Перечень вопросов ЗИ, требующих документационного закрепления

Состав и значение материально-технического обеспечения функционирования КСЗИ

Гл а в а 14

Подбор и обучение персонала

Основные моменты, связанные с подбором и обучением пер­сонала, были названы выше при рассмотрении состава кадрового обеспечения. Остановимся еще на нескольких моментах.

Персонал, вне всяких сомнений, является основным источни­ком приумножения благосостояния предприятия. Вместе с тем и ущерб, который может нанести предприятию недобросовестный работник, особенно если он наделен полномочиями и возможно­стью доступа к защищаемой информации, может превосходить ущерб от самых масштабных аварий, сбоев в работе и других на­рушений в работе технических систем. При этом даже самые изощ­ренные формы закрепления юридической ответственности такого работника, технические системы контроля за его деятельностью, инструкции и правила не смогут компенсировать просчета, допу­щенного руководством, кадровыми работниками, службой без­опасности при приеме его на работу. В связи с этим представля­ются оправданными высокие расходы по найму и содержанию квалифицированных сотрудников служб безопасности, владеющих методиками распознавания лиц, склонных к правонарушениям, с признаками деградации личности, «темным» прошлым и т.п.

Обратим внимание и на сравнительно новый для России спо­соб подбора кадров, связанный с проведением психофизиологи­ческого исследования с помощью полиграфа («детектора лжи»). Показателем эффективности данного средства может служить информация об его использования в правоохранительных орга­нах*.

Что касается обучения персонала, то на современном рынке этой услуги имеется масса возможностей по подготовке (перепод­готовке) специалистов в области защиты государственной тайны, конфиденциальной информации, в том числе и по сложным тех­ническим направлениям этой деятельности. Вместе с тем, с на­шей точки зрения, наиболее важной (и эффективной) формой является организация подготовки персонала по вопросам защиты информации непосредственно на предприятии, под руководством сотрудников службы защиты информации.

Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации

Материально-техническое обеспечение КСЗИ охватывает дея­тельность службы защиты информации по использованию мате­риально-технической базы, материальных и денежных средств в ходе выполнения задач защиты информации.

Материально-техническая база КСЗИ включает объекты хозяй­ственного и технического назначения. К объектам хозяйственного назначения относятся здания и помещения, в которых хранятся носители информации, размещаются подразделения и объекты тех­нического назначения службы. К объектам технического назначе­ния относятся различные технические средства, используемые служ­бой ЗИ, но не предназначенные непосредственно для ЗИ (системы заземления, электронные системы регулирования доступа в поме­щения, средства охраны, сигнализации, видеонаблюдения и опо­вещения, средства механизации — бумагоуничтожающие машины, злектронные и электрические замки, электрические звонки и т.п.).

К материальным средствам службы ЗИ относятся все виды средств зашиты информации, а также носители информации.

Материально-техническое обеспечение КСЗИ включает:

• планирование и осуществление работы объектов материаль­но-технической базы службы ЗИ;

• своевременное определение потребности, приобретение, учет и хранение всех видов материальных средств, их распределение, выдачу (отправку, передачу) по назначению, обеспечение правиль­ного и экономного расходования и ведение отчетности;

• накопление и содержание установленных запасов материаль­ных средств, обеспечение их сохранности;

• правильную эксплуатацию, сбережение, своевременное тех­ническое обслуживание и ремонт;

• создание условий для организации и проведения мероприя­тий ЗИ;

• строительство, ремонт и правильную эксплуатацию зданий и помещений;

• изучение положения дел, выявление внутренних и внешних факторов, оказывающих влияние на МТО КСЗИ;

• выявление нарушений, ошибок в МТО, оперативное приня­тие мер по их устранению.

Основными направлениями развития и совершенствования МТО ЗИ являются:

• повышение технической оснащенности объектов ЗИ матери­ально-техническими средствами;

• улучшение планирования МТО ЗИ;

• строительство и эксплуатация объектов ЗИ в строгом соот­ветствии с требованиями безопасности информации;

• оснащение объектов ЗИ новыми СЗИ;

• обучение пользователей правилам работы с СЗИ;

• внедрение в практику методов наиболее экономного и эф­фективного использования материально-технической базы;

• обеспечение сохранности материальных и денежных средств и предотвращение их утрат.

Должностные лица, ответственные за МТО КСЗИ, обязаны:

• знать и доводить до подчиненных требования нормативных актов предприятия по вопросам МТО КСЗИ;

• определять потребность и знать обеспеченность СЗИ матери­альными и денежными средствами для обеспечения ЗИ;

• знать наличие, состояние, порядок эксплуатации (хранения) материальных средств ЗИ, в том числе в их подразделениях, пра­вильно определять потребность в них;

• своевременно истребовать и получать положенные матери­альные средства ЗИ;

• организовывать ведение учета, правильное хранение, сбере­жение запасов материальных средств КСЗИ, а также их эксплуа­тацию, ремонт и техническое обслуживание;

• участвовать в организации проектирования, строительства и реконструкции объектов ЗИ;

• осуществлять планирование МТО КСЗИ;

• организовывать работу по экономному, рациональному рас­ходованию материальных средств;

• осуществлять контроль за использованием материальных средств КСЗИ.

На основе концепции защиты информации (концепции без­опасности предприятия), законодательства и иных нормативных документов в информационной области с учетом уставных поло­жений и специфики деятельности предприятия определяется и

разрабатывается комплект внутренних нормативных и мето­дических документов, как правило, включающий:

• перечни сведений, подлежащих защите на предприятии;

• документы, регламентирующие порядок обращения сотруд­ников предприятия с информацией, подлежащей защите;

• положения об управлениях и отделах (разделы по ЗИ);

• документы по предотвращению несанкционированного до­ступа к информационным ресурсам и АС;

• документы, регламентирующие порядок взаимодействия пред­приятия со сторонними организациями по вопросам, связанным с обменом информацией;

• документы, регламентирующие пропускной и внутриобъек-товый режим;

• документы, регламентирующие порядок эксплуатации авто­матизированных систем предприятия;

• документы, регламентирующие действия должностных лиц и персонала предприятия в условиях чрезвычайных ситуаций, обес­печения бесперебойной работы и восстановления;

• планы защиты автоматизированных систем предприятия;

• документы, регламентирующие порядок разработки, испыта­ния и сдачи в эксплуатацию программных средств;

• документы, регламентирующие порядок закупки программных и аппаратных средств (в т.ч. средств зашиты информации);

• документы, регламентирующие порядок эксплуатации техни­ческих средств связи и телекоммуникации.

«Инструкция по обеспечению защиты информации от не­санкционированного доступа» содержит:

• определение целей, задач защиты информации в АС и основ­ных путей их достижения (решения);

• требования по организации и проведению работ по защите информации в АС;

• описание применяемых мер и средств защиты информации от рассматриваемых угроз, общих требований к настройкам при­меняемых средств защиты информации от НСД;

• распределение ответственности за реализацию «Инструкции...» между должностными лицами и структурными подразделениями организации.

«Положение о категорировании ресурсов АС» содержит:

• формулировку целей введения классификации ресурсов (АРМ, задач, информации, каналов передачи) по степеням (категориям) защищенности;

• предложения по числу и названиям категорий защищаемых ресурсов и критериям классификации ресурсов по требуемым сте­пеням защищенности (категориям);

• определение мер и средств защиты информации, обязательных и рекомендуемых к применению на АРМ различных категорий;

• образец формуляра ЭВМ (для учета требуемой степени защи­щенности (категории), комплектации, конфигурации и перечня решаемых на ЭВМ задач);

• образец формуляра решаемых на ЭВМ АС функциональных задач (для учета их характеристик, категорий пользователей задач и их прав доступа к информационным ресурсам данных задач).

«Порядок обращения с информацией, подлежащей защите», содержит:

• определение основных видов защищаемых сведений (инфор­мационных ресурсов);

• общие вопросы организации учета, хранения и уничтожения документов и магнитных носителей ИОД;

• порядок передачи (предоставления) ИОД третьим лицам;

• определение ответственности за нарушение установленных правил обращения с защищаемой информацией;

• форму типового «Соглашения (обязательства) сотрудника орга­низации о соблюдении требований обращения с защищаемой информацией».

«План обеспечения непрерывной работы и восстановления» включает:

• общие положения (назначение документа);

• классификацию возможных (значимых) кризисных ситуаций и указание источников получения информации о возникновении кризисной ситуации;

• перечень основных мер и средств обеспечения непрерывно­сти процесса функционирования АС и своевременности восста­новления ее работоспособности;

• общие требования к подсистеме обеспечения непрерывной работы и восстановления;

• типовые формы для планирования резервирования ресурсов подсистем АС и определения конкретных мер и средств обеспече­ния их непрерывной работы и восстановления;

• порядок действий и обязанности персонала по обеспечению непрерывной работы и восстановлению работоспособности си­стемы.

«Положение об отделе технической защиты информации» содержит:

• общие положения, руководство отделом;

• основные задачи и функции отдела;

• права и обязанности начальника и сотрудников отдела, от­ветственность;

• организационно-штатную структуру отдела.

« Обязанности администратора информационной безопасно­сти подразделения» содержат:

• основные права и обязанности по поддержанию требуемого режима безопасности;

• ответственность за реализацию принятой политики безопас­ности в пределах своей компетенции.

«Памятка пользователю АС предприятия» определяет об­щие обязанности сотрудников подразделений при работе со сред­ствами АС и ответственность за нарушение установленных по­рядков.

«Инструкция по внесению изменений в списки пользовате­лей» определяет процедуру регистрации, предоставления или из­менения прав доступа пользователей к ресурсам АС.

«Инструкция по модификации технических и программных средств» регламентирует взаимодействие подразделений предпри­ятия по обеспечению безопасности информации при проведении модификаций программного обеспечения и технического обслу­живания средств вычислительной техники;

«Инструкция по организации парольной защиты» регламен­тирует организационно-техническое обеспечение процессов ге­нерации, смены и прекращения действия паролей (удаления учет­ных записей пользователей) в автоматизированной системе пред­приятия, а также контроль за действиями пользователей и обслу­живающего персонала системы при работе с паролями.

«Инструкция по организации антивирусной защиты» содер­жит:

• требования к закупке, установке антивирусного программно­го обеспечения;

• порядок использования средств антивирусной защиты, рег­ламенты проведения проверок и действия персонала при обнару­жении вирусов;

• распределение ответственности за организацию и проведение антивирусного контроля.

Перечень внутренних организационно-распорядительных до­кументов для объекта ВТ:

• техническое задание на СЗИ объекта информатизации;

• технический паспорт объекта вычислительной техники;

• схема размещения основных и вспомогательных средств и систем, устройств защиты и схема прокладки систем электропи­тания и заземления объекта информатизации в помещении;

• схема контролируемой зоны предприятия;

• инструкция по защите сведений, отнесенных к государствен­ной тайне, при обработке на средствах ВТ;

• приказ «Об организации обработки информации, содержа­щей ГТ, на объекте ВТ»;

• перечень лиц, которым разрешен доступ к обработке инфор­мации на АРМ;

• инструкция пользователя СВТ;

• положение об администраторе безопасности;

• положение о пропускном и внутриобъектовом режиме;

• руководство по защите информации;

• технологическая схема обработки ИОД на АРМ;

• перечень задач, выполняемых на АРМ;

• паспорта задач, выполняемых на АРМ;

• акт категорирования объекта ВТ;

. заключение и предписание на эксплуатацию ПЭВМ по ре­зультатам проведения спецпроверки;

• протокол специальных исследований АРМ на базе ПЭВМ;

• заключение по результатам оценки защищенности объек­та ВТ;

• предписание на эксплуатацию объекта ВТ;

• документы, подтверждающие освоение учебных программ должностными лицами и специалистами по ЗИ.