- исчезновение ключевых сотрудников;

- пропажа документов.

За пределами рассмотрения остаются риски, связанные с масштабным разрушением поддерживающей инфраструктуры. Для противодействия подобным рискам нужны меры нелокального характера, связанные с организацией территориально удаленного резервного вычислительного центра.

Детальная иерархия рисков и мер по их минимизации вырабатывается на стадиях технического и рабочего проектирования АИС.

На основе предварительного анализа рисков выдаются рекомендации по мерам организационного и процедурного характера, и строится многоуровневая подсистема безопасности АИС.

2. Организационный уровень подсистемы безопасности.

Организационные меры. Должностные обязанности администратора безопасности и порядок их выполнения определяются в документе «План обеспечения безопасности информационной системы предприятия». Типичный документ «План обеспечения безопасности» описывает наиболее общие вопросы, связанные с безопасностью системы и содержит ссылки на следующие документы:

- План восстановления работоспособности АИС в случае аварии.

- План проведения аудита.

- Программы обучения и проведения инструктажей пользователей и администраторов АИС.

- План защиты информационных ресурсов предприятия от несанкционированной системы доступа (НСД).

- Процедура резервного копирования и восстановления.

- Формальная процедура внесения изменений в ПО АИС.

- Формальная процедура установки 'прав доступа к системным сервисам и ресурсам АИС.

- Должностные инструкции администраторов, пользователей и обслуживающего персонала.

Для организации и обеспечения эффективного функционирования комплек! ной системы информационной безопасности должны быть разработаны следуй щие группы организационно-распорядительных документов:

- документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в АИС;

- документы, определяющие ответственность взаимодействующих организации (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).

План защиты информации в АИС должен содержать следующие сведения:

- описание защищаемой системы (основные характеристики защищаемого объекта): назначение АИС, перечень решаемых АИС задач, конфигурация, характеристики и размещение технических средств и программного обеспечения, перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся) и т. п,

- цель защиты системы, а также пути обеспечения безопасности АС и цирк лирующей в ней информации;

- перечень угроз безопасности АС, от которых требуется защита, и наибол вероятных путей нанесения ущерба;

- основные требования к организации процесса функционирования АИС и мерам обеспечения безопасности обрабатываемой информации;

- требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;

- основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности АС (особые обязанности должностных лиц АС). План обеспечения непрерывной работы и восстановления информации должен отражать следующие вопросы:

- цель обеспечения непрерывности процесса функционирования АС, своевременность восстановления ее работоспособности и пути ее достижения;

- перечень и классификация возможных кризисных ситуаций;

- меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т. п.);

- обязанности различных категорий персонала системы в кризисных ситуациях и порядок действий по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы. Договор о порядке организации обмена электронными документами должен включать документы, в которых отражаются следующие вопросы:

- разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;

- определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;

- определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);

- определение порядка разрешения споров в случае возникновения конфликтов. Для обеспечения разделения полномочий и ответственности должностных лиц в договоре должны быть четко определены их обязанности.

Процедурные меры. К процедурному уровню относятся меры безопасности, реализуемые персоналом. Процедурные меры, направленные на обеспечение информационной безопасности, можно разделить на следующие группы:

- физическая защита;

- управление персоналом;

- поддержание работоспособности;

- реагирование на нарушение режима безопасности;

- планирование восстановительных работ.

Меры физической защиты. Меры физической защиты основаны на применении технических средств визуального наблюдения, связи и охранной сигнализации, а также на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации.

Стандартным требованием к системе физической защиты информации является надежная защита от:

- неправомочного доступа к аппаратуре обработки информации в производственных помещения^;

- неправомочного выноса носителей информации персоналом, занимающим обработкой данных;

- неправомочного использования сервисов обработки информации;

- неправомочной передачи данных из автоматизированной системы;

- бесконтрольного ввода данных в систему;

- обработки данных без санкции владельца информации;

- неправомочного считывания, изменения или стирания данных в процессе передачи или во время транспортировки носителей информации.

Управление персоналом. Руководство организации, эксплуатирующей автоматизированную систему, должно регламентировать правила автоматизированной обработки информации, включая правила ее защиты, а также установить меры ответственности за нарушение этих правил. Это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой для исключения возможности реализации утр безопасности. Они включают:

- мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов систем обработки данных;

- мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);

- мероприятия, осуществляемые при подборе и подготовке персонала,

- организацию охраны и надежного пропускного режима;

- организацию учета, хранения, использования и уничтожения документов носителей с информацией;