Ввод в действие и эксплуатация аттестованных по требованиям безопасности информации объектов информатизации

Цель: формирование навыков поддержания заданного уровня безопасности аттестованного объекта информатизации в ходе его эксплуатации.

Ввод объекта информатизации в эксплуатацию производится на основании приказа руководителя организации только после получения "Аттестата соответствия…" на объект информатизации. Эксплуатация объекта информатизации должна осуществляться в строгом соответствии с предписаниями и эксплуатационной документацией в течение срока действия "Аттестата соответствия…".

Эксплуатация должна осуществляться в соответствии с установленным в организации порядком обработки информации ограниченного доступа, руководствуясь при этом разработанными в процессе аттестации инструкциями, положениями и документально установленными требованиями по защите информации.

Для поддержания в процессе эксплуатации объекта информатизации заданного уровня безопасности информации необходимо предусматривать соблюдение следующих основных положений и требований:

• осуществлять допуск пользователей объекта информатизации к защищаемой информации в соответствии с порядком, установленным разрешительной системой допуска;
• контролировать отсутствие посторонних лиц в момент обработки (обсуждения) защищаемой информации на объекте информатизации. При необходимости проведения уборки помещения, ремонтных и иных работ – они осуществляются с санкции руководителя в соответствии с установленным графиком и в обязательном присутствии сотрудника, ответственного за объект информатизации;
• обеспечить отсутствие возможности несанкционированного (случайного) просмотра средств отображения информации сотрудниками, работающими в том же помещении, где размещен объект информатизации и не допущенными к обрабатываемой на нем информации;
• установка новых программ на объекте информатизации, а также замена комплектующих средств вычислительной техники, входящих в состав объекта информатизации осуществляется совместно с администратором безопасности с разрешения органа по аттестации, проводившего аттестацию этого объекта информатизации;
• ремонт технических средств, входящих в состав объекта информатизации должен осуществляться только в присутствии должностного лица, ответственного за объект информатизации, передача носителей, содержащих защищаемую информацию в ремонтную организацию не допускается. Рекомендуется осуществлять резервное копирование информации с целью возможности ее восстановления в случае выхода из строя накопителей;
• осуществлять учет носителей защищаемой информации, с отметками о выдаче и сдаче на хранение в установленном порядке;
• осуществлять периодическую проверку рабочих мест пользователей на предмет наличия в открытом доступе паролей на доступ к объекту информатизации;
• при увольнении или переводе администратора безопасности на другую должность, принять меры по смене всех паролей, идентификаторов на объектах информатизации, обрабатывающих информацию ограниченного доступа.

На основании приказа "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах" от 11.02.2013 № 17, в ходе эксплуатации объекта информатизацииобеспечение защиты информации включает в себя:

1. Управление (администрирование) системой защиты информации объекта информатизации. В ходе управления (администрирования) системой защиты информации осуществляются:
• заведение и удаление учетных записей пользователей, управление полномочиями пользователей и поддержание правил разграничения доступа;
• управление средствами защиты информации объекта информатизации, в том числе параметрами настроек программного обеспечения, включая программное обеспечение средств защиты информации, восстановление работоспособности средств защиты информации, генерацию, смену и восстановление паролей;
• установка обновлений программного обеспечения, включая программное обеспечение средств защиты информации, выпускаемых разработчиками (производителями) средств защиты информации или по их поручению;
• регистрация и анализ событий, связанных с защитой информации;
• информирование пользователей об угрозах безопасности информации, о правилах эксплуатации системы защиты информации и отдельных средств защиты информации, а также их обучение;
• сопровождение функционирования системы защиты информации в ходе ее эксплуатации, включая корректировку эксплуатационной документации на нее и организационно-распорядительных документов по защите информации.
2. Выявление инцидентов и реагирование на них. В соответствии с ГОСТ Р 53114-2008 "Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения", инцидент информационной безопасности – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. В ходе выявления инцидентов и реагирования на них осуществляются:
• определение лиц, ответственных за выявление инцидентов и реагирование на них;
• обнаружение и идентификация инцидентов, в том числе отказов в обслуживании, сбоев (перезагрузок) в работе технических средств, программного обеспечения и средств защиты информации, нарушений правил разграничения доступа, неправомерных действий по сбору информации, внедрений вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
• своевременное информирование лиц, ответственных за выявление инцидентов и реагирование на них, о возникновении инцидентов пользователями и администраторами;
• анализ инцидентов, в том числе определение источников и причин возникновения инцидентов, а также оценка их последствий;
• планирование и принятие мер по устранению инцидентов, в том числе по восстановлению работоспособности объекта информатизации в случае отказа в обслуживании или после сбоев, устранению последствий нарушения правил разграничения доступа, неправомерных действий по сбору информации, внедрения вредоносных компьютерных программ (вирусов) и иных событий, приводящих к возникновению инцидентов;
• планирование и принятие мер по предотвращению повторного возникновения инцидентов.
3. Управление конфигурацией аттестованного объекта информатизации и его системы защиты информации. В ходе управления конфигурацией аттестованного объекта информатизации и ее системы защиты информации осуществляются:
• поддержание конфигурации объекта информатизации и его системы защиты информации (структуры системы защиты информации, состава, мест установки и параметров настройки средств защиты информации, программного обеспечения и технических средств) в соответствии с эксплуатационной документацией на систему защиты информации;
• определение лиц, которым разрешены действия по внесению изменений в базовую конфигурацию объекта информатизации и его системы защиты информации;
• управление изменениями базовой конфигурации объекта информатизации и его системы защиты информации, в том числе определение типов возможных изменений базовой конфигурации, санкционирование внесения изменений в базовую конфигурацию, документирование действий по внесению изменений в базовую конфигурацию, сохранение данных об изменениях базовой конфигурации, контроль действий по внесению изменений в базовую конфигурацию;
• анализ потенциального воздействия планируемых изменений в базовой конфигурации на обеспечение защиты информации, возникновение дополнительных угроз безопасности информации;
• определение параметров настройки программного обеспечения, включая программное обеспечение средств защиты информации, состава и конфигурации технических средств и программного обеспечения до внесения изменений в базовую конфигурацию;
• внесение информации (данных) об изменениях в базовой конфигурации в эксплуатационную документацию на систему защиты информации объекта информатизации;
• принятие решения по результатам управления конфигурацией о повторной аттестации объекта информатизации или проведении дополнительных аттестационных испытаний.
4. Контроль (мониторинг) за обеспечением уровня защищенности информации, обрабатываемой объектом информатизации. В ходе контроля (мониторинга) за обеспечением уровня защищенности информации осуществляются:
• контроль за событиями безопасности и действиями пользователей при обработке информации;
• контроль (анализ) защищенности информации, обрабатываемой на объекте информатизации;
• анализ и оценка функционирования системы защиты информации объекта информатизации, включая выявление, анализ и устранение недостатков в функционировании системы защиты информации;
• периодический анализ изменения угроз безопасности информации, возникающих в ходе эксплуатации объекта информатизации, и принятие мер защиты информации в случае возникновения новых угроз безопасности информации;
• документирование процедур и результатов контроля (мониторинга) за обеспечением уровня защищенности информации;
• принятие решения по результатам контроля (мониторинга) за обеспечением уровня защищенности информации о доработке (модернизации) системы защиты информации объекта информатизации о повторной аттестации ОИ или проведении дополнительных аттестационных испытаний.