Тема 9: Обязанности конечных пользователей и ответственных за ОИБ в подразделениях
Достижение некоторого уровня информационной безопасности возможно только при выработке у персонала и пользователей АС определенной дисциплины по соблюдению установленных ограничений и правил использования ресурсов и обслуживания компонент АС.
Эта дисциплина немыслима без персональной ответственности всех сотрудников, допущенных к работе с АС, за нарушения установленного порядка (регламента) безопасной обработки информации, правил хранения и использования находящихся в их распоряжении защищаемых ресурсов системы.
Регламентация работы сотрудников предполагает определение для каждой категории пользователей и обслуживающего персонала:
- обязательных знаний, действий и процедур, необходимых для ОИБ при автоматизированной обработке информации и обслуживании компонент АС;
- запрещенных действий, которые могут привести к нарушению нормальной работы АС, вызвать непроизводительные затраты ресурсов, нарушить конфиденциальность или целостность хранимой и обрабатываемой информации, нарушить интересы других пользователей;
- ответственности за нарушение установленных требований и ограничений.
Общие обязанности сотрудников по обеспечению информационной безопасности при работе с ресурсами АС
Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным автоматизированной системы, несет персональную ответственность за свои действия и ОБЯЗАН:
- производить обработку защищаемой информации в подсистемах АС в строгом соответствии с утвержденными технологическими инструкциями (техническими порядками) для данных подсистем;
- строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
- знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции;
- хранить в тайне свой пароль (пароли). С установленной периодичностью в соответствии с «Инструкцией по организации парольной защиты автоматизированной системы» менять свой пароль (пароли);
-
передавать для хранения установленным порядком свое индивидуальное устройство идентификации ( Touch Memory , Smart Card , Proximity и т.п.).
-
другие реквизиты разграничения доступа и носители ключевой
информации только руководителю своего подразделения или ответственному за информационную безопасность в подразделении (в пенале, опечатанном своей личной печатью); '
• надежно хранить и никому не передавать личную печать и использовать ее только для опечатывания пенала с реквизитами доступа и носителями ключевой информации;
• если сотруднику (исполнителю) предоставлено право защиты (подтверждения подлинности и авторства) документов, передаваемых по технологическим цепочкам в АС, при помощи электронной цифровой подписи (ЭЦП), то он дополнительно обязан соблюдать все требования «Порядка работы с ключевыми носителями (дискетами)»;
• выполнять требования «Инструкции по организации антивирусной защиты в АС» в части касающейся действий пользователей рабочих станций ( PC );
• немедленно ставить в известность ответственного за безопасность информации и руководителя подразделения в случае утери носителей ключевой информации, индивидуального устройства идентификации или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
• нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах или иных фактов совершения в его отсутствие попыток несанкционированного доступа к закрепленной за ним защищенной рабочей станции;
• некорректного функционирования установленных на PC технических средств защиты;
• несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств PC ;
• непредусмотренных формуляром PC отводов кабелей и подключённых устройств;
• отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию PC , выхода из строя или неустойчивого функционирования узлов PC или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения:
• присутствовать при работах по изменению аппаратно-программной конфигурации закрепленной за ним рабочей станции, по завершении таких работ проверять ее работоспособность.
Категорически ЗАПРЕЩАЕТСЯ:
• использовать компоненты программного и аппаратного обеспечения АС не по назначению (в неслужебных целях);
• самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций;
• осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;
• записывать и хранить конфиденциальную информацию (сведения ограниченного распространения) на неучтенных носителях (гибких магнитных дисках и т.п.);
• оставлять включенной без присмотра свою рабочую станцию (компьютер), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
• передавать кому-либо свой персональный ключевой носитель (дискету, Touch Memory и т.п.) кроме ответственного за информационную безопасность или руководителя своего подразделения установленным порядком, делать неучтенные копии ключевого носителя, снимать с него защиту записи и вносить какие-либо изменения в записанные на носитель файлы;
• использовать свои ключи ЭЦП для формирования цифровой подписи любых электронных документов, кроме электронных документов, регламентированных технологическим процессом на его рабочем месте;
• оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, носители ключевой информации, носители и распечатки, содержащие сведения ограниченного распространения;
• умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к нарушениям информационной безопасности и . возникновению кризисной ситуации. Об обнаружении такого рода ошибок - ставить в известность ответственного за безопасность информации и руководителя своего подразделения.
Обязанности ответственного за обеспечение безопасности информации в подразделении
Ответственный за обеспечение информационной безопасности (администратор информационной безопасности - АИБ) подразделения (технологического участка) назначается из числа штатных сотрудников подразделения по представлению его руководителя, согласованному с подразделением обеспечения информационной безопасности.
АИБ непосредственно подчиняется руководителю подразделения, в штате которого он состоит, и осуществляет контроль за выполнением требований организационно-распорядительных документов по обеспечению безопасности информации при ее обработке на компьютерах подразделения дополнительно к своим непосредственным обязанностям.
Методическое руководство работой администратора информационной безопасности осуществляется подразделением обеспечения информационной безопасности.
Администратора информационной безопасности обязан:
• знать перечень установленных в его подразделении компьютеров и перечень задач, решаемых с их использованием;
• обеспечивать постоянный контроль за выполнением сотрудниками подразделения установленного комплекса мероприятий по обеспечению безопасной автоматизированной обработки, информации;
• контролировать целостность печатей (пломб) на устройствах защищенных компьютеров подразделения;
• немедленно сообщать руководителю подразделения и сотрудникам подразделения обеспечения безопасности информации об обнаруженных фактах (попытках) несанкционированного доступа к информации и техническим средствам, и принимать необходимые меры по пресечению нарушений;
• обеспечивать соблюдение сотрудниками своего подразделения, подразделений автоматизации и ОБИ утвержденного порядка проведения работ по установке и модернизации аппаратных и программных средств PC и серверов («Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС»), при их техническом обслуживании и отправке в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях) и лично присутствовать при выполнении данных работ (участвовать в работах);
• вести «Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств PC подразделения»;
• хранить формуляры защищенных PC , контролировать их соответствие реальным конфигурациям PC и вести учет изменений их аппаратно-программной конфигурации (заявки, на основании которых были • произведены данные изменения);
• вести «Журнал учета ключевых дискет подразделения», хранить, осуществлять прием и выдачу ключевых дискет ответственным исполнителям подразделения в строгом соответствии с установленным порядком работы с ключевыми дискетами, осуществлять контроль за правильность использования ключевых дискет сотрудниками своего подразделения (технологического участка);
• осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов (в соответствии с Планом ОНРВ);
• проводить работу по выявлению возможных каналов неправомерного вмешательства в процесс функционирования АС и осуществления НСД к информации и техническим средствам ПЭВМ. При выявлении таковых сообщать о них руководству подразделения и специалистам подразделения ОИБ;
• инструктировать сотрудников подразделения по вопросам ОИБ и правилам работы с используемыми средствами зашиты информации.
Администратор информационной безопасности имеет право:
• требовать от сотрудников подразделения - пользователей АС соблюдения установленных технологий обработки информации и выполнения инструкций по обеспечению безопасности информации в АС;
• инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов АС;
• обращаться к руководителю подразделения с требованием прекращения работы на рабочих станциях при несоблюдении установленной технологии обработки информации и невыполнении требований по безопасности;
• подавать свои предложения по совершенствованию организационных, технологических и технических мер защиты на своем участке работы;
• обращаться в подразделение обеспечения информационной безопасное за необходимой технической и методологической помощью в своей работе.
Порядок работы с носителями ключевой информации
В некоторых подсистемах АС для обеспечения контроля за целостностью передаваемых по технологическим цепочкам электронных документов (ЭД), а также для подтверждения их подлинности и авторства могут использоваться средства электронной цифровой подписи (ЭЦП).
Каждому сотруднику (исполнителю), которому в соответствии с его функциональными обязанностями предоставлено право постановки на ЭД цифровой подписи, выдается персональный ключевой носитель информации (например, дискета), на который записана уникальная ключевая информация («секретный ключ ЭЦП»), относящаяся к категории сведений ограниченного распространения.
Персональный ключевой носитель (чаще всего - дискета) обычно изготавливается в центре управления ключевыми,системами (ЦУКС) на основании заявки, подписанной руководителем подразделения исполнителя.
Генерация уникальной ключевой информации и ее запись на дискету осуществляется на специально оборудованном автономном «АРМ генерации ключей», программное обеспечение которого выполняет функции, регламентированные технологическим процессом формирования ключей электронной цифровой подписи, уполномоченными сотрудниками подразделения ОБИ - специалистами ЦУКС в присутствии самого исполнителя, маркируется, учитывается в «Ведомости выдачи ключевых дискет» ЦУКС и выдаётся ему под роспись. Оснащение «АРМ генерации ключей» должно гарантировать, что уникальная секретная ключевая информация исполнителя записывается только на его персональный носитель.
Для обеспечения возможности восстановления ключевой информации исполнителя в случае выхода ключевой дискеты из строя, обычно создается ее рабочая копия. Для того, чтобы при копировании с эталонной на рабочую ключевую дискету ее содержимое не попадало на какой-либо промежуточный носитель, копирование должно осуществляться только на «АРМ генерации ключей», оснащенном двумя накопителями на гибких магнитных дисках (3,5").
Ключевые дискеты должны иметь соответствующие этикетки, на которых отражается: регистрационный номер дискеты (по «Ведомости выдачи...»), дата изготовления и подпись уполномоченного сотрудника подразделения обеспечения информационной безопасности, изготовившего дискету, вид ключевой информации - ключевая дискета (эталон) или ключевая дискета (рабочая копия), фамилия, имя, отчество и подпись владельца-исполнителя.
Персональные ключевые дискеты (эталон и рабочую копию) исполнитель должен хранить в специальном пенале, опечатанном личной печатью.
В подразделении учет и хранение персональных ключевых дискет исполнителей должен осуществляться ответственным за информационную безопасность (при его отсутствии -руководителем подразделения), который ведет «Журнал учета ключевых дискет исполнителей подразделения (технологического участка)». Ключевые дискеты должны храниться в сейфе ответственного за информационную безопасность подразделения в индивидуальных пеналах, опечатанных личными печатями исполнителей. Пеналы извлекаются из сейфа только на время приема (выдачи) рабочих копий ключевых дискет исполнителям. Эталонные копии ключевых дискет исполнителей должны постоянно находиться в опечатанном пенале и могут быть использованы только для восстановления установленным порядком рабочей копии ключевой дискеты при выходе последней из строя. Наличие эталонных ключевых дискет в пеналах проверяется исполнителями и ответственным за информационную безопасность в подразделении при каждом вскрытии и опечатывании пенала.
Контроль за обеспечением безопасности технологии обработки электронных документов в АС, в том числе за действиями исполнителей, выполняющих свою работу с применением персональных ключевых дискет, осуществляется ответственными за информационную безопасность подразделений в пределах своей компетенции и сотрудниками службы обеспечения информационной безопасности.
«Открытые» ключи ЭЦП исполнителей установленным порядком регистрируются специалистами ЦУКС в справочнике «открытых» ключей, используемом при проверке подлинности документов по установленным на них ЭЦП.
Обязанности исполнителя
Исполнитель, которому в соответствии с его должностными функциями предоставлено право постановки на ЭД цифровой подписи, несет персональную ответственность за сохранность и правильное использование вверенной ему ключевой информации и содержание документов, на которых стоит его ЭЦП.
Он обязан:
• лично присутствовать в ЦУКС при изготовлении своей ключевой информации (от момента включения до момента выключения «АРМ генерации ключей»), чтобы быть уверенным в том, что содержание его ключевых дискет (эталонной и рабочей копии) не компрометировано;
• под роспись в «Ведомости выдачи ключевых дискет» ЦУКС получить эталонную и рабочую ключевые дискеты, убедиться, что они правильно маркированы и на них установлена защита от записи. Зарегистрировать (учесть) их у ответственного за информационную безопасность своего подразделения, положить их в пенал, опечатать его своей личной печатью и передать пенал на хранение ответственному за информационную безопасность установленным порядком;
• использовать для работы только рабочую копию своей ключевой дискеты;
• в начале рабочего дня получать, а в конце рабочего дня сдавать ответственному за информационную безопасность рабочую копию своей ключевой дискеты. При каждом вскрытии пенала (для извлечения из него или помещения в него рабочей копии ключевой дискеты), они оба обязаны убедиться в целостности и подлинности печати на пенале, а также в наличии в нем эталонной ключевой дискеты и сделать запись о выдаче/приеме дискеты. Если печать на пенале нарушена (и/или эталонная дискета отсутствует), то дискета считается скомпрометированной;
• сдавать свою персональную ключевую дискету на временное хранение ответственному за информационную безопасность, например на время отсутствия исполнителя на рабочем месте. Процедуры сдачи на временное хранение и получения ключевой дискеты после временного хранения в точности должны совпадать с процедурами получения персональной ключевой дискеты в начале рабочего дня и сдачи в конце рабочего дня;
• в случае порчи рабочей копии ключевой дискеты (например при ошибке чтения дискеты) исполнитель обязан передать ее уполномоченному сотруднику подразделения ОИБ, который должен в присутствии исполнителя и ответственного за информационную безопасность подразделения на «АРМ генерации ключей»ЦУКС сделать новую рабочую копию ключевой дискеты с имеющегося у исполнителя эталона и выдать ее последнему взамен старой (испорченной) ключевой дискеты. • Испорченная рабочая копия ключевой дискеты должна быть уничтожена установленным порядком в присутствии исполнителя. Все эти действия должны быть зафиксированы в «Ведомости выдачи ключевых дискет ЦУКС».
Исполнителю ЗАПРЕЩАЕТСЯ:
• оставлять персональную ключевую дискету без личного присмотра где бы то ни было;
• передавать свою персональную ключевую дискету (эталонную или ее рабочую копию) другим лицам (кроме как для хранения ответственному за информационную безопасность в опечатанном пенале);
• делать неучтенные копии ключевой дискеты, распечатывать или переписывать с неё файлы на иной носитель информации (например, жесткий диск ПЭВМ), снимать с дискеты защиту от записи, вносить изменения в файлы, находящиеся на ключевой дискете;
• использовать персональную ключевую дискету на заведомо неисправном дисководе и/или ПЭВМ;
• подписывать своим персональным «секретным ключем ЭЦП» любые электронные сообщения и документы, кроме тех видов документов, которые регламентированы технологическим процессом;
• сообщать кому-либо вне работы, что он является владельцем «секретного ключа ЭЦП» для данного технологического процесса.
Действия при компрометации ключей
Если у исполнителя появилось подозрение, что его персональная ключевая дискета попала или могла попасть в чужие руки (была скомпрометирована), он обязан немедленно прекратить (не возобновлять) работу с ключевой дискетой, сообщить об этом ответственному за информационную безопасность своего подразделения, сдать ему скомпрометированную ключевую дискету, соблюдая обычную процедуру с пометкой в журнале о причине компрометации, написать объяснительную записку о факте компрометации персональной ключевой дискеты на имя начальника подразделения.
В случае утери персональной ключевой дискеты исполнитель обязан немедленно сообщить от этом ответственному за информационную безопасность своего подразделения, написать объяснительную записку об утере дискеты на имя начальника подразделения и принять участие в служебном расследовании факта утери персональной ключевой дискеты.
Ответственный за информационную безопасность подразделения обязан немедленно оповестить о факте утраты или компрометации ключевой дискеты уполномоченному сотруднику ЦУКС, для принятия последним действий по блокированию ключей для ЭЦП указанного исполнителя.
По решению руководителя подразделения установленным порядком исполнитель может получить в ЦУКС новый комплект персональных ключевых дискет взамен скомпрометированного.
В случае перевода исполнителя на другую работу, увольнения и т.п. он обязан сдать (сразу по окончании последнего сеанса работы) свою персональную ключевую дискету ответственному за информационную безопасность своего подразделения под роспись в журнале учёта ключевых дискет. Последний обязан сразу же оповестить об этом уполномоченного сотрудника ЦУКС, для принятия действий по блокированию использования ЭЦП увольняемого исполнителя.
Права исполнителя
Исполнитель должен иметь право обращаться к ответственному за информационную безопасность своего подразделения за консультациями по вопросам использования ключевой дискеты и по вопросам обеспечения информационной безопасности технологического процесса.
Исполнитель имеет право требовать от ответственного за информационную безопасность своего подразделения и от своего непосредственного руководителя создания необходимых условий для выполнения перечисленных выше требований.
Исполнитель имеет право представлять свои предложения по совершенствованию мер защиты на своем участке работы.
Ответственность за нарушения
Для создания необходимой юридической основы процедур привлечения сотрудников к ответственности за нарушения в области ОИБ необходимо, чтобы:
• в Уставе организации, во всех положениях о структурных подразделениях и в функциональных (технологических) обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, были отражены требования по обеспечению информационной безопасности при работе в АС;
• каждый сотрудник (при приеме на работу) подписывал Соглашение-обязательство о соблюдении установленных требований по сохранению государственной, служебной и коммерческой тайны, а также об ответственности за нарушение правил работы с защищаемой информацией в АС;
• все пользователи, руководящий и обслуживающий персонал АС были ознакомлены с перечнем сведений, подлежащих защите, в части их касающейся (в соответствии со своим уровнем полномочий);
• доведение требовании организационно-распорядительных документов по вопросам ОИБ до лиц, допущенных к обработке защищаемой информации, осуществлялось руководителями подразделений под роспись.
Сотрудники организации несут ответственность по действующему законодательству за разглашение сведений, составляющих (государственную, банковскую, коммерческую) тайну, и сведений ограниченного распространения, ставших им известными по роду работы.
Любое грубое нарушение порядка и правил работы в АС сотрудниками структурных подразделении должно расследоваться. К виновным должны применяться адекватные меры воздействия.
Нарушения установленных правил и требований по ОИБ являются основанием для применения к сотруднику (исполнителю) административных мер наказания, вплоть до увольнения и привлечения к уголовной ответственности.
Мера ответственности сотрудников за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться с учетом нанесенного ущерба, наличия злого умысла и других факторов по усмотрению руководства.
Для реализации принципа персональной ответственности сотрудников за свои действия необходимы:
• индивидуальная идентификация сотрудников и инициированных ими процессов при работе в АС, т.е. установление за ними уникальных идентификаторов пользователей, на основе которых будет осуществлять разграничение доступа и регистрация событий;
• проверка подлинности соответствия пользователей и сотрудников (аутентификация) на основе паролей, ключей, специальных устройств, биометрических характеристик личности сотрудников и т.п.;
• регистрация (протоколирование) работы механизмов контроля доступа пользователей к ресурсам информационных систем с указанием даты и времени, идентификаторов пользователя и запрашиваемых им ресурсов, вида взаимодействия и его результата;
• оперативная реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).