрудников, допущенных к защищаемым сведениям;
• инструкции сотрудников, ответственных за защиту информации;
• памятка сотрудника о сохранении коммерческой или иной тайны;
• договорные обязательства.

Не углубляясь в содержание перечисленных документов, можно сказать, что во всех из них, в зависимости от их основного нормативного или юридического назначения, указываются требования, нормы или правила по обеспечению необходимого уровня информационной защищенности на предприятии или в его структурных подразделениях, обращенные, прежде всего, к персоналу и руководству предприятия.

Правовое обеспечение дает возможность урегулировать многие спорные вопросы, неизбежно возникающие в процессе информационного обмена на самых разных уровнях - от речевого общения до передачи данных в компьютерных сетях. Кроме того, образуется юридически оформленная система административных мер, позволяющая применять взыскания или санкции к нарушителям внутренней политики безопасности предприятия, а также устанавливать достаточно четкие условия по обеспечению конфиденциальности сведений, используемых или формируемых при сотрудничестве между субъектами экономики, выполнении ими договорных обязательств, осуществлении совместной деятельности и т. п. При этом стороны, не выполняющие эти условия, несут ответственность в рамках, предусмотренных как соответствующими пунктами межсторонних документов (договоров, соглашений, контрактов и пр.), так и российским законодательством.

Понятно, что для достижения полноты и комплексности защиты информации только разработкой и внедрением на предприятии даже самого совершенного и безупречного правового обеспечения ограничиваться не стоит. Любые законы или правила теряют свою работоспособность и перестают быть эффективными нормативными средствами регулирования различного рода взаимоотношений при отсутствии этих взаимоотношений, как таковых, без наличия субъектов взаимоотношений или вообще среды, на которую распространяется действие данных норм.

Короче говоря, для того, чтобы создать надежную правовую базу для системы защиты информации, нужно организовать эту систему, создать предпосылки для е функционирования, разработать комплекс последовательно и согласованно проводимых мероприятий, определить входящие в не компоненты и подсистемы. Для этих целей и предназначена организационная защита информации, к общему описанию которой мы сейчас приступим.

Отметим, что само себе понятие право означает совокупность общеобязательных правил и норм поведения, установленных государством в отношении  определенных сфер жизни и деятельности государственных органов, предприятий и личностей. Поэтому НМД можно рассматривать как локальные правовые акты предприятия.

Требования, предъявляемые  к нормативно-методическому обеспечению  КСЗИ: