Законодательные меры защиты информации

организационные меры защиты информации | Защита информации

06.10.2015

Во время реализации системы контроля над конфиденциальным данными, у сотрудников службы информационной безопасности предприятия постает вопрос, быть или не быть по поводу выбора методов защиты информации. Аргументы о недостатках и преимуществах убедительна и стройна.

К примеру сторонники программно-аппаратных средств считают что надо втихую ставить фильтры и отслеживать атаки, ибо если принимать организационные меры нарушитель испугается. Сторонники скупых, считают что достаточно будет пустить слух, что все под колпаком. А увольняющимся сотрудникам будут доплачивать за распространение ложных показаний по поводу строгости на предприятии.

Что бы объективно подойти к этому вопросу, нужно отталкиваться от конкретных задач внедрения системы безопасности. Общие задачи показано на рис.1.

Рисунок — 1

Для определение конкретной организационной защиты, нужно четко знать ответы на вопросы:

• Сколько компьютеров установлено на предприятии? Сколько сейчас находятся в ремонте ? а сколько работает ?
• Сможете ли вы найти маскарад оборудования ?
• Какие задачи решает каждый компьютер ?
• Как проверяется оборудование, вернувшееся из ремонта ?
• Каков алгоритм приема нового сотрудника или оборудования ?

Список можно продолжать. Защита начинается с постановки вопроса. Многие кто сталкивался с подобной задачей, установки организационных средств защиты могут однозначно сказать, что каждый пользователь негативно относится к таким средствам. Они сковывают его свободу в рамках предприятия, так как шаг в лево или в право отслеживается.

Универсального рецепта, так же как и идеальных условий, не бывает. Нужно рассматривать отдельно для каждого случая отдельные пути решения.

Психологические меры

Независимо от меры защиты, есть два способа внедрения систем защиты: закрытый и открытый. Понятно что реорганизовать документооборот незаметно от сотрудников не реально. Но если основной целью внедрения системы, это выявление уже существующего линии утечки, то есть смысл подождать с объявлением процедур о нововведении новых мер защиты, а поставить мониторы фильтры и другие скрытые механизмы защиты.

Иногда можно даже замаскировать программные утилиты на робочих станциях сотрудников (антивирусы, мониторы аудита, межсетевой экран, программы для тестирования сети). Также для внутренних угроз за счет психоловидеонаблюдения, можно поставить неподключенные камеры. Сам факт наличия камеры дает сомнения для действий нарушителя. При этом можно раздуть иные меры защиты, так сказать взять подписи о неразглашении данных, рассказать о последствиях утечки и тд.

Такие псхихологические моменты создают устойчивый барьер для действий на возможные нарушения.

Права на локальных пользователей

Неправильно считать, что установив самое совершенное ПО все проблемы связанные с утечками решатся. Нужно ограничивать доступ к этим ПО на локальных ПК сотрудников. Самый простой способ, это ограничивание прав локального администратора на простых рабочих станциях. Также можно использовать ОС с неспособностью поддерживать удаленный доступ. Обучение сотрудников, инструктаж и другие моменты во многом помогут продотвратить утечки через необозначеных сотрудников. Любое копирование данных на флешки, должны вызывать вопросы у коллег. Также сильно квалифиированные сотрудники также не всегда плюс.

Стандартизация ПО

В компаниях можно редко увидеть такой документ, как список ПО допустимый и установке и использования на локальных ПК предприятия. Неучет ПО следует к прямым утечкам данных. К примеру наличие на ПК файлового менеджера Total Commander разрешает копировать временные файлы, а также другие низкоуровневые операции.

Как быть, заставить сотрудников пользоваться стандартными средствами ОС или разрешать такие мощные инструменты для похищения данных ? Как будет составлен список ПО, нужно обеспечить установку на всех локальные ПК и ограничить запуск других программ без прав администратора.

Схема все, что не разрешено — запрещено, должен работать безотказно.

Хранение физических носителей

Это еще один канал утечки. Есть два способа предотвращению утечки. Первый — анонимизация носителей. Сотрудники которые имеют доступ к носителям, не знают на каком носителе какая информация, они только обращаются к номерам носителей. Те сотрудники которые знают какая информация находится на каком носителе, они не дожны иметь доступ к хранилищу носителей. Второй — это шифрование (блочное или поточное) при резервном копировании. Также должны быть такие вещи, как замки на дверях, другие способы доступа к комнате с носителями.

Уровень проработки системы защиты с внутренними ИТ-угрозами зависит от уровня паранойи компании. Предела нет. Нужно понимать, что владелец информации имеет право на ее защиту и конфиденциальность. Можно перефразировать на новый лад следующее, Тот бизнес чего-либо стоит, который может защищаться.

Периодические мероприятия

К ним относят:

• анализ системных журналов
• распределение реквизитов доступа (пароли, ключи)
• Пересмотр правил доступа сотрудников к информационным ресурсам
• Привлекать сторонних специалистов для проверки системы защиты

Мероприятия по необходимости

К ним относят:

• Действия, реализуемые при изменениях в кадровом составе предприятия
• Действия при изменение настроек оборудования или при ремонте его
• Проверка новых сотрудников на предмет знания правил политики безопасности и ответственности

Постоянные мероприятия

К ним относят:

• Действия по реализации нужного уровня физической защиты: пропускной режим, противопожарная охрана, видеонаблюдение и тд. Практическую реализацию можно посмотреть на nnsbnn.ru
• Скрытый и явный контроль за работой сотрудников предприятия
• Действия направленные на поддержку работоспособности средств защиты
• Контроль за соблюдением политики безопасности сотрудниками
• Периодически проводить анализ и оценку эффективности средств защиты

Итог

Плюсы организационных мер защиты информации:

• Проста реализации
• Большой спектр решаемых задач
• Гибкость реагирование на НСД
• Гибкость при изменение поставленных задач

К минусам можно отнести:

• Необходимость в людях
• Зависимость от субъективных факторов
• Низкая надежность без дополнительных направлений защиты (техническая, программная и тд)
• Неудобства с большим объемом рутинной деятельностью

Источник: http://infoprotect.net/note/organizacionnyie_meryi_zasccityi_informacii

Меры по обеспечению информационной безопасности | Описание мер по обеспечению информационной безопасности на предприятии

В деятельности любой организации или предприятия образуются массивы информации, подлежащей охране. Требования к конфиденциальности могут определяться как федеральными законами, это касается банковской тайны или персональных данных, так и позицией компании, которая должна охранять коммерческую тайну. Меры защиты, предпринимаемые для обеспечения информационной безопасности, зависят от нормативно-правовых требований и принятой в компании концепции противодействия информационным угрозам.

Как обеспечить информационную безопасность предприятия

Руководство предприятия или организации должно разработать и внедрить концепцию по обеспечению информационной безопасности. Этот документ является основополагающим для разработки внутренних регламентов и системы защитных мер. Разработку политики безопасности часто поручают приглашенным экспертам по защите информации, способным провести аудит как информационной системы, так и организационной структуры компании и ее бизнес-процессов и разработать актуальный комплекс мер по защите информации.

Концепция безопасности

В дальнейшем концепция безопасности может стать основой для внедрения DLP-системы и других программных продуктов, решающих задачу защиты информационных ресурсов и инфраструктуры компании.

В концепции обеспечения информационной безопасности предприятия определяются:

• информационные массивы компании, подлежащие защите, основания защиты (установленные законом или коммерческие). Описываются программные средства, физические и электронные носители информации, определяется их ценность для компании, критичность изменения или утраты. Этот раздел готовится в тесном взаимодействии со всеми подразделениями компании. Система оценки информации должна предполагать и установку уровня доступа сотрудников к ресурсам;
• основные принципы защиты информации. Обычно к ним относятся конфиденциальность, коммерческая целесообразность, соответствие требованиям законодательства. Стратегия обеспечения информационной безопасности компании целиком и полностью строится на этих принципах. Кроме того, необходимо определить политики и правила, основываясь на которых выстраивается информационная система компании и общая система защиты информации;
• модель угроз информационной безопасности, релевантная для компании в целом и ее отдельных бизнес-единиц, а также модель гипотетического нарушителя. Им может оказаться конкурент, хакер, но чаще всего инсайдер. Центробанк РФ в своих стандартах, предлагающих рекомендации по обеспечению информационной безопасности, считает именно инсайдера основным источником рисков;
• требования к безопасности информационной системы и ее отдельных элементов, составленные на основе анализа бизнес-процессов, архитектуры системы и подготовленной модели рисков;
• методы и средства защиты информации.

Концепция сама по себе не решает задачу ответственности сотрудников компании за неправомерное обращение с информацией, в том числе за ее разглашение. Для решения этой задачи необходимо внедрить дополнительную систему организационных мер защиты информации, которые включают информирование, ознакомление под роспись, внесение в трудовые договоры соответствующих положений о защите информации, составляющей коммерческую тайну.

После разработки концепции необходимо приступать к ее внедрению. Система предлагаемых мер должна пройти согласование во всех причастных подразделениях компании, так как вопрос бюджетирования всегда ограничивает возможности по защите информации, сложности проводимых мероприятий и приобретению программных продуктов.

Объекты защиты

Каждая компания сама определяет массивы информации, которые подлежат защите. Это может быть стратегии развития, ноу-хау, патенты, бизнес-процессы, клиентские базы и другие данные. Но есть общие объекты защиты, безопасность которых необходимо обеспечить, чтобы иметь возможность защитить данные от утечек или намеренного разглашения. К таким объектам в первую очередь относятся автоматизированные информационные системы предприятия.

Компьютеры, серверы, каналы связи, периферийные устройства становятся целью хакеров или инсайдеров, заинтересованных в организации утечек информации. Решаются задачи ее хищения как через сеть, так и в ручном режиме, путем копирования информации или установки закладных устройств.

Организационные и технические меры должны быть направлены на физическую защиту системы и установку программного обеспечения, которое устранит внешнее сетевое вмешательство.

Классификация осуществляется как по типу информации, так и по местам ее хранения.

Конфиденциальную информацию обычно классифицируют следующим образом:

• персональные данные, подлежащие защите на основании норм федерального законодательства;
• программы, содержащие производственную и финансовую информацию, например, 1С: Предприятие;
• программные продукты, созданные или доработанные в интересах компании;
• базы документооборота;
• архивы электронной почты и внутренней переписки;
• производственная информация, документы стратегического характера;
• научная информация, данные НИОКР;
• финансовая информация и аналитика, подготавливаемая по заданию руководства предприятия.

Бухгалтерская информация и иные сведения, которые раскрываются в связи с требованиями законодательства, к категории конфиденциальных данных обычно не относятся.

Меры по обеспечению информационной безопасности

Обеспечение безопасности должно основываться на одновременном применении всего комплекса мер, предусмотренных законом или предлагаемых специалистами. Технические и организационные меры необходимо соразмерять с возможностями организации и информационной системы.

Система мер, рекомендуемая для большинства компаний, перед которыми стоит вопрос защиты информации, призвана обеспечить соблюдение основных признаков ее безопасности:

• доступность сведений. Под этим определением понимается возможность и для авторизованного субъекта в любое время получить требуемые данные, и для клиентов в регулярном режиме получать информационные услуги;
• целостность информации. Это означает ее неизменность, отсутствие любых посторонних, неавторизованных вмешательств, направленных на изменение или уничтожение данных, нарушение системы их расположения;
• конфиденциальность или абсолютная недоступность данных для неавторизованных субъектов;
• отсутствие отказа или невозможность отрицать принадлежность действий или данных;
• аутентичность или возможность достоверного подтверждения авторства информационных сообщений или действий в системе.

Организационные меры

К организационным мерам обеспечения информационной безопасности в первую очередь относится разработка положений, регламентов и процессов взаимодействия. Принятие некоторых внутренних нормативных актов регламентируется требованиями законодательства, к ним относится, например, положение об обработке персональных данных, которое должен разработать и разместить на своем сайте каждый оператор ПД.

Мероприятия по защите информации организационного характера не ограничиваются разработкой положений. Кроме этого, необходимо произвести:

• документирование и оптимизацию бизнес-процессов;
• установку градации сотрудников и их уровней доступа к информации, содержащей коммерческую тайну;
• создание подразделений или назначение лиц, ответственных за обеспечение информационной безопасности, иногда изменение структуры предприятия в соответствии с требованиями безопасности;
• информирование или переобучение персонала;
• организацию мероприятий по тестированию подготовки персонала к работе с системой в критических ситуациях;
• получение лицензий, например, на работу с государственной тайной;
• обеспечение технической защиты помещений и оборудования с дальнейшей сертификацией классов защиты, определение их соответствия нормативно-правовым требованиям;
• создание системы безопасности для цепочки поставщиков, во взаимодействии с которыми передаются конфиденциальные данные, внесение в договоры с контрагентами оговорок о сохранении коммерческой тайны и мер ответственности за ее разглашение;
• установка пропускной системы для сотрудников, выдача им электронных средств идентификации;
• выполнение всех требований законодательства по защите персональных данных;
• разработка системы взаимодействия с государственными органами в случае запроса ими у организации информации, которая может быть отнесена к конфиденциальной.

Технические меры

К техническим средствам и мерам обеспечения информационной безопасности относятся не только программные продукты, например, DLP-системы, но и другие инструменты, находящиеся в распоряжении компании. Меры защиты информации с технической точки зрения должны опираться на модель построения информационной системы предприятия, позволяющую выстроить оборону против посягательств на конфиденциальные сведения.

К принципам построения такой системы относятся:

• простота архитектуры, упрощение компонентов, сокращение числа каналов и протоколов межсетевого взаимодействия. В системе должны присутствовать только те элементы, без которых она окажется нежизнеспособной;
• внедрение только протестированных программных решений, уже не раз опробованных другими предприятиями, плюсы и минусы которых очевидны;
• минимальные доработки имеющихся лицензионных программных продуктов силами собственных или привлеченных исполнителей;
• использование только лицензированного ПО, при возможности оно должно быть внесено в государственный реестр программ для ЭВМ и баз данных;
• использование для построения системы только аутентичных компонентов, надежных и долговечных, не способных неожиданно выйти из строя и подорвать работоспособность системы. Все они должны быть совместимыми друг с другом;
• управляемость, легкость администрирования как самой системы, так и применяемых программных продуктов, минимальное использование сторонней технической поддержки;
• протоколирование и документирование любых действий пользователей, осуществляемых с файлами, содержащими конфиденциальную информацию, случаев несанкционированного доступа;
• эшелонированность обороны. Каждый потенциальный канал утечки должен иметь несколько рубежей системы защиты, затрудняющих работу потенциального похитителя информации.

При реализации этих принципов обеспечения информационной безопасности рассматриваются вопросы об использовании дополнительных технических средств защиты информации, к которым относятся:

• средства криптографической защиты, обеспечивающие шифрование на рабочих станциях и серверах, передаваемой по каналам связи;
• средства антивирусной защиты;
• SIEM-системы и DLP-системы, обеспечивающие закрытие всех потенциальных каналов утечки информации и перехват исходящего трафика.

Меры по обеспечению информационной безопасности должны быть разумными, бизнес-процессы предполагают, что на защиту ресурсов не должны тратиться средства, сравнимые с их стоимостью. Излишняя нагрузка на бизнес или персонал окажется нецелесообразной.

Источник: https://searchinform.ru/informatsionnaya-bezopasnost/osnovy-ib/osnovnye-aspekty-informatsionnoj-bezopasnosti/osnovnye-printsipy-obespecheniya-informatsionnoj-bezopasnosti/mery-po-obespecheniyu-informatsionnoj-bezopasnosti/