###### tags: `INT` # INT-6-Омаров_Джамалутин *Выполнил Омаров Джамалутин* ## Правовые аспекты ИБ с точки зрения специалиста по информационной безопасности ### Задание 1 Опишите действия специалиста по Информационной безопасности, устроившегося на работу в государственную компанию, деятельность которой связана с медицинскими услугами (будем считать - что этот специалист - единственный специалист по ИБ в организации). Описать необходимо с точки зрения правовых аспектов!!! (что проверить, Что сделать в первую очередь, что во вторую, и т.д.) 1. Аудит Когда мы только устроились в комапанию на соответствующую должность, необходимо понять, какие бизнес-процессы в компании, а также какие информационные системы используют. То есть осуществить сбор информации. Если какие-то системы отсутствуют, но они необходимо, то составим список того, что нужно преобрести. 2. Определить системы. Составить пакет документов Есть информационные системы связанные с персональными данными (ИСПДн) и просто информационные системы (ИС). Необхоидмо отметить в отчете, то что ИСПДн необходимо применять более защищенный подход. Определить критическую информационную инфраструктуру. Далее необходимы документы на систему. Где будут прописаны детали по Информационным системам: * протокол * программа методики испытаний * модель угроз и нарушителя * акты классификаций и соответствия требованиям ИБ Все меры необходимо реализовывать посредством приказов ФСТЭК. Также должны быть сертификаты, которые также отдаются на проверку во ФСТЭК. 3. Инструктаж и протоколы Необходимо провести инструктаж с сотрудниками. Сформировать внутренние протоколы, где будут описаны все меры безопасности по типу: * на фишинговые письма не отвечаем * своими флешками не пользуемся * все устройства регистрируем у отдела IT 4. Испытания Проводить испытания систем, тестировать на уязвимости, на все действия писать отчеты. Также есть установленный законодательством срок проведения испытаний. Думаю можно делать и внеплановые, если потребуется. Сформировать отчет и отправить во ФСТЭК. Общая схема проведения оценки угроз безопасности информации.  **Компания** В компании около 500 сотрудников Есть своя серверная, хранение критических данных происходит как на сетевом хранилище, так и на компьютерах пользователей. Во-первых провести аудит и инвентаризацию. Во-вторых понять кто имеет доступ к определенным устройствам. Дать рекомендации по безопасности для IT отделов и тех кто имеет пользовательские хосты. Для тех кто имеет доступ к ИС и ИСПДн провести инструктаж. Определить права физического доступа к серверной. А также порядок взаимодействия. Если хранение данных происходит на сетевом хранилище, то необходимо провести инструктаж по взаимодействию с ними, а также поработать с правами доступа, при этом сохраняя функциональность. В примере представлена медицинская организация, поэтому стоит настроить определенные групповые политики. Проводить аудит. Также выделю документы, устанавливающие порядок проведения мероприятий по защите данных: * Положения: 1. о защите персональных, секретных, конфиденциальных сведений 1. о правилах пользования внутренней информационной сетью, использования интернет-ресурсов * Распоряжения: 1. о назначении ответственных лиц по обеспечению безопасности обработки персональных данных 1. о правилах хранения электронных и бумажных носителей ценных сведений, определения порядка допуска к ним 1. о создании комиссии, которая занимается классификацией системы и присваивает ей соответствующий класс защиты * Должностные инструкции специалистов, ответственных за программное обеспечение, работу технических средств, контролирующих доступность сведений. * Модель угроз безопасности, составленную на основе анализа * Утвержденный список лиц с доступом к информации, имеющей стратегическое значение * Правила: 1. проведения процедуры идентификации пользователей 1. установки (инсталляции) программного обеспечения 1. резервирования баз данных, их восстановления при возникновении нештатных ситуаций * Формы журналов учета: 1. приема/выдачи съемных носителей данных 1. технических средств для обработки и передачи информации 1. проведения инструктажей по вопросам защиты данных, безопасного пользования персональными компьютерами 1. тестирования средств, обеспечивающих конфиденциальность, защиту информации 1. плановых мероприятий, проводимых с целью предотвращения хищений, несанкционированного доступа к секретной информации, выявления потенциальных угроз ### Задание 2 Нарисовать схему взаимодействия специалиста ИБ с регуляторами ИБ. Отразить - какие документы необходимо предоставить специалисту в случае проверки организации. Схема взаимодействия: Есть план проверок на 2022 год. Там будет присутствовать наименование проверяемой компании, дата, цель проверки, а также указано, что мероприятие выездное. Сотрудники Регуляторов призжают в назначенное время. На месте должен присутствовать специалист ИБ - ответственное лицо. Думаю он подготовит необходимые документы для проверки, которые я описал ниже, а также будет сопровождать сотрудников. При выявлении нарушений в зависимости от степени риска предусмотрена ответственность - штраф. Если все в порядке, сотрудники ставят печать что все проверено и уходят. Думаю так проходит данное взаимодействие. Документы предоставляемые специалистом организации будут соответствовать требованиям регуляторов: * ФСБ * ФСТЭК **ФСБ** Что необходимо подготовить: - Приказ о назначении ответственного пользователя СКЗИ - Инструкция ответственного пользователя СКЗИ - Модель угроз на каждую ИС - Документы на поставку СКЗИ организации - СКЗИ - Дистрибутивы на СКЗИ - Лицензии на СКЗИ - Сертификаты соответствия на СКЗИ - Формуляры на СКЗИ - Перечень сотрудников, допущенных к работе с СКЗИ - Инструкция пользователя СКЗИ - Перечень помещений, в которых размещены СКЗИ - Журнал поэкземплярного учета СКЗИ - Журнал обучения пользователей СКЗИ, лицевые счета пользователей СКЗИ - Акты установки СКЗИ **ФСТЭК** Что необходимо подготовить: - Акты определения уровня защищенности ИС - Модели угроз на каждую ИС - ТЗ на создание системы защиты - Приказ о системе разграничения доступа - Выполненные базовые меры по защите информации в ИС для установленного класса защищенности - Приказы о назначении ответственных лиц - Инструкция для каждого ответственного - Тех. паспорт на каждую ИС - Журнал учета СЗИ - Договор на создание системы защиты информации - Сертифицированные СЗИ - Сертификаты и формуляры на СЗИ - Лицензии на СЗИ - Акты установки СЗИ - Программа аттестационных испытаний - Протокол аттестационных испытаний - Заключение - Аттестат соответствия ИС требованиям приказов 17/21