Формирование режима безопасности информации
С учетом выявленных угроз безопасности информации АС ОРГАНИЗАЦИИ режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизированной системе информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Комплекс мер по формированию режима безопасности информации включает:
· установление в ОРГАНИЗАЦИИ организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство);
· выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам (аттестация объектов информатизации);
· организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам АС ОРГАНИЗАЦИИ;
· комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий;
· комплекс оперативных мероприятий подразделений безопасности по предотвращению (выявлению) проникновения в ОРГАНИЗАЦИИ информаторов, связанных с преступными группировками.
Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации и разработку (введение в действие) следующих организационно-распорядительных документов:
· Положение о сохранности информации ограниченного распространения. Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) учреждениям и организациям;
· комплекс мер и соответствующих технических средств, ослабляющих утечку речевой и сигнальной информации - пассивная защита (защита);
· комплекс мер и соответствующих технических средств, создающих помехи при съеме информации - активная защита (противодействие);
· комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации - поиск (обнаружение).
Физическая охрана объектов информатизации (компонентов компьютерных систем) включает:
· организацию системы охранно-пропускного режима и системы контроля допуска на объект;
· введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые и электронные замки, карточки допуска и т.д.);
· визуальный и технический контроль контролируемой зоны объекта защиты;
· применение систем охранной и пожарной сигнализации и т.д.
Выполнение режимных требований при работе с информацией
ограниченного распространения предполагает:
· разграничение допуска к информационным ресурсам ограниченного распространения;
· разграничение допуска к программно-аппаратным ресурсам АС ОРГАНИЗАЦИИ;
· ведение учета ознакомления сотрудников с информацией ограниченного распространения;
· включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного распространения;
· организация уничтожения информационных отходов (бумажных, магнитных и т.д.);
· оборудование служебных помещений сейфами, шкафами для хранения бумажных и магнитных носителей информации и т.д.
Мероприятия технического контроля предусматривают:
· контроль за проведением технического обслуживания, ремонта носителей информации и средств ЭВТ;
· проверки поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств;
· инструментальный контроль технических средств на наличие побочных электромагнитные излучения и наводок;
· оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;
· защита выделенных помещений при проведении закрытых (секретных) работ (переговоров), создание акустических, виброакустических и электромагнитных помех для затруднения съема информации;
· постоянное обновление технических и программных средств защиты от несанкционированного доступа к информации в соответствие с меняющейся оперативной обстановкой.
