Помещения должны быть обеспечены средствами уничтожения документов.

6.4. Регламентация допуска сотрудников к использованию информационных ресурсов

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях.

Допуск пользователей к работе с информационной системой Центра и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем должны производиться установленным порядком, согласно, регламента предоставления доступа пользователей.

Основными пользователями информации в Корпоративной информационной системе являются сотрудники структурных подразделений Центра. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

    каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями. Расширение прав доступа и предоставление доступа к дополнительным информационных ресурсам, в обязательном порядке, должно согласовываться с ответственным за информационное сопровождение данного ресурса; начальник имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями; наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

Все сотрудники Центра или других организаций, зарегистрированные как легальные пользователи информационной системы Центра и обслуживающий персонал, должны нести персональную ответственность за нарушения установленного порядка обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению служебной, коммерческой тайны и персональных данных, а также правил работы с информацией в Центре.

Обработка информации в компонентах информационной системы Центра должна производиться в соответствии с утвержденными технологическими инструкциями.

6.5. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов

Подлежащие защите ресурсы системы (документы, задачи, сервера, программы) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).

В целях поддержания режима информационной безопасности аппаратно-программная конфигурация автоматизированных рабочих мест сотрудников Центра, с которых возможен доступ к ресурсам корпоративной информационной системы, должна соответствовать кругу возложенных на данных пользователей функциональных обязанностей. Все неиспользуемые в работе устройства ввода-вывода информации (COM, LPT, USB, IR порты, Bluetooth, дисководы НГМД, CD-DVD) на рабочих местах сотрудников, работающих с конфиденциальной информацией, должны быть по возможности отключены, не нужные для работы программные средства и данные с дисков также должны быть удалены. Дополнительные устройства обмена информацией могут использоваться только в исключительных случаях и только в качестве временного средства. Установка подобных устройств должна согласовываться с ответственным сотрудником за обеспечение информационной безопасности Центра (см. Порядок организации доступа к ресурсам информационно-вычислительной сети).

В компонентах корпоративной информационной системы и на рабочих местах пользователей должны устанавливаться и использоваться только лицензионные программные средства (либо свободно распространяемое ПО) прошедшие антивирусную проверку. Использование программного обеспечения, не прошедшего проверку и не учтенного в Центре, должно быть запрещено.

Для решения специальных задач по оценке защищенности информационной сети Центра и построении системы защиты информации в сети Центра может применяться специальное программное обеспечение, согласованное с начальником технического отдела.

6.6. Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов

Оборудование корпоративной информационной системы, используемое для доступа к конфиденциальной информации, к которому доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к его компонентам должно закрываться и опечатываться (пломбироваться).

Повседневный контроль за целостностью и соответствием печатей (пломб) должен осуществляться пользователями оборудования. Периодический контроль – начальником технического отдела.

6.7. Подбор и подготовка персонала, обучение пользователей

Пользователи информационной системы Центра, а также руководящий и обслуживающий персонал должны быть ознакомлены со своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации в Центре.

Обеспечение безопасности информации возможно только после выработки у пользователей определенной культуры работы, т. е. норм, обязательных для исполнения всеми, кто работает с информационными ресурсами Центра. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу компонентов информационной системы Центра, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей, владельцев или собственников.

Все пользователи информационной системы Центра должны быть ознакомлены с организационно - распорядительными документами по обеспечению информационной безопасности Центра, в части, их касающейся, должны знать и неукоснительно выполнять инструкции и знать общие обязанности по обеспечению безопасности информации (см. Положение об обучении сотрудников правилам защиты информации). Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться под роспись.

6.8. Ответственность за обеспечения информационной безопасности

Для непосредственной организации и эффективного функционирования системы обеспечения информационной безопасности, исключающей возможные конфликты интересов, в Центре целесообразно назначить ответственного сотрудника за обеспечение информационной безопасности. На этого сотрудника возложить решение следующих основных задач:

    проведение в жизнь политики обеспечения безопасности информации, определение требований к системе защиты информации; анализ текущего состояния обеспечения безопасности информации; организация мероприятий и координация работ всех подразделений Центра по комплексной защите информации; контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

Основные функции ответственного сотрудника за обеспечение информационной безопасности заключаются в следующем:

    формирование требований к системам защиты в процессе создания и дальнейшего развития существующих компонентов информационной системы Центра; подготовка решений по обеспечению конфиденциальности, доступности, целостности данных, в том числе решений по обеспечению надежной защиты от мошенничества при использовании пластиковых карт; участие в проектировании систем защиты, их испытаниях и приемке в эксплуатацию; обеспечение функционирования установленных систем защиты информации, включая управление криптографическими системами; генерация и распределение между пользователями необходимых атрибутов доступа к ресурсам информационной системы Центра; наблюдение за функционированием системы защиты и ее элементов; проверка надежности функционирования системы защиты; разработка мер нейтрализации моделей возможных атак; обучение пользователей и обслуживающего персонала правилам безопасной обработки информации; оказание методической помощи сотрудникам Центра в вопросах обеспечения информационной безопасности; контроль за действиями администраторов баз данных, серверов и сетевых устройств; контроль за соблюдением пользователями и обслуживающим персоналом установленных правил обращения с информацией; организация по указанию руководства служебного расследования по фактам нарушения правил обращения с информацией и оборудованием; принятие мер при попытках несанкционированного доступа к информационным ресурсам и компонентам системы или при нарушениях правил функционирования системы защиты. сбор, накопление, систематизация и обработка информации по вопросам информационной безопасности.

Организационно - правовой статус сотрудника ответственного за обеспечение информационной безопасности Центра должен определяться следующим образом:

    сотрудник, занимающийся обеспечением информационной безопасности Центра не должен иметь других обязанностей, связанных с обеспечением функционирования технических компонентов информационной системы Центра; сотрудник ответственный за обеспечение информационной безопасности должен иметь право доступа во все помещения, где, установлены технические средства информационной системы Центра, и право прекращать обработку информации при наличии непосредственной угрозы для нее; сотруднику ответственному за обеспечение информационной безопасности должно быть предоставлено право запрещать включение новых компонентов информационной системы Центра в число действующих, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз безопасности информации; сотруднику ответственному за обеспечение информационной безопасности должны обеспечиваться все условия, необходимые для выполнения своих функций.

Для решения возложенных задач сотрудник, занимающийся обеспечением информационной безопасности Центра должен иметь следующие права:

    определять необходимость и разрабатывать нормативные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность пользователей информационной системы Центра в указанной области; получать информацию от пользователей информационной системы Центра по любым аспектам применения информационных технологий в Центре; участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке новых информационных технологий; участвовать в испытаниях разработанных информационных технологий по вопросам оценки качества реализации требований по обеспечению безопасности информации; контролировать деятельность пользователей информационной системы Центра по вопросам обеспечения информационной безопасности.

6.9. Ответственность за нарушения установленного порядка пользования ресурсами информационной системы Центра. Расследование нарушений

Любое грубое нарушение порядка и правил пользования информационными ресурсами Центра должно расследоваться. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной работы с информацией, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства Центра.

Невыполнение Требований по обеспечению работниками информационной безопасности приравнивается к невыполнению должностных обязанностей, которое влечет за собой дисциплинарную ответственность, предусмотренную Трудовым законодательством.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

    индивидуальная идентификация пользователей и инициированных ими процессов, т. е. установление за ними идентификатора (login, Username), на базе которого будет *осуществляться разграничение доступа в соответствии с принципом обоснованности доступа (см. Порядок организации доступа к ресурсам информационно-вычислительной сети); проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе, биометрических характеристик личности и т. п.(см. Инструкция по организации парольной защиты); реакция на попытки несанкционированного доступа (сигнализация, блокировка и т. д.).

6.10. Средства обеспечения информационной безопасности Центра

Для обеспечения информационной безопасности Центра используются следующие средства защиты:

    физические средства; технические средства; средства идентификации и аутентификации пользователей; средства разграничения доступа; средства обеспечения и контроля целостности; средства оперативного контроля и регистрации событий безопасности; криптографические средства.

Средства защиты должны применяться ко всем чувствительным ресурсам информационной системы Центра, независимо от их вида и формы представления информации в них.

6.10.1. Физические средства защиты

Физические меры защиты основаны на применении разного рода механических, электронных или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Физическая защита зданий, помещений, объектов и средств информатизации должна осуществляться руководством Центра путем установления соответствующих постов охраны, с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в них посторонних лиц, хищение документов и носителей информации, самих средств информатизации, а также исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств съема информации. Помещения где размещается серверное оборудование средства телекоммуникаций должны удовлетворять требованиям, указанным в «Требованиях, предъявляемых к серверным помещениям».

Для обеспечения физической безопасности компонентов информационной системы Центра необходимо осуществлять ряд организационных и технических мероприятий, включающих: проверку оборудования, предназначенного для обработки закрытой (конфиденциальной) информации, на:

    введение дополнительных ограничений по доступу в помещения, предназначенные для хранения и обработки закрытой информации; оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи.

6.10.2. Технические средства защиты

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т. д.).

С учетом всех требований и принципов обеспечения безопасности информации по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

    средства разграничения доступа к данным; средства криптографической защиты информации; средства регистрации доступа к компонентам информационной системы и контроля за использованием информации; средства реагирования на нарушения режима информационной безопасности;

На технические средства защиты возлагается решение следующих основных задач:

    идентификация и аутентификация пользователей при помощи имен или специальных аппаратных средств (Advantor, Touch Memory, Smart Card и т. п.); регламентация и управление доступом пользователей в помещения, к физическим и логическим устройствам; защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ; регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации; защита данных системы защиты на файловом сервере от доступа пользователей, в чьи должностные обязанности не входит работа с информации, находящейся на нем.

6.10.3. Средства идентификации и аутентификации пользователей

В целях предотвращения работы с ресурсами информационной системы Центра посторонних лиц необходимо обеспечить возможность распознавания каждого легального пользователя (или групп пользователей). Для идентификации могут применяться различного рода устройства: магнитные карточки, ключи, ключевые вставки, дискеты и т. п.

Аутентификация (подтверждение подлинности) пользователей также может осуществляться:

    путем проверки наличия у пользователей каких-либо специальных устройств (магнитных карточек, ключей, ключевых вставок и т. д.); путем проверки знания ими паролей; путем проверки уникальных физических характеристик и параметров самих пользователей при помощи специальных биометрических устройств.

6.10.4. Средства разграничения доступа

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны по возможности быть составной частью единой системы контроля доступа:

    на контролируемую территорию; в отдельные помещения; к компонентам информационной среды Центра и элементам системы защиты информации (физический доступ); к информационным ресурсам (документам, носителям информации, файлам, наборам данных, архивам, справкам и т. д.); к активным ресурсам (прикладным программам, задачам и т. п.); к операционной системе, системным программам и программам защиты.

6.10.5. Средства обеспечения и контроля целостности

Средства обеспечения целостности включают в свой состав средства резервного копирования, программы антивирусной защиты, программы восстановления целостности операционной среды и баз данных.

Средства контроля целостности информационных ресурсов системы предназначены для своевременного обнаружения модификации или искажения ресурсов системы. Они позволяют обеспечить правильность функционирования системы защиты и целостность хранимой и обрабатываемой информации.

Контроль целостности информации и средств защиты, с целью обеспечения неизменности информационной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной модификации информации должен обеспечиваться:

    средствами разграничения доступа (в помещения, к документам, к носителям информации, к серверам, логическим устройствам и т. п.); средствами электронно-цифровой подписи; средствами учета; средствами подсчета контрольных сумм (для используемого программного обеспечения).

6.10.6. Средства оперативного контроля и регистрации событий безопасности

Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т. п.), которые могут повлечь за собой нарушение Концепции безопасности и привести к возникновению кризисных ситуаций. Анализ собранной средствами регистрации информации позволяет выявить факты совершения нарушений, их характер, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации. Средства контроля и регистрации должны предоставлять возможности:

    ведения и анализа журналов регистрации событий безопасности (системных журналов); получения твердой копии (печати) журнала регистрации событий безопасности; упорядочения журналов, а также установления ограничений на срок их хранения; оперативного оповещения ответственного сотрудника за информационную безопасность о нарушениях.

При регистрации событий безопасности в журнале должна фиксироваться следующая информация:

    дата и время события; идентификатор субъекта, осуществляющего регистрируемое действие; действие (тип доступа).

6.10.7. Криптографические средства защиты информации

Элементами системы, обеспечения безопасности информации Корпоративной информационной системы Центра являются криптографические методы и средства защиты. Перспективным направлением, использования криптографических методов, является создание инфраструктуры безопасности и использованием открытых ключей (PKI, Public Key Infrastructure).

Организация в Центре системы информационной безопасности на основе инфраструктуры с открытым ключом позволит решить следующие задачи, дающие преимущества бизнесу Центра:

    организация обеспечения защищенного документооборота (в том числе платежного) с использованием имеющихся систем, как внутри Центра, так и при взаимоотношениях с организациями-корреспондентами и клиентами Центра. Это позволит повысить эффективность и снизить накладные расходы на администрирование системы и использовать единые стандарты защиты данных; возможность реализации системы информационной безопасности в Центре, централизованно контролируемой из центрального офиса Центра, при этом гибкой и динамически управляемой; универсализация методов обеспечения доступа пользователей и защиты транзакций для системы электронной почты, автоматизированной банковской системы, системы дистанционного банковского обслуживания, системы доступа в Internet и других систем с использованием уже имеющихся в этих приложениях механизмов обеспечения информационной безопасности; создание единого распределенного каталога учетных данных всех пользователей информационных систем Центра. Организация единого централизованно управляемого каталога позволит снизить расходы на администрирование и обеспечить оперативное управление учетными данными; использование имеющихся реализаций российских криптографических алгоритмов в операциях с сертификатами и при защите электронного документооборота.

Организация защищенного on-line взаимодействия партнеров Центра на основе использования средств криптозащиты, в том числе при осуществлении финансовых операций, позволит:

    защитить конфиденциальную информацию Центра при ее передаче по каналам связи; защитить внутренние ЛВС Центрального офиса Центра, региональных филиалов, дополнительных офисов от несанкционированных воздействий извне; сделать информационные взаимодействия Центра более эффективным за счет централизации управления ресурсами; оптимизировать затраты на администрирование сетей удаленных подразделений.

Все средства криптографической защиты информации в Центре должны строиться на основе базисного криптографического ядра, прошедшего всесторонние исследования специализированными организациями.

Ключевая система применяемых в Центре средств криптографической защиты информации должна обеспечивать криптографическую живучесть, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и защита информации при ее передаче по каналам связи должна обеспечиваться также за счет применения в системе шифросредств абонентского шифрования.

6.11. Управление системой обеспечения безопасности информации

Управление системой обеспечения безопасности информации представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности циркулирующей в информационной системе Центра информации в условиях реализации основных угроз безопасности.

Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.

Целями управления системой обеспечения безопасности информации являются:

    на этапе создания и ввода в действие новых информационных технологий:
      разработка и реализация технических программ и координационных планов создания нормативно-правовых основ и технической базы, обеспечивающей использование передовых средств и технологий обработки и передачи информации в защищенном исполнении в интересах обеспечения безопасности информации; организация и координация взаимодействия в этой области разработчиков; создание действенной организационной структуры, обеспечивающей комплексное решение задач безопасности информации при функционировании компонентов информационных технологий;
    на этапе эксплуатации компонентов информационной системы:
      обязательное и неукоснительное выполнение предусмотренных на этапе создания процедур, направленных на обеспечение безопасности информации, всеми задействованными в системе участниками, эффективное пресечение посягательств на информационные ресурсы, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области защиты информации.

Управление системой обеспечения безопасности информации реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных и криптографических средств и организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней. Функциями подсистемы управления являются: информационная и управляющая.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании о возникающих в ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты.

Управляющая функция заключается в формировании планов реализации технологических операций с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков информационной системы, на которых возникают угрозы безопасности информации. К управляющим функциям относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, а также контроль за ходом технологического процесса обработки секретной (конфиденциальной) информации возлагается на ответственного сотрудника за информационную безопасность.

6.12. Контроль эффективности системы защиты

Контроль эффективности защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации. Контроль может проводиться как ответственным сотрудником за информационную безопасность Центра, так и привлекаемыми для этой цели организациями, имеющими лицензию на этот вид деятельности.

Оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

7. Основные направления технической Концепции в области обеспечения безопасности информации в Центре

7.1. Техническая Концепция в области обеспечения безопасности информации

Реализация технической Концепции в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.

Основными направлениями реализации технической Концепции обеспечения безопасности информации Центра являются:

    обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий;

Система обеспечения безопасности информации Центра должна предусматривать комплекс организационных, программных и технических средств и мер по защите информации в процессе ее обработки и хранения, при передаче информации по каналам связи, при ведении конфиденциальных переговоров, раскрывающих сведения с ограниченным доступом, при использовании технических и программных средств.

В рамках указанных направлений технической Концепции обеспечения безопасности информации осуществляются:

    реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации; реализация системы инженерно-технических и организационных мер охраны, предусматривающей многорубежность и равнопрочность построения охраны (территории, здания, помещения) с комплексным применением современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий; ограничение доступа в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация, а также непосредственно к самим средствам информатизации и коммуникациям; разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защита информации в информационной системе Центра; учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц; предотвращение внедрения в корпоративную информационную систему Центра программ-вирусов, программных закладок. реализация инфраструктуры с открытым ключом, криптографическая защита информации ограниченного пользования, обрабатываемой и передаваемой средствами вычислительной техники по открытым каналам связи; надежное хранение документов и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее хищение, подмену и уничтожение; необходимое резервирование технических средств и дублирование массивов и носителей информации;

7.2. Формирование режима безопасности информации

С учетом выявленных угроз безопасности информации Центра режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в информационной среде Центра информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Комплекс мер по формированию режима обеспечения безопасности информации включает:

    установление в Центре организационно-правового режима обеспечения безопасности информации (разработку необходимых нормативных документов, работа с персоналом, правил делопроизводства); организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам корпоративной информационной системы Центра; комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного пользования после случайных или преднамеренных воздействий; комплекс оперативных мероприятий подразделений безопасности по предотвращению (выявлению) проникновения в Центр лиц, имеющих отношение к криминальным структурам.

Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации, в частности, разработку (введение в действие) следующих организационно-распорядительных документов:

    Положение о коммерческой тайне. Указанное Положение регламентирует организацию, порядок работы со сведениями, составляющими коммерческую тайну Центра, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения, составляющим коммерческую тайну Центра, коммерческим учреждениям и организациям; Перечень сведений, составляющих служебную и коммерческую тайну. Перечень определяет сведения, отнесенные к категориям конфиденциальных, уровень и сроки обеспечения ограничений по доступу к защищаемой информации; Положение об обработке и защите персональных данных. Положение регламентирует обеспечение требований защиты прав граждан при обработке персональных данных, определение порядка обработки персональных данных и их безопасности, а также, установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных. Перечень персональных данных. Перечень определяет сведения, отнесенные к категориям конфиденциальных, цели обработки и сроки хранения защищаемой информации; Приказы и распоряжения по установлению режима безопасности информации:
      допуске сотрудников к работе с информацией ограниченного распространения; назначении администраторов и лиц, ответственных за работу с информацией ограниченного распространения в корпоративной информационной системе;
    Инструкции и функциональные обязанности сотрудникам:
      по организации охранно-пропускного режима; по организации делопроизводства; по администрированию информационных ресурсов корпоративной информационной системы;
    другие нормативные документы.

Физическая охрана объектов информатизации (компонентов информационной системы Центра) включает:

    организацию системы охранно-пропускного режима и системы контроля допуска на объект; введение дополнительных ограничений по доступу в помещения, предназначенные для хранения информации ограниченного пользования (кодовые и электронные замки, карточки допуска и т. д.); визуальный и технический контроль контролируемой зоны объекта защиты; применение систем охранной и пожарной сигнализации.

Выполнение режимных требований при работе с информацией ограниченного пользования предполагает:

    разграничение допуска к информационным ресурсам ограниченного пользования; разграничение допуска к ресурсам корпоративной информационной системы; ведение учета ознакомления сотрудников с информацией ограниченного пользования; включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного пользования; организация уничтожения информационных отходов (бумажных, магнитных и т. д.); оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации.

Мероприятия технического контроля предусматривают:

    контроль за проведением технического обслуживания, ремонта носителей информации и средств вычислительной техники; проверки определенной части поступающего оборудования, предназначенного для обработки информации ограниченного пользования, на наличие специально внедренных закладных программ и устройств; постоянное обновление технических и программных средств защиты от несанкционированного доступа к информации в соответствие с меняющейся оперативной обстановкой.

8. Порядок утверждения, внесения изменений и дополнений

Настоящая Политика вступает в законную силу с даты утверждения Правлением Центра.

Изменения и дополнения в настоящую Политику вносятся по инициативе Правления, Председателя Правления, Руководителя Службы внутреннего контроля, Начальника Технического отдела и утверждаются решением Правления Центра.

В случае вступления отдельных пунктов в противоречие с новыми законодательными актами, эти пункты утрачивают юридическую силу до момента внесения изменений в настоящую Политику.

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3