Компьютерный сервис Аланко  
     
   
Ремонт компьютеров Программное обеспечение Пожарная и охранная сигнализация

Главная
Программное обеспечение
Сигнализации и видеонаблюдение
Компьютеры и комплектующие
Статьи
Контакты




..................................................
Антивирус Касперского 2011
Подробнее >>>
..................................................

Kaspersky Internet Security 2011
Подробнее >>>
..................................................

Dr.Web для Windows: Антивирус + Антиспам
Подробнее >>>
..................................................

1C:Бухгалтерия 8 Базовая версия
Подробнее >>>
..................................................

CorelDRAW Graphics Suite X4 Russian
Подробнее >>>
..................................................

Microsoft Office Standard 2007 OEM
Подробнее >>>
..................................................

Windows 7 Профессиональная 32 bit OEM
Подробнее >>>
..................................................

Adobe Photoshop CS3 Russian
Подробнее >>>
..................................................

     
   
     
Защита от несанкционированного доступа в сетях

Внутренняя информация Вашей организации случайным образом оказывается у сторонних лиц? Ваша почтовая переписка попадает к адресату в измененном виде? Позвоните нам, специалисты компьютерного сервиса "Аланко" изучат слабые места в системе документооборота данных Вашей организации, произведут подбор и установку программ необходимых для наиболее эффективной защиты информации.

 

Особенности защиты   персональных  компьютеров  (ПК)  обусловлены спецификой их использования.  Как правило,  ПК пользуется ограниченное число пользователей.  ПК могут работать как в автономном режиме, так и в составе локальных сетей (сопряженными с другими  ПК)  и  могут  быть подключены  к  удаленному  ПК  или  локальной сети с помощью модема по телефонной линии.


     Стандартность архитектурных принципов построения,  оборудования и программного обеспечения персональных компьютеров, высокая мобильность программного   обеспечения   и   ряд   других   признаков   определяют сравнительно легкий доступ профессионала к информации,  находящейся  в ПК.  Если персональным компьютером пользуется группа пользователей, то может возникнуть необходимость  в  ограничении  доступа  к  информации различных потребителей.


     Несанкционированным доступом (НСД) к информации ПК будем называть незапланированное  ознакомление,  обработку,  копирование,  применение различных вирусов,  в том числе разрушающих  программные  продукты,  а также модификацию или уничтожение информации в нарушение установленных правил разграничения доступа.  В защите информации  ПК  от  НСД  можно выделить три основных направления:
     - первое ориентируется на недопущение нарушителя к вычислительной среде  и основывается на специальных технических средствах опознавания пользователя;
     - второе связано с защитой вычислительной среды и основывается на установке специального программного обеспечения по защите информации;
     - третье направление связано с использованием специальных средств защиты информации ПК от несанкционированного доступа.

 

 

Ниже приведена типовая документация.

 

Развивая и модернизируя компьютерную сеть организации (предприятия), наступает момент когда необходимо оговорить правила работы в этой сети. Данные правила оговариваются различными положениями и стандартами, принимаемыми в организации (предприятии).
Для упорядочивания и регламентации работы служб, осуществляющих эксплуатацию различных систем, необходимо описать порядок (последовательность) шагов по подключению к системам, регламентации доступа в них.
На примере простой организации (10-20 компьютеров) это, как правило, выглядит следующим образом:
  • Устанавливается система (например, 1С)
  • Главный бухгалтер говорит, кому предоставить к ней доступ и с какими правами.
  • Администратор производит подключение и при необходимости вносит изменения с устного указания главного бухгалтера.


Данный подход приемлем при малом количестве систем и небольшом количестве рабочих мест. Если же количество систем (ресурсов сети) несколько сотен и количество компьютеров исчисляется сотнями, то подключение пользователей к ресурсам уже нельзя держать в голове, основываясь на устные указания. Все эти действия должны быть регламентированы (описаны) посредством соответствующих служебных записок, нарядов, заявок.
В свою очередь эта практика переносит ответственность за предоставление доступа с администратора системы на руководителя , ответственного за данный ресурс.
Как правило регламентирующие документы основываются на политике безопасности организации (предприятия).

В этой статье мы приведем несколько обобщенные примеры документов, регламентирующие работу в компьютерной сети. Начнем с документа лежащего в основе безопасности любой сетевой операционной системы «Положение о парольной защите».
  ПОЛОЖЕНИЕ
о порядке применения и функционирования средств
защиты доступа к информационным ресурсам.


1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение разработано в соответствии с « Если есть какой либо регламентирующий документ головной компании пишем его » .
1.2. Настоящее Положение разработано для исключения несанкционированного доступа к информационным ресурсам в целях исключения утечки конфиденциальной информации, а также несанкционированной модификации или уничтожения данных.
1.3. Аутентификация легальных субъектов доступа осуществляется с помощью парольной защиты, персонального кода доступа, электронных ключей и других программно-технических средств разграничения доступа пользователей. Способ аутентификации легальных пользователей определяется в соответствии с уровнем конфиденциальности информации. Уровень конфиденциальности данных определяется владельцем информационного ресурса по согласованию со службой безопасности.
1.4. Активное сетевое оборудование (маршрутизаторы и сетевые принтеры) не должно допускать возможности несанкционированной переконфигурации, в связи с чем, каждое активное сетевое устройство должно быть защищено уникальным паролем.
1.5. Операционные системы серверов, компьютерной сети должны настраиваться таким образом, чтобы блокировать вход в сеть (на 5-15 минут) после троекратной ошибки в наборе пароля.
1.6. Если позволяют возможности операционной системы необходимо запретить выбор пользователем простых паролей средствами операционной системы.

2. ПОРЯДОК ЗАВЕДЕНИЯ И РЕГИСТРАЦИИ СРЕДСТВ РАЗГРАНИЧЕНИЯ ПОЛЬЗОВАТЕЛЕЙ

2.1. При введении нового пользователя администратор информационного ресурса должен назначить для него однократный пароль, персональный код либо другую уникальную информацию для доступа к информационным ресурсам компьютерной сети.
2.2. Пользователь обязан заменить однократный пароль – личным при первом же подключении к информационному ресурсу компьютерной сети.
2.3. Пользователь обязан хранить в тайне пароль, код и другие средства доступа к информационным ресурсам.

3. ПЕРИОД ДЕЙСТВИЯ ПАРОЛЕЙ И КОДОВ ДОСТУПА ПОЛЬЗОВАТЕЛЕЙ

3.1. Периодичность смены пароля задается администратором информационного ресурса централизованно, для всех пользователей.
3.2. Период действия паролей для сетевых компьютеров не должен превышать 3 месяцев, для не сетевых компьютеров – 6 месяцев.
3.3. При сообщении компьютерной системы об окончании срока действия личного пароля пользователь обязан заменить его на новый, ранее не применявшийся.
3.4. Период действия паролей для входа в АРМ автоматизированной системы не должен превышать 3 месяцев.
3.5. Персональные коды, электронные ключи и другие средства разграничения доступа меняются по требованию пользователя не реже установленного периода.

4. КОНФИДЕНЦИАЛЬНОСТЬ ПАРОЛЕЙ И КОДОВ ДОСТУПА.

4.1. Информация о паролях пользователей является конфиденциальной информацией.
4.2. Операционные системы, серверов и рабочих станций должны быть настроены таким образом, чтобы исключить возможность ознакомления пользователей и администраторов с действующими и истекшими паролями.
4.3. Автоматизированные информационные системы должны быть настроены таким образом, чтобы исключить возможность ознакомления пользователей и администраторов с действующими и истекшими паролями.
4.4. Информация о персональных кодах, электронных ключах и других средств доступа пользователей к информационному ресурсу является конфиденциальной информацией и разглашению не подлежит, должна содержать защиту от доступа посторонних лиц

5. ПРИНЦИПЫ ВЫБОРА И ФОРМИРОВАНИЯ ЛИЧНЫХ ПАРОЛЕЙ

5.1. В качестве парольной информации следует выбирать последовательность букв верхнего и нижнего регистра, цифр и служебных символов длиной не менее восьми знаков.
5.2. Категорически запрещается использование в качестве пароля легко угадываемых последовательностей символов типа: названия учетной записи, номеров телефонов, имен своих и родственников, последовательно расположенные на стандартной клавиатуре символы, табельный номер и т.п. Запрещается также использование в качестве паролей слов распространенных мировых языков, независимо от раскладки клавиатуры, в которой оно набирается (например, слово МАШИНА – VFIBYF).
5.3. В пароле, кроме буквенных последовательностей, обязательно должны присутствовать цифры и специальные символы.
5.4. Если позволяют возможности системы аутентификации рекомендуется наряду с английскими буквами использовать буквы русского алфавита (с переключением набора символов на клавиатуре).
5.5. Рекомендуется в виде пароля выбирать последовательности типа “X0Posh#1”, “!1рыБ@lkA” или “Def*en$6”
5.6. При смене пароля пользователям запрещается использовать ранее использованные пароли.
5.7. Выбор одноразовых паролей осуществляется по тем же требованиям.
5.8. Длина пароля администратора информационного ресурса должна быть не менее 11 символов. Пароль не должен содержать, ни какой логики. Например “k$iu^sd26Fx”. Глубина истории пароля не менее 20.

6. ПРАВИЛА РАБОТЫ И ОБЯЗАННОСТИ СОТРУДНИКОВ ПО ИСПОЛЬЗОВАНИЮ И СОХРАНЕНИЮ В ТАЙНЕ ЛИЧНОГО ПАРОЛЯ

6.1. Разрешается записывать названия учетных записей и пароли пользователя на бумагу (дискету). В этом случае они в опечатанном виде (в конверте), исключающем случайное ознакомление, передается в сейф начальнику подразделения (отдела). Пароли могут быть выданы только владельцу. В случае нарушения опечатки на конверте или его утери, пароли считается скомпрометированными и подлежит немедленной смене.
6.2. Если пользователь уверен в правильности ввода названия учетной записи и пароля, но ему не удается войти в систему, пользователь обязан незамедлительно сообщить об этом администратору информационного ресурса для получения нового одноразового пароля.
6.3. Если пользователь заметит несанкционированное появление, изменение или удаление информации, он должен немедленно изменить свой пароль и сообщить об обнаруженных изменениях начальнику отдела, администратору информационного ресурса и администратору информационной безопасности.
6.4. Набор личного пароля следует проводить, в отсутствии лиц, которые потенциально могут увидеть процесс набора.
6.5. При оставлении рабочего места необходимо завершить открытую пользовательскую сессию либо использовать функцию «временной блокировки» рабочей станции.
6.6. Для предотвращения случайного оставления рабочего места с открытой пользовательской сессией рекомендуется использовать Screen Saver с автоматической блокировкой, включающийся автоматически, если компьютер не используется в течение определенного времени (5-15 минут).
6.7. Запрещается:
6.7.1. Передача личного пароля сослуживцам или руководителям подразделения;
6.7.2. Запись личного пароля доступа на материальные носители (напр. бумагу, дискеты) в открытом виде;
6.7.3. Вход в компьютерную сеть и информационную систему с использованием чужих идентификаторов и паролей доступа;
6.7.4. Оставлять без присмотра рабочее место с открытой пользовательской сессией.
6.8. В случае подозрения о компрометации пароля, сотрудники обязаны произвести экстренную замену личного пароля и незамедлительно поставить об этом в известность администратора информационной безопасности для исключения возможности утечки информации.
6.9. Любые действия сотрудников и посторонних лиц нарушающие требования настоящего Положения, категорируемые как значимые нарушения и нарушения, имеющие признаки компьютерного преступления, должны анализироваться через процедуру служебного расследования.


Следующим документом будет "Положение о защите информации в компьютерной сети".
Это положение более общего характера и является основой для создания каких либо более конкретных инструкций.
    ПОЛОЖЕНИЕ О ЗАЩИТЕ ИНФОРМАЦИИ В КОМПЬЮТЕРНОЙ СЕТИ.

I. НАЗНАЧЕНИЕ И СФЕРА ДЕЙСТВИЯ
Настоящее Положение определяет цель, принципы и основные направления защиты информации в компьютерной сети КОМПАНИИ, порядок эксплуатации объектов информатизации КОМПАНИИ, обеспечивающие выполнение требований «Концепции безопасности ».
Действие данного Положения распространяется на службы эксплуатации/сопровождения технических средств обработки информации, Службу экономической безопасности и Службы безопасности предприятий КОМПАНИИ.

II. НОРМАТИВНЫЕ ССЫЛКИ
• Федеральный закон «Об информации, информатизации и защите информации» №24-ФЗ1995г.
• Закон Российской Федерации № 5485.1 от 21 июля 1993 г. с изменениями и дополнениями, внесенными 6 октября 1997 г. № 131-ФЗ: О государственной тайне - М.. 1993;
• ГОСТ Р 15971-90. Системы обработки информации. Термины и определения
• ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»
• ГОСТ Р 50739-95. Средства вычислительной техники. Защита от несанкционированного доступа к информации;
• ГОСТ Р 51275-99. «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»
• ГОСТ Р 51583-00. Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения
• ГОСТ Р 51624-00 «Зашита информации. Автоматизированные системы в защищённом исполнении. Общие требования».
• Положение о государственном лицензировании деятельности в области защиты информации: Утверждено Решением Государственной Технической Комиссии при Президенте Российской Федерации и Федерального агентства правительственной связи и информации при
Президенте Российской Федерации № 10 от 27 апреля 1994 г. и № 60 от 24 июня 1997 г.
• ОСТ 45.127-99. Система обеспечения информационной безопасности Взаимоувязанной сети связи Российской Федерации. Термины и определения
• Руководящий документ ГТК РФ. «Защита от несанкционированного доступа к информации. Термины и определения.
• «Концепция безопасности ».

III. ОПРЕДЕЛЕНИЯ

Автоматизированная система -система, состоящая из персонала и комплекса средств ема автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций
Идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов
Аутентификация - проверка принадлежности субъекту права доступа предъявленного им идентификатора; подтверждение подлинности
Безопасность информации (данных) - состояние защищенности информации (данных), обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз
Вредоносная программа - программа, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети
Компьютерный вирус - вредоносная программа, способная создавать свои копии или другие вредоносные программы и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия
Государственная тайна - защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации
Данные - информация, представленная в виде, пригодном для обработки автоматическими средствами при возможном участии человека
Доступ к информации - 1) получение субъектом возможности ознакомления с информацией, в том числе с помощью технических средств;
2) ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации
Доступ несанкционированный к информации - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию
Защита информации от несанкционированного доступа - деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Примечание; Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может быть: государство; юридическое лицо; группа физических лиц, в том числе общественная организация, отдельное физическое лицо
Защита от несанкционированного доступа - предотвращение или существенное затруднение несанкционированного доступа
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления
Информационный ресурс - отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов)
Конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Межсетевой экран - локальное (однокомпонентное) или функционально - распределенное программное (программно - аппаратное) средство (комплекс), реализующее контроль информации,
поступающей в автоматизированную систему и/или выходящей из автоматизированной системы
Не декларированные возможности - функциональные возможности программного обеспечения, не описанные или не соответствующие описанным в документации, при использовании которых возможно нарушение конфиденциальности, доступности или целостности обрабатываемой информации
Несанкционированный доступ - нарушение регламентированного доступа к объекту защиты
Несанкционированный доступ к информации - 1) получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Примечание. Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: юридическое лицо; группа физических лиц, в том числе общественная организация; отдельное физическое
лицо;
2) доступ к информации или ее носителям с нарушением правил доступа к ним;
3) ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации
Объект информатизации - совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров
Подразделение распорядитель ресурса - подразделение создавшее информационный ресурс, или в интересах которого информационный ресурс организован
Потенциальные угрозы - объективно существующие факторы, обусловленные физическими законами, природой человеческой психики и информации законами общественного развития, а также другие факторы, существование которых не зависит от владельца компьютерной системы, но которые могут явиться причиной тех или иных проблем с компьютерной информацией
Система обработки информации - совокупность технических средств и программного обеспечения, а также методов обработки информации и действий персонала, обеспечивающая выполнение автоматизированной обработки информации
Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем
Средства обеспечения объекта информатизации - технические средства и системы, их коммуникации; не предназначенные для обработки информации, но установленные вместе с системами обработки информации на объекте информатизации
Технические каналы утечки информации - физический путь передачи информации от источника вовне компьютерной системы, не предусмотренный при ее проектировании и изготовлении: визуально-оптический, виброакустический каналы, побочные электромагнитные излучения и наводки
Техническое средство обработки информации (ТСОИ) - техническое средство, предназначенное для приема, хранения, поиска, преобразования, отображения и/или передачи информации по каналам связи

IV. ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
КОМПАНИЯ - Объединение компаний и предприятий, действующих на основании и в рамках заключенных договоров
Руководители - Руководители, уполномоченные принимать решения по вопросам информационной безопасности
СЭБ - Служба экономической безопасности
АИБ - Администратор информационной безопасности
АИС - Автоматизированная информационная система
АОИ - Администратор объекта информатизации
АРМ - Автоматизированное рабочее место
АСУ - Автоматизированная система управления
ГТ - Государственная тайна
ДСП - Для служебного пользования
ЗИ - Защита информации
ИБ - Информационная безопасность
ИР - Информационный ресурс
ИТ - Информационные технологии
КТ - Коммерческая тайна
ЛВС - Локальная вычислительная сеть
МЭ - Межсетевой экран
НСД - Несанкционированный доступ
ОИ - Объект информатизации
ОС - Операционная система
ПЭВМ - Персональная электронная вычислительная машина
ПО - Программное обеспечение
ПТС - Программно-технические средства
ПЭМИН - Побочные электромагнитные излучения и наводки
СБП - Служба безопасности предприятия
СВТ - Средства вычислительной техники
СЗИ - Система защиты информации
СКЗИ - Средства криптозащиты информации
СОИ - Система обработки информации
ТСОИ - Техническое средство обработки информации
ЭЦП - Электронная цифровая подпись
 V. ПОРЯДОК ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ
1. Общие положения
1.1. Целью создания СЗИ является максимально возможное снижение потерь от реализации различных угроз информация, циркулирующей в компьютерной сети, а также объектам информатизации КОМПАНИИ,
1.2. В основу построения СЗИ заложены следующие принципы:
• Принцип разграничения доступа: запрещено все, что не разрешено явно.
• Принцип минимального доступа: сотрудник КОМПАНИИ должен иметь доступ только к той информации, которая необходима ему для исполнения своих служебных обязанностей,
• Принцип адекватности затрат: стоимость организации и эксплуатации системы защиты не должна превышать совокупной стоимости потерь, возникающих в результате реализации угроз безопасности информации КОМПАНИИ.
• Принцип достаточности: затраты злоумышленника на преодоление системы защиты должны превышать потенциальную выгоду, которую он сможет из этого извлечь.
• Принцип непрерывности: система защиты должна строиться равномерно по всем направлениям с целью недопущения образования слабых мест.
1.3. Внедрение и эксплуатация средств защиты информации осуществляется подразделениями ИТ/АСУ КОМПАНИИ, при этом должны быть предусмотрены средства оповещения о критических и сбойных ситуациях. Порядок разработки, внедрения и сопровождения прикладного ПО и СЗИ регламентируется нормативными документами КОМПАНИИ, содержащими требования согласования выбора ПО и СЗИ подразделениями ИТ/АСУ КОМПАНИИ с СБП КОМПАНИИ.
Выбор ПО и СЗИ осуществляется подразделениями ИТ/АСУ КОМПАНИИ на основании требований технологического процесса, при этом отказ от использования выбранного ПО или СЗИ должен осуществляться на основании мотивированного возражения со стороны СБП КОМПАНИИ в срок, определяемый этим нормативным документом.
1.4. Доступ к ОИ, обрабатывающим информацию, содержащую сведения, составляющие государственную тайну, регламентируется соответствующими государственными нормативными документами.
1.5. Объекты и субъекты доступа к ОИ:
1.5.1. Внешние объекты по отношение к ОИ - выделенные каналы связи, арендуемые у поставщиков телекоммуникационных услуг, ресурсы телефонных сетей общего пользования.
1.5.2. Объекты в составе ОИ - информационные ресурсы объектов информатизации КОМПАНИИ (внутренние ИР), доступные посредством внешних объектов информационные ресурсы удаленных
ОИ КОМПАНИИ и Internet (внешние ИР), средства (ТСОИ, ПТС и СВТ) и системы обработки информации (СОИ), используемые в соответствии с принятой в КОМПАНИИ информационной технологией, а также средства обеспечения ОИ.
1.5.3. Субъект доступа - пользователь, устройство или процесс, осуществляющий доступ к объектам в составе ОИ и внешним объектам по отношению к ОИ,
Легальный субъект доступа - субъект доступа, которому разрешен доступ в соответствии с заданными правами доступа.
1.6. В качестве потенциальных угроз безопасности информации КОМПАНИИ в настоящем Положении рассматривается любое, не разрешенное законом, или не разрешенное в установленном в
КОМПАНИИ порядке:
  • изъятие или копирование информационных ресурсов;
  • уничтожение, повреждение или модификация информационных ресурсов:
  • искусственное затруднение доступа пользователей к информационным ресурсам;
  • допущение ознакомления с информацией, содержащейся в информационных ресурсах
.

В качестве источника угроз ИР КОМПАНИИ в настоящем Положении рассматриваются:
  • умышленные или случайные действия сотрудников КОМПАНИИ или посторонних лиц;
  • факторы, связанные с ненадежностью объектов информатизации, стихийные бедствия и другие обстоятельства неодолимой силы;
  • пожароопасность, возможность аварий и других воздействий техногенного характера, в т.ч. возможные проблемы с электропитанием;
  • технические каналы утечки информации.

1.7. В целях настоящего Положения рассматриваются следующие средства защиты от воздействия угроз:
  • физическая защита ОИ от НСД;
  • специальные СЗК (включая криптографические - СКЗИ);
  • программно-аппаратные средства разграничения доступа, архивирования и резервирования;
  • организационные меры, определяющие порядок эксплуатации ОИ к предоставления информационных ресурсов соответствующими службами КОМПАНИИ.

1.8. В настоящем Положении рассматриваются следующие категории внутренних ИР:
«К» - информационный ресурс, содержащий сведения, отнесенные к категории конфиденциальных:
«ДСП» - информационный ресурс, содержащий информацию, порожденную легальными субъектами доступа к ОИ в производственном процессе.
1.9. Данное Положение следует использовать при разработке Должностных инструкций сотрудников КОМПАНИИ ответственных за эксплуатацию СЗИ и Инструкции по использованию информационных ресурсов сотрудниками КОМПАНИИ.

2. Физическая зашита объектов информатизации от несанкционированного доступа

2.1. Физический контроль доступа в серверные помещения (помещения, где расположены сервера, консоли управления, оборудование АТС, входы каналов связи и т.п.), обеспечивается системами контроля доступа в помещения (включая организационные меры), а также, при наличии технической возможности, системами видеонаблюдения.
2.2. Физический контроль доступа к аппаратной части средств защиты от НСД. установленных на объектах ЛВС, обеспечивается также средствами маркирования и блокировки разъемных соединений
корпусов и блоков оборудования.
2.3. Физический контроль доступа к пассивному сетевому оборудованию дополнительно может обеспечиваться также средствами маркирования и блокировки разъемных сетевых соединений.
2.4. Для обеспечения защиты указанных в п.2.1 помещений должны быть реализованы следующие меры:

- на входные двери должны быть установлены электронные или механические кодовые замки, обеспечивающие разграничение доступа персонала в течение рабочего дня и надежную защиту
помещений в нерабочее время:
- входные двери должны быть оборудованы механизмами минимизирующими возможность случайного оставления их ОТКРЫТЫМИ (доводчики закрытия дверей и т п ):
- указанные помещения должны быть оборудованы пожарно-охранной сигнализацией;
- по решению руководства КОМПАНИИ указанные помещения могут быть оборудованы средствами видеонаблюдения.
- при отсутствии централизованных средств пожаротушения и вентиляции, обеспечивающих требования пожарной безопасности и эксплуатационные требования оборудования, указанные помещения следует оборудовать необходимыми средствами непосредственно в этих помещениях;
- резервное оборудование, при наличии возможности, не должно размещаться в тех же помещениях, что и резервируемое оборудование

3. Программно - аппаратные средства разграничения доступа, архивирования, резервирования и специальных средств зашиты

Программно-аппаратное обеспечение защиты информации на ОИ КОМПАНИИ осуществляется применением;

- разграничения доступа;
- сегментации информационных ресурсов;
- контроля доступа;
- редств идентификации и аутентификации;
- СКЗИ и ЭЦП;
- антивирусной защиты;
- резервирования электропитания;
- архивирования ИР;
- контроля обеспечения режима ИБ.
3.1. Разграничение доступа осуществляется на основе функционально-зональной модели.
3.1.1. Все субъекты и объекты разделяются на функциональные зоны (производство, сбыт, кадры, финансы и т.п.) с учетом категории ИР и формы допуска сотрудников КОМПАНИИ. При этом к зоне ИР категории «К», относятся только сотрудники с формами допуска 1 и 2.
3.1.2. Внутри зоны обеспечивается свободный доступ любого субъекта к любому объекту доступа. Доступ субъекта из одной зоны к объекту другой зоны возможен с соответствующими ограничениями прав доступа.
3.2. Сегментация информационных ресурсов
3.2.1. Информационные ресурсы КОМПАНИИ сегментируются (разделяются программно-техническими средствами) по видам обрабатываемой информации:

- информация, содержащая конфиденциальные сведения (ИР категории «К»);
- информация сетевых систем управления ОИ;
- прочая информация, содержащаяся в корпоративной сети КОМПАНИИ
- внешние ИР.
3.2.2. Сегментация ИР производится с помощью:

- активного сетевого оборудования (мультиплексоры, маршрутизаторы, коммутаторы и т.п.);
- межсетевых экранов;
- программно-аппаратных средств, обеспечивающих идентификацию, аутентификацию, разграничение доступа и регистрацию событий при предоставлении доступа к ИР.
3.2.3. Выделение сегмента сетевых систем управления ОИ производится с использованием активного сетевого оборудования или МЭ, или, с использованием защищенных протоколов обмена
информацией.
3.2.4. Доступ к ИР на ОИ КОМПАНИИ должен осуществляться исключительно с использованием ТСОИ, находящихся в собственности КОМПАНИИ.
3.2.5. Доступ к внешним ИР на ОИ КОМПАНИИ регламентируется нормативными документами КОМПАНИИ, согласованными с СЭБ и утвержденными руководством КОМПАНИИ.
Соответствующий нормативный документ доводится до сведения сотрудника КОМПАНИИ при его приеме на работу и должен содержать его согласие на контроль его действий при использовании ИР на ОИ КОМПАНИИ (в т.ч. электронной почты, ресурсов Internet и пр.).

3.2.6. Доступ к внешним ИР категории «К» должен осуществляться с использованием сертифицированных СКЗИ.
3.3. Контроль доступа.
3.3.1. Контроль доступа обеспечивается во всех сегментах средствами ОС, средствами контроля доступа специализированных приложений, сертифицированными средствами защиты от НСД, а
также средствами сетевого мониторинга и аудита.
3.3.2. Контроль доступа к сетевому оборудованию на физическом уровне обеспечивается средствами контроля доступа специализированных приложений и средствами сетевого мониторинга и аудита.
3.3.3. Контроль доступа к ИР обеспечивается средствами сетевого мониторинга и аудита, а также контроля содержимого обмена информацией.
3.4. Идентификация и аутентификация.
3.4.1. Объекты применения средств идентификации и аутентификации - ПТС ОИ.
3.4.2. Средства идентификации и аутентификации применяются в обязательном порядке на всех ОИ КОМПАНИИ для защиты от НСД.
3.4.3. Порядок применения средств идентификации и аутентификации определяется нормативными документами КОМПАНИИ, согласованными с СЭБ и утвержденными руководством КОМПАНИИ.
3.4.4. Предложения по изменению порядка применения средств идентификации и аутентификации на ОИ КОМПАНИИ, вызванные объективной необходимостью, но противоречащие данному документу направляются на рассмотрение в СЭБ.
3.5. СКЗИ и ЭЦП.
3.5.1. СКЗИ и ЭЦП применяются для обеспечения электронного обмена, хранения и передачи информации отнесенной к категории конфиденциальной.
3.5.2. Порядок учета, хранения и использования СКЗИ на ОИ КОМПАНИИ определяется нормативным документом КОМПАНИИ, согласованным с СЭБ и утвержденным руководством КОМПАНИИ, с учетом эксплуатационной документации на СКЗИ.
3.6. Антивирусная защита, резервирование электропитания и архивирование ИР.
Защита информации при сбоях программного обеспечения и электропитания достигается:

- обязательным применением на рабочих станциях и серверах средств антивирусной защиты;
- обеспечением автономного резервного электропитания для серверов, активного сетевого оборудования, а также рабочих станций, работоспособность которых необходима при сбоях электропитания;
- применением программно-аппаратных средств резервирования информации;
- обязательным архивированием критически важных для обеспечения деятельности КОМПАНИИ информационных ресурсов;
Порядок архивирования ИР определяется нормативным документом КОМПАНИИ, согласованным с СБП КОМПАНИИ и утвержденным руководством КОМПАНИИ.
3.7. Контроль обеспечения режима ИБ.
3.7.1. Контроль обеспечения режима ИБ на ОИ является неотъемлемой составной частью общего комплекса мер безопасности в системе безопасности КОМПАНИИ.
 4. Организационные меры по защите информационных ресурсов

4.1. Порядок ввода нового объекта в состав ОИ.

4.1.1. Введение любого нового объекта в состав ОИ производится подразделением ИТ/АСУ КОМПАНИИ, и сопровождается внесением в единую базу данных соответствующей информации.
4.1.2. Единая база данных организуется и ведется подразделением ИТ и обеспечивает документальную фиксацию и хранение всех изменений, а также удобство использования. Порядок
ведения единой базы данных утверждается начальником ИТ КОМПАНИИ и предусматривает обязательное наличие у АИБ ОИ КОМПАНИИ доступа на чтение ко всему объему информации
содержащейся в указанной базе данных.
4.1.3. База данных должна содержать следующую информацию по каждому объекту:
Тип объекта (ТСОИ, внутренний ИР, внешний объект)
При включении ТСОИ в состав ОИ указываются:
инв, номер и тип ТСОИ;
место расположения ТСОИ;
сетевой идентификатор ТСОИ (при наличии);
используемые сетевые адреса (при наличии);
используемое программное обеспечение;
используемые устройства передачи данных.

При создании внутреннего ИР указываются:
уникальный идентификатор ресурса;
наименование ресурса,
назначение (цель создания) ресурса;
категория ресурса;
подразделение - распорядитель ресурса:

При изменении какого-либо параметра, должны быть сделаны соответствующие изменения в единой базе данных.

При подключении внешних объектов по отношению к ОИ указывается:
сетевые адреса точки подключения (IP-адреса, МАС-адреса и т.п.);
цель подключения;
краткие технические характеристики (пропускная способность, наименования используемого оконечного оборудования, используемые сетевые протоколы и т.д.).
При изменении какого-либо параметра, должны быть сделаны соответствующие изменения в единой базе данных.

4.2. При исключении объектов из состава ОИ администратор ОИ КОМПАНИИ делает отметку об этом в единой базе данных.
4.3. Запрещается доступ сторонних организаций к устройствам хранения информации, содержащей сведения, отнесенные к категории конфиденциальных.
Настройка, ремонт и профилактические работы с ТСОИ имеющими в своем составе такие устройства, должны производиться силами подразделения ИТ/АСУ КОМПАНИИ, а при невозможности это обеспечить следует демонтировать таковые устройства из состава ТСОИ либо принять меры по удалению конфиденциальной информации с этих устройств. Демонтированные
устройства хранения информации следует передать на хранение в подразделение СБ КОМПАНИИ.

Вот такой чисто СБ -й документ.
На основе него необходимо сделать что-то конкретное , ну например следующее положение "УПРАВЛЕНИЕ ИНФОРМАЦИЕЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ"
 "УПРАВЛЕНИЕ ИНФОРМАЦИЕЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ"

1. ОБЛАСТЬ ПРИМЕНЕНИЯ
Назначением данного положения является регламентация взаимодействия подразделений Предприятия в процессе управления информацией, формируемой с использованием средств вычислительной техники, определение условий эксплуатации информационно-вычислительных систем предприятия, предотвращение нарушения конфиденциальности и сохранности данных.
Действие настоящего положения распространяется на все подразделения Предприятия.
Ответственность за поддержание актуальности, своевременный пересмотр и контроль за соблюдением требований данного положения несет начальник ИТ/АСУ.

2. НОРМАТИВНЫЕ ССЫЛКИ
При подготовке настоящего стандарта были использованы следующие документы:

2.1. «Положение по обеспечению сохранности конфиденциальной информации ".
2.2. «Инструкции о пропускном режиме» .

3. ОПРЕДЕЛЕНИЯ

Администратор информационной безопасности - Выделенный сотрудник службы безопасности

Администратор объекта информатизации - Выделенный сотрудник Предприятия.

Аутентификация - Проверка принадлежности субъекту права доступа предъявленного им идентификатора; подтверждение подлинности.

Владелец ресурса - Субъект, реализующий полномочия владения, пользования и распоряжения объектом информатизации.

Идентификация - Присвоение субъектам и объектам доступа идентификатора (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Имя пользователя - Буквенно-цифровой идентификатор пользователя объекта информатизации.

Информационный ресурс - Отдельные документы и отдельные массивы документов, документы и массивы документов, содержащиеся в информационных системах (библиотеках, архивах, фондах, банках данных, информационных системах других видов).

Несанкционированный доступ - Нарушение регламентированного доступа к объекту защиты.

Объект информатизации - Совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для ведения конфиденциальных переговоров.

Пароль - Секретное слово, которое вместе с именем пользователя однозначно идентифицирует пользователя и его права на доступ к ресурсам объекта информатизации.

Пользователь - Лицо, использующее средства вычислительной техники в работе с информационным ресурсом.
Средства вычислительной техники - Совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Учетная запись - Набор информации о пользователе, определяющий его права при пользовании информационного ресурса.

4. ОБОЗНАЧЕНИЯ, СОКРАЩЕНИЯ.
5. ТРЕБОВАНИЯ.
5.1. Администрирование объекта информатизации.
5.1.1. Права и обязанности администратора объекта информатизации.
Администратор объекта информатизации имеет неограниченные права доступа к информационно-вычислительным ресурсам администрируемого объекта информации для выполнения следующих функций:
  • определение политики аутентификации, авторизации, распределения прав доступа и их реализация;
  • разработка политики логической и физической интеграции вычислительных и других информационных ресурсов и ее контроль;
  • создание и удаление информационных ресурсов;
  • осуществление контроля за установкой, удалением, изменением и настройкой системного и прикладного программного обеспечения на объекте информатизации сети и на СВТ пользователей;
  • мониторинг объекта информатизации с целью выявления элементов объекта информатизации, снижающих его производительность, и возможных нарушений правил эксплуатации объекта информатизации;
  • общее руководство резервным копированием данных;
  • информирование администратора информационной безопасности с уведомлением вышестоящего руководства обо всех выявленных нарушениях в ходе выполнения своих обязанностей, попытках несанкционированного доступа к информационным ресурсам и компьютерам пользователей, фактах нарушения безопасности объекта информатизации и СВТ, а также настоящего стандарта;
  • выдача предложений администратору информационной безопасности по изменению режимов безопасности составляющих элементов систем обработки информации сети.


По конкретным объектам информатизации права и обязанности указаны в должностных инструкциях администратора. Назначение функций администратора объекта информатизации должны быть закреплены распоряжением владельца информации.

5.1.2. Права и обязанности администратора информационной безопасности.
Администратор информационной безопасности имеет неограниченные права доступа к информационно-вычислительным ресурсам сети и СВТ пользователей для выполнения следующих функций:
  • мониторинг сети, с целью выявления нарушений пользователями правил работы с ресурсами сети;
  • независимый сетевой аудит по системным и пользовательским журналам;
  • осуществление проверки ресурсов СВТ пользователя при выявлении признаков нарушения им положений безопасности сети, в соответствии с данным стандартом, на основании указания заместителя генерального директора - начальника СБ;
  • фиксация попыток несанкционированного доступа к вычислительным ресурсам в сети и на компьютерах и проведение служебных проверок в отношении нарушителей режима безопасности сети и компьютеров;
  • выдача рекомендаций системному администратору сети по установке прав доступа к ресурсам сети и компьютеров.

Системный администратор сети и администратор безопасности сети при реализации своих прав доступа к информационно-вычислительным ресурсам сети и СВТ пользователей, обязаны руководствоваться п.5.5.3.3.

5.2. Доступ к информационным ресурсам.
5.2.1. Предоставление доступа к информационным ресурсам.
5.2.1.1. Разграничение доступа осуществляется на основе функционально-зональной модели. Для защиты от несанкционированного доступа, доступ к информационным ресурсам предоставляется только пользователям, прошедшим аутентификацию и идентификацию. Для этого согласно (Приложению А) создается учетная запись пользователя.

Примечание!
Приложение А - создается любой формы и в нем указываются Ф.И.О. пользователя , подразделение и должность, место расположения и телефон и другая необходимая Вам информация , для создания учетной записи в Сетевой операционной системе

5.2.1.2. Для получения доступа к внешним информационным ресурсам, пользователь направляет в подразделение ИТ письмо в форме (Приложение Б), за подписью непосредственного руководителя, согласованную со службой СБ.

Примечание!
Приложение Б - создается любой формы и в нем указываются Ф.И.О. пользователя , наименование внешнего ресурса (например Интернет) и обоснование необходимости
Данное письмо необходимо для тех организаций , где доступ в Интернет и почту требует отдельного разрешения.

5.2.1.3. Пользователи для предоставления им доступа к информационным ресурсам направляют в подразделени ИТ письмо в форме (Приложения Г), за подписью непосредственного руководителя и владельца ресурса. В заявке указывается информационный ресурс, к которому необходим доступ. В случае доступа к информационному ресурсу категории «К» обязательна подпись администратора информационной безопасности.

5.2.1.4. При наличии технической возможности специалисты соответствующих подразделений ИТ производят подключение пользователя к информационному ресурсу с внесением необходимых изменений в СВТ (присвоением компьютеру пользователя сетевого имени, выдача соответствующего идентификатора, имени пользователя, пароля и т.д.).
5.2.1.5. При работе на одном СВТ нескольких пользователей, каждый из них должен использовать свою учетную запись для доступа к информационному ресурсу.
5.2.1.6. Каждый пользователь обязан хранить свой пароль в тайне и изменять его по мере необходимости (для информации категории «К» не реже 1 раза в месяц).
5.2.1.7. Заявки пользователей на создание учетных записей и на предоставление доступа к информационному ресурсу хранятся в подразделении ИТ в течение времени действия учетной записи пользователя.
5.2.1.8. Пользователям запрещается несанкционированно использовать информационные ресурсы, доступа к которым он не имеет. Контроль доступа обеспечивается средствами операционных систем, средствами контроля доступа специализированных приложений, сертифицированными средствами защиты от несанкционированного доступа, а также средствами сетевого мониторинга и аудита.
5.2.2. Аннулирование доступа.
5.2.2.1. В случае увольнения или перевода в другое подразделение (отдел, бюро и т.д.) сотрудника, являющегося пользователем информационного ресурса, его непосредственный руководитель обязан известить соответствующего администратора объекта информатизации для аннулирования доступа к информационному ресурсу.
5.2.2.2. Не информирование влечет за собой дисциплинарную ответственность.
5.2.2.3. Сверка по увольнениям и перемещениям сотрудников должна осуществляться не реже 1 раза в месяц.

5.3. Обслуживание информационных систем.
Пользователям запрещается использовать информационные ресурсы предприятия и СВТ в целях, не связанных с выполнением должностных обязанностей.
5.3.1. Установка и настройка программного обеспечения.
5.3.1.1. К установке на СВТ допускается только ПО, включенное в реестр протестированного и разрешенного службой ИТ к применению программного обеспечения.
5.3.1.2. Подразделение ИТ составляет и обновляет реестр системного и прикладного ПО, разрешенного к установке на СВТ пользователей и пользователей сети. Реестр обновляется в соответствии с потребностями пользователей и тенденциями в развитии программного обеспечения.
5.3.1.3. Любой пользователь может быть инициатором внесения в реестр новых программных продуктов. Для внесения программного продукта в реестр пользователи направляют заявку .
5.3.1.4. Программный продукт, указанный в заявке тестируется специалистами ИТ, после чего принимается решение о включении его в реестр.
5.3.1.5. Установку и переустановку любого общесистемного, сетевого и антивирусного программного обеспечения, а также всех информационных систем, разрабатываемых на предприятии, на СВТ пользователей и пользователей сети производят только службы ИТ в соответствии со спецификой ПО. Самостоятельно устанавливать и переустанавливать программные продукты пользователям запрещается.
5.3.1.6. Пользователям запрещается менять настройки используемого ПО без согласования с администратором объекта информатизации. Изменение настроек общесистемного, сетевого и антивирусного ПО запрещено без согласования с администратором сети.
5.3.1.7. Допускается самостоятельная установка и переустановка прикладного ПО пользователями по согласованию с системным администратором сети.
5.3.2. Устранение сбоев в работе СВТ и неполадок в программном и аппаратном обеспечении.
5.3.2.1. При возникновении сбоев в работе автоматизированных систем и СВТ пользователи должны сообщить о неполадках диспетчеру подразделения ИТ. Диспетчер сообщает о неполадках в соответствующие службы ИТ и координирует их работу по устранению неисправностей. Устранять неполадки самостоятельно пользователям запрещается.
5.3.2.2. Ремонтно-профилактические работы на СВТ производят только специалисты ИТ. Работы должны быть организованы таким образом, чтобы исключить возможность несанкционированного доступа к конфиденциальной информации, находящейся на дисках СВТ.
5.3.2.3. Ремонт компьютера проводится либо на месте, под присмотром ответственного лица, назначенного руководителем подразделения, либо отправляется в стационарный ремонт. В случае отправки в стационарный ремонт вся конфиденциальная информация, хранящаяся на жестком магнитном диске, должна быть удалена с наложением на удаленные сектора незначащих символов (используя специальное программное обеспечение). Допускается снятие жесткого магнитного диска с конфиденциальной информацией на хранение ответственным за безопасность информации сотрудником подразделения до получения компьютера из ремонта.
5.3.2.4. Бесконтрольный ремонт СВТ с магнитным накопителем, содержащим конфиденциальную информацию, не допускается.
 5.4. Обмен данными.
5.4.1. Пользователи при обмене данными с использованием носителей информации обязаны, согласно п.5.5.2 производить проверку носителей на наличие вирусов перед началом работы с данными, содержащимися на них.
5.4.2. Наличие на компьютерах сетевых пользователей ресурсов общего доступа (доступ «полный», «на чтение», «определяется паролем») не допускается. Обмен информацией осуществляется посредством почтового сервера предприятия или через информационные ресурсы, расположенные на серверах предприятия. Весь почтовый обмен производится только через электронные почтовые ящики, открытые на почтовом сервере предприятия.
5.4.3. Пользователям запрещается хранить на СВТ, а также на информационных ресурсах, открытых на серверах для обмена и хранения данных, информацию и программные средства не связанные с выполнением должностных обязанностей.
5.4.4. При обмене и передачи информации, отнесенной к категории «К», должны применяться сертифицированные средства криптозащиты информации и электронная цифровая подпись.

5.5. Обеспечение сохранности данных.
5.5.1. Резервное копирование.
5.5.1.1. Архивирование критически важных данных для обеспечения деятельности предприятия является обязательным. Для архивирования применяются специальные аппаратно-программные средства.
5.5.1.2. Ответственность за утерю, порчу и сохранность информации, хранящейся на накопителях СВТ, возлагается на пользователя. Для резервного хранения информации пользователям сети могут предоставляться специальные информационные ресурсы на серверах. Информационные ресурсы создаются по заявке, направляемой в ЦИТ от имени начальника подразделения. В заявке на создание информационного ресурса необходимо указать размер информационного ресурса, ответственного за ресурс, необходимость и периодичность резервного сохранения данных. В заявке на предоставление ресурса можно указать прочих пользователей, доступ для которых к данному ресурсу открыт.
5.5.1.3. Помимо информационных ресурсов для хранения на серверах сети, для резервного копирования пользователи сети могут использовать носители информации.
5.5.2. Антивирусная защита.
5.5.2.1. Применение антивирусной защиты на рабочих станциях и серверах является обязательным.
5.5.2.2. Ответственность за обновление антивирусного ПО и антивирусных баз данных возлагается на системного администратора сети.
5.5.2.3. Ответственность за установку и настройку антивирусного ПО на СВТ пользователей сети возлагается на подразделения ИТ. На СВТ пользователей в обязательном порядке должна быть установлена программа антивирусной защиты, работающая в фоновом режиме, отслеживающая все операции по открытию, копированию и перемещению файлов на СВТ, а также автоматически производящая ежедневную проверку всех дисков и памяти СВТ на наличие вирусов.
5.5.2.4. Ответственность за антивирусную защиту информации на СВТ пользователей возлагается на пользователя, за которым закреплен данный СВТ. Пользователи обязаны обратиться в подразделения ИТ для получения действующего на Предприятии антивирусного ПО.
5.5.2.5. Пользователь СВТ обязан:
  • перед началом работы убедиться, что программа антивирусной защиты на его СВТ запущена;
  • не допускать использования и хранения на своем рабочем месте автономных носителей информации не проверенных на наличие вирусов;
  • при обнаружении вируса произвести его лечение средствами антивирусной защиты, установленными на СВТ пользователя и сообщить об обнаружении вируса системному администратору сети и администратору информационной безопасности.


5.5.2.6. Пользователям запрещается распространять, хранить и создавать вредоносные программы.

5.5.3. Обеспечение конфиденциальности информации.
5.5.3.1. Пользователи обязаны принять все возможные меры для предотвращения несанкционированного доступа со стороны посторонних лиц к хранящейся на СВТ конфиденциальной информации.
5.5.3.2. Администратор информационной безопасности при необходимости получения доступа к ресурсам СВТ, при проведении служебных проверок, обязан поставить в известность пользователя данного СВТ или руководителя подразделения пользователя.
5.5.4. Обеспечение режима безопасности пользователями.
5.5.4.1. Все пользователи обязаны принимать участие в обеспечении режима информационной безопасности при работе с информационными ресурсами Предприятия и на СВТ, а именно:
  • предотвращать возможность несанкционированного доступа посторонних лиц к информации, хранящейся на информационных ресурсах и на СВТ;
  • выполнять требования «Инструкции о пропускном режиме» в части автономных носителей информации (дискеты, CD-R, CD-RW, Flash-memory, сотовые телефоны, цифровые диктофоны, фотоаппараты и видеокамеры) и элементов компьютерной техники;
  • немедленно информировать администраторов объектов информатизации о случаях нарушения режима информационной безопасности, в том числе, связанных как с аварийными (сбойными) ситуациями при эксплуатации компьютерной техники, так и с появлением реальных каналов утечки информации путем умышленного разрушения программно-аппаратных механизмов защиты информационных ресурсов;
  • магнитные диски и иные носители информации (дискеты, CD-R, CD-RW, Flash-memory, сотовые телефоны, цифровые диктофоны, фотоаппараты и видеокамеры), получаемые от других сотрудников или других организаций, перед использованием должны быть подвергнуты обязательному входному контролю на наличие программных вирусов.


5.5.4.2. Пользователям информационных ресурсов и СВТ запрещается:
  • производить очистку журнала аудита;
  • самостоятельно изменять аппаратные конфигурации и подключать периферийные внешние устройства;
  • несанкционированное копирование информации (файлов) на дискеты и другие внешние носители;
  • нерегламентированный просмотр, вывод на печать и т.п. информации ограниченного распространения;
  • оставлять без присмотра закрепленную за ним компьютерную технику без ее отключения или блокировки на время отсутствия пользователя, или без установки специального программного обеспечения поддержки дежурного режима (хранители экрана) с обязательной установкой пользователем произвольного пароля, неизвестного другим лицам;
  • оставлять на рабочих столах в свое отсутствие автономные носители информации (дискеты, диски всех типов, магнитные ленты стримеров), содержащие данные конфиденциального характера .


Помимо представленных выше документов можно создать инструкции для пользователей и администраторов по отдельным видам деятельности.
Например по работе в Интернет, работе с почтой, архивированию данных и т.д.
 ИНСТРУКЦИЯ
О ПОРЯДКЕ РЕЗЕРВИРОВАНИЯ СЛУЖЕБНОЙ
ИНФОРМАЦИИ НА РАБОЧИХ СТАНЦИЯХ


1. ОБЩИЕ ПОЛОЖЕНИЯ.

Настоящая Инструкция разработана для регламентации действий сотрудников, ответственных за резервирование данных, подразделений при создании резервных копий служебной информации.

2. ПОРЯДОК СОЗДАНИЯ РЕЗЕРВНЫХ КОПИЙ.

2.1. Резервирование служебной информации на рабочих станциях производится ответственным сотрудником, назначенный распоряжением руководителя подразделения.
2.2. Сроки копирования и хранения резервных копий информации в подразделении, определяются и утверждаются руководителем подразделения и согласуются с подразделением ИТ и Службой безопасности.
2.3. Копирование осуществляется на сервер для резервного копирования или на съемные носители.

3. УЧЕТ, РЕГИСТРАЦИЯ И ВЫДАЧА РЕЗЕРВНЫХ КОПИЙ.

3.1. Учет носителей содержащих конфиденциальную информацию производится во всех подразделениях Предприятия.
3.2. Для учёта процесса создания резервных копий информации на рабочих станциях ведётся «Журнал учета резервных копий служебной информации».
3.3. Журналу учёта присваивается номер согласно номенклатуры, утверждённой руководителем подразделения. Страницы журнала нумеруются, прошиваются, скрепляются печатью общего отдела.
3.4. Все резервные копии служебной информации записываются на учтенные, зарегистрированные в «Журнале учета носителей для хранения резервных копий служебной информации» носители.
3.5. Записанные резервные копии информации рабочих станций регистрируются в «Журнале учета резервных копий служебной информации ».
3.6. Сотрудник подразделения, ответственный за создание резервных копий служебной информации, после изготовления резервной копии обязан:
3.6.1. Зарегистрировать сделанную копию информации в «Журнале учета резервных копий информации» с указанием номера сменного носителя;
3.6.2. Передать резервную копию, с отметкой о сдаче в «Журнале учета резервных копий служебной информации», руководителю подразделения для хранения в сейфе;
3.6.3. При создании резервной копии информации рабочей станции с использованием программ архивирования и шифрования данных, применяемый при этой процедуре, пароль должен быть записан и, в запечатанном конверте, передан руководителю подразделения для хранения в сейфе.

4. ОТВЕТСТВЕННЫЕ ЛИЦА.

4.1. Ответственность за резервирование служебной информации и ведение «Журнала учета резервных копий служебной информации» возлагается на ответственного сотрудника, назначенного распоряжением руководителя подразделения.

4.2. Ответственность за ведение «Журнала учета носителей для хранения резервных копий служебной информации» возлагается на сотрудника ИТ, назначенного распоряжением начальника ИТ.
4.3. Контроль за соблюдением правильности политики резервирования данных и учета носителей информации, предназначенных для создания резервных копий служебной информации, возлагается на администратора информационной безопасности.
4.4. Ответственность за ввод в действие, установку и обновление необходимого программно-аппаратного обеспечения технологии резервирования данных возлагается на администраторов объектов информатизации.
4.5. Ответственность за своевременное уничтожение пришедших в негодность носителей резервных копий несут ответственные за резервирование информации сотрудник подразделения, ответственный сотрудник ИТ и администратор информационной безопасности.

5. ПРАВИЛА РАБОТЫ И ОБЯЗАННОСТИ ДОЛЖНОСТНЫХ ЛИЦ ПО ПРОЦЕДУРЕ РЕЗЕРВИРОВАНИЯ СЛУЖЕБНОЙ ИНФОРМАЦИИ, ЕЕ ХРАНЕНИЮ И УНИЧТОЖЕНИЮ.

5.1. Категорически запрещается копирование и обработка любой информации, переносимой с помощью сменных носителей, без производственной необходимости.
5.2. Категорически запрещается производить резервирование информации на неучтенные носители.
5.3. Носители, предназначенные для хранения копий, пришедшие в негодность снимаются с эксплуатации путем физического разрушения (разлома или разрезания). Уничтожение информации производится ответственным сотрудником ИТ в присутствии администратора информационной безопасности, о чём производится соответствующая запись в «Журнале учета носителей резервных копий служебной информации» за тремя подписями: администратора информационной безопасности, ответственного сотрудника ИТ и ответственного за резервирование служебной информации подразделения.
5.4. Все факты разрушения данных на рабочих станциях, классифицируются как «значимые нарушения информационной безопасности» и должны анализироваться через процедуру служебного расследования.

6. ТРЕБОВАНИЯ К ОБОРУДОВАНИЮ ПОМЕЩЕНИЙ
ДЛЯ ХРАНЕНИЯ РЕЗЕРВНЫХ КОПИЙ.


Требования к помещению, предназначенному для хранения всех видов резервных копий:
- помещение должно оборудоваться сейфом, или металлическим хранилищем, имеющим резервные ключи и устройства для опечатывания;
- должностное лицо, осуществляющее хранение резервных копий должно иметь печать для опечатывания сейфа или металлического хранилища.

 



Купить Firewall >>>
 
SuperKupon.ru — это супер скидки на кафе, рестораны, бары, пицца, spa, салоны красоты, парикмахерские, бассейны, автомойки и многие другие услуги и развлечения со скидками от 50% до 90%. Открой город заново!