Регламенты обеспечения безопасности

Система мер обеспечения безопасности нормативных и регламентных документов является основой построения системы защиты информации и определяет принципы и механизмы её функционирования.

 

Трудно переоценить роль организационных мероприятий при построении комплексной системы защиты информации. Основная цель организационных методов заключается в обеспечении полноты реализуемых функций защиты, непрерывности функционирования, а также соответствия реальным угрозам и рискам. Так как система обеспечения защиты информации создаётся на долгий период и обычно в дальнейшем предполагается только модернизация в целях обеспечения требуемого уровня защищённости, при создании системы необходимо чёткое планирование возможных вариантов её модификации и прогнозирование перспектив её развития. Основой для применения различных технических систем и средств защиты должны являться официально утверждённые нормативные документы, регламентирующие все аспекты защиты информации организации. Дополнительно, работа в соответствии с действующими стандартами позволяет использовать весь накопленный опыт и тем самым существенно увеличить уровень защищенности.

 

Система нормативных документов, регламентирующая деятельность организации в области защиты информации, играет роль фундамента, на котором основано функционирование, развитие и контроль функционирования системы защиты информации.

 

Основой для применения мер обеспечения безопасности являются данные, полученные в результате выполнения специалистами ЗАО «ДИТ» следующих мероприятий:

  •  Обследование информационной системы;
  •  Анализ организационно-штатной структуры;
  •  Определение критичных информационных ресурсов;
  •  Анализ угроз и оценка рисков;
  •  Определение перечня задач и приоритетов в области защиты информации.

Цели и назначение системы:

  •  Определение механизмов функционирования и взаимодействия подсистем;
  •  Формулировка требований к реализуемым функциям;
  •  Регламент проведения контроля безопасности;
  •  Построение системы защиты в соответствии с требованиями действующего законодательства и международными стандартами;
  •  Определение направлений возможных нарушений безопасности и степени их критичности;
  •  Описание степени ответственности, прав и обязанностей должностных лиц и служб;
  •  Определение направлений увеличения защищенности ресурсов и развития системы информационной безопасности.

Внедрение мер по обеспечению безопасности  является первым шагом к созданию надёжной комплексной и непрерывной системы защиты информации организации.

 

Предлагаемую систему нормативных и регламентных документов состоит из четырёх групп документов:

  • Концептуальные нормативные документы. Эта группа нормативных документов обеспечивает базу при разработке и проектировании системы информационной безопасности. В ней описываются взгляды на защиту информации в целом, требования к средствам защиты информации и рекомендации по обеспечению необходимого уровня информационной безопасности. К ним относятся Концепция информационной безопасности, Общие требования и рекомендации по защите информации, Перечень конфиденциальной информации.
  • Процедурные нормативные документы. Эта группа нормативных документов регламентирует работу системы информационной безопасности и механизмы её функционирования. Областью действия таких документов является организация или служба защиты информации в целом, и дающих ответ на вопрос Что, Когда, Где. К ним относятся Политика информационной безопасности, План развития системы информационной безопасности, Положение о коммерческой тайне, Положение о службе защиты информации.
  • Инструкции. Областью действия таких документов являются подразделения и подсистемы организации и службы защиты информации и отдельные должностные лица, и дающих ответ на вопрос Как. Инструкции определяют порядок действий должностных лиц в каких-либо ситуациях, возникающих во время функционирования системы защиты информации. К ним относятся План восстановления ресурсов АС после сбоев, План действий во внештатных ситуациях, Должностные инструкции (инструкции администратора, инструкции пользователя и т.д.).
  • Журналы учёта. Журналы учёта служат для документирования происходящих событий в системе и деятельность должностных лиц. Они определяют процедуры и средства фиксирования деятельности пользователей и подсистем АС, а также структуру самих журналов и процедуру их заполнения.

Применение мер обеспечения безопасности на основе системы нормативных документов позволяет существенно повысить эффективность её функционирования. Основные результаты применение мер по обеспечению безопасности:

  •  Разработка политики организации работ в сфере защиты информации;
  •  Идентификация целей и задач обеспечения информационной безопасности организации и расстановки приоритетных направлений защиты;
  •  Определение угроз информационной безопасности, построение модели угроз и оценка рисков;
  •  Разработка плана развития и модернизации средств защиты;
  •  Определение обязанностей и степени ответственности должностных лиц;
  •  Построение системы защиты информации в соответствии с существующими стандартами и требованиями действующих нормативных документов;
  •  Снижение суммарных затрат на деятельность службы защиты информации за счёт более эффективного распределения средств.

 

Система нормативных документов, предлагаемая компанией «ДИТ», базируется на международных и российских стандартах - Руководящих документы Гостехкомиссии России, ГОСТ'ах, стандартах ISO 15408, ISO 17799.

 

Реализованные проекты:

  •  Разработка политики информационной безопасности города Москвы;
  •  Разработка концепции защиты Интернет представительства Росатома России;
  • Разработка концепции и политики безопасности Сибирского химического комбината
  • Разработка концепции информационной безопасности ГП "ЦДУ ТЭК" и др.