Организационно-технические мероприятия СЗИ
Приведем перечень основных организационно-технических мероприятий, выполняемых СЗИ :
- разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности;
- внесение необходимых изменений и дополнений во всей организационно-распорядительные документы (положения о подразделениях, обязанности должностных лиц, инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности программно-информационных ресурсов ИС и действиям в случае возникновения кризисных ситуаций;
- оформление юридических документов (договора, приказы и распоряжения руководства организации) по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитраж, третейский суд) о правилах разрешения споров, связанных с применением электронной подписи;
- создание научно-технических и методологических основ защиты ИС;
- исключение возможности тайного проникновения в помещения, установки прослушивающей аппаратуры и т.п.;
- проверка и сертификация используемых в ИС технических и программных средств на предмет определения мер по их защите от утечки по каналам побочных электромагнитных излучений и наводок;
- определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимы полномочий по доступу к ресурсам системы;
- разработка правил управления доступом к ресурсам системы, определение перечня задач, решаемых структурными подразделениями организации с использованием ИС, а также используемых при их решении режимов обработки и доступа к данным;
- определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в ИС;
- выявление наиболее вероятных угроз для данной ИС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней;
- оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты;
- организация надежного пропускного режима;
- определение порядка-учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.;
- организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией,
- организация и контроль за соблюдением всеми должностными лицами требований по обеспечению безопасности обработки информации;
- определение перечня необходимых мер по обеспечению непрерывной работы ИС в критических ситуациях, возникающих в результате НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий и т.п.
- контроль функционирования и управление используемыми средствами защиты;
- явный и скрытый контроль за работой персонала системы;
- контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования ИС;
- периодический анализ состояния и оценка эффективности мер защиты информации;
- распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
- анализ системных журналов, принятие мер по обнаруженный нарушениям правил работы;
- составление правил разграничения доступа пользователей информации, периодическое с привлечением сторонних специалиста осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры m совершенствованию системы защиты;
- рассмотрение и утверждение всех изменений в оборудовании ИС, проверка их на удовлетворение требованиям защиты документальное отражение изменений и т.п.;
- проверка принимаемых на работу, обучение их правила! работы с информацией, ознакомление с мерами ответственности з нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности.