Регламент обеспечения информационной безопасности
Система информационной безопасности компании или предприятия строится на основании регламента, которым регламентируются действия пользователя в различных ситуациях, начиная со стандартных бизнес-процессов, заканчивая экстренными случаями. В число задач таких регламентов входит создание основы для политик безопасности систем DLP, упорядочивание обработки информации, формирование оснований для привлечения к ответственности виновных в нарушении требований информационной безопасности.
Зачем нужен регламент
В России принятие регламента обеспечения информационной безопасности информационных систем не является обязательным нормативным требованием к предприятиям. Принятие такого решения остается на усмотрение организации. Однако для любой современной компании информационная безопасность относится к базовым элементам безопасности бизнеса. Поэтому принятие регламента настоятельно рекомендуется. Этот шаг поможет обеспечить правильную работу системы DLP за счет нормирования политик безопасности.
Перед внедрением системы, рекомендуется провести аудит для оценки описанных в регламенте информационной безопасности процессов на предмет их целесообразности и возможности оптимизации. Это позволит исключить лишние операции. Например, можно избавиться от необходимости визирования многих бумажных документов благодаря внедрению электронного документооборота.
Структура регламента
Регламент политики информационной безопасности должен иметь четкую структуру, построенную с учетом выполняемых в организации бизнес-процессов и технологических процессов, архитектуры системы и существующей информационной инфраструктуры.
Например, на предприятиях энергетической отрасли ключевым требованием информационной системы является поддержание производственной безопасности. В банках действуют правила, установленные стандартами ЦБ, а внутренняя система не должна коммуницировать с интернетом. Соответственно, регламенты для организаций этих отраслей будут существенно отличаться.
Для компаний, работающих в сегменте малого бизнеса в сфере торговли или услуг, допускается применение регламента обеспечения информационной безопасности со стандартизированной структурой.
Общие положения и основные обязанности пользователя
Это раздел регламента, в котором приводятся следующие данные:
- основные понятия и терминология, используемая в тексте документа;
- нормативные акты, на базе которых разработан регламент;
- обязанности персонала по обеспечению информационной безопасности.
Также в данном разделе, как правило, прописаны меры ответственности работников за соблюдение положений регламента и за неразглашение конфиденциальных данных.
Ключевым требованием является уведомление работников под роспись о требованиях регламента информационной безопасности в организации. Работники, которые не были уведомлены о требованиях по защите конфиденциальных данных, коммерческой тайны и другой закрытой информации, не могут нести ответственности за ее разглашение.
В регламенте для сотрудников организации и ИТ-персонала могут устанавливаться следующие обязанности и требования:
- недопущение доступа посторонних к документам, которые содержат секретные сведения;
- исключение использования средств идентификации третьих лиц, передачи третьим лицам собственных средств идентификации, запрет на авторизации в системе под чужими данными;
- соблюдение установленных регламентом уровней допуска пользователей к данным;
- запрет на сохранение на съемных носителях, передачу по любым каналам связи, раскрытие третьим лицам, не имеющим нужного уровня доступа, конфиденциальной информации без разрешения руководства;
- выполнение правил и требованиям по работе с техническими средствами защиты, включая криптографическое оборудование;
- обеспечение контроля состояния автоматизированного рабочего места;
- своевременное уведомление работников СБ о любых ситуациях, которые могут представлять угрозу для информационной безопасности: нарушения в работе антивирусных систем и другого программного обеспечения, обнаруженные изменения файлов, поломки оборудования, срыв пломб и т.д.;
- запрет на самостоятельную установку программного обеспечения на рабочем месте;
- недопущение копирования текстовой информации или файлов без разрешения руководства.
Данный список требования может дополняться и расширяться в зависимости от характера бизнес-процессов и особенностей информационной инфраструктуры. Во многих случаях в регламенте оставляют только общие положения, а требования к персоналу оформляют в виде отдельной инструкции.
Требования антивирусной безопасности
Наиболее распространенной причиной хищения, утраты, повреждения данных является действие вредоносного ПО, к которому относятся вирусы, черви, трояны, логические бомбы и т.д. В связи с этим рекомендуется вынести в отдельный раздел регламента политики информационной безопасности положения антивирусной защиты.
В том числе должны быть рассмотрены следующие аспекты:
- основные способы и пути заражения информационной системы организации;
- действия, запрещенные пользователю при работе с антивирусным ПО, например, отключение антивируса, изменение его настроек и функционала;
- ситуации, при которых пользователь обязан или имеет право самостоятельно использовать антивирусное программное обеспечение;
- случаи, о которых пользователь обязан уведомить IT-специалистов.
Защита персональных данных
Любая организация, которая выполняет обработку персональных данных работников, клиентов, третьих лиц, обязана соблюдать требования действующих в этой сфере нормативно-правовых актов. Поэтому данный аспект, помимо обязательного Положения об обработке персональных данных, данный аспект рекомендуется осветить в отдельном разделе регламента по обеспечению информационной безопасности.
К основным нормам данного раздела могут относиться следующие положения:
- Основания предоставления доступа сотрудников к информационным ресурсам и файлам, которые содержат персональные данные. Как правило, основанием служит включение работника в специально разработанный перечень лиц.
- Обязанность изучения персоналом нормативной базы, регламентирующих защиту персональных данных.
- Запрет определенных действий работникам, которые имеют доступ к обработке персональных данных. В том числе запрету подлежит обработка ПД в присутствии посторонних, внесение изменений в ПО или конфигурацию компьютера, оставление электронных носителей или документов на рабочем месте.
- Меры ответственности сотрудников, имеющих допуск к обработке ПД в случае их разглашения.
Работа в интернете
Обязательным условием обеспечения информационной безопасности является соблюдение правил и требований работе в интернете, использования электронной почты, мессенджеров, других каналов передачи данных.
К разрешенным способам использования интернета, разрешенным регламентом, могут относиться:
- ведение корпоративного сайта;
- передача данных о деятельности организации в ситуациях, которые предусмотрены федеральным законодательством;
- ведение информационно-аналитической деятельности;
- использование корпоративной электронной почты (обычно используется почтовый клиент с функцией отслеживания трафика).
Использование интернета в других целях и другими способами должно допускаться только по согласованию со СБ или руководителем. В отдельных организациях создаются перечни сайтов, доступных для работников в зависимости от их служебного статуса.
Также регламентом информационной безопасности устанавливаются требования по использованию антивирусов и других мер защиты при работе в сети. Предусматриваются обязанности работников по архивированию почтового трафика, запрет использования на рабочем месте личных устройств с самостоятельным выходом в интернет.
Прочие нормы
Данный раздел может содержать положения по работе с ключами ЭЦП, автономными информационными носителями, средствами информационной защиты. Также устанавливаются требования по использованию ноутбуков и других портативных устройств, принадлежащих компании, за ее пределами.
Содержание требований и положений, включенных в этот раздел, определяется характером бизнес-процессов и информационной инфраструктуры организации. В том числе значение имеет применение в компании специального ПО, которое требует соблюдения определенных стандартов и мер, включая программные комплексы управленческого учета и автоматизации бизнеса.
Утверждение регламента всегда производится руководителем организации. Рекомендуется включить ссылки на этот документ в и указание на необходимость его обязательного соблюдения в трудовые договоры и должностные инструкции работников.