Пиши Дома Нужные Работы

Обратная связь

Организационное обеспечение информационной безопасности

Организационное обеспечение информационной безопасности должно основываться на совокупности документированных решений, направленных на выполнение утвержденных задач ИБ. На метауровне целесообразно выделить комплексную систему информационной безопасности финансовой системы (КСИБ).

Организационное обеспечение КСИБ требует:

руководства КСИБ со стороны полномочных руководителей Министерства финансов Российской Федерации и ЦБ, а в части подсистем ИБ финансовых организаций ответственность возлагается на руководителей этих организаций;

коллегиального принятия решений о координации деятельности и подготовке рекомендаций стратегического уровня в области информационной безопасности Комиссией по информационной безопасности при Министерстве финансов Российской Федерации;

координации и контроля деятельности по обеспечению защиты конфиденциальной и открытой информации уполномоченным органом;

наличия в каждой финансовой организации подразделения и/или должностных лиц, ответственных за обеспечение информационной безопасности;

управления компонентами инфраструктуры КСИБ подразделениями центров мониторинга и защиты информационных ресурсов финансовой системы, удостоверяющих центров по выдаче и подтверждению цифровых сертификатов, защищенных центров хранения и обработки информационных ресурсов финансовой системы.

Руководители всех уровней КСИБ совместно с подразделениями защиты и ответственные за ИБ организации должны обеспечивать выполнение программ, планов, принимаемых на основании документированных решений, для реализации мероприятий по обеспечению ИБ.



Документы должны подвергаться корректировке по мере появления изменений в составе нормативного правового обеспечения или иных нормативов, требующих переоценки взглядов, выполнения новых задач обеспечения ИБ.

Планы должны формироваться с использованием программно-целевых методов планирования, отражать специфику видов обеспечения ИБ и организационно-технические особенности создания и применения объектов информатизации. Программно-целевое планирование следует рассматривать с позиций практического применения системного подхода в управлении процессами обеспечения ИБ, с учетом следующих аспектов организации работ по защите ИС и ресурсов: единство цели; фиксирование комплекса обусловленных целью задач и мероприятий; обеспеченность последних ресурсами; планомерность реализации; конкретность сроков выполнения; комплексность задач и их решения.

Применение методов программно-целевого планирования рассмотрим на примере решения задач обеспечения катастрофоустойчивости ИС.

В целях обеспечения бесперебойной работы организации должно осуществляться планирование восстановительных мер штатных режимов функционирования ИС. Для защиты критически важных информационных процессов от последствий крупных аварий и катастроф должен разрабатываться план обеспечения бесперебойной работы организации. План должен учитывать возможные последствия следующих событий:

неумышленное уничтожение данных из-за ошибок пользователей;

сбои в электроснабжении;

стихийные бедствия, техногенные аварии и катастрофы;

умышленные действия, направленные на нанесение ущерба;

отказы программных и технических средств.

Процесс планирования бесперебойной работы организации должен включать:

определение критически важных информационных ресурсов и систем и их ранжирование по приоритетам;

определение возможного воздействия аварий различных типов на защищаемые ресурсы;

определение и согласование обязанностей должностных лиц и планов действий структурных подразделений в чрезвычайных ситуациях;

определение необходимых людских и материальных ресурсов для устранения последствий кризисной ситуации;

документирование согласованных процедур и процессов;

надлежащую подготовку персонала к выполнению согласованных процедур и процессов в чрезвычайных ситуациях.

Все должностные лица и сотрудники объекта информатизации должны четко знать и уметь выполнять свои обязанности, зафиксированные в планах обеспечения бесперебойной работы организации.

В целях соблюдения законопослушности и исполнительской дисциплины при выполнении программ и планов обеспечения ИБ в регламенты деятельности финансовых организаций необходимо включать управленческие решения по соблюдению существующих законов, контролю действий должностных лиц, ответственных за выработку программных решений по безопасности и, наконец, обеспечению лояльности персонала, достигаемой методами поощрений и наказаний. Кроме того, данные регламенты должны устанавливать общий порядок управления защищаемыми информационными ресурсами, режим их информационной безопасности, координацию использования этих ресурсов, выделения специального персонала для защиты критически важных систем и ресурсов, поддержания контактов с другими организациями, обеспечивающими или контролирующими режим безопасности.

Так, для обеспечения установленного режима информационной безопасности необходимо:

организовать общую подготовку кадров организаций для выполнения установленных требований по обеспечению информационной безопасности;

организовать подготовку специалистов для эксплуатации систем и средств защиты и обеспечения контроля соблюдения установленных требований к информационной безопасности финансовой системы;

получить письменное обязательство каждого, принимаемого на работу сотрудника о соблюдении конфиденциальности. Условие соблюдения конфиденциальности должно распространяться на всю защищаемую информацию, доверенную сотруднику или ставшую ему известной в процессе выполнения им своих служебных обязанностей;

определить правила реагирования сотрудников на события, несущие угрозу безопасности;

вменить в обязанности сотрудникам обязательное уведомление об обнаруженных инцидентах и слабых местах в системе безопасности;

определить ответственность за нарушение режима безопасности информации.

Нарушения, связанные с выполнением требований руководящих документов по ИБ, применению средств защиты информации и разграничения доступа, использованию технического, информационного и программного обеспечения на объектах информатизации, целесообразно разделить на категории по степени их опасности.

Нарушения 1 - ой категории:

утрата бумажных документов и магнитных носителей информации, содержащих охраняемые (конфиденциальные) сведения;

действия сотрудников структурных подразделений предприятий, организаций и органов власти, приведшие к искажению или разрушению охраняемых сведений или иных защищаемых ресурсов;

умышленная разработка, использование и распространение вредоносных программ (программ - вирусов и т. п.), а также непреднамеренные (по халатности) виновные действия, приведшие к использованию и распространению таких программ;

несанкционированная корректировка адресной информации маршрутов и путей коммутации технических средств пользователей данных и сообщений в информационных сетях;

компрометация средств защиты информации;

несанкционированный доступ к защищаемой информации;

несанкционированные действия сотрудников, направленные на сбор, накопление и обобщение охраняемых сведений.

Нарушения 2 -ой категории:

компрометация паролей;

несвоевременная замена паролей и идентификаторов при их компрометации;

вывод информации, содержащей охраняемые сведения, на неучтенные носители информации и машинные документы;

несанкционированное внесение изменений в программное информационное обеспечение информационных систем;

несанкционированное отключение средств защиты информации;

самовольное отключение средств антивирусной защиты;

несанкционированное подключение к вычислительной сети нештатных технических средств обработки информации (например, личных портативных компьютеров и т.п.);

вход в систему в обход системы защиты (загрузка ОС с дискеты, оптического диска или другого внешнего носителя);

отсутствие разграничения доступа к информации, содержащей охраняемые сведения и обрабатываемой в многопользовательском режиме, при работе по технологии клиент-сервер, а также доступа из других информационно - вычислительных сетей по каналам корпоративной или открытой сети;

нарушение порядка учета, хранения и обращения со средствами разграничения доступа к информации.

Практическая реализация подхода, основанного на использовании базового уровня безопасности, требует выполнения каждым владельцем информационных систем и ресурсов следующего квалификационного минимума требований организационного обеспечения ИБ, разрабатываемых с учетом требований к видам обеспечения ИБ:

обеспечение штатного наполнения иерархической структуры КСИБ;

разработка и контроль реализации программ и планов обеспечения ИБ города и отдельных ИС и информационных ресурсов (ИС и Р);

организация ведения договорной работы государственных заказчиков создания и эксплуатации ИС и Р, контроль лицензий на право ведения работ по созданию, обслуживанию защищаемых ИС и Р и порядка применения сертифицированных средств защиты;

определение порядка обращения с категорированной информацией ИС и Р в соответствии с установленными требованиями;

организация разработки типовых решений и технологий защиты, рекомендуемых для обеспечения базового уровня безопасности финансовых информационных ресурсов и систем;

разработка организационно-технического обеспечения анализа и оценки информационных рисков информационных комплексов финансовой системы, имеющих надежные методики оценки стоимости защищаемых информационных ресурсов и ущерба от их повреждения или утраты, а также регламенты соответствующих компенсационных механизмов;

разработка порядка проведения аттестации объектов информатизации финансовых организаций на соответствие требованиям установленного уровня информационной безопасности;

организация обеспечения контроля соответствия объектов информатизации требованиям базового и повышенных уровней безопасности с задействованием средств инфраструктуры КСИБ, центров мониторинга событий ИБ, резервного хранения данных и удостоверяющих центров сертификатов ключей электронной цифровой подписи;

контроль выполнения регламентов в части обеспечения ИБ, реализации механизмов поощрения и наказания должностных лиц.






ТОП 5 статей:
Экономическая сущность инвестиций - Экономическая сущность инвестиций – долгосрочные вложения экономических ресурсов сроком более 1 года для получения прибыли путем...
Тема: Федеральный закон от 26.07.2006 N 135-ФЗ - На основании изучения ФЗ № 135, дайте максимально короткое определение следующих понятий с указанием статей и пунктов закона...
Сущность, функции и виды управления в телекоммуникациях - Цели достигаются с помощью различных принципов, функций и методов социально-экономического менеджмента...
Схема построения базисных индексов - Индекс (лат. INDEX – указатель, показатель) - относительная величина, показывающая, во сколько раз уровень изучаемого явления...
Тема 11. Международное космическое право - Правовой режим космического пространства и небесных тел. Принципы деятельности государств по исследованию...



©2015- 2024 pdnr.ru Все права принадлежат авторам размещенных материалов.