EASvZI/2024-25/2 сем/П1.4.100 Описание используемых мер по ЗИ на объекте/Podeny.md

# П1.4.100 Описание используемых мер по ЗИ на объекте

Организационные

1. Разработка и внедрение политики информационной безопасности (ИБ):

Создание всеобъемлющего документа, определяющего общие цели, принципы и направления деятельности в области ИБ. Политика ИБ должна быть адаптирована к специфике завода, учитывая его бизнес-процессы, используемые технологии и законодательные требования. Содержание: Цели и задачи ИБ завода. Ответственность и полномочия сотрудников в области ИБ. Классификация и управление информационными активами (ценность, критичность). Правила доступа к информации. Порядок реагирования на инциденты ИБ. Требования к защите персональных данных (если обрабатываются). Реализация: Разработка, согласование с руководством, доведение до всех сотрудников, регулярное обновление.

1. Классификация информации и управление доступом:

Определение уровней конфиденциальности информации (открытая, конфиденциальная, секретная и т.д.) и установление прав доступа для различных категорий пользователей (на основе принципа минимальных привилегий). Реализация: Создание перечня информационных активов и их классификация. Разработка ролевой модели доступа (RBAC). Внедрение системы контроля доступа (управление учетными записями, парольные политики, разграничение прав). Регулярный пересмотр прав доступа.

1. Обучение персонала по вопросам ИБ:

Повышение осведомленности сотрудников о рисках ИБ и мерах защиты. Обучение должно проводиться регулярно и охватывать всех сотрудников, включая руководящий состав. Темы: Основные угрозы ИБ. Политика ИБ завода. Правила использования паролей. Распознавание фишинговых писем и других видов социальной инженерии. Правила обращения с конфиденциальной информацией. Порядок действий при возникновении инцидентов ИБ. Методы: Тренинги, семинары, вебинары. Инструктажи, памятки, руководства. Тестирование знаний. Имитация инцидентов.

Технические

1.Управление физической безопасностью:

Меры по защите физических активов завода (зданий, помещений, оборудования, носителей информации) от несанкционированного доступа. Реализация: Охрана помещений. Видеонаблюдение. Управление ключами и картами доступа. Защита от кражи оборудования. Защита от стихийных бедствий.

Правовые

1. Законодательство в области защиты информации:

Федеральные законы (для РФ): ФЗ-152 "О персональных данных": Регулирует порядок обработки персональных данных физических лиц. Определяет требования к сбору, хранению, передаче и использованию персональных данных, а также права субъектов персональных данных. ФЗ-149 "Об информации, информационных технологиях и о защите информации": Устанавливает общие правовые рамки в области информации и защиты информации. Определяет основные понятия, виды информации, права и обязанности субъектов информационных отношений. ФЗ-98 "О коммерческой тайне": Устанавливает правила защиты коммерческой тайны и ответственность за ее разглашение. ФЗ-63 "Об электронной подписи": Регулирует использование электронной подписи и ее юридическую значимость. Уголовный кодекс РФ (ст. 272-274): Устанавливает ответственность за неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ. Кодекс об административных правонарушениях (КоАП РФ): Устанавливает административную ответственность за нарушения в области защиты информации. Нормативные акты: Приказы и распоряжения ФСТЭК России: Содержат требования к обеспечению информационной безопасности в различных сферах деятельности (например, требования к защите персональных данных, к защите значимых объектов критической информационной инфраструктуры). Постановления и распоряжения Правительства РФ: Устанавливают порядок защиты государственной тайны, порядок аккредитации организаций в области защиты информации. Стандарты ГОСТ Р (национальные стандарты): Содержат рекомендации и требования к разработке и внедрению систем информационной безопасности (например, ГОСТ Р ИСО/МЭК 27001-2013).

1. Соблюдение лицензионных соглашений:

Обеспечение использования только лицензионного программного обеспечения. Контроль за соблюдением условий лицензионных соглашений. Регулярное обновление лицензий.

1. Юридическая экспертиза:

Проверка всех договоров и соглашений на соответствие требованиям законодательства в области защиты информации. Обеспечение правовой поддержки при возникновении инцидентов ИБ и споров, связанных с нарушением прав на информацию. Своевременное отслеживание изменений в законодательстве и корректировка локальных нормативных актов.

1. Взаимодействие с правоохранительными органами:

Обеспечение сотрудничества с правоохранительными органами при расследовании инцидентов ИБ. Предоставление необходимой информации в соответствии с законодательством.

Программно-Аппаратные

Защита периметра сети: Межсетевые экраны (Firewalls):

Типы: Использование аппаратных и программных межсетевых экранов.
 Правила: Разработка строгих правил фильтрации сетевого трафика с учетом принципа наименьших привилегий (блокировка всего, что не разрешено явно).
   Мониторинг: Постоянный мониторинг журналов межсетевого экрана для выявления подозрительных событий.

Системы обнаружения и предотвращения вторжений (IDS/IPS):

   Типы: Использование сетевых и хостовых систем IDS/IPS.
   Правила: Обновление сигнатур и правил обнаружения атак для обеспечения защиты от новых угроз.
   Уведомления: Автоматическое уведомление администраторов при обнаружении подозрительных событий.
   Реагирование: Автоматическая блокировка или изоляция атакующих систем.

VPN (Virtual Private Network):

  Типы: Использование VPN-серверов и VPN-клиентов для обеспечения шифрованного доступа к внутренней сети.
  Аутентификация: Использование многофакторной аутентификации для доступа к VPN.
   Разделение туннелей: Разделение туннелей VPN для разных категорий пользователей с ограничением доступа к ресурсам.

Защита внутренней сети:

Сегментация сети:

   Разделение на VLAN: Разделение сети на виртуальные локальные сети (VLAN) для изоляции производственной сети, сети офиса, сети гостевого доступа.
   Межсетевые экраны внутри сети: Использование межсетевых экранов для контроля доступа между VLAN.
  Контроль межсетевого трафика: Ограничение трафика между различными сегментами сети.

Контроль доступа к сетевым ресурсам:

   Active Directory: Использование Active Directory для управления пользователями и группами, для централизованного управления правами доступа.
   Аутентификация: Использование многофакторной аутентификации для доступа к критически важным ресурсам (например, серверам, базам данных).
  Разграничение доступа: Разграничение доступа к ресурсам на основе ролей и должностных обязанностей.

Обновление программного обеспечения:

   Системы управления обновлениями: Использование систем автоматического управления обновлениями для установки патчей безопасности.
  Контроль обновлений: Тестирование и проверка обновлений перед их установкой в рабочей среде.
   Мониторинг: Мониторинг наличия и установки обновлений.

Защита рабочих станций и серверов:

Антивирусное ПО:

   Типы: Использование антивирусного ПО с централизованным управлением и обновлением.
   Сканирование: Регулярное сканирование рабочих станций и серверов на наличие вирусов и вредоносного ПО.
   Мониторинг: Мониторинг работы антивирусного ПО и блокировки угроз.

Защита от вредоносного ПО:

 Песочницы: Использование песочниц для запуска подозрительных файлов в изолированной среде.
   Фильтрация URL: Фильтрация веб-сайтов и блокировка доступа к потенциально опасным ресурсам.
   Обучение персонала: Обучение персонала правилам безопасного поведения в интернете, распознавания фишинговых писем и других видов атак.

Контроль целостности:

  Системы контроля целостности: Использование программных средств для контроля цело

Организационные меры – это важный элемент общей системы защиты информации на заводе. Они создают основу для внедрения технических средств защиты, формируют культуру безопасности среди сотрудников и обеспечивают постоянное совершенствование системы защиты.