ТОП авторов и книг ИСКАТЬ КНИГУ В БИБЛИОТЕКЕ
Мероприятия защиты проводятся для обеспечения физической и логической целостности, а также для предупреждения несанкционированного получения, распространения и модификации информации. Меры защиты подразумевают обязательное наличие ответственного за защиту информации в ИС лица, выработку и неукоснительное соблюдение организационных мер, а также
постоянный контроль со стороны службы безопасности (СБ).
1.2. ОПРЕДЕЛЕНИЯ
Ресурс - компонент ИС (аппаратные средства, программное обеспечение, данные), в отношении которого необходимо обеспечивать безопасность, т. е. конфиденциальность, целостность и доступность.
Конфиденциальность ресурса - свойство ресурса быть доступным только авторизованному субъекту ИС, и одновременно быть недоступным для неавторизованного субъекта или нарушителя.
Целостность ресурса - обеспечение его правильности и работоспособности в любой момент времени. I
Доступность ресурса - обеспечение беспрепятственного до- | ступа к нему авторизованного субъекта ИС. |
Субъекты ИС - пользователи, технический персонал, обеспечивающий работу системы, администрация ИС, администрация предприятия и контролирующие службы.
Авторизованный субъект - субъект ИС, пользовательские функции которого, а также права и обязанности по отношению к данного уровня ресурсам и информации определены его должностной инструкцией, либо другими административными
актами.
АРМ - автоматизированное рабочее место, персональное,
созданное на основе персональной электронной вычислительной машины.
2. Допуск к использованию ресурсов.
2.1. ОБЩИЕ ПОЛОЖЕНИЯ
Допуск к работе с конфиденциальными документами имеют сотрудники Предприятия, в том числе и находящиеся на испытательном сроке, которые: 1) ознакомлены под роспись с настоящим Положением; 2) ознакомлены под роспись с Инструкцией по защите конфиденциальной информации в информационной системе предприятия; 3) подписали Соглашение о неразглашении конфиденциальной информации:
4) занимают должности, указанные в Перечне документов Предприятия, содержащих конфиденциальную информацию. Запрещается допускать к работе с конфиденциальными документами других лиц, кем бы они не являлись, без письменного разрешения генерального директора.
Конфиденциальные документы по статусу, типу документа, параметрам допуска систематизированы в «Перечне документов Предприятия, содержащих конфиденциальную информацию».
Под допуском подразумевается официальное присвоение
сотруднику Предприятия конкретного статуса, дающего ему возможность использовать ресурсы ИС и обмена данными на заданном четко категорированном уровне и в ограниченном должностными обязанностями (не превышающем его непосредственные задачи) объеме.
Обязанности по присвоению статуса возлагаются на руководителя подразделения или специально назначенного сотрудника. При этом он должен руководствоваться принципами разумного ограничения возможностей и разграничения доступа к различным информационным массивам. Он несет ответственность за регистрацию и предоставление (изменение) полномочий.
Все пользователи подлежат учету по категориям установленного допуска и другим системным параметрам.
3. Доступ к использованию ресурсов. Регистрация пользователей
Доступ к использованию ресурсов имеют сотрудники, получившие допуск определенного уровня, соответствующий, как правило, занимаемой должности, с соблюдением всей процедуры оформления допуска, и зарегистрированные у системного администратора (ответственного должностного лица).
3.1. СПЕЦИАЛЬНЫЕ ВОПРОСЫ ДОСТУПА К ИСПОЛЬЗОВАНИЮ РЕСУРСОВ.
3.1.1. Определение расширенного доступа, т. е. привилегий системного администратора.
Привилегии системного администратора, кроме тех сотрудников, которым должностными обязанностями предписано выполнять работы по эксплуатации и ремонту ресурсов, имеют право получать представители руководства Предприятия, СБ и другие должностные лица по согласованию со специально назначенным сотрудником и с разрешения генерального директора. Все лица, имеющие права системного администратора, подлежат отдельному учету в СБ.
3.1.2. Доступ к работе с авторским (лицензионным) программным обеспечением (ПО).
При наличии в ИС или ее компонентах авторских либо лицензионных программ они должны быть соответствующим образом, ясным для пользователя, помечены; там же должны быть указаны все ограничения, связанные с работой с данным
ПО. Однозначно (по умолчанию) запрещается их копирование.
3.1.3. Доступ к исследованию сетевых служб.
Действия пользователей по исследованию сетевых служб и конфигурации системных программ проводиться не должны и являются наказуемыми. Запрещен любой вид деятельности в этом направлении (просмотр и модификация сетевых, системных, других не предназначенных для чтения файлов и пр.).
4. Хранение носителей конфиденциальной информации в ИС.
За организацию хранения и сохранность конфиденциальной информации Предприятия отвечает его руководитель. Общий процесс хранения регламентирован в Положении о конфиденциальной информации.
Магнитные носители конфиденциальной информации хранятся в недоступном для посторонних лиц месте (сейф, металлический шкаф, файл-бокс), исключающем несанкционированный доступ и пользование ими.
Сейф (несгораемый металлический шкаф) должен быть постоянно закрыт на ключ, а в нерабочее время опечатан.
В подразделении должен быть один комплект ключей от сейфов - у руководителя подразделения (ответственного сотрудника Предприятия).
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44
постоянный контроль со стороны службы безопасности (СБ).
1.2. ОПРЕДЕЛЕНИЯ
Ресурс - компонент ИС (аппаратные средства, программное обеспечение, данные), в отношении которого необходимо обеспечивать безопасность, т. е. конфиденциальность, целостность и доступность.
Конфиденциальность ресурса - свойство ресурса быть доступным только авторизованному субъекту ИС, и одновременно быть недоступным для неавторизованного субъекта или нарушителя.
Целостность ресурса - обеспечение его правильности и работоспособности в любой момент времени. I
Доступность ресурса - обеспечение беспрепятственного до- | ступа к нему авторизованного субъекта ИС. |
Субъекты ИС - пользователи, технический персонал, обеспечивающий работу системы, администрация ИС, администрация предприятия и контролирующие службы.
Авторизованный субъект - субъект ИС, пользовательские функции которого, а также права и обязанности по отношению к данного уровня ресурсам и информации определены его должностной инструкцией, либо другими административными
актами.
АРМ - автоматизированное рабочее место, персональное,
созданное на основе персональной электронной вычислительной машины.
2. Допуск к использованию ресурсов.
2.1. ОБЩИЕ ПОЛОЖЕНИЯ
Допуск к работе с конфиденциальными документами имеют сотрудники Предприятия, в том числе и находящиеся на испытательном сроке, которые: 1) ознакомлены под роспись с настоящим Положением; 2) ознакомлены под роспись с Инструкцией по защите конфиденциальной информации в информационной системе предприятия; 3) подписали Соглашение о неразглашении конфиденциальной информации:
4) занимают должности, указанные в Перечне документов Предприятия, содержащих конфиденциальную информацию. Запрещается допускать к работе с конфиденциальными документами других лиц, кем бы они не являлись, без письменного разрешения генерального директора.
Конфиденциальные документы по статусу, типу документа, параметрам допуска систематизированы в «Перечне документов Предприятия, содержащих конфиденциальную информацию».
Под допуском подразумевается официальное присвоение
сотруднику Предприятия конкретного статуса, дающего ему возможность использовать ресурсы ИС и обмена данными на заданном четко категорированном уровне и в ограниченном должностными обязанностями (не превышающем его непосредственные задачи) объеме.
Обязанности по присвоению статуса возлагаются на руководителя подразделения или специально назначенного сотрудника. При этом он должен руководствоваться принципами разумного ограничения возможностей и разграничения доступа к различным информационным массивам. Он несет ответственность за регистрацию и предоставление (изменение) полномочий.
Все пользователи подлежат учету по категориям установленного допуска и другим системным параметрам.
3. Доступ к использованию ресурсов. Регистрация пользователей
Доступ к использованию ресурсов имеют сотрудники, получившие допуск определенного уровня, соответствующий, как правило, занимаемой должности, с соблюдением всей процедуры оформления допуска, и зарегистрированные у системного администратора (ответственного должностного лица).
3.1. СПЕЦИАЛЬНЫЕ ВОПРОСЫ ДОСТУПА К ИСПОЛЬЗОВАНИЮ РЕСУРСОВ.
3.1.1. Определение расширенного доступа, т. е. привилегий системного администратора.
Привилегии системного администратора, кроме тех сотрудников, которым должностными обязанностями предписано выполнять работы по эксплуатации и ремонту ресурсов, имеют право получать представители руководства Предприятия, СБ и другие должностные лица по согласованию со специально назначенным сотрудником и с разрешения генерального директора. Все лица, имеющие права системного администратора, подлежат отдельному учету в СБ.
3.1.2. Доступ к работе с авторским (лицензионным) программным обеспечением (ПО).
При наличии в ИС или ее компонентах авторских либо лицензионных программ они должны быть соответствующим образом, ясным для пользователя, помечены; там же должны быть указаны все ограничения, связанные с работой с данным
ПО. Однозначно (по умолчанию) запрещается их копирование.
3.1.3. Доступ к исследованию сетевых служб.
Действия пользователей по исследованию сетевых служб и конфигурации системных программ проводиться не должны и являются наказуемыми. Запрещен любой вид деятельности в этом направлении (просмотр и модификация сетевых, системных, других не предназначенных для чтения файлов и пр.).
4. Хранение носителей конфиденциальной информации в ИС.
За организацию хранения и сохранность конфиденциальной информации Предприятия отвечает его руководитель. Общий процесс хранения регламентирован в Положении о конфиденциальной информации.
Магнитные носители конфиденциальной информации хранятся в недоступном для посторонних лиц месте (сейф, металлический шкаф, файл-бокс), исключающем несанкционированный доступ и пользование ими.
Сейф (несгораемый металлический шкаф) должен быть постоянно закрыт на ключ, а в нерабочее время опечатан.
В подразделении должен быть один комплект ключей от сейфов - у руководителя подразделения (ответственного сотрудника Предприятия).
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44