Организационные меры по защите информации: состав и содержание документов и мероприятий


В процессе осуществления деятельности любой организации накапливается информация, часть из которой подлежит защите. Требования к защите ее определяются как федеральными законами, так и позицией компании, которая планирует защищать свою конфиденциальную информацию.

Организационные меры по защите информации – это, в первую очередь, разработка внутренних положений, регламентов и процессов взаимодействия в организации, в дополнение к федеральным законам в области защиты информации или в соответствии с ними.

Количество и содержание этих документов зависит от информации, циркулирующей в компании и принятой в ней концепции противодействия информационным угрозам.

Система организационных мер должна обеспечивать соблюдение основных признаков безопасности информации:

Даже при ограниченном бюджете на технические или программные средства защиты информации грамотно обозначить организационные меры и контролировать на постоянной основе их выполнение - значит серьезно уменьшить риски реализации угроз информационной безопасности.

Нужно понимать, что организационные меры – это не совсем вопрос желания или нежелания руководства организации предпринимать усилия в вопросах защиты информации. К примеру статья 18.1 ФЗ №152 ФЗ прямо обязывает оператора персональных данных (ПДн)– юридическое лицо:

Дополнительно пункт 2 ст. 19 обязует оператора применять организационные меры согласно Постановлению Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", а также:


В идеале разработка организационных мер начинается с написания и утверждения концепции по обеспечению информационной безопасности организации (концепция). Этот документ является основным для разработки внутренних регламентов и системы защитных мер.

В дальнейшем концепция может стать основой для внедрения систем предотвращения утечек информации (DLP-систем) и других программных продуктов, решающих задачу защиты информационных ресурсов и инфраструктуры компании.

Концепция состоит из следующих разделов:

Пример концепция информационной безопасности можно скачать по ccылке.

Необходимо понимать, что сама по себе концепция обеспечения информационной безопасности информацию не защищает. Концепция дает понимание что именно и каким образом защищать. Конкретные меры и способы защиты описываются в политиках и положениях в дополнении к концепции. Кроме того, вопросы обеспечения информационной безопасности, в том числе ответственность сотрудников организации за неправомерное обращение с информацией и ее разглашением должны быть отражены в таких нормативных документах организации как:

Давайте далее попытаемся понять, какие еще организационные документы дополнительно к концепции необходимо иметь. Напомним, что их образцы можно посмотреть здесь.

  1. Перечень информационных ресурсов или активов или массивов организации. Может быть как частью концепции, так и самостоятельным документом. Что войдет в перечень, определяет сама организация. Если в общих чертах, то это базы клиентов, стратегии развития, ноу-хау, патенты, бизнес-процессы, и другие данные.
  2. Ну вот как-то так:

    персональные данные, подлежащие защите на основании норм федерального законодательства;

    программы, содержащие производственную и финансовую информацию, например, 1С: Предприятие;

    программные продукты, созданные или доработанные в интересах компании;

    базы документооборота;

    архивы электронной почты и внутренней переписки;

    производственная информация, документы стратегического характера;

    научная информация, данные НИОКР;

    финансовая информация и аналитика, подготавливаемая по заданию руководства предприятия.

    Бухгалтерская информация и иные сведения, которые раскрываются в связи с требованиями законодательства, к категории конфиденциальных данных обычно не относятся.

  3. Перечень защищаемых помещений – нужен если есть необходимость (и возможность) защищать помещения, в которых происходят конфиденциальные переговоры. К этому блоку отнесем:
  4. - приказ о защищаемых помещениях и помещениях с ограниченным доступом;
    Приложениями к приказу обычно идет перечень защищаемых помещений и помещений с ограниченным доступом и список сотрудников, имеющих доступ в помещения с ограниченным доступом.

    - технический паспорт защищаемого помещения – план помещения с указанием размеров помещения. Также на план наносится расположение всех технических средств – компьютеры, принтеры, телефоны.

  5. Порядок разграничения прав доступа к информационным ресурсам
  6. Думается, нужен в любом случае.

    Документ устанавливает порядок предоставления, использования, изменения, аннулирования доступа пользователя к информационным ресурсам.

    Стоит заметить, что многие программные комплексы имеют в своем составе собственный механизм разграничения доступа. В этом случае пишутся две заявки – одна собственно на ресурс, а вторая – на роли или функции внутри ресурса.

    При предоставлении доступа обычно руководствуются двумя моментами:

    ни у кого в организации не может быть полного доступа ко всем ресурсам;

    принцип минимизация доступа, то есть выполнение необходимых функций работником с использованием минимально необходимого уровня доступа.

    Порядок разграничения доступа, да и другие организационные и технические меры по защите информации не решают, да и не могут в полной мере защитить от краж информации или других злоупотреблений. Посудите сами – каким образом можно защитится от того, что сотрудник, допущенный к конфиденциальной информации, сфотографирует ее на смартфон, например. Меры эти только затрудняют возможность таких нарушений и помогают определить и наказать виновного, что само по себе немало.

  7. Очень неплохо иметь в организации утвержденное положение об использовании программного обеспечения (ПО) и ограниченного перечня разрешенного ПО для установки .
  8. В положении обычно устанавливают запрет на изменение настроек установленного ПО, на использование его не по назначению, на самостоятельную установку. Кроме этого, описывается порядок установки ПО, его поддержка и сопровождение, вывод из эксплуатации. Если есть возможность и желание, в положение можно включить порядок аудита (проверки) использования ПО. Вишенкой на торте является оформление так называемого паспорта персонального компьютера (ПК), куда вносятся сведения об установленном ПО. И при установке нового, изменении и удалении ПО сведения об этом добавляются в паспорт ПК.

    Естественно вопросы использования ПО можно решить чисто техническими способами, скажем ограничением прав пользователя средствами операционной системы. Или тот же Kaspersky Security Center позволяет вести контроль запуска и активности программ. Есть специализированные DLP и SIEM системы. Однако целью этого материала является желание показать, как вопросы защиты информации можно решать организационными способами.

  9. Положение об использовании сети Интернет и электронной почты.
  10. В этом блоке имеется большой простор для творчества. Рассмотрим основные моменты, которые следует отразить:

    как технически будет организован доступ к сети интернет – отдельные выделенные рабочие места или интернет и почта будут доступны с рабочих мест пользователей;

    в случае использования отдельных рабочих мест будет ли они работать в отдельной подсети, не пересекаясь с основной сетью организации;

    будут ли использоваться межсетевые экраны, прокси-сервера;

    будет ли разрешено пользоваться на рабочем месте личными мобильными устройствами с выходом в интернет и так далее.

    Также в положении обычно фиксируют обязанность пользователей использовать интернет и электронную почту только в служебных целях, запрет на скачивание и установку на программного обеспечения из сети интернет.

    Полезным также является закрепление права организации на запись информации о посещаемых работниками организации Интернет-ресурсах для последующего анализа и передачи руководству организации для контроля и на доступ к электронным сообщениям работников с целью их архивирования и централизованного хранения, а также мониторинга выполнения требований положения.

  11. Положение о парольной защите.
  12. Нужно оно или нет, решать вам. Многое зависит от количества рабочих мест, от вида информации, хранящейся на рабочих местах, отношений и степени доверия в коллективе, наконец. В положении следует отразить следующие моменты:

    требования к длине, сложности, частоте смены пользовательских и администраторских паролей;

    требования к хранению паролей;

    политика в отношении встроенных учетных записей Guest (Гость) и Administrator (Администратор), пароля на BIOS рабочих станций;

    возможность и способ получения доступа к компьютеру, защищенному паролем, в случае продолжительного отсутствия работника (болезнь, командировка, отпуск);

    порядок плановой и внеплановой смены паролей;

    действия в случае компрометации пароля пользователя;

    организация сервисных и временных паролей;

    порядок контроля и ответственности за соблюдение положения.

    В случае использования аппаратных средств аутентификации вместо или вместе с парольной защитой необходимо, чтобы этот момент также нашел свое отражение в положении.

  13. Положение о резервном копировании.
  14. Сколько судеб было разбито из-за несделанного вовремя резервного копирования (в простонародье – BackUp-а)! Вообще, есть соблазн подумать: а зачем в принципе писать какое-то положение, просто копируй данные вовремя. Собственно , так можно сказать и про любой документ из этого раздела. Все правильно, вот только человек не является совершенным инструментом – он может забыть, заболеть или уволиться без замены. Поэтому иметь положение о резервном копировании в организации очень и очень желательно.

    Давайте рассмотрим, что в нем должно присутствовать:

    какая конкретно информация подлежит резервному копированию. Чем подробнее будет описан данный раздел, тем лучше. Чтобы проще понять, что именно следует копировать, просто пройдитесь по своим информационным ресурсам и представьте последствия для деятельности организации в случае утраты того или иного ресурса;

    в положении следует изложить обязанности ответственного за резервное копирование с возложением на него персональной ответственности за полноту и своевременность;

    порядок резервного копирования (время, периодичность);

    контроль результатов, действия в случае обнаружения ошибок;

    порядок хранения резервных копий;

    порядок восстановления данных с резервных копий.

    Очень правильно хранить резервные копии на твердых носителях и в помещении, отличном от места резервного копирования.

  15. Положение об антивирусном контроле.
  16. В целом современные операционные системы неплохо защищены от вирусных угроз – тут тебе и встроенный антивирус, и защита учетных записей, и брандмауэр. Иметь ли дополнительное антивирусное ПО – решать вам.

    Как и в случае с предыдущим пунктом необходимо предусмотреть назначение ответственного и определение его обязанностей.

    Кроме того, в положении могут быть зафиксированы:

    организация антивирусного контроля в организации – порядок закупки и установки антивирусного ПО, что и как часто проверять, порядок и частота обновления антивирусных баз и антивирусов;

    профилактика вирусных заражений – прописать конкретные действия, например, проверка наличия вирусов на рабочих станциях, вернувшихся с ремонта или ограничение доступа к компьютерам посторонних лиц;

    порядок реагирования на вирусное заражение – порядок информирования ответственного, определение источника заражения, методика лечения зараженного компьютера, действия после восстановления зараженных программ и файлов.

    Составной частью положения об антивирусном контроле может быть инструкция пользователя по антивирусной защите, в которой в понятной для простого пользователя форме описаны источники вирусного заражения и его симптомы, а также приведены обязанности пользователя, например:

    при включении компьютера убедиться в запуске антивирусного ПО;

    проверка на вирус всех внешних носителей информации;

    самостоятельное резервное копирование ценной служебной информации.

  17. Положение об использовании съемных носителях информации или положение об использовании мобильных устройств и носителей информации

Мобильные устройства и носители информации – это и есть главный бич защиты информации и главная головная боль всех безопасников.

Каждый смартфон сотрудника, ноутбук, usb-диск или флэшка – это потенциальная дырка в безопасности.

Политика в отношении мобильных носителей информации может строится от полного разрешения до полного запрета:

1. Разрешено все – все пользователи имеют право использовать любые мобильные носители информации без учета.

В этом случае можно обойтись вовсе без положения, а требование проверки мобильных носителей зафиксировать в положении об антивирусном контроле.

2. Разрешены как носители организации (корпоративные), так и личные. На корпоративных носителях, как правило, находится и обрабатывается конфиденциальная информация организации, на личных – общедоступная. Ведется учет носителей.

В таком случае в положение следует отразить:

каким образом пользователь получает носитель;

как можно и как нельзя его использовать (предоставление на сторону, вынос и т.д.);

порядок ведения учета носителей;

обязанности, запреты, ответственность пользователей.

3. Разрешены только корпоративные носители информации.

В таком случае в положении будет то же самое, что и в предыдущем пункте плюс запрет на использование личных мобильных носителей информации. Поскольку все используемые носители будут известны, потребуется запретить использование личных носителей. Сделать это можно, например, средствами операционной системы (реестр, локальные или групповые политики безопасности), бесплатными (Ratool) или специальными (Блокхост Сеть, DeviceLock DLP и др.) программами.

4. Полный запрет использования мобильных носителей информации. Обмен с «внешним миром» происходит только через отдел ИТ или ИБ, что и находит отражение в положении.

Что же касается смартфонов (или планшетов) сотрудников, то единственный надежный способ защиты данных от фотографирования и последующего выноса – запрет на использование таких устройств на рабочем месте. По этому пути давно пошли в вооруженных силах, во ФСТЭК, в ряде крупных корпораций, например, Аэрофлот. Запрет и последствия его нарушения необходимо отразить в порядке внутри объектового режима или правилах внутреннего распорядка организации.

На этом, думается, можно закончить список основных организационных документов. Из часто встречающихся на практике еще можно отметить:

И не забывайте, что все организационные документы подлежат обязательному пересмотру хотя бы ежегодно!

Мероприятия по защите информации организационного характера не ограничиваются разработкой документов. В идеале необходимо произвести:



Ранее:
Правовые меры защиты информации


Далее:
Технические меры защиты информации