# П1.4.100 Описание используемых мер по ЗИ на объекте

## Организационные

1. Разработка и внедрение политики информационной безопасности (ИБ):

Создание всеобъемлющего документа, определяющего общие цели, принципы и направления деятельности в области ИБ. Политика ИБ должна быть адаптирована к специфике завода, учитывая его бизнес-процессы, используемые технологии и законодательные требования. Содержание: Цели и задачи ИБ завода. Ответственность и полномочия сотрудников в области ИБ. Классификация и управление информационными активами (ценность, критичность). Правила доступа к информации. Порядок реагирования на инциденты ИБ. Требования к защите персональных данных (если обрабатываются). Реализация: Разработка, согласование с руководством, доведение до всех сотрудников, регулярное обновление.

2. Классификация информации и управление доступом:

Определение уровней конфиденциальности информации (открытая, конфиденциальная, секретная и т.д.) и установление прав доступа для различных категорий пользователей (на основе принципа минимальных привилегий). Реализация: Создание перечня информационных активов и их классификация. Разработка ролевой модели доступа (RBAC). Внедрение системы контроля доступа (управление учетными записями, парольные политики, разграничение прав). Регулярный пересмотр прав доступа.

3. Обучение персонала по вопросам ИБ:

Повышение осведомленности сотрудников о рисках ИБ и мерах защиты. Обучение должно проводиться регулярно и охватывать всех сотрудников, включая руководящий состав. Темы: Основные угрозы ИБ. Политика ИБ завода. Правила использования паролей. Распознавание фишинговых писем и других видов социальной инженерии. Правила обращения с конфиденциальной информацией. Порядок действий при возникновении инцидентов ИБ. Методы: Тренинги, семинары, вебинары. Инструктажи, памятки, руководства. Тестирование знаний. Имитация инцидентов.

## Технические
1.Управление физической безопасностью:

Меры по защите физических активов завода (зданий, помещений, оборудования, носителей информации) от несанкционированного доступа. Реализация: Охрана помещений. Видеонаблюдение. Управление ключами и картами доступа. Защита от кражи оборудования. Защита от стихийных бедствий.

## Правовые
1. Законодательство в области защиты информации:

Федеральные законы (для РФ): ФЗ-152 "О персональных данных": Регулирует порядок обработки персональных данных физических лиц. Определяет требования к сбору, хранению, передаче и использованию персональных данных, а также права субъектов персональных данных. ФЗ-149 "Об информации, информационных технологиях и о защите информации": Устанавливает общие правовые рамки в области информации и защиты информации. Определяет основные понятия, виды информации, права и обязанности субъектов информационных отношений. ФЗ-98 "О коммерческой тайне": Устанавливает правила защиты коммерческой тайны и ответственность за ее разглашение. ФЗ-63 "Об электронной подписи": Регулирует использование электронной подписи и ее юридическую значимость. Уголовный кодекс РФ (ст. 272-274): Устанавливает ответственность за неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ. Кодекс об административных правонарушениях (КоАП РФ): Устанавливает административную ответственность за нарушения в области защиты информации. Нормативные акты: Приказы и распоряжения ФСТЭК России: Содержат требования к обеспечению информационной безопасности в различных сферах деятельности (например, требования к защите персональных данных, к защите значимых объектов критической информационной инфраструктуры). Постановления и распоряжения Правительства РФ: Устанавливают порядок защиты государственной тайны, порядок аккредитации организаций в области защиты информации. Стандарты ГОСТ Р (национальные стандарты): Содержат рекомендации и требования к разработке и внедрению систем информационной безопасности (например, ГОСТ Р ИСО/МЭК 27001-2013).

2. Соблюдение лицензионных соглашений:

Обеспечение использования только лицензионного программного обеспечения. Контроль за соблюдением условий лицензионных соглашений. Регулярное обновление лицензий.

3. Юридическая экспертиза:

Проверка всех договоров и соглашений на соответствие требованиям законодательства в области защиты информации. Обеспечение правовой поддержки при возникновении инцидентов ИБ и споров, связанных с нарушением прав на информацию. Своевременное отслеживание изменений в законодательстве и корректировка локальных нормативных актов.

4. Взаимодействие с правоохранительными органами:

Обеспечение сотрудничества с правоохранительными органами при расследовании инцидентов ИБ. Предоставление необходимой информации в соответствии с законодательством.

### Программно-Аппаратные

Защита периметра сети:
  Межсетевые экраны (Firewalls):
    Типы: Использование аппаратных и программных межсетевых экранов.
     Правила: Разработка строгих правил фильтрации сетевого трафика с учетом принципа наименьших привилегий (блокировка всего, что не разрешено явно).
       Мониторинг: Постоянный мониторинг журналов межсетевого экрана для выявления подозрительных событий.
   Системы обнаружения и предотвращения вторжений (IDS/IPS):
       Типы: Использование сетевых и хостовых систем IDS/IPS.
       Правила: Обновление сигнатур и правил обнаружения атак для обеспечения защиты от новых угроз.
       Уведомления: Автоматическое уведомление администраторов при обнаружении подозрительных событий.
       Реагирование: Автоматическая блокировка или изоляция атакующих систем.
  VPN (Virtual Private Network):
      Типы: Использование VPN-серверов и VPN-клиентов для обеспечения шифрованного доступа к внутренней сети.
      Аутентификация: Использование многофакторной аутентификации для доступа к VPN.
       Разделение туннелей: Разделение туннелей VPN для разных категорий пользователей с ограничением доступа к ресурсам.
Защита внутренней сети:

   Сегментация сети:
       Разделение на VLAN: Разделение сети на виртуальные локальные сети (VLAN) для изоляции производственной сети, сети офиса, сети гостевого доступа.
       Межсетевые экраны внутри сети: Использование межсетевых экранов для контроля доступа между VLAN.
      Контроль межсетевого трафика: Ограничение трафика между различными сегментами сети.
  Контроль доступа к сетевым ресурсам:
       Active Directory: Использование Active Directory для управления пользователями и группами, для централизованного управления правами доступа.
       Аутентификация: Использование многофакторной аутентификации для доступа к критически важным ресурсам (например, серверам, базам данных).
      Разграничение доступа: Разграничение доступа к ресурсам на основе ролей и должностных обязанностей.
   Обновление программного обеспечения:
       Системы управления обновлениями: Использование систем автоматического управления обновлениями для установки патчей безопасности.
      Контроль обновлений: Тестирование и проверка обновлений перед их установкой в рабочей среде.
       Мониторинг: Мониторинг наличия и установки обновлений.
Защита рабочих станций и серверов:

 Антивирусное ПО:
       Типы: Использование антивирусного ПО с централизованным управлением и обновлением.
       Сканирование: Регулярное сканирование рабочих станций и серверов на наличие вирусов и вредоносного ПО.
       Мониторинг: Мониторинг работы антивирусного ПО и блокировки угроз.
   Защита от вредоносного ПО:
     Песочницы: Использование песочниц для запуска подозрительных файлов в изолированной среде.
       Фильтрация URL: Фильтрация веб-сайтов и блокировка доступа к потенциально опасным ресурсам.
       Обучение персонала: Обучение персонала правилам безопасного поведения в интернете, распознавания фишинговых писем и других видов атак.
  Контроль целостности:
      Системы контроля целостности: Использование программных средств для контроля цело
Организационные меры – это важный элемент общей системы защиты информации на заводе. Они создают основу для внедрения технических средств защиты, формируют культуру безопасности среди сотрудников и обеспечивают постоянное совершенствование системы защиты.