Конфиденциальность информации.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья11;
Перечень сведений конфиденциального характера [2];
Уголовный кодекс РФ [3], Статья138, Статья183;
Создание и защита программ и БД.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья16, Статья17, Статья19;
Закон РФ «О правовой охране программ для электронных вычислительных машин и баз данных» [4].
Защита информации и информационных ресурсов.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья3, Статья4, Статья8, Статья20, Статья21, Статья22.
Разграничение прав доступа к информации.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья12, Статья15.
Защита от несанкционированного доступа.
Уголовный кодекс РФ [3], Статья272;
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья6, Статья10;
Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации [5];
Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации [6];
Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации [7].
Персональные данные.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья11, Статья14;
Уголовный кодекс РФ [3], Статья137, Статья155;
Конституция РФ [8], Глава 2.
Трудовой кодекс РФ [9], Глава 14.
Вирусы. Их создание, использование и распространение.
Уголовный кодекс РФ [3], Статья273.
Документирование информации.
Федеральный закон РФ «Об информации, информатизации и защите информации» [1], Статья5.
Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Уголовный кодекс РФ [3], Статья274.
4.2 Административные меры (АМ), принятые на ООО «КРГ»
Ниже приведены уже предпринятые меры обеспечения информационной безопасности в организации ОО «КРГ»:
Физическая защита здания организации (охрана, видеонаблюдение).
Учет основных технических средств (СВТ) и систем:
Наличие схемы размещения СВТ с привязкой к границам контролируемой зоны;
Описание состава и размещения вспомогательных технических средств и систем;
Наличие схем электропитания и заземления основных технических средств и систем, вспомогательных технических средств и систем, схем прокладки кабельных линий передачи данных;
Наличие предписания на эксплуатацию СВТ и систем;
Контроль требований эксплуатационной документации на сертифицированные средства защиты, требований других нормативных документов (не реже одного раза в год).
Учет программного обеспечения, наличие соответствующих лицензий/сертификатов.
Контроль:
при вводе объекта защиты в эксплуатацию,
после проведения ремонта СВТ и средств защиты информации,
при изменениях условий расположения или эксплуатации СВТ.
Основные технические средства и системы необходимо размещать в помещениях, расположенных в пределах контролируемой зоны. Помещения, предназначенные для размещения активного сетевого оборудования и систем, должны отвечать следующим требованиям: отдельное закрытое помещение, ограниченный доступ в помещение, наличие сигнализации, средств охлаждения и средств пожаротушения.
Размещение и монтаж основных технических средств и систем, предназначенных для вывода конфиденциальной информации (печатающих устройств, видеотерминалов, графопостроителей и т.п.) необходимо проводить с учетом максимального затруднения визуального просмотра информации посторонними лицами, а также принимая дополнительные меры, исключающие подобный просмотр (шторы на окнах, непрозрачные экраны и т.п.).
Запрещается в пределах помещений объекта СВТ, где располагаются основные технические средства и системы, прокладывать незадействованные линии, имеющие выход за пределы контролируемой зоны.
Защита от несанкционированного доступа обеспечивается разграничением доступа субъектов к объектам, а именно:
Реализация правил разграничения доступа субъектов и их процессов к данным;
Реализация правил обмена данными между субъектами для АС и СРВ, построенных по сетевым принципам;
Идентификация/аутентификация субъектов в сети и поддержание привязки субъекта к процессу, выполняемому для субъекта.
Использование «хранителей экрана»
Осуществление мониторинга сети.
Использование антивирусного комплекта.
При создании ИС необходимо учесть все требования принятых административных мер организации относительно информационной безопасности, но и целесообразно предпринять дополнительные административные меры относительно системы и её функционирования в сети.
Дополнение к пункту 2 по учету основных технических средств (СВТ) и систем:
2.6 Убрать из конфигурации системного блока диспетчеров наличие дисковода и CD-ROMа. Использовать только при необходимости инсталляции программных продуктов.
Дополнение к пункту 8 по защите от несанкционированного доступа:
Реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий;
Регистрация действий субъекта и его процесса - аудит;
Предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов (регистрация нового пользователя, временные изменения в статусе пользователя, перемещения сотрудника);
Реакция на попытки НСД (блокировка, восстановление после НСД);
Тестирование;
Очистка оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
Учет выходных печатных и графических форм и твердых копий в АС (маркировка документов);
Контроль целостности программной и информационной части как средств разграничения доступа, так и обеспечивающих ее средств.
11. Пакет нормативных документов по порядку обработки и хранения конфиденциальной информации в сети.
4.3 Процедурные меры
4.3.1 Управление персоналом. ОРМ
Под управлением персоналом понимается непосредственно индивидуальная работа с каждым сотрудником организации и со всем коллективом организации в целом. То есть у каждого сотрудника в производственном процессе имеются свои права и обязанности, с которыми он должен быть ознакомлен и согласен с ними. Это могут быть должностные инструкции, перечень информации, СВТ и программных продуктов, с которыми он имеет право работать.
В рамках данного курсового проекта необходимо разработать ряд документов, инструкций, требований – регламентов, предъявляемых сотрудникам организации, которые будут работать с разрабатываемой информационной системой. Создание такого пакета документов во многом обусловлено проведенными законодательными и административными мерами и, как правило, проведение организационно-распорядительных мероприятий (ОРМ) является самым дешёвым и достаточно эффективным средством защиты информации.
Для защиты ИС «Учет основных устройств и объектов магистрального газопровода и газораспределительной сети, задействованных в производственном процессе поставки газа потребителям» рекомендуется утвердить следующие организационные мероприятия:
Регламент об осуществлении охраны помещения оперативно-диспетчерской службы, в которой находятся СВТ и работы с ними.
1.1. Сотрудники ОДС организации несут ответственность за работоспособное состояние СВТ, а также за результаты своей работы в информационной сети.
1.2. Обеспечение физической недоступности к системному блоку (опечатывание/опломбирование). Использование «хранителей экрана».
1.3. Необходимо назначение ответственного лица за каждую единицу информационного обеспечения и за все периферийные устройства, соединенные с ним.
1.4. В случаях, когда сторонние субъекты (специалисты, консультанты и т.п.) в соответствии с документальным соглашением с организацией получают доступ в информационную сеть, к конкретному сетевому ресурсу или СВТ, субъекты должны быть ознакомлены с правилами информационной безопасности, в частности по системе.
1.5 Для обеспечения нормального функционирования СВТ и всей сети сотрудник должен строго следовать правилам, порядкам и другим нормативным документам, регламентирующим части и разделы работы сотрудников.
Регламент о ведении журнала диспетчеров, в котором они будут обязаны расписываться при приеме и сдаче смены. Это обусловлено их сменной работой. По выбранному классу защищенности ИС данный регламент реализует требования регистрации и учета: входа/выхода субъектов доступа в/из системы.
Регламент на использование и защиту паролей.
3.1. Минимальная длина пароля;
3.2. Минимальный срок жизни пароля;
3.3. Максимальное количество ошибок при вводе пароля;
3.4. Поддержка истории паролей;
3.5. При входе пользователя в систему необходимо предупреждение о запрете использования чужих паролей и НСД;
Регламент о разграничении прав доступа к данным на сервере баз данных. Права доступа назначаются администратором и утверждаются генеральным директором.
4.1. Регламент об организации матрицы доступа: матрица доступа пользователей к различным объектам системы.
4.2 Регламента по изменению прав доступа при приеме на работу, перемещениях и увольнениях работников.
Регламент выхода во внешние сети (Интернет) / получения электронной почты.