Организационные меры защиты информации

И так давайте продолжим, как мы с вами разобрали в статье организация системы защиты информации, организационные меры защиты информации являются нормативно правовой базой всей защиты.

В рамках этой статьи я хочу без большого количества пространных высказываний предложить пошаговую схему проведения организационных мероприятий по защите информации.

Я намерено опущу часть вопросов касающихся выбора помещений, расстановки кадров, утверждения штатов, определение кем и при помощи чего будет осуществляться физическая охрана объекта и целый ряд вопросов которые необходимо решить при создании того или иного предприятия, организации или учреждения.

Наверное, вы догадались почему, потому что очень редко нам приходится начинать работу с нуля, потому, как правило, мы начинаем работу в организации, в которой по той или иной причине в процессе функционирования появляется необходимость в организации защиты информации. И мы должны исходить из тех параметров, которые уже есть, помещения, их оборудование, в том числе программно техническое, сотрудники. Но это не значит, что у нас не должно быть стратегических задач по модернизации целью, которой будет повышение базовой защищенности.

К делу.

  1. Обследование. Для грамотной организации защиты как бы это не банально звучало нужно точно понимать, что и в каком объеме необходимо защитить.

Эта стадия не менее важная чем остальные, в большей степени потому, что в ходе обследования необходимо не просто задекларировать существующую ситуацию, а выработать и реализовать предложения которые в последствии позволят наиболее эффективно и наименьшими финансовыми затратами реализовать мероприятия по технической защите. Например, переместить структурные подразделения с одного этажа на другой, что в последствии может сэкономить деньги на установку решеток и охранной сигнализации. Перераспределить полномочия с целью локализации защищаемой информации. Отказаться по возможности от технологий обработки информации, которые менее защищены или их защита дорогостоящая и т.д.

  1. Описание. Это, на мой взгляд, наиболее творческий процесс потому, что нам необходимо описать, что подлежит защите, и полномочия должностных лиц.

То есть на выходе мы должны иметь матрицу допуска и описательную часть.

Почему я говорю, что этот процесс наиболее творческий, ведь существуют стандартные роли. Опять таки из практики получается, что использовать все базовые роли как по учебнику не получается. Как всегда либо не хватает кадров, либо их компетенции. Но, тем не менее, приведу, на мой взгляд, наиболее полный перечень ролей.

- ответственный за организацию работ по защите

- ответственный за защиту информации;

- администратор информационной системы;

- администратор безопасности;

- ответственный за эксплуатацию;

- пользователь.

Н сайте вы можете найти образцы должностных инструкций.

  1. Подготовка основных регламентирующих документов в рамках, которых будут рассмотрены общие вопросы. Часть этих документов не являются напрямую документами регламентирующими вопросы защиты информации, а просто регламентируют повседневную жизнь и производственные процессы в организации. Как правило, они уже разработаны и введены, но требуют существенных корректив. Например: Инструкция по пропускному и внутриобъектовому режиму, Инструкция по делопроизводству, должностные инструкции и.т.д.

Вторая часть это такие документы как положение о защите, Порядок обращения с информацией, подлежащей защите, План обеспечения непрерывной работы и восстановления и т.д.

Я намерено не привожу перечень всех документов, потому что унифицировать его вряд ли получится. Все зависит от масштабов организации и количества циркулирующей информации ограниченного доступа, используемых технологиях и многих других факторов. 

1.      Следующий этап это наделение полномочиями соответственных должностных лиц.

Здесь есть 2 варианта либо полномочия прописываются в должностном регламенте или инструкции либо издается отдельный приказ о возложении полномочий и утверждении инструкций к этим полномочиям.

На что здесь хочется обратить внимание. Какой вариант вы бы не выбрали необходимо вам, как специалисту по защите информации иметь один экземпляр подписанный сотрудником с проставлением даты. Я не зря акцентирую на этом внимание, очень часто подписей нет, а как говорится «все хорошо пока хорошо», а в случае возникновения инцидента нарушения безопасности информации спросить будет не с кого. И не надо тешить себя иллюзией, что когда что то произойдет виновник задним числом поставит свою подпись. Потому как все прекрасно понимают, что пока нет подписи нет ответственности. Так вот пока каждый сотрудник, участвующий в процессе обработки информации ограниченного доступа не будет ощущать персональную ответственность успехов в защите не видать, как бы грамотно вы не строили систему защиты, и какие технические средства не применяли. О причинах этого я напишу в конце, дабы не разрывать структуру и не уходить в сторону.

2.      Выработка мер по защите. Это достаточно объемный процесс, который включает в себя классификацию каждой информационной системы анализ угроз и как итог получение конкретных мер. Этот вопрос я хочу рассмотреть отдельно в следующей статье. Но оговорюсь сразу, что, на мой взгляд, выработка мер по защите наиболее логично структурирована и регламентирована для ГИС и ПДн и в принципе подходит и для других информационных систем. За исключением обрабатывающих ГТ это отдельный разговор.

3.      Далее исходя из выработанных мер по защите мы видим, что часть мероприятий у нас уже проведены в рамках предыдущих работ, и это, кстати, учтено в качестве базового уровня защищенности, вторая часть организационно методического плана нам еще предстоит и появляется четкое понимание какие технические меры по защите нам необходимы.

Вопросы технической защиты информации мы тоже рассмотрим в рамках следующей статьи т.к вопрос тоже достаточно объемный.

В заключении хочу вернуться к персональной ответственности.

Высокий уровень персональной ответственности можно достичь, соблюдая следующие принципы:

- четкая регламентация и разграничение полномочий;

- осведомленность должностных лиц о своих правах, обязанностях и ответственности перед законом за нарушение требований по защите информации.

- систематический контроль со стороны ответственного за защиту информации за соблюдением требований организационных мер защиты информации.  

Почему контроль так важен? Это вопрос больше по части психологии. Но из опыта могу сказать, что, на сколько грамотно не организовывал бы свою работу специалист ответственный за защиту информации, сколько бы он не написал инструкций, сколько  не провел занятий и даже какие технические средства он не применял бы для защиты информации результат будет стремиться к нулю.

Вы скажете ну инструкции обойти можно, но вот средства защиты не может быть.

На самом деле не надо забывать что нарушения могут допускать не только пользователи, но и например администраторы приложений права которых как правило достаточно обширны, администраторы безопасности, которые, чтобы все работало не задействуют весь функционал средств защиты или на время вообще отключить. А если принять во внимание, что очень часто эти 2 администратора это 1 человек то мы имеем забор как минимум без пары пролетов.

А когда дело доходит до разбирательства оказывается логии затерты как так получилось никто не знает.

Поэтому подытожив, могу сказать, что организационная часть системы защиты информации является фундаментом и основывается на разграничении полномочий и контроле за их соблюдением.

 

Комментарии к статье "Организационные меры защиты информации"
Войдите или зарегистрируйтесь, чтобы оставлять комментарии.
Забыли пароль?