close

Вход

Забыли?

вход по аккаунту

?

Вопрос 2

код для вставкиСкачать
2) категорий персонала и программно-аппаратных средств, на которые распространяется политика безопасности.
Политика безопасности организации (англ organizational security policies) - совокупность руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации.
Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
1. Определение информационных и технических ресурсов, подлежащих защите;
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации;
3. Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
4. Определение требований к системе защиты;
5. Осуществление выбора средств защиты информации и их характеристик;
6. Внедрение и организация использования выбранных мер, способов и средств защиты;
7. Осуществление контроля целостности и управление системой защиты.
Разделение обязанностей
Администрирование АС предприятия (регистрация пользователей, назначение прав доступа и проч.) осуществляют сотрудники отдела информационных технологий предприятия, наделенные функциональными правами администраторов соответствующих подсистем.
Контрольные функции и аудит возлагаются на службу информационной безопасности.
Администраторы АС имеют полномочия только на выполнение администраторских задач в системе.
Руководители подразделений отвечают за доведение положений политики безопасности до пользователей. Они обязаны:
* постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные;
* проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;
* организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем;
* информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);
* обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за безопасность и обладающего достаточной квалификацией для выполнения этой роли.
Администраторы сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для претворения в жизнь политики безопасности. Они обязаны:
* обеспечить защиту оборудования корпоративнойсети, в том числе интерфейсов с другими сетями;
* оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты;
* использовать проверенные средства аудита и обнаружения подозрительных ситуаций. Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности;
* не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну;
* разработать процедуры и подготовить инструкции для защиты локальной сети от вредоносного программного обеспечения. Оказывать помощь в обнаружении и ликвидации вредоносного кода;
* регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;
* выполнять все изменения сетевой аппаратно-программной конфигурации;
* гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам. Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
* периодически проводить проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.
Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности. Они обязаны:
* управлять правами доступа пользователей к обслуживаемым объектам;
* оперативно и эффективно реагировать на события, таящие угрозу. Оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;
* регулярно выполнять резервное копирование информации, обрабатываемой сервисом;
* выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
* ежедневно анализировать регистрационную информацию, относящуюся к сервису. Регулярно контролировать сервис на предмет вредоносного программного обеспечения;
* периодически проводить проверку надежности защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.
Пользователи обязаны работать с корпоративной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях. Они обязаны:
* знать и соблюдать законы и установленные правила, принятые в организации, политику и процедуры безопасности. Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;
* использовать механизм защиты файлов и должным образом задавать права доступа;
* выбирать пароли в соответствии с процедурами политики безопасности, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам;
* информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях;
* не использовать уязвимости в защите сервисов и корпоративной сети в целом. Не совершать неавторизованной работы с данными, не создавать помех другим пользователям;
* всегда сообщать корректную идентификационную и аутентификационную информацию, не пытаться работать от имени других пользователей;
* обеспечивать резервное копирование информации с жесткого диска своего компьютера;
* знать принципы работы вредоносного программного обеспечения, пути его проникновения и распространения. Знать и соблюдать процедуры для предупреждения проникновения вредоносного кода, его обнаружения и уничтожения;
* знать и соблюдать правила поведения в экстренных ситуациях, последовательность действий при ликвидации последствий аварий.
Управление доступом пользователей
Регистрация пользователей
Регистрация и подключение пользователей к АС предприятия происходит в соответствии с "Положением о предоставлении сотрудникам доступа к информационным ресурсам и регистрации действий пользователей при их работе с АБС, ЛВС и сети Интернет".
Идентификация и аутентификация пользователей
Идентификация и аутентификация пользователей АС предприятия проводится при включении рабочей станции - штатными средствами защиты ОС, либо использованием функций сертифицированных средств защиты от НСД, установленных на рабочей станции;
Управление привилегиями
Администратором АБС для каждого пользователя определяются и устанавливаются полномочия на вызов транзакций, а также на конкретные действия внутри транзакций, в соответствии с должностными обязанностями. Если пользователь делает попытку вызвать транзакцию или выполнить действие внутри транзакции, на которые у него нет полномочий, он получает соответствующее сообщение от системы. Каждому пользователю разрешено выполнение только тех функций и работа с теми объектами системы, на которые он имеет полномочия в соответствии со своими должностными обязанностями при работе в АС предприятия, зафиксированными в служебных записках на подключение к АС.
Обязанности пользователей
В организации имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным, программным и другим ресурсам АС организации:
* Руководители подразделений отвечают за доведение положений политики безопасности до сотрудников и пользователей, а также за контакты с ними.
* Администраторы корпоративной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для претворения в жизнь политики безопасности.
* Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.
* Пользователи обязаны работать с сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.
* Санкции. Нарушение политики безопасности может подвергнуть информационную инфраструктуру организации и циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.
* Дополнительная информация. Конкретным группам исполнителей могут потребоваться для ознакомления какие-то дополнительные документы, в частности документы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специализированные политики безопасности, перечисленные ниже. Организации меньшего размера нуждаются только в некотором подмножестве специализированных политик. Многие из этих документов поддержки могут быть довольно краткими, то есть не превышать одну-две страницы.
Использование паролей
Пароли должны держаться в тайне, то есть запрещается сообщать их другим людям или вставлять в тексты программ.
При несоблюдении правил использования паролей, установленных в "Положении о предоставлении сотрудникам предприятия доступа к информационным ресурсам и регистрации действий пользователей при их работе с АС, ЛВС и сети Интернет", пользователи несут ответственность, указанную в дальнейшем в данном документе.
Обеспечение антивирусной защиты
На всех рабочих станциях пользователей АС предприятия устанавливаются средства антивирусной защиты.
Производится постоянный антивирусный контроль программ и файлов данных на рабочих станциях АС.
Обновления антивирусных баз производится ежедневно, в автоматическом режиме.
Сотрудники должны немедленно информировать службу информационной безопасности об обнаруженных вирусах, изменениях в конфигурации или сбоях при работе компьютера или приложений.
Лица, ответственные за обеспечение защиты информации и пользователи должны соблюдать требования "Инструкции по организации антивирусной защиты автоматизированной системы предприятия.
Ответственность за нарушение Политики информационной безопасности пользователями АС предприятия.
Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией:
1. Уголовным Кодексом РФ установлена ответственность за незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну (ст.183 УК РФ), за неправомерный доступ к компьютерной информации (ст.272 УК РФ), за создание, использование и распространение вредоносных программ для ЭВМ (ст.273 УК РФ), за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст.274 УК РФ).
2. В соответствии со ст. 139 Гражданского кодекса работники, разгласившие служебную или коммерческую тайну вопреки трудовому договору, обязаны возместить причиненные убытки
. 
Документ
Категория
Разное
Просмотров
109
Размер файла
27 Кб
Теги
вопрос
1/--страниц
Пожаловаться на содержимое документа