EASvZI/2024-25/2 сем/П1.4.100 Описание используемых мер по ЗИ на объекте/Кулага.md

# П1.4.100 Описание используемых мер по ЗИ на объекте

На заводе, с его сложной структурой и разнообразием видов информации, организационные меры играют критически важную роль.

1. Разработка и внедрение политики информационной безопасности (ИБ):

Создание всеобъемлющего документа, определяющего общие цели, принципы и направления деятельности в области ИБ. Политика ИБ должна быть адаптирована к специфике завода, учитывая его бизнес-процессы, используемые технологии и законодательные требования. Содержание: Цели и задачи ИБ завода. Ответственность и полномочия сотрудников в области ИБ. Классификация и управление информационными активами (ценность, критичность). Правила доступа к информации. Порядок реагирования на инциденты ИБ. Требования к защите персональных данных (если обрабатываются). Реализация: Разработка, согласование с руководством, доведение до всех сотрудников, регулярное обновление.

1. Классификация информации и управление доступом:

Определение уровней конфиденциальности информации (открытая, конфиденциальная, секретная и т.д.) и установление прав доступа для различных категорий пользователей (на основе принципа минимальных привилегий). Реализация: Создание перечня информационных активов и их классификация. Разработка ролевой модели доступа (RBAC). Внедрение системы контроля доступа (управление учетными записями, парольные политики, разграничение прав). Регулярный пересмотр прав доступа.

1. Обучение персонала по вопросам ИБ:

Повышение осведомленности сотрудников о рисках ИБ и мерах защиты. Обучение должно проводиться регулярно и охватывать всех сотрудников, включая руководящий состав. Темы: Основные угрозы ИБ. Политика ИБ завода. Правила использования паролей. Распознавание фишинговых писем и других видов социальной инженерии. Правила обращения с конфиденциальной информацией. Порядок действий при возникновении инцидентов ИБ. Методы: Тренинги, семинары, вебинары. Инструктажи, памятки, руководства. Тестирование знаний. Имитация инцидентов.

1. Управление физической безопасностью:

Меры по защите физических активов завода (зданий, помещений, оборудования, носителей информации) от несанкционированного доступа. Реализация: Контроль доступа на территорию завода. Охрана помещений. Видеонаблюдение. Управление ключами и картами доступа. Защита от кражи оборудования. Защита от стихийных бедствий.

Правовые

1. Законодательство в области защиты информации:

Федеральные законы (для РФ): ФЗ-152 "О персональных данных": Регулирует порядок обработки персональных данных физических лиц. Определяет требования к сбору, хранению, передаче и использованию персональных данных, а также права субъектов персональных данных. ФЗ-149 "Об информации, информационных технологиях и о защите информации": Устанавливает общие правовые рамки в области информации и защиты информации. Определяет основные понятия, виды информации, права и обязанности субъектов информационных отношений. ФЗ-98 "О коммерческой тайне": Устанавливает правила защиты коммерческой тайны и ответственность за ее разглашение. ФЗ-63 "Об электронной подписи": Регулирует использование электронной подписи и ее юридическую значимость. Уголовный кодекс РФ (ст. 272-274): Устанавливает ответственность за неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ. Кодекс об административных правонарушениях (КоАП РФ): Устанавливает административную ответственность за нарушения в области защиты информации. Нормативные акты: Приказы и распоряжения ФСТЭК России: Содержат требования к обеспечению информационной безопасности в различных сферах деятельности (например, требования к защите персональных данных, к защите значимых объектов критической информационной инфраструктуры). Постановления и распоряжения Правительства РФ: Устанавливают порядок защиты государственной тайны, порядок аккредитации организаций в области защиты информации. Стандарты ГОСТ Р (национальные стандарты): Содержат рекомендации и требования к разработке и внедрению систем информационной безопасности (например, ГОСТ Р ИСО/МЭК 27001-2013).

1. Соблюдение лицензионных соглашений:

Обеспечение использования только лицензионного программного обеспечения. Контроль за соблюдением условий лицензионных соглашений. Регулярное обновление лицензий.

1. Юридическая экспертиза:

Проверка всех договоров и соглашений на соответствие требованиям законодательства в области защиты информации. Обеспечение правовой поддержки при возникновении инцидентов ИБ и споров, связанных с нарушением прав на информацию. Своевременное отслеживание изменений в законодательстве и корректировка локальных нормативных актов.

1. Взаимодействие с правоохранительными органами:

Обеспечение сотрудничества с правоохранительными органами при расследовании инцидентов ИБ. Предоставление необходимой информации в соответствии с законодательством.

Организационные меры – это важный элемент общей системы защиты информации на заводе. Они создают основу для внедрения технических средств защиты, формируют культуру безопасности среди сотрудников и обеспечивают постоянное совершенствование системы защиты.