Правовое регулирование аттестации объектов информатизации по безопасности информации, защита информации в АС

Для ознакомления пользователей с требованиями защиты информации под роспись предлагаются следующие документы:Инструкция по авторизации пользователей Памятка пользователям информационной системы по вопросам информационной безопасности.Памятка руководителям структурных подразделений по вопросам информационной безопасности.Инструкция о порядке учёта, хранения и обращения машинных носителей информации в подразделениях предприятия.Положение о порядке работы с документами, содержащими информацию конфиденциального характера в подразделениях предприятия.Инструкция о пропускном и внутриобъектовом режиме охраны здания и внутренних помещений.Положение о работе с персональными данными работников.Положение о порядке отнесения информации в подразделениях к конфиденциальной.Реестр документов, образующихся в деятельности предприятия, относящихся к утвержденному перечню сведений конфиденциального характера.Листы ознакомления с данными документами передаются специалисту отдела кадров.При приеме на работу специалист, выполняющий работу с конфиденциальными данными, подписывает «Обязательство о неразглашении».Все проведенные мероприятия по защите информации необходимо протоколировать в журналах:- Журнал мероприятий по защите информации, где протоколируются все действия, связанные с проведением работ по защите информации с датой и росписью специалиста, их проводившего;- Журнал регистрации нештатных ситуаций, связанных с защитой информации, куда заносится информация о происшествиях, связанных с нарушениями требований защиты информации и принятых мерах к специалистам, допустившим нарушения.Кроме того, документооборот с удостоверяющими центрами и ЭЦП предполагает ведение следующих документов:- журнал поэкземплярного учета криптосредств;- карточки ключей ЭЦП;- заявления пользователей на регистрацию в УЦ.В таблице 3 приведено распределение обязанностей по специалистам в области информационной безопасности. Таблица 3 Функциональные обязанности специалистов в области информационной безопасности ДолжностьФункцииОтветственностьРуководитель подразделенияКонтроль за соблюдением требований законодательства защиты конфиденциальной информации, подписание документов в области защиты конфиденциальной информацииОтветственность за выявленные нарушения в области защиты информации, обнаруженные в деятельности (дисциплинарная, административная, уголовная) Заместитель руководителя подразделенияВозглавляет комиссии, необходимые при проведении работ по обеспечению требований защиты конфиденциальной информации, подписывает акты по технологическим операциямОтветственность за работу комиссии по обеспечению требований защиты информацииАдминистратор защиты информации (назначается из числа специалистов)Практическая реализация комплексной защиты информации, ведение документации по защите информации, разработка нормативных актов, внесение предложений, выявление фактов нарушения требований защиты информации Ответственность за организацию защиты информацииНачальник отделаКонтроль за выполнением требований защиты информации в возглавляемом отделе.Ответственность за нарушение требований защиты информации в отделеСпециалист отделаМониторинг требований защиты информации на рабочем местеОтветственность за нарушение требований защиты информацииВ таблице 3 приведено сопоставление типовых угроз мероприятиям технологической и организационной компонент информационной безопасностиТаблица 3. Обеспечение системы защиты информации в соответствии с типовыми угрозамиУгрозаТехнология защитыДокументационное обеспечениеВизуальный съём отображаемой информации (присутствие посторонних лиц при обработке данных специалистом)Блокировка экрана с помощью электронного ключа«Инструкция о пропускном и внутриобъектовом режиме»Вредоносная программа;Антивирусное программное обеспечение«Положение об антивирусной защите»Вторжение в ИСПД по информационно-телекоммуникационным сетямТехнология VipNet«Аппаратный журнал VipNet Coordinator»Закладка аппаратнаяТестирование аппаратных средств«Акт ввода в эксплуатацию средств вычислительной техники»Закладка программнаяТестирование программных средств«Положение о Фонде Алгоритмов и Программ»Произвольное копирование баз данныхРазграничение доступа«Таблицы разграничения доступа к информационным ресурсам»,«Инструкция о резервном копировании информационных ресурсов»Накопление данных пользователем ИСПДОграничение прав доступа«Обязательство о неразглашении информации конфиденциального характера»Программные ошибкиИнформирование разработчиков«Акт ввода в промышленную эксплуатацию»Ошибочные действия персоналаПрограммные средства защиты«Лист ознакомления пользователя с инструкцией по работе с программой»Компрометация ЭЦПГенерация новых ключей, расследование причин компрометации«Инструкция по работе с криптографическими средствами»Компрометация пароляСмена пароля, расследование причин компрометации«Инструкция по парольной защите»Для технологического обеспечения требований защиты конфиденциальности информации предлагается использование средств автоматизации, описание которых приведено в таблице 5. Введение в эксплуатацию каждого из программно-технических средств определяется локальным документом. Технология защиты информации на предприятиях предполагает ведение соответствующей номенклатуры дел, в которую включаются документы, указанные в таблицах 3-4.Таблица 5. Описание технологических средств защиты информации в рамках проекта системы информационной безопасностиНазвание программно-технического средстваФункцияРегламентирующий документЭлектронный ключ eTokenЗащита автоматизированной системы от несанкционированного доступа, средство аутентификации пользователя, парольный менеджер«Положение об использовании электронных ключей в подразделениях»Средства криптозащиты (Verba, VipNet)Защита данных при передаче по каналам связи, использование электронно-цифровой подписи«Положение об использовании средств криптографической защиты информации», «Акты ввода в эксплуатацию криптосредства»Биометрический сканер BioLinkЗащита от несанкционированного доступа на уровне сканирования отпечатка пальцев«Положениепо защите информационных ресурсов от несанкционированного доступа (НСД)»Таким образом, локальные нормативные акты в технологии информационной безопасности должны соответствовать требованиям соответствующего класса информационной системы.ЗаключениеВ настоящее время организация эффективной системы защиты информационной системы становится критически важным стратегическим фактором развития любой компании. По сути, информация является одним из ключевых элементов бизнеса. При этом под информацией понимаются не только статические информационные ресурсы (базы данных, текущие настройки оборудования и другие), но и динамические информационные процессы обработки данных.В рамках данной курсовой работы мной проведен анализ существующих нормативных актов в области информационной безопасности. Показано, что технология защиты информации регулируется федеральными законами, нормативными документами федеральных служб, в соответствии с которыми производится классификация информационной системы предприятия. В соответствии с присвоенным классом информационной системы проектируется системы защиты информации предприятия.Этапами работы над проектом явились:- изучение федеральных законов в области информационной безопасности;- изучение нормативных актов ФАПСИ, ФСТЭК, ФСБ в области защиты информации;- изучение принципов категорирования информационных систем в части защиты информации;- анализ локальных нормативных актов предприятий, обеспечивающих организацию защиты информации.Показано, что комплекс мер по обеспечению информационной безопасности включает в себя ряд организационных и технологических компонент, позволяющих исполнить требования законодательства и обеспечить безопасность данных информационной системы предприятия.Результаты работы могут быть использованы при проектировании системы информационной безопасности на предприятиях разной формы собственности и различного вида деятельности.Список источников и литературыНормативно-правовые актыКонституция Российской Федерации. Принята всенародным голосованием 12 дек.1993 г. //Рос. газ.— 1993.— 25 дек.Трудовой кодекс Российской Федерации: федер. закон от 30дек. 2001 г. № 197-ФЗ (ред. от 30.12.2006)//СЗРФ.—2002.—№ 1 (ч. 1).—Ст. 3Об информации, информатизации и защите информации: федер. закон от 27 июля 2006 г. № 149-ФЗ (ред. от 27.07.2010)//СЗ РФ – 2006 - №31 – Ст. 3448О персональных данных: федер. закон от 27 июля 2006 г. № 152-ФЗ (ред. от 27.07.2010)//СЗ РФ – 2006 - №31 – Ст. 3451Об электронной подпииси: федер. закон от 06апреля 2011 г. № 63-ФЗ ЛитератураГерасименко В.А., Малюк А.А. Основы защиты информации. - М.: МИФИ, 1997. Грибунин В.Г., Чудовский В.В. Комплексная система защиты информации на предприятии. – М.: Академия, 2009. – 416 с.Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.Дудихин В.В., Дудихина О.В. Конкурентная разведка в Internet. Советы аналитика – М:. ДМК Пресс, 2002. – 192 с.Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.Комплексная система защиты информации на предприятии. Часть 1. – М.: Московская Финансово-Юридическая Академия, 2008. – 124 с.Малюк А.А, Пазизин С.В, Погожин Н.С. Введение в защиту информации в автоматизированных системах. – М.: Горячая Линия - Телеком, 2011. – 146 с.Малюк А.А. Информационная безопасность. Концептуальные и методологические основы защиты информации. Учебное пособие. – М.: Горячая Линия - Телеком, 2004. – 280 с.Парошин А.А. Нормативно-правовые аспекты защиты информации. – Владивосток: Изд-во ДВГУ, 2010. – 116с.Хорев П.Б. Методы и средства защиты информации в компьютерных системах. – М.: Академия, 2008. – 256 с.