Кулага.md 18 KB
# П1.4.100 Описание используемых мер по ЗИ на объекте
На заводе, с его сложной структурой и разнообразием видов информации, организационные меры играют критически важную роль.
Организационные
1. Разработка и внедрение политики информационной безопасности (ИБ):
Создание всеобъемлющего документа, определяющего общие цели, принципы и направления деятельности в области ИБ. Политика ИБ должна быть адаптирована к специфике завода, учитывая его бизнес-процессы, используемые технологии и законодательные требования. Содержание: Цели и задачи ИБ завода. Ответственность и полномочия сотрудников в области ИБ. Классификация и управление информационными активами (ценность, критичность). Правила доступа к информации. Порядок реагирования на инциденты ИБ. Требования к защите персональных данных (если обрабатываются). Реализация: Разработка, согласование с руководством, доведение до всех сотрудников, регулярное обновление.
2. Классификация информации и управление доступом:
Определение уровней конфиденциальности информации (открытая, конфиденциальная, секретная и т.д.) и установление прав доступа для различных категорий пользователей (на основе принципа минимальных привилегий). Реализация: Создание перечня информационных активов и их классификация. Разработка ролевой модели доступа (RBAC). Внедрение системы контроля доступа (управление учетными записями, парольные политики, разграничение прав). Регулярный пересмотр прав доступа.
3. Обучение персонала по вопросам ИБ:
Повышение осведомленности сотрудников о рисках ИБ и мерах защиты. Обучение должно проводиться регулярно и охватывать всех сотрудников, включая руководящий состав. Темы: Основные угрозы ИБ. Политика ИБ завода. Правила использования паролей. Распознавание фишинговых писем и других видов социальной инженерии. Правила обращения с конфиденциальной информацией. Порядок действий при возникновении инцидентов ИБ. Методы: Тренинги, семинары, вебинары. Инструктажи, памятки, руководства. Тестирование знаний. Имитация инцидентов.
Технические
1.Управление физической безопасностью:
Меры по защите физических активов завода (зданий, помещений, оборудования, носителей информации) от несанкционированного доступа. Реализация: Охрана помещений. Видеонаблюдение. Управление ключами и картами доступа. Защита от кражи оборудования. Защита от стихийных бедствий.
Правовые
1. Законодательство в области защиты информации:
Федеральные законы (для РФ): ФЗ-152 "О персональных данных": Регулирует порядок обработки персональных данных физических лиц. Определяет требования к сбору, хранению, передаче и использованию персональных данных, а также права субъектов персональных данных. ФЗ-149 "Об информации, информационных технологиях и о защите информации": Устанавливает общие правовые рамки в области информации и защиты информации. Определяет основные понятия, виды информации, права и обязанности субъектов информационных отношений. ФЗ-98 "О коммерческой тайне": Устанавливает правила защиты коммерческой тайны и ответственность за ее разглашение. ФЗ-63 "Об электронной подписи": Регулирует использование электронной подписи и ее юридическую значимость. Уголовный кодекс РФ (ст. 272-274): Устанавливает ответственность за неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ. Кодекс об административных правонарушениях (КоАП РФ): Устанавливает административную ответственность за нарушения в области защиты информации. Нормативные акты: Приказы и распоряжения ФСТЭК России: Содержат требования к обеспечению информационной безопасности в различных сферах деятельности (например, требования к защите персональных данных, к защите значимых объектов критической информационной инфраструктуры). Постановления и распоряжения Правительства РФ: Устанавливают порядок защиты государственной тайны, порядок аккредитации организаций в области защиты информации. Стандарты ГОСТ Р (национальные стандарты): Содержат рекомендации и требования к разработке и внедрению систем информационной безопасности (например, ГОСТ Р ИСО/МЭК 27001-2013).
2. Соблюдение лицензионных соглашений:
Обеспечение использования только лицензионного программного обеспечения. Контроль за соблюдением условий лицензионных соглашений. Регулярное обновление лицензий.
3. Юридическая экспертиза:
Проверка всех договоров и соглашений на соответствие требованиям законодательства в области защиты информации. Обеспечение правовой поддержки при возникновении инцидентов ИБ и споров, связанных с нарушением прав на информацию. Своевременное отслеживание изменений в законодательстве и корректировка локальных нормативных актов.
4. Взаимодействие с правоохранительными органами:
Обеспечение сотрудничества с правоохранительными органами при расследовании инцидентов ИБ. Предоставление необходимой информации в соответствии с законодательством.
Криптографические
1. Шифрование данных:
Симметричное шифрование: Использование одного и того же ключа для шифрования и дешифрования данных. Применение: Шифрование данных на дисках, в базах данных, файлов, передаваемых по сети. Алгоритмы: AES (Advanced Encryption Standard), DES (Data Encryption Standard), 3DES (Triple DES). Реализация: Использование программных и аппаратных средств шифрования. Асимметричное шифрование: Использование пары ключей: открытого ключа для шифрования и закрытого ключа для дешифрования. Применение: Обмен ключами шифрования, электронная подпись, защита электронной почты, VPN-соединения. Алгоритмы: RSA (Rivest–Shamir–Adleman), ECC (Elliptic-curve cryptography). Реализация: Использование программных и аппаратных средств шифрования, сертификатов X.509.
2. Хеширование данных:
Преобразование данных в необратимую строку фиксированной длины (хеш-сумму). Применение: Хранение паролей: Вместо хранения паролей в открытом виде, хранятся их хеши.
3. Электронная подпись:
Использование асимметричной криптографии для обеспечения подлинности и целостности электронных документов и сообщений. Функции: Аутентификация: Подтверждение авторства документа или сообщения. Целостность: Гарантия того, что документ не был изменен после его подписания.
4. Безопасные протоколы связи:
Использование протоколов связи, которые обеспечивают шифрование передаваемых данных. Протоколы: TLS/SSL: Протоколы для обеспечения безопасного соединения между клиентом и сервером (используются в HTTPS).
SSH: Протокол для защищенного удаленного доступа к серверам.
IPsec: Протокол для защиты IP-трафика.
Реализация: Настройка серверов и клиентов на использование безопасных протоколов, регулярное обновление версий протоколов.
Программно-Аппаратные
1. Информационная безопасность (сети и системы)
Защита периметра сети:
Межсетевые экраны (Firewalls):
Типы: Использование аппаратных и программных межсетевых экранов.
Правила: Разработка строгих правил фильтрации сетевого трафика с учетом принципа наименьших привилегий (блокировка всего, что не разрешено явно).
Мониторинг: Постоянный мониторинг журналов межсетевого экрана для выявления подозрительных событий.
Системы обнаружения и предотвращения вторжений (IDS/IPS):
Типы: Использование сетевых и хостовых систем IDS/IPS.
Правила: Обновление сигнатур и правил обнаружения атак для обеспечения защиты от новых угроз.
Уведомления: Автоматическое уведомление администраторов при обнаружении подозрительных событий.
Реагирование: Автоматическая блокировка или изоляция атакующих систем.
VPN (Virtual Private Network):
Типы: Использование VPN-серверов и VPN-клиентов для обеспечения шифрованного доступа к внутренней сети.
Аутентификация: Использование многофакторной аутентификации для доступа к VPN.
Разделение туннелей: Разделение туннелей VPN для разных категорий пользователей с ограничением доступа к ресурсам.
Защита внутренней сети:
Сегментация сети:
Разделение на VLAN: Разделение сети на виртуальные локальные сети (VLAN) для изоляции производственной сети, сети офиса, сети гостевого доступа.
Межсетевые экраны внутри сети: Использование межсетевых экранов для контроля доступа между VLAN.
Контроль межсетевого трафика: Ограничение трафика между различными сегментами сети.
Контроль доступа к сетевым ресурсам:
Active Directory: Использование Active Directory для управления пользователями и группами, для централизованного управления правами доступа.
Аутентификация: Использование многофакторной аутентификации для доступа к критически важным ресурсам (например, серверам, базам данных).
Разграничение доступа: Разграничение доступа к ресурсам на основе ролей и должностных обязанностей.
Обновление программного обеспечения:
Системы управления обновлениями: Использование систем автоматического управления обновлениями для установки патчей безопасности.
Контроль обновлений: Тестирование и проверка обновлений перед их установкой в рабочей среде.
Мониторинг: Мониторинг наличия и установки обновлений.
Защита рабочих станций и серверов:
Антивирусное ПО:
Типы: Использование антивирусного ПО с централизованным управлением и обновлением.
Сканирование: Регулярное сканирование рабочих станций и серверов на наличие вирусов и вредоносного ПО.
Мониторинг: Мониторинг работы антивирусного ПО и блокировки угроз.
Защита от вредоносного ПО:
Песочницы: Использование песочниц для запуска подозрительных файлов в изолированной среде.
Фильтрация URL: Фильтрация веб-сайтов и блокировка доступа к потенциально опасным ресурсам.
Обучение персонала: Обучение персонала правилам безопасного поведения в интернете, распознавания фишинговых писем и других видов атак.
Контроль целостности:
Системы контроля целостности: Использование программных средств для контроля цело
Организационные меры – это важный элемент общей системы защиты информации на заводе. Они создают основу для внедрения технических средств защиты, формируют культуру безопасности среди сотрудников и обеспечивают постоянное совершенствование системы защиты.