Основы информационной безопасности. Организационные меры обеспечения ИБ в АС. (Тема 2.2)

создаваемое для организации квалифицированной разработки системы ЗИ и обеспечения её функционирования.
Функции службы ЗИ:
формирование требований к системе ЗИ при создании АС;
участие в проектировании/испытаниях/приёмке системы ЗИ;
планирование/организация/обеспечение функционирования
системы ЗИ в процессе функционирования АС;
распределение между пользователями реквизитов защиты;
наблюдение за функционированием системы ЗИ;
организация проверок надёжности функционирования;
обучение пользователей и персонала АС правилам
безопасной обработки информации;
контроль за соблюдением пользователями и персоналом АС
установленных правил обращения с защищаемой информацией
в процессе её автоматизированной обработки;
принятие мер при попытках НСД к информации, при нарушениях
правил функционирования системы защиты информации.

себя:
разовые (однократно проводимые) мероприятия;
мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АС или внешней среде (по необходимости);
периодически проводимые (через определенное время) мероприятия;
постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

АС (разработка концепции, политики ИБ и других руководящих документов – РД);
мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т.п.);
мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);
проведение спец.проверок всех применяемых в АС средств вычислительной техники (СВТ) и проведения мероприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наводок (ПЭМИН);
разработка и утверждение функциональных обязанностей должностных лиц службы ИБ;

по вопросам обеспечения безопасности ресурсов АС и действиям в случае возникновения инцидентов ИБ;
оформление юридических документов (в форме договоров, приказов и распоряжений) по вопросам регламентации отношений с пользователями (клиентами), работающими в АС, между участниками информационного обмена и третьей стороной (арбитражем, третейским судом) о правилах разрешения споров, связанных с применением электронной подписи (ЭП);
определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы;
мероприятия по созданию системы защиты АС и созданию инфраструктуры;
мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным;
определение перечня файлов и БД, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в АС;

мест процесса обработки информации и каналов доступа к ней;
оценка возможного ущерба, вызванного нарушением ИБ;
разработка адекватных требований по основным направлениям защиты;
организация надёжного пропускного режима;
определение порядка учета, выдачи, использования и хранения съемных МНИ, содержащих эталонные и резервные копии программ и данных;
организация учёта/хранения/использования/уничтожения документов и МНИ;
определение порядка проектирования/разработки/отладки/модификации/ приобретения/спец.исследования/приёма в эксплуатацию/хранения/контроля целостности, порядок обновления и установки ПО;
создание отделов/служб/подразделений компьютерной безопасности/ИБ, назначение ответственных, контроль за соблюдением требований по ИБ;
определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению процессов в АС в ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в ПО и действиях персонала, стихийных бедствий.

системных журналов, принятие мер по обнаруженным нарушениям правил работы;
мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;
периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;
мероприятия по пересмотру состава и построения системы защиты.

осуществляемые при ремонте и модификациях оборудования и программного обеспечения (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.);
мероприятия по подбору и расстановке кадров (проверка принимаемых на работу,
обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т.д.).