# П1.4.100 Описание используемых мер по ЗИ на объекте На заводе, с его сложной структурой и разнообразием видов информации, организационные меры играют критически важную роль. ### Организационные **1. Разработка и внедрение политики информационной безопасности (ИБ):** Создание всеобъемлющего документа, определяющего общие цели, принципы и направления деятельности в области ИБ. Политика ИБ должна быть адаптирована к специфике завода, учитывая его бизнес-процессы, используемые технологии и законодательные требования. Содержание: Цели и задачи ИБ завода. Ответственность и полномочия сотрудников в области ИБ. Классификация и управление информационными активами (ценность, критичность). Правила доступа к информации. Порядок реагирования на инциденты ИБ. Требования к защите персональных данных (если обрабатываются). Реализация: Разработка, согласование с руководством, доведение до всех сотрудников, регулярное обновление. **2. Классификация информации и управление доступом:** Определение уровней конфиденциальности информации (открытая, конфиденциальная, секретная и т.д.) и установление прав доступа для различных категорий пользователей (на основе принципа минимальных привилегий). Реализация: Создание перечня информационных активов и их классификация. Разработка ролевой модели доступа (RBAC). Внедрение системы контроля доступа (управление учетными записями, парольные политики, разграничение прав). Регулярный пересмотр прав доступа. **3. Обучение персонала по вопросам ИБ:** Повышение осведомленности сотрудников о рисках ИБ и мерах защиты. Обучение должно проводиться регулярно и охватывать всех сотрудников, включая руководящий состав. Темы: Основные угрозы ИБ. Политика ИБ завода. Правила использования паролей. Распознавание фишинговых писем и других видов социальной инженерии. Правила обращения с конфиденциальной информацией. Порядок действий при возникновении инцидентов ИБ. Методы: Тренинги, семинары, вебинары. Инструктажи, памятки, руководства. Тестирование знаний. Имитация инцидентов. ### Технические **1.Управление физической безопасностью:** Меры по защите физических активов завода (зданий, помещений, оборудования, носителей информации) от несанкционированного доступа. Реализация: Охрана помещений. Видеонаблюдение. Управление ключами и картами доступа. Защита от кражи оборудования. Защита от стихийных бедствий. ### Правовые **1. Законодательство в области защиты информации:** Федеральные законы (для РФ): ФЗ-152 "О персональных данных": Регулирует порядок обработки персональных данных физических лиц. Определяет требования к сбору, хранению, передаче и использованию персональных данных, а также права субъектов персональных данных. ФЗ-149 "Об информации, информационных технологиях и о защите информации": Устанавливает общие правовые рамки в области информации и защиты информации. Определяет основные понятия, виды информации, права и обязанности субъектов информационных отношений. ФЗ-98 "О коммерческой тайне": Устанавливает правила защиты коммерческой тайны и ответственность за ее разглашение. ФЗ-63 "Об электронной подписи": Регулирует использование электронной подписи и ее юридическую значимость. Уголовный кодекс РФ (ст. 272-274): Устанавливает ответственность за неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ. Кодекс об административных правонарушениях (КоАП РФ): Устанавливает административную ответственность за нарушения в области защиты информации. Нормативные акты: Приказы и распоряжения ФСТЭК России: Содержат требования к обеспечению информационной безопасности в различных сферах деятельности (например, требования к защите персональных данных, к защите значимых объектов критической информационной инфраструктуры). Постановления и распоряжения Правительства РФ: Устанавливают порядок защиты государственной тайны, порядок аккредитации организаций в области защиты информации. Стандарты ГОСТ Р (национальные стандарты): Содержат рекомендации и требования к разработке и внедрению систем информационной безопасности (например, ГОСТ Р ИСО/МЭК 27001-2013). **2. Соблюдение лицензионных соглашений:** Обеспечение использования только лицензионного программного обеспечения. Контроль за соблюдением условий лицензионных соглашений. Регулярное обновление лицензий. **3. Юридическая экспертиза:** Проверка всех договоров и соглашений на соответствие требованиям законодательства в области защиты информации. Обеспечение правовой поддержки при возникновении инцидентов ИБ и споров, связанных с нарушением прав на информацию. Своевременное отслеживание изменений в законодательстве и корректировка локальных нормативных актов. **4. Взаимодействие с правоохранительными органами:** Обеспечение сотрудничества с правоохранительными органами при расследовании инцидентов ИБ. Предоставление необходимой информации в соответствии с законодательством. ### Криптографические **1. Шифрование данных:** Симметричное шифрование: Использование одного и того же ключа для шифрования и дешифрования данных. Применение: Шифрование данных на дисках, в базах данных, файлов, передаваемых по сети. Алгоритмы: AES (Advanced Encryption Standard), DES (Data Encryption Standard), 3DES (Triple DES). Реализация: Использование программных и аппаратных средств шифрования. Асимметричное шифрование: Использование пары ключей: открытого ключа для шифрования и закрытого ключа для дешифрования. Применение: Обмен ключами шифрования, электронная подпись, защита электронной почты, VPN-соединения. Алгоритмы: RSA (Rivest–Shamir–Adleman), ECC (Elliptic-curve cryptography). Реализация: Использование программных и аппаратных средств шифрования, сертификатов X.509. **2. Хеширование данных:** Преобразование данных в необратимую строку фиксированной длины (хеш-сумму). Применение: Хранение паролей: Вместо хранения паролей в открытом виде, хранятся их хеши. **3. Электронная подпись:** Использование асимметричной криптографии для обеспечения подлинности и целостности электронных документов и сообщений. Функции: Аутентификация: Подтверждение авторства документа или сообщения. Целостность: Гарантия того, что документ не был изменен после его подписания. **4. Безопасные протоколы связи:** Использование протоколов связи, которые обеспечивают шифрование передаваемых данных. Протоколы: TLS/SSL: Протоколы для обеспечения безопасного соединения между клиентом и сервером (используются в HTTPS). SSH: Протокол для защищенного удаленного доступа к серверам. IPsec: Протокол для защиты IP-трафика. Реализация: Настройка серверов и клиентов на использование безопасных протоколов, регулярное обновление версий протоколов. ### Программно-Аппаратные **1. Информационная безопасность (сети и системы)** Защита периметра сети: Межсетевые экраны (Firewalls): Типы: Использование аппаратных и программных межсетевых экранов. Правила: Разработка строгих правил фильтрации сетевого трафика с учетом принципа наименьших привилегий (блокировка всего, что не разрешено явно). Мониторинг: Постоянный мониторинг журналов межсетевого экрана для выявления подозрительных событий. Системы обнаружения и предотвращения вторжений (IDS/IPS): Типы: Использование сетевых и хостовых систем IDS/IPS. Правила: Обновление сигнатур и правил обнаружения атак для обеспечения защиты от новых угроз. Уведомления: Автоматическое уведомление администраторов при обнаружении подозрительных событий. Реагирование: Автоматическая блокировка или изоляция атакующих систем. VPN (Virtual Private Network): Типы: Использование VPN-серверов и VPN-клиентов для обеспечения шифрованного доступа к внутренней сети. Аутентификация: Использование многофакторной аутентификации для доступа к VPN. Разделение туннелей: Разделение туннелей VPN для разных категорий пользователей с ограничением доступа к ресурсам. Защита внутренней сети: Сегментация сети: Разделение на VLAN: Разделение сети на виртуальные локальные сети (VLAN) для изоляции производственной сети, сети офиса, сети гостевого доступа. Межсетевые экраны внутри сети: Использование межсетевых экранов для контроля доступа между VLAN. Контроль межсетевого трафика: Ограничение трафика между различными сегментами сети. Контроль доступа к сетевым ресурсам: Active Directory: Использование Active Directory для управления пользователями и группами, для централизованного управления правами доступа. Аутентификация: Использование многофакторной аутентификации для доступа к критически важным ресурсам (например, серверам, базам данных). Разграничение доступа: Разграничение доступа к ресурсам на основе ролей и должностных обязанностей. Обновление программного обеспечения: Системы управления обновлениями: Использование систем автоматического управления обновлениями для установки патчей безопасности. Контроль обновлений: Тестирование и проверка обновлений перед их установкой в рабочей среде. Мониторинг: Мониторинг наличия и установки обновлений. Защита рабочих станций и серверов: Антивирусное ПО: Типы: Использование антивирусного ПО с централизованным управлением и обновлением. Сканирование: Регулярное сканирование рабочих станций и серверов на наличие вирусов и вредоносного ПО. Мониторинг: Мониторинг работы антивирусного ПО и блокировки угроз. Защита от вредоносного ПО: Песочницы: Использование песочниц для запуска подозрительных файлов в изолированной среде. Фильтрация URL: Фильтрация веб-сайтов и блокировка доступа к потенциально опасным ресурсам. Обучение персонала: Обучение персонала правилам безопасного поведения в интернете, распознавания фишинговых писем и других видов атак. Контроль целостности: Системы контроля целостности: Использование программных средств для контроля цело **Организационные меры** – это важный элемент общей системы защиты информации на заводе. Они создают основу для внедрения технических средств защиты, формируют культуру безопасности среди сотрудников и обеспечивают постоянное совершенствование системы защиты.