Техническое обеспечение ИБСОУ предприятия

Техническое обеспечение безопасности должно базироваться:

• на системе стандартизации и унификации;
• на системе лицензирования деятельности;
• на системах сертификации средств защиты;
• на системе сертификации объектов информатизации;

Основными составляющими обеспечения безопасности предприятия являются:

• система физической защиты (безопасности) материальных объектов и финансовых ресурсов;
• система безопасности информационных ресурсов.

Система физической защиты (безопасности) материальных объектов и финансовых ресурсов должна предусматривать:

• систему организационных мер охраны;
• систему контроля доступа (система видеонаблюдения, система сигнализации, система контроля управления доступа);

Система безопасности информационных ресурсов:

• систему мер (режима) сохранности и контроля вероятных каналов утечки информации.

Система охранных мер должна предусматривать:

• многорубежность построения охраны (территории, здания, помещения);
• комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
• надежную инженерно-техническую защиту вероятных путей несанкционированного вторжения в охраняемые пределы;
• устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;
• высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителю;
• бдительность сотрудников.

Система контроля доступа должна предусматривать:

• ограничение и контроль доступа сторонних посетителей без ограничения для сотрудников;
• быстрый и беспрепятственный доступ к закрытым помещениям;
• возможность программировать доступ отдельных сотрудников или групп к определенным помещениям;
• возможность использования одной карты для доступа в одно или несколько помещений;
• создание современной и престижной обстановки в офисе;
• использование системы видеонаблюдения;
• ограничение на доступ и включение любого оборудования только определенными сотрудниками;
• установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;
• оборудование контрольно-пропускных пунктов (постов) техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц;
• высокую подготовленность и защищенность сотрудников охраны.

Система мер (режим) сохранности ценностей и контроля должна предусматривать:

• строго контролируемый доступ лиц в режимные зоны (зоны обращения и хранения финансов, складские помещения для хранения материальных средств);
• максимальное ограничение посещений режимных зон лицами, не участвующими в их работе;
• максимальное сокращение количества лиц, обладающих досмотровым иммунитетом;
• организацию и осуществление контроля за соблюдением режима безопасности;
• организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон,

оперативное выявление причин тревожных ситуаций в режимных зонах, пресечение их развития или ликвидацию во взаимодействии с силами охраны и правоохранительными органами.

Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических, программных средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при обработке информации в автоматизированных системах различного уровня и назначения, при передаче по каналам связи, при ведении конфиденциальных переговоров.

Основным направлением реализации технической политики обеспечения информационной безопасности в этой сфере деятельности является:

• защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа.

В рамках осуществления направлений технической политики и обеспечения информационной безопасности необходимо:

• реализовать разрешительную систему допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера;
• ограничить доступ исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;
• разграничить доступ пользователей к данным автоматизированных систем различного уровня и назначения;
• контролировать несанкционированный доступ и действия пользователей;
• производить электрическую развязку цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
• проверять технические средств и объекты информатизации на предмет выявления включенных в них закладных устройств;
• предотвращать внедрение в автоматизированные информационные системы программ вирусного характера.

Защита информационных ресурсов от несанкционированного доступа должна предусматривать:

• обоснованность доступа для ознакомления с информацией;
• персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
• надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
• разграничение информации по уровню конфиденциальности;
• контроль за действиями исполнителей (пользователей), работающих с документацией и сведениями, составляющими коммерческую тайну;
• очистку (обнуление, исключение информативности) оперативной памяти, буферов при освобождении пользователем до перераспределения этих ресурсов между другими пользователями.

Положение о персональной ответственности реализуется с помощью:

• росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
• индивидуальной идентификации пользователей и инициированных ими процессов в автоматизированных системах;
• проверки подлинности пользователей на основе использования паролей, ключей, магнитных карт, цифровой подписи, а также биометрических характеристик личности как при доступе в автоматизированные системы, так и в выделенные помещения (зоны).

Условие надежности хранения реализуется с помощью:

• хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;
• выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;

Правило разграничения информации по уровню конфиденциальной реализуется с помощью:

• предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.

Система контроля за действиями исполнителей реализуется с помощью:

• организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;
• регистрации (протоколирования) действий пользователей с информационными и программными ресурсами автоматизированных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата, включая запрещенные попытки доступа;
• сигнализации о несанкционированных действиях пользователей. Очистка памяти осуществляется организационными и программными мерами, а целостность автоматизированных систем обеспечивается комплексом программно-технических средств и организационных мероприятий.