разработка и внедрение комплекса мер информационной защиты для организации малого бизнеса.

2. РАЗРАБОТКА КОМПЛЕКСА МЕР ДЛЯ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНЫХ ДАННЫХ IT-КОМПАНИИ CARDSMOBILE
2.1 Комплекс организационных мер обеспечения информационной безопасности и защиты конфиденциальных данных для IT-компании CardsMobile
2.1.1 Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты конфиденциальных данных для IT-компании CardsMobile
В соответствии с Указом Президента Российской Федерации от 25 ноября 2017 года № 569 «О внесение изменений в Положение о федеральной службе по техническому и экспортному контролю» ФСТЭК России является федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности критической инфраструктуры, противодействия техническим разведкам и технической защиты информации, а также специально уполномоченным органом в области экспортного контроля.
Основные цели системы безопасности объектов информатизации (таких как информационно-вычислительная инфраструктура, облачная инфраструктура, локальные вычислительные сети и др.) включают в себя:
1. Предотвращение несанкционированного доступа к информации, хранящейся на значимом объекте информатизации, и защита от уничтожения, модификации, блокирования, копирования, распространения данной информации, а также других незаконных действий с ней.
2. Предотвращение воздействия на технические средства обработки информации, которое может нарушить или прекратить функционирование значимого объекта информатизации.
3. Обеспечение восстановления функционирования значимого объекта информатизации, включая создание и хранение резервных копий необходимой информации.
Требования по обеспечению безопасности объектов информатизации, устанавливаемые ФСТЭК России, дифференцируются в зависимости от категории их значимости и этими требованиями предусматриваются:
1) планирование, разработка, совершенствование и осуществление внедрения мероприятий по обеспечению безопасности значимых объектов информатизации,
2) принятие организационных и технических мер для обеспечения безопасности значимых объектов информатизации,
3) установление параметров и характеристик программных и программно-
аппаратных средств, применяемых для обеспечения ИБ значимых объектов информатизации.
Следует заметить, что государственные органы и российские юридические лица, выполняющие функции по разработке, проведению или реализации государственной политики и (или) нормативно-правовому регулированию в установленной сфере деятельности, по согласованию с ФСТЭК, могут устанавливать дополнительные требования по обеспечению безопасности значимых объектов информатизации, содержащие особенности функционирования таких объектов в установленной сфере деятельности.
В качестве основы для разработки внутренних нормативных документов и создания системы обеспечения информационной безопасности IT-компании CardsMobile были выбраны следующие отечественные и международные нормативные акты:
– Федеральный закон "О защите информации": выдаёт основные понятия и требования к защите информации, а также устанавливает ответственность за нарушение этих правил.
– ГОСТ Р ИСО/МЭК 27001: Это международный стандарт, который устанавливает требования к сфере информационной безопасности, он может быть использован для разработки системы управления безопасностью информации на предприятии.
– Постановление Правительства РФ № 1119: этот нормативный акт в основном содержит инструкции и требования к внутреннему контролю за безопасностью персональных данных, что является важным аспектом для банка.
– ГОСТ Р ИСО/МЭК 27001-2013 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности»;
– ГОСТ Р 59453.1-2021 «Защита информации. Формальная модель управления доступом. Часть 1. Общие положения»;
– ГОСТ Р 59453.1-2021 «Защита информации. Формальная модель управления доступом. Часть 2. Рекомендации по верификации формальной модели управления доступом»;
– ГОСТ Р 59547-2021 «Защита информации. Мониторинг информационной безопасности. Общие положения»;
– ГОСТ Р 59548-2022 «Защита информации. Регистрация событий безопасности. Требования к регистрируемой информации»;
– ГОСТ Р 70262.1-2022 «Защита информации. Идентификация и аутентификация. Уровни доверия идентификации»;
– Методика тестирования обновлений безопасности программных и программно-аппаратных средств (утв. ФСТЭК 28 октября 2022 г.);
– РС БР ИББС-2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности»;
– РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения ИБ»;
– РС БР ИББС-2.5-2014 «Менеджмент инцидентов ИБ»;
– РС БР ИББС-2.9-2016 «Обеспечение информационной безопасности организаций банковской системы РФ. Предотвращение утечек информации»;
– СТО БР ИББС-1.4-2018 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Управление риском нарушения информационной безопасности»;
– приказы ФСТЭК № 17, 21, 31, регламентирующие управление ИБ и реализацию организационно-технических мер ИБ;
– концептуальные взгляды на деятельность Вооруженных Сил Российской Федерации в информационном пространстве;
– Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств (утв. ФСТЭК 28 октября 2022 г.);
– NIST 800-53 (Rev.4) «Security and Privacy Controls for Federal Information Systems and Organizations».
Правовой основой [22] предлагаемого комплекс организационных мер обеспечения информационной безопасности и защиты информации IT-компании CardsMobile являются:
– Конституция Российской Федерации;
– Гражданский и Уголовный кодексы;
– Кодекс об административных правонарушениях;
– законы, указы, постановления и другие нормативные документы действующего законодательства Российской Федерации;
– нормативные документы ФСТЭК, МО РФ в области защиты информации;
– нормативные и регламентирующие документы государственных органов Российской Федерации (ФСБ РФ, Роскомнадзор и др.).
Также для создания системы безопасности информации IT-компании CardsMobile и внедрения комплекса организационных мер предлагается следующая организационно-административная основа:
– Формирование комитета: в его состав войдут представители ключевых подразделений предприятия для разработки.
– Назначение ответственных лиц: определение ответственных лиц за реализацию политики информационной безопасности, проведение аудитов и мониторинга, а также обеспечение соблюдения нормативных требований.
– Разработка процедур и стандартов: создание процедур управления доступом к информации, обработки инцидентов, аудита безопасности и других стандартов, необходимых для обеспечения безопасности информации.
2.1.2 Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации IT-компании CardsMobile
Организационные (административные) меры защиты – меры, регламентирующие процессы функционирования системы обработки данных, использование её ресурсов, деятельность обслуживающего персонала, порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить (исключить) возможность реализации угроз ИБ или снизить размер потерь в случае их реализации.
Главная цель административных мер – сформировать политику в области обеспечения ИБ, отражающую подходы к ЗИ и обеспечить её выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
С практической точки зрения, разумно разделить политику информационной безопасности IT-компании CardsMobile на два уровня. На верхнем уровне находятся стратегические решения руководства, касающиеся деятельности всего банка, например:
- принятие решения о создании комплексной программы обеспечения информационной безопасности, определение ответственных лиц за ее выполнение;
- определение целей, постановка задач, установление направлений в области информационной безопасности;
- принятие решений по реализации программы безопасности на уровне IT-компании CardsMobile;
- обеспечение нормативной базы в области информационной безопасности.
Стратегия наивысшего уровня устанавливает сферу воздействия и ограничения при определении целей информационной безопасности, определяет, какие ресурсы (материальные, персонал) будут использованы для их достижения, ищет разумный баланс между уровнем безопасности и функциональностью информационно-технологической кибербезопасности IT-компании CardsMobile.
Тактика нижнего уровня определяет процедуры и правила достижения целей и решения задач информационной безопасности, подробно описывая (регламентируя) следующее:
- область применения Концепции информационной безопасности;
- роли и обязанности должностных лиц, ответственных за реализацию Концепции информационной безопасности;
- лица, имеющие право доступа к информации ограниченного доступа;
- лица, имеющие право на чтение и изменение информации и т.д.
Кроме этого, нижестоящая политика выполняет следующие функции:
- устанавливает порядок информационных взаимоотношений, исключающий возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных данных IT-компании CardsMobile;
- определяет принципы группировки и иерархии, а также методы разделения секретов и ограничения доступа к информации ограниченного распространения;
- устанавливает программно-математические и технические (аппаратные) средства криптозащиты, противодействия утечкам данных, аутентификации, авторизации, идентификации и другие механизмы защиты, обеспечивающие соблюдение прав и обязанностей участников информационных отношений.
Регулирование доступа к помещениям IT-компании CardsMobile. Регламентирование доступа в помещения IT-компании CardsMobile. Эксплуатация защищенных серверов инфо-телекоммуникационной инфраструктуры (ИТКС) IT-компании CardsMobile требует наличия автоматических замков и систем сигнализации, исключающих несанкционированный доступ посторасонних лиц и обеспечивающих безопасность хранимых в помещении защищаемых ресурсов (серверов, документов, доступов и прочего). Размещение и оборудование технических устройств данных серверов должно исключать возможность несанкционированного просмотра информации лицами, не имеющими к ней отношения. Уборка помещений должна проводиться с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам. Во время работы с информацией ограниченного доступа на компьютерах должен присутствовать только специалист, уполномоченный на обработку данной информации. Посещение помещений во время работы с защищенной информацией запрещено.
Для хранения документов и материалов с ограниченным доступом в помещения устанавливаются сейфы и металлические шкафы. Если помещения оборудованы средствами охранной сигнализации и системами приема сигналов, то передача помещений под охрану осуществляется в соответствии с специальной инструкцией, утверждаемой руководством IT-компании CardsMobile.
Правила предоставления доступа сотрудникам к информационно-технологическим ресурсам IT-компании CardsMobile в рамках системы разрешений определяют, какая информация может быть предоставлена, кому и в каком объеме, а также при каких условиях. Система контроля доступа предусматривает определение доступа к информационным и программным ресурсам для каждого пользователя, включая разрешенные операции (чтение, запись, изменение, удаление, выполнение) с использованием системы управления доступом. Доступ сотрудников IT-компании CardsMobile к автоматизированным системам и ресурсам должен строго регламентироваться. Любые изменения состава и полномочий пользователей подсистем автоматизированных систем (АС) должны производиться установленным порядком согласно «Положению о распределении доступа пользователей к проведению операций в ПО, а также к базам данных (БД) в ИТКС IT-компании CardsMobile».
Пользователями информации в ИТКС IT-компании CardsMobile являются сотрудники структурных подразделений компании. Уровень доступа к информации определяется индивидуально с учетом следующих принципов: - открытая и конфиденциальная информация хранится на разных серверах или в разных информационных ресурсах на одном сервере;
- каждый сотрудник пользуется только установленными правами доступа к информации, необходимой для выполнения его должностных обязанностей;
- руководитель имеет право на доступ к информации своих подчиненных в рамках своей должностной компетенции;
- важные технические операции должны выполняться с соблюдением принципа разделения ответственности, то есть правильность введенных данных должна подтверждаться другим сотрудником, не имеющим права на их ввод.
Все сотрудники IT-компании CardsMobile (пользователи), которые имеют доступ к работе с автоматизированными системами (АС), и технический персонал обязаны нести личную ответственность за соблюдение установленного порядка обработки информации, правил хранения, использования и передачи конфиденциальных ресурсов, доступных им в рамках АС. Каждый сотрудник при трудоустройстве обязан подписать "Договор о неразглашении конфиденциальной информации" и изучить "Инструкцию о работе с конфиденциальной информацией в ИТКС IT-компании CardsMobile. Обработка защищенной информации в подсистемах АС должна осуществляться в соответствии с утвержденными технологическими инструкциями (регламентами, процедурами и т. д.), установленными для этих подсистем.
Для пользователей, защищенных автоматизированных рабочих мест (АРМ) (на которых установлены соответствующие СЗИ и обрабатывается конфиденциальная информация или решаются подлежащие защите задачи) должны быть разработаны технологические инструкции, включающие требования по обеспечению ИБ.
Процессы управления базами данных и внесения изменений в информационные ресурсы регулируются соответствующими правилами. Все действия, связанные с управлением базами данных IT-компании CardsMobile и предоставлением доступа сотрудникам к ним, осуществляются в строгом соответствии с утвержденными технологическими инструкциями. Любые изменения в правах и возможностях пользователей баз данных АС IT-компании CardsMobile проводятся в установленном порядке. Администраторы несут ответственность за назначение учетных записей, генерацию паролей и поддержание правил доступа к базам данных.
Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов АС (ИС). Все рабочие места, серверы и программные ресурсы АС должны быть установленным порядком категорированы (для каждого ИР должен быть определен требуемый уровень защищенности). Подлежащие защите ИР системы (программы, АРМ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных БД).
При обработке конфиденциальной информации на компьютерах с доступом к защищаемым данным, необходимо поддерживать соответствие между функциями пользователей и конфигурацией устройств. Неактивные порты ввода-вывода (USB, COM, LPT), оптические приводы (CD, DVD) и носители Flash-памяти должны быть отключены или заблокированы.
При внедрении новых рабочих мест и изменениях в настройках программно-технических средств на рабочих местах в автоматизированной системе необходимо соблюдать предписанный порядок. В компонентах автоматизированной системы IT-компании CardsMobile следует использовать только программные средства, полученные из библиотеки эталонного ПО в соответствии с установленным порядком. Использование в автоматизированной системе IT-компании CardsMobile программного обеспечения, которое не было включено в библиотеку эталонного ПО, не допускается.
Планирование и создание программного обеспечения, тестирование разработанного и приобретенного программного обеспечения, передача его в использование проводится согласно утвержденному порядку разработки, тестирования и передачи задач в эксплуатацию. Необходимо обеспечивать и следить за физической целостностью (неизменностью конфигурации) аппаратных ресурсов автоматизированной системы. На всех рабочих местах, которые нуждаются в защите, должны быть установлены необходимые средства защиты. Перед тем как автоматизированная система будет использоваться, пользователи системы, руководящий и обслуживающий