Эксплуатация технических средств и реализация мер информационной безопасности должны осуществляться профессионально подготовленными специалистами ответственных подразделений Фонда;
совершенствовании - совершенствование мер и средств защиты информации на основе собственного опыта, появления новых технических средств с учетом изменений в методах и средствах атак информационных ресурсов, нормативно-технических требований, достигнутого отечественного и зарубежного опыта;
приоритетности - категорирование (ранжирование) всех информационных ресурсов Фонда по степени важности и оценка реальных, а также потенциальных угроз информационной безопасности;
информированности и персональной ответственности - пользователи информационных ресурсов должны знать о наличии системы контроля и защиты информации, информационные сервисы индивидуально идентифицирует пользователей и инициируемые ими процессы;
соответствие стандартам - система информационной безопасности соответствует международным стандартам в данной области;
обязательность контроля - контроль за деятельностью пользователей, а также мониторинг работы ИС должен осуществляться на основе применения средств оперативного контроля и регистрации, охватывать как несанкционированные, так и санкционированные действия.
Объекты обеспечения информационной безопасности
Автоматизированная система обработки информации Фонда является распределенной структурой, объединяющей в единую ИС подсистемы центрального аппарата, региональных филиалов. Основными объектами Политика информационной безопасности Политика информационной безопасности лист 7 из 16 обеспечения информационной безопасности в Фонде признаются следующие элементы:
информационные ресурсы, содержащие сведения, отнесенные в соответствии с действующим законодательством к государственной тайне, коммерческой тайне Фонда, открытая информация, необходимая для обеспечения нормального функционирования Фонда (в дальнейшем - защищаемая информация);
средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации;
программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы Фонда, с помощью которых производится обработка защищаемой информации;
помещения, предназначенные для ведения закрытых переговоров и совещаний;
помещения, в которых расположены средства обработки защищаемой информации;
технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.
Подлежащая защите информация может находиться:
на бумажных носителях;
в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);
передаваться по телефону, телефаксу, телексу и т.п. в виде электрических сигналов;
в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров;
записываться и воспроизводиться с помощью технических средств (диктофоны, видеомагнитофоны и др.).
Меры обеспечения безопасности
Меры обеспечения безопасности. Все меры обеспечения безопасности компьютерных систем подразделяются на:
правовые (законодательные);
морально-этические;
физические;
технические (аппаратурные и программные).
Законодательные (правовые) меры защиты. К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и Политика информационной безопасности Политика информационной безопасности лист 8 из 16 использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.
Морально-этические меры защиты. К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации.
Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений.
Организационные (административные) меры защиты. Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
Физические средства защиты. Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
Технические (программно-аппаратные) средства защиты. Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем Фонда и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
Угрозы информационной безопасности
Под угрозами информационной безопасности понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:
утрата сведений, составляющих банковскую тайну, коммерческую тайну Фонда и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации; Политика информационной безопасности Политика информационной безопасности лист 9 из 16
утечка - несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.), а также утечка информации по каналам связи и за счет побочных электромагнитных излучений;
недоступность информации в результате ее блокирования, сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, маршрутизаторов, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форсмажорных обстоятельств;
отсутствие планирования и контроля;
низкая степень надежности программного обеспечения;
недостаточная осведомленность персонала, низкая квалификация персонала и пользователей в области информационных технологий.
В результате воздействия указанных угроз могут возникнуть следующие негативные последствия, влияющие на состояние информационной безопасности Фонда и его нормальное функционирование:
финансовые потери, связанные с утечкой или разглашением защищаемой информации;
финансовые потери, связанные с уничтожением и последующим восстановлением утраченной информации;
ущерб от дезорганизации деятельности Фонда и потери, связанные с невозможностью выполнения им своих обязательств;
моральные потери (ущерб репутации Фонда).
Техническое обеспечение информационной безопасности Фонда
Техническое обеспечение информационной безопасности должно базироваться:
на системе унификации и взаимного дополнения применяемых средств защиты;
на системе лицензирования деятельности;
на системах сертификации всего программного обеспечения и средств защиты.
Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных и криптографических средств и мер по защите информации в процессе документооборота, при работе работников с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров. Политика информационной безопасности Политика информационной безопасности лист 10 из 16
Предоставление прав доступа специалистам Фонда к соответствующей информации определяется в порядке, определяемом внутренними документами Фонда.
Одним из направлений обеспечения информационной безопасности является реализация технической политики, то есть защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа и иных воздействий.
В рамках обеспечения информационной безопасности, техническая политика предусматривает:
реализацию единой разрешительной системы допуска работников к работам, документам и информации конфиденциального характера;
ограничение доступа работников и посторонних лиц в здания, помещения, где обрабатывается (хранится) информация конфиденциального характера, в том числе на объекты информатики;
разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
учет документов, информационных массивов, регистрация действий пользователей ИС, контроль за несанкционированным доступом и действиями пользователей;
криптографическое преобразование информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
предотвращение внедрения в автоматизированные ИС программ вирусного характера.
Защита информационных ресурсов от несанкционированного доступа предусматривает:
единую централизованную политику обеспечения безопасности автоматизированных систем, регистрации и проверки прав доступа специалистов Фонда;
обоснованность доступа, предполагающую наличие соответствующей формы допуска работника для ознакомления с информацией (документацией) определенного уровня конфиденциальности при необходимости ознакомления с данной информацией или действий с ней для выполнения производственных функций;
персональную ответственность, предполагающую ответственность работника за использование и сохранность доверенной информации (документов, носителей информации, информационных массивов), за свои действия в автоматизированной системе;
надежность хранения, предполагающую хранение информации (документов, носителей информации, информационных массивов) в условиях, исключающих несанкционированное ознакомление, ее уничтожение, подделку или искажение;
централизованный контроль за действиями работников с конфиденциальными документами, а также конфиденциальной информацией в автоматизированных системах; Политика информационной безопасности Политика информационной безопасности лист 11 из 16
целостность технической и программной среды, обрабатываемой информации и средств защиты, предполагающую физическую сохранность средств информатизации, неизменность программной среды, определяемую предусмотренной технологией обработки информации, выполнение средствами защиты предусмотренных функций, изолированность средств защиты от пользователей.
Обеспечение безопасности ИС предполагает разработку необходимых мер защиты на этапе формирования будущей автоматизированной системы, что заключается в составлении спецификаций на приобретаемое оборудование и программное обеспечение с учетом предъявляемых требований по безопасности.
В процессе формирования заказа на построение ИС необходимо учитывать не только основной набор функциональных сервисов (бухгалтерские системы, системы автоматизации процедур, делопроизводства и тому подобные), но и ряд необходимых вспомогательных сервисов, обеспечивающих надежное функционирование системы и требуемый уровень безопасности. При этом необходимо учитывать, что в защите нуждаются все сервисы и коммуникационные пути между ними. В случае, если не все функционально законченные сервисы обладают полным набором механизмов безопасности, они требуют объединения в составные сервисы, в совокупности обладающие таким набором и с внешней точки зрения представляющих собой единое целое.
Обеспечение единой политики процедур регистрации и предоставления доступа, а также требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, которая предполагает определение для всех пользователей автоматизированных систем доступные им информационные и программные ресурсы, а также конкретные операции (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
Условие надежности хранения информации реализуется с помощью:
оборудования помещений, в которых ведется обработка конфиденциальной информации сейфами и металлическими шкафами для хранения документов, а также техническими средствами разграничения и контроля доступа;
использования криптографического преобразования информации в автоматизированных системах.
Система контроля за действиями работников реализуется с помощью:
организационных мер и технических средств контроля при работе с конфиденциальными документами и сведениями;
регистрации (протоколирования средствами системного аудита) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида Политика информационной безопасности Политика информационной безопасности лист 12 из 16 взаимодействия и его результата, включая запрещенные попытки доступа;
сигнализации о несанкционированных действиях пользователей.
Целостность автоматизированных систем достигается комплексом программно-технических средств и организационных мероприятий, осуществляемых уполномоченными подразделениями Фонда.
При необходимости передачи по внешним линиям связи конфиденциальной информации, основным направлением защиты информации от перехвата, искажения и навязывания ложной информации является использование криптографического преобразования информации, а на небольших расстояниях, использование защищенных волоконно-оптических линий связи.