Вполне возможно, что на момент проведения работ по защите информации в организации уже приняты определенные меры по защите информации, например, установлено антивирусное программное обеспечение на рабочие станции и сервера, регламентирован доступ на территорию организации, организована физическая охрана территории (помещений) и т.д.
Все эти меры Вы сможете учитывать на следующих этапах построения системы защиты информации, только если принятие этих мер строго регламентировано организационными документами, требования которых распространяются в целом на организацию.
Например, если доступ на территорию организации осуществляется через пост вневедомственной охраны с проходом через турникет и фиксацией времени входа-выхода сотрудников, пропуск посетителей осуществляется по пропускам при предъявлении документа, удостоверяющего личность, и т.п., но это не регламетировано никаким документом, с которым под роспись ознакомлены ответственные должностные лица, и не определены мероприятия по контролю соблюдения установленных требований, то говорить о том, что приняты организационные меры, направленные на физическую защиту объекта, мы не можем.
На этом этапе работ нам необходимо:
1. Выявить и упорядочить (при наличии) документы, регламентирующие вопросы, касающиеся защиты информации.
2. С учетом анализа, проведенного на первом этапе, внести корректировки и дополнения (возможно ужесточение требований в соответствии с наличием в организации информации ограниченного распространения).
3. Разработать недостающие документы.
Итак, какими все-таки документами регламентируются общие требования по защите информации в организации? В этом вопросе все сугубо индивидуально и зависит от множества факторов. Приведем основные.
Положение о пропускном режиме.
Приказ о назначении ответственного за защиту информации и распределении обязанностей.
Инструкция о работе в сети интернет и использовании электронной почты организации.
Инструкция системного администратора.
Инструкция по антивирусному контролю.
Инструкция по парольной защите.
Инструкция пользователя.
План обеспечения непрерывной работы и восстановления работоспособности подсистемы.
Порядок обращения с информацией, подлежащей защите.
Концепция обеспечения безопасности информации в автоматизированной системе организации.
При разработке документов необходимо помнить: защите подлежит вся информация, циркулирующая в организации, только подход должен быть дифференцированным. Если к информации ограниченного распространения предъявляется, как одно из основных требований, конфиденциальность, то к информации, не подлежащей защите в соответствии с требованиями федерального законодательства, должны предъявляться требования защиты от уничтожения, модифицирования, блокирования и иных неправомерных действий, которые могут нанести ущерб организации.
Вопрос дифференцированного подхода к защите информации подробно расмотрен на 3 этапе - Проведение категорирования и классификации информационных ресурсов.
3 этап: Проведение категорирования и классификации информационных ресурсов.
Алгоритм
На третьем этапе мы непосредственно переходим к категорированию ресурсов. С целью создания нормативно-методической основы для дифференцированного подхода к защите ресурсов и типизации принимаемых организационных мер в организации разрабатывается Положение об определении требований по защите (о категорировании) ресурсов автоматизированной системы организации. (Далее - Положение)
В разделе Положения 2.1. Категории конфиденциальности защищаемой информации, информация, циркулирующая в организации, раделена на 3 категории:
«СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (коммерческая и банковская тайны, персональные данные и т.д.), а также информация, ограничения, на распространение которой введены решениями руководства ОРГАНИЗАЦИИ, разглашение которой может привести к тяжким финансово-экономическим последствиям для Организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
«КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства Организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности ОРГАНИЗАЦИИ (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);
«ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.
Переходя к классификации, необходимо отметить, что классификация информационных систем персональных данных стоит особняком и регламентирована Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 Об утверждении Порядка проведения классификации информационных систем персональных данных" и определяется с учетом модели угроз. В свою очередь порядок составления модели угроз указан в Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и основывается на Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Также при использовании средств криптографической защиты на основании Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144) составляется Модель нарушителя.
Классификация информации ограниченого распространения, не содержащей персональных данных, производится на основании РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г.)