Предисловие дорогие коллеги!

Вид материала

Документы

Содержание 4.5. Документационное обеспечение защиты информации на предприятиях региона Так, документы по информационной безопасности банков и кредитных организаций включают

Подобный материал:

• План работы с 3 по 07 октября 2011 года, 46.99kb.
• Дорогие коллеги!, 61.26kb.
• Дорогие друзья! Уважаемые коллеги!, 90.01kb.
• Областной Дом Детей и Юношества, 680.22kb.
• Глубокоуважаемый Владимир Владимирович! Глубокоуважаемые участники и гости съезда!, 297.51kb.
• Дорогие друзья и уважаемые коллеги, 108.19kb.
• Дорогие коллеги!, 58.67kb.
• Дорогие коллеги!, 22.65kb.
• Дорогие друзья и коллеги!, 15.57kb.
• Дорогие коллеги, товарищи, друзья, 451.25kb.

4.5. Документационное обеспечение защиты

информации на предприятиях региона

Вслед за ведущими странами Западной Европы (Великобритания, Франция, Германия, Швейцария), Россия все больше внимания уделяет различным аспектам информационной безопасности: развитию структуры органов защиты информации, правовому обеспечению защиты информации и др.

На федеральном уровне разработан и введен в действие целый пакет документации: Доктрина информационной безопасности [52], Концепции [80, 83], Федеральные законы и Законы Российской Федерации [58, 60, 169, 170, 171, 172, 173], Указы президента Российской Федерации [157, 158, 159, 160], Постановления Правительства Российской Федерации [121, 122], руководящие документы [118, 138, 139], национальные стандарты [103, 104] и др., регламентирующей защиту информации на бумажных и электронных носителях.

На отраслевом уровне (например, в банковской системе) разрабатываются стандарты, рекомендации, методические указания [145, 146, 147] и др., регулирующие работу с информационными активами и обеспечение их безопасности (информационной безопасности).

На локальном уровне также активно утверждаются соответствующие нормативно-методические документы, позволяющие организовать систему защиты информации на предприятии (Политики, регламенты, инструкции и т. п.).

Возрастает спрос на корпоративные системы безопасности. Бюджеты предприятий на защиту информации растут с каждым годом. ИТ-компании создают оптимальные решения для малого бизнеса. По оценке Д. Кузнецова, начальника отдела автоматизации банковских расчетов уральского филиала ОАО «Тюменьэнергобанк»: «При грамотной политике безопасности внешнюю угрозу можно свести к нулю…Единственный фактор, который действительно может серьезно угрожать безопасности,  нечистоплотность сотрудников» [111]. На наш взгляд данную проблему можно решить путем издания документации по защите информации, которая поставит в жесткие рамки «нечистоплотных сотрудников».

Руководители челябинских компаний проявляют все больший интерес к системе защиты информации партнера, т. к. высокая степень защиты – это сегодня конкурентное преимущество. «Защита информации приобретает очертание планомерного процесса. По оценке Д.Шмакова, директора «ИТ Энигма», «люди начинают понимать, что информация  это те же деньги, которые нужно хранить» [111].

В настоящее время в организациях внедряются системы информационной безопасности в т.ч. в соответствии с международным стандартом ISO 27001. Такие процессы проходят в Челябинских филиалах ООО «Газпром», Сбербанк России, ОАО «Связьтранснефть», ОАО «Связьинвест»; ИТ ЗАО «Группа-ЧТПЗ»; ОАО Челябинский трубопрокатный завод». Модернизации и созданию системы защиты информации уделяется немало внимание в ОАО ГМК «ЦветМетПром», ЗАО «Фиеста», ЗАО фирма «Цветлит», ООО «Веста-Газ», ООО «Аспо-Трэй», ООО «Массив», ООО УК «ParkCity», АН «Копаньон», муниципальных и частных медицинских учреждениях и многих других.

Cертификаты соответствия ISO/IEC 27001:2005 получили такие организации, как Bank24.ru (Екатеринбург); CMA Small Systems AB (Москва); CROC incorporated, CSC (Москва); LANIT, CSC (Москва); Lukoil-Inform, LLC (Москва); Luxsoft (Ростов на Дону, Волгоград); Multiregional TransitTelecom, OJSC (Москва); Rosno, SC (Москва); Rutenia, JSC (Москва); TransTeleCom (Москва) [199]. Многие из перечисленных организаций имеют филиалы в г. Челябинске.

Итак, организации Челябинской области различных форм собственности и отраслевой принадлежности разрабатывают собственные системы, обеспечивающие информационную безопасность предприятия. Рассмотрим видовой состав этой документации.

В банковской сфере разработка документации по обеспечению информационной безопасности (ИБ) основана на методологии международных стандартов качества ISO 9000, ISO/IEC 12207, ISO/IEC 27000 и др.

Так, документы по информационной безопасности банков и кредитных организаций включают:

1-й уровень – корпоративная политика ИБ;

2-й уровень – частные политики (Политика ИБ, Политика антивирусной защиты, Политика безопасности систем информационных и коммуникационных технологий), концепции, стандарты технологий обеспечения ИБ, планы мероприятий по обеспечению ИБ (аудита, обучения, аттестации…) и др.;

3-й уровень – процедуры, положения, правила, инструкции, должностные инструкции, руководства, технические задания, регламенты, приказы, методические указания по обеспечению ИБ и др.;

4-й уровень – подтверждающие документы о достигнутых результатах (договоры, акты, протоколы, отчеты, реестры, обязательства, листы ознакомления, журналы регистрации, ведомости, схемы и др.)

Организации, предоставляющие образовательные (в основном вузы), риэлтерские (агентства), медицинские (МСЧ, частные медицинские центры и др.), страховые (страховые компании), развлекательные (комплексы, кинотеатры и др.) услуги делают акцент на защите персональных данных.

Эта документация, как правило, содержит: модели угроз безопасности персональных данных; инструкции (Об организации антивирусной защиты; организации физической охраны информационной системы (ИС); учета материальных носителей информации; по установке, модификации и обслуживанию технических и программных средств ИС; по организации парольной защиты; пользователя локальной сети; контроля доступа в помещение по обработке персональных данных и др.); приказы (о введение в действие ИС, классификации ИС и др.); перечни (персональных данных; лиц, допущенных до обработки персональных данных (ПД)); уведомления об обработке ПД; согласия субъектов по обработке ПД; заявки (на модификацию ИС, на допуск сотрудников в помещения по обработке ПД); технические паспорта на ИС; схемы видеонаблюдения; журналы учета (паролей, материальных носителей, инвентаризации ИС и др.), ведомости объектов защиты и многие другие.

Наряду с банковской (казначейства, банки, кредитные организации и др.) и нефтегазовой сферой, систему защиты информации ограниченного доступа и конфиденциального характера активно разрабатывают Интернет-провайдеры, провайдеры IP-телефонии, торговые предприятия, строительные и консалтинговые организации малого и среднего бизнеса.

Пакет документации по данным направлениям включает: политики защиты информации (по направлениям деятельности); модели нарушителей; стандарты (на документированные процедуры, технологические операции по защите информации и др.); положения (о деятельности, о режиме, о методиках и технологиях и др.); руководства (технологические); инструкции (должностные, о деятельности, по эксплуатации, пользовательские и др.); регламенты (организации доступа к ресурсам, к сведениям, использования мобильных устройств; защиты; пользовательские и др.); перечни (информации/ сведений, оборудования, программных средств, должностных лиц, рабочих мест, объектов защиты и др.); планы (развития, совершенствования, корректирующих действий и др.); технические задания (на создание системы защиты информации, совершенствование и др.); приказы (об организации деятельности, о создании служб по защите информации, о назначении ответственных, об определении границ контролируемых зон и др.), соглашения, договоры, акты (классификации, завершения работ, приема в эксплуатацию, проверки наличия; уничтожения документной информации и др.), обязательства (о неразглашении); рекомендации; схемы (расположения объектов защиты, видеонаблюдения и др. оборудования); паспорта рабочих мест; ведомости (или матрицы доступа, объектов защиты, кодов и паролей и др.); заявки (на подключение, установку, предоставление или изменение прав доступа и др.); журналы регистрации или карточки учета (документов/ дел, должностных лиц, в т. ч. передачи информации/ документов и др.) и др.

Таким образом, деятельность организации по обеспечению информационной безопасности отражается во всех организационно-распорядительных документах, которые создаются на основе законодательных актов и нормативных документов Российской Федерации (федеральный и отраслевой уровни), а также локальных нормативно-правовых документов. В структуре документации четко прослеживается иерархия управления. На стратегическом уровне (1 – 2-й уровни) управления создаются концептуальные документы, определяющие стратегию организации в области защиты информации, на тактическом уровне (3-й уровень) разрабатываются и прописываются процедурные документы, определяющие технологию защиты информации, а на тактическом уровне (4-й уровень) возникают записи – свидетельства достигнутых результатов в области защиты информации.

Видовой состав документов по защите информации предприятий очень многообразен. Однако возникает вопрос: где найти унифицированный перечень документов по организации защиты информации, чтобы руководителям и специалистам не пришлось ломать голову над этой проблемой? Ответ прост – пока нигде. Если видовой состав документов по защите и обработке персональных данных относительно устоялся и более-менее определенные указания на виды документов можно найти в законодательных актах Российской Федерации, то перечень документов, регламентирующий работу с конфиденциальной информацией, еще не вполне сложился. Поэтому в данном вопросе специалисты по защите информации и документоведы предприятий могут проявлять определенное творчество.

Сегодня рынок консалтинговых предприятий, предоставляющих услуги в области защиты информации достаточно разнообразен и активно развивается (Group-IB – Группа Информационной Безопасности, Москва; Группа компаний «Пять-пятьдесят пять», Москва; AltLinux, Москва; Интер-Траст, Москва; Научно-производственное объединение РТК, Санкт-Петербург; Likurg Company LTD, Екатеринбург; Агентство «СпецЮст», Челябинск; ООО ЧОП «Альфа-Вест», г. Челябинск; ООО «ИТ-Консультант», Брянск и др.). Большинство компаний предоставляют услуги аутсортинга информационной безопасности и консультаций в данной области. Как показывает практика, в большинстве случаев организациям самим приходится разрабатывать или дорабатывать документы в области ИБ. На помощь в решении данной проблемы могут прийти нормативно-методические документы по общему делопроизводству.

Видовой состав организационно-распорядительных документов и правила их оформления определены в Государственной системе документационного обеспечения управления (ГСДОУ), Типовой инструкции по делопроизводству в федеральных органах исполнительной власти, в ГОСТах, в общероссийском классификаторе управленческой документации (ОКУД), в перечнях типовых документов и других.

При создании системы защиты информации на предприятии не стоит забывать, что порядок обработки конфиденциальной документации должен быть строго регламентирован, поэтому наряду с перечисленными видами документов следует разработать инструкцию по делопроизводству (или стандарт предприятия в области документационного обеспечения управления), номенклатуру дел, табель и альбом унифицированных форм документов. Выбор наименований видов документов в данной области будет зависеть от общей политики организации. Если предприятие ориентировано на внедрение международных стандартов качества, то и видовой состав документов будет разработан с учетом методологии ИСО (стратегии, политики, миссии, стандарты, процедуры, руководства, регламенты, методологические инструкции и др.). Если организация пока не готова к сертификации по международным стандартам, можно ограничиться традиционными названиями документов (положения, инструкции, правила и т. д.).