Методические рекомендации по формированию требований к обеспечению информационной безопасности информационных систем и ресурсов города Москвы Москва, 2006 г
| Вид материала | Методические рекомендации |
| 1.Требования к видам обеспечения информационной безопасности ИСиР 1.1. Правовое, нормативное, методическое обеспечения ИБ |
- Концепция информационной безопасности информационных систем персональных данных в Администрации, 329.44kb.
- Правительство москвы постановление от 14 марта 2006 г. N 178-пп о создании комплексной, 2381.25kb.
- Рекомендации по обеспечению информационной безопасности Заключение, 358.69kb.
- Иально опасных объектов инфраструктуры Российской Федерации и опасных грузов, утвержденной, 84.77kb.
- Современные методы и средства обеспечения информационной и инженерно-технической защиты, 337.78kb.
- Теоретические основы информационной безопасности автоматизированных систем, 26.65kb.
- Концепция информационной безопасности информационных систем персональных данных гуз, 250.36kb.
- Некоторые задачи управления проектом защиты корпоративной информационной системы, 25.45kb.
- Рекомендации мсат по обеспечению безопасности на автомобильном пассажирском транспорте, 1583.56kb.
- Правительство москвы постановление от 7 декабря 2004 г. N 843-пп о совершенствовании, 5525.26kb.
1.Требования к видам обеспечения информационной безопасности ИСиР
1.1. Правовое, нормативное, методическое обеспечения ИБ
Все виды обеспечения ИБ города Москвы, исходя из ранее рассмотренных во Введении задач, должны быть сформированы на основе документов, официально изданных органами власти России и города Москвы, а также уполномоченными ими органами управления (ведомствами) и компетентными международными организациями.
Агрегирование официальных полномочий органов власти позволяет выделить следующие уровни организации и управления в области информационной безопасности.
1. Макроуровень – Российская Федерация, ее компетентные госведомства и международные организации.
2. Метауровень – город Москва и компетентные ведомства Правительства Москвы.
3. Микроуровень – предприятие, организация – владелец информационных систем и ресурсов города, ее подразделения и специалисты в области обеспечения ИБ.
Причем обеспечение ИБ нижележащего уровня иерархии базируется на всех документах вышележащих уровней.
Документальное оформление правового, нормативного и методического обеспечений ИБ должно быть обязательным для руководства при решении задач технического обеспечения ИБ города Москвы и выделено в следующие группы документов: правовые, организационно-распорядительные, нормативно-технические и методические документы.
Документы правового нормативного обеспечения ИБ макроуровня представлены в приложении 2. Правовое обеспечение ИБ города Москвы закреплено в ряде законодательных актов и концепций безопасности.
Закон города Москвы от 24.10.2001 № 52 «Об информационных ресурсах и информатизации города Москвы» регулирует правовые отношения по формированию и использованию информационных ресурсов города Москвы и созданию, эксплуатации информационных систем, содержащих указанные ресурсы. В частности, Закон регулирует деятельность и полномочия органов исполнительный власти Москвы, организаций города в области обеспечения информационной безопасности.
Постановлением Правительства Москвы от 22.08.2000 № 654-ПП утверждена Концепция безопасности Москвы. В качестве самостоятельного раздела в рамках Концепции выделены информационные угрозы, включая предпосылки, усугубляющие их возникновение.
Официально принятая система взглядов Правительства Москвы на цели, задачи, основные принципы и направления деятельности в области информационной безопасности изложена в Концепции информационный безопасности в органах исполнительной власти города Москвы, утвержденной Мэром Москвы 07 сентября 2005 г. Реализация положений второй части Концепции – «Конфиденциальные и открытые информационные ресурсы» /4/ должна способствовать обеспечению прав собственников информационных систем и ресурсов, гармоничному развитию информационной инфраструктуры, движению к современному информационному обществу, закреплению прав и свобод горожан в условиях возможных внешних и внутренних угроз информационной безопасности.
Правовые документы государственной политики ИБ макроуровня, приведенные в приложении 2 и метауровня Правительства Москвы, описанные выше, составляют квалификационный минимум требований к правовому обеспечению ИБ ИСиР.
Структура и примерный состав требуемого правового нормативного обеспечения города Москвы представлены в табл.1.1.
Примерный состав документов правового нормативного обеспечения
информационной безопасности города Москвы
Таблица 1.1
Состав нормативного обеспечения ИБ города Москвы должен включать следующие основные документы метауровня:
- Основные направления политики информационной безопасности Правительства Москвы до 2010 года.
- Положение о защите информации в ИСиР.
- Положение о реестре конфиденциальной информации, содержащейся в ИСиР.
- Положение о порядке организации и проведения работ по защите информации при ее автоматизированной обработке.
- Положение о порядке разработки систем защиты информации в автоматизированных системах города Москвы.
- Положение о порядке проведения эксплуатации систем защиты информации в автоматизированных системах города Москвы.
- Положение о порядке проведения контроля защищенности автоматизированных системах города Москвы.
- Положение об аттестации автоматизированных систем по требованиям безопасности информации города Москвы.
- Положение о порядке обеспечения катастрофоустойчивости автоматизированных систем органов исполнительной власти города Москвы.
Перечисленные нормативные документы Правительства Москвы в совокупности с нормативами макроуровня, приведенными в приложении 2, составляют, с учетом документов микроуровня, квалификационный минимум требований к нормативному обеспечению ИБ ИСиР.
Для обеспечения установленного режима информационной безопасности на микроуровне, организационно-распорядительные документы организации, составляющие ее политику информационной безопасности, должны включать:
- меры по организации защиты технологических процессов, применительно к специфике отраслей городского хозяйства;
- правила представления информации, ведения делопроизводства и документооборота;
- правила использования рабочего стола и персонального компьютера;
- меры по обеспечению безопасности речевой информации;
- меры по обеспечению информационной безопасности в ИСиР, включающие, в том числе:
- порядок оформления, категорирования, предоставления доступа к информационным ресурсам ИСиР;
- управление доступом к информационным системам, локальной и корпоративной сетям, приложениям и компьютерам;
- требования по использованию паролей;
- требования по защите оборудования, в том числе оборудования, оставляемого без присмотра;
- требования по обеспечению антивирусной защиты;
- требования к администрированию компьютерных систем и вычислительных сетей
- правила работы с носителями информации и их защиты;
- правила обмена данными и программами;
- правила проведения аудита (контроля) состояния информационной безопасности объектов информатизации;
- регламенты взаимодействия с компонентами комплексной системы информационной безопасности города Москвы (КСИБ): Системы Удостоверяющих центров, Центра мониторинга событий информационной безопасности города, Защищенного центра хранения и обработки данных и др.;
- меры по обеспечению физической безопасности оборудования и другие.
Перечисленные требования, нормы и правила должны быть описаны в нормативных документах микроуровня.
Методическое обеспечение ИБ должно предоставлять специалистам, ответственным за решение конкретных задач безопасности, рекомендации по вопросам лицензирован, сертификации, стандартизации, задания и контроля выполнения требований по ИБ, оценки эффективности систем и средств обеспечения информационной безопасности. По каждой из проблем обеспечения ИБ, требующей методической поддержки должен разрабатываться соответствующий документ. Его статус и порядок разработки и введения в действие определяет уполномоченный орган по управлению информатизации города Москвы.