АС организации

Первоочередные мероприятия по обеспечению безопасности информации

В данном разделе Концепции описаны мероприятия по реали­зации ее положений. Необходимо:

• создать во всех территориальных подразделениях организа­ции подразделений технической защиты информации в АС орга­низации и ввести ответственных (можно внештатных, из числа сотрудников подразделения) за безопасность информации в струк­турных подразделениях организации, определить их задачи и функ­ции на различных стадиях создания, развития и эксплуатации АС и системы зашиты информации;

• рассмотреть возможность внесения изменений в конфигура­цию сетей и СВТ, технологии обработки, передачи и хранения (архивирования) информации (с целью максимального разделения подсистем АС организации, в которых обрабатывается ин­формация различных категорий конфиденциальности), для сни­жения затрат на создание системы защиты и упрощения катего-рирования и аттестации подсистем АС организации;

• определить порядок приобретения и использования серти­фицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информа­ции; образцов технических средств, прошедших специальные ис­следования, в соответствии с требованиями предписания на экс­плуатацию, а также сертифицированных средств защиты инфор­мации;

• уточнить (в том числе на основе апробации) конкретные тре­бования к СЗИ, включаемые в ТЗ на разработку СЗИ АС органи­зации;

• определить возможность использования в АС организации имеющихся сертифицированных средств защиты информации;

• произвести закупку сертифицированных образцов и серийно выпускаемых технических и программных средств защиты инфор­мации («Secret Net» и т.п.) и их внедрение на рабочих станциях и файловых серверах сети с целью контроля за изменением конфи­гурации аппаратных и программных средств и действиями пользо­вателей;

• осуществить разработку и последующую сертификацию про­граммных средств защиты информации в случае, когда на рынке отсутствуют требуемые программные средства;

• для обеспечения режима удаленного доступа пользователей по сети организации к информации конфиденциальных баз дан­ных рассмотреть возможность разработки, сертификации и аттес­тации специальных криптографических средств; в их состав дол­жны входить: сетевой криптошлюз, защищенные абонентские пункты доступа через криптошлюз, центр генерации и распро­странения ключей; на уровне прикладных программ необходимо разработать средства, обеспечиваюшие возможность доступа к конфиденциальным данным только с защищенных абонентских пунктов;

• определить степень участия персонала в обработке (передаче, хранении, обсуждении) информации, характер его взаимодействия между собой и с подразделениями по защите информации;

• произвести разработку и реализацию разрешительной систе­мы доступа пользователей и эксплуатационного персонала АС организации или иного объекта информатизации к обрабатывае­мой информации, оформляемой в виде раздела «Положения о разрешительной системе допуска исполнителей к документам и

сведениям»;

• осуществить разработку организационно-распорядительной и рабочей документации по эксплуатации объекта информатизации в защищенном исполнении, а также средств и мер защиты информации в АС организации (план защиты, инструкции, обя­занности и т. п.), регламентирующих процессы допуска пользова­телей к работе с АС организации, разработки, приобретения и использования программного обеспечения на рабочих станциях и серверах, порядок внесения изменений в конфигурацию аппарат­ных и программных средств при ремонте, развитии и обслужива­нии СВТ, порядок применения и администрирования средств за­щиты информации и т.п.;

• для снижения риска перехвата в сети с других рабочих стан­ций имен и паролей привилегированных пользователей (в осо­бенности администраторов средств зашиты и баз данных) органи­зовать их работу в отдельных сегментах сети, шире применять сетевые устройства типа switch, не использовать удаленные режи­мы конфигурирования сетевых устройств (маршрутизаторов, кон­центраторов и т.п.);

• исключить доступ программистов в эксплуатируемые под­системы АС организации (к реальной информации и базам дан­ных), организовать опытный участок АС для разработки и от­ладки программ; передачу разработанных программ в эксплуата­цию производить через архив эталонов программ (фонд алго­ритмов и программ) подразделения, ответственного за эксплуата­цию ПО;

• для защиты компонентов ЛВС органов организации от не­правомерных воздействий из других ЛВС организации и внешних сетей по IP-протоколу целесообразно использовать на узлах кор­поративной сети организации сертифицированные установленным порядком межсетевые экраны;

• осуществить опытную эксплуатацию средств защиты инфор­мации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объек­тов информатизации и отработки технологических процессов об­работки (передачи) информации;

• произвести специальную проверку импортных технических средств на предмет обнаружения возможно внедренных в них элек­тронных устройств перехвата информации («закладок»);

• произвести специальную проверку выделенных помещений на предмет обнаружения возможно внедренных в них или в пред­меты интерьера электронных устройств перехвата информации («закладок»);

• обследовать объект информатизации и провести специаль­ные исследования технических средств;

• выполнить конструктивные доработки технических средств и помещений, где они расположены, в целях локализации возмож­ных технических каналов утечки информации (в случае необхо­димости);

. произвести развязку цепей электропитания объектов защиты с помощью защитных фильтров, блокирующих (подавляющих) информативный сигнал;

• произвести развязку линий связи и других цепей между выхо­дящими за пределы контролируемой зоны и находящимися внут­ри нее;

• осуществить необходимую звуко- и виброизоляцию выделен­ных помещений;

• произвести категорирование помещений, в которых прово­дятся обсуждения или ведутся переговоры по секретным вопро­сам (выделенные помещения);

• произвести категорирование ОТСС, предназначенных для обработки, передачи и хранения конфиденциальной информации;

• классифицировать защищенность автоматизированных систем от несанкционированного доступа (НСД) к информации, пред­назначенных для обработки конфиденциальной информации;

• оформить технический паспорт объекта информатизации (АС организации);

• аттестовать объект информатизации по требованиям защиты

информации;

• организовать охрану и физическую защиту объекта информа­тизации и отдельных технических средств, исключающих НСД к техническим средствам, их хищение и нарушение работоспособ­ности;

• организовать контроль состояния и эффективности защиты информации с оценкой выполнения требований нормативных документов организационно-технического характера, обоснован-! ности принятых мер, проверки выполнения норм эффективности защиты информации по действующим методикам с применением поверенной контрольно-измерительной аппаратуры и сертифи­цированных программных средств контроля;

• для контроля за состоянием защиты, выявлением слабых мест (уязвимостей) в системе защиты серверов и рабочих станций и принятия своевременных мер по их устранению (перекрытию воз-1 можности их использования злоумышленниками) необходимо использовать специальные программы оценки защищенности (ска­неры, например Internet Security Scanner фирмы ISS).