Отчет антиплагиат (полный) (Определение норм и правил менеджмента информационной безопасности в государственном органе власти), страница 6

При созданииконтролируемой зоны необходимо:– точно определен периметр контролируемой зоны;– создать пропускной пункт для обеспечения контролируемогодоступа в пределы контролируемой зоны.Нужно обеспечить контроль доступа в контролируемую зону черезпропускной пункт, для этого нужно рассмотреть:– регистрацию всех проходов через пропускной пункт с регистрациейдаты и времени;– сопровождение посторонних, не имеющих доступ в пределыконтролируемой зоны;– доступ в помещения, где находится информация и средстваобработки информации должен быть только у авторизированныхлиц;– правила доступа нужно периодически пересматривать.332.7.1.1 Защита от внешних угроз и окружающей средыВ организации должна быть разработана защиты от стихийных бедствий,для этого нужно:– хранить материалы (например, легковоспламеняющиеся илибольшие количества бумаги) на расстоянии от контролируемой зоныили таким образом, чтобы уменьшить их влияние в случаестихийного бедствия;– организовать хранение резервного оборудования так, чтобы оно небыло повреждено в результате стихийного бедствия.2.7.1.2 Работы в контролируемой зонеПри проведении работ в контролируемой зоне, нужно обеспечитьбезопасность и устранение возможности неконтролируемого нахожденияпосторонних.

Пребывание посторонних должно контролироваться, должнабыть ограничена возможность доступа в ненужные для работы помещения идолжно быть запрещено использование записывающего оборудования.2.7.2 Обеспечение безопасности технических средствВ организации должна быть создана контролируемая зона, в пределахкоторой находятся технические средства.Необходимые мероприятия по обеспечению доступом к техническимсредствам:– создание списка сотрудников, имеющих доступ к техническихсредствам и средствами защиты;– ведение журнала учёта.Оборудование нужно устанавливать таким образом, чтобы взаимодействиесотрудников с ним было минимальным. Технические средства должны бытьопечатаны. Устройства вывода, к которым относятся мониторы, принтеры,34необходимо разместить так, чтобы исключить несанкционированныйпросмотр информации.

Размещать устройства вывода стоит размещать заднейчастью по отношению к окнам и дверным проёмам.Всё оборудование должно иметь средства бесперебойного питания, воизбежание повреждений в результате нарушений электропитания.В случаях, когда технические средства отправляются на списание,необходимо произвести уничтожение данных путём удаления илиперезаписи, или уничтожение самих носителей.Сотрудникам должно быть запрещено подключать личные съемныеносители, периферийные устройства.Технические средства должны проходить техническое обслуживаниетолько сотрудниками, имеющими полномочия сотрудниками. Еслитехническое обслуживание производится сторонней организацией, тонеобходимо перед передачей технического средства нужно извлекать всеносители информации. Извлечённые носители нужно описать.2.7.3 Безопасность силовых линий и каналов связиСиловые кабели и каналы связи нужно располагать так, чтобы уменьшитьвероятность их повреждений и перехвата информации.

Для этого нужно:– силовые кабели должны быть отделены от линий передачиинформации;– к линиям передачи информации не должно быть возможностипосторонних подключений.2.8Управление доступом2.8.1 Требования организации по управлению доступомВ организации должны существовать правила управления доступом.35Правила управления доступом для каждого пользователя или группыпользователей должны быть оформлены документально и пересматриваться.Управление доступом должно использоваться в организации, дляразграничения доступа сотрудников к информационным системам.Технические средства нужно настраивать таким образом, чтобы пользовательне мог получить доступ к информационным ресурсам, которые не связаны сего деятельностью.Для каждого пользователя должна быть сформирована собственнаяучётная запись.

Ей нужно присвоить необходимый идентификационныйномер или имя, и пароль.Должны быть установлены правила создания идентификаторов и паролей.Должна быть возможность сгенерировать первоначальные параметры учётнойзаписи.2.8.2 Учётные записиВ организации нужно реализовать создание учётных записейпользователей. При создании и уничтожении учётных записей нужнопредусмотреть следующее:– идентификаторы пользователей должны быть уникальны и должныбыть привязаны только к одному пользователю;– удостовериться, что права доступа учётной записи соответствуютдолжности сотрудника;– пользователь должен ознакомиться со своими правами доступа инужно потребовать от пользователя подписать документ обознакомлении.Нужно назначить период, после которого необходимо осуществлятьпересмотр прав доступа.

Если в трудовой деятельности сотрудникапроизошли изменения (например, переход на новую должность или36увольнение), то нужно не дожидаясь срока пересмотра, обновить правадоступа учётной записи. Привилегированные учётные записи тоже должныпересматриваться с таким же сроком как у обычных учётных записей, либоменьшим.Должно быть назначено ответственное лицо, в обязанности которого будетвходить создание, выдача и уничтожение учётных записей.2.8.2.1 Привилегированные учётные записиТакие учётные записи должны существовать только для тех сотрудников,которым они необходимы и могут быть связанны с установкой, изменениемконфигураций технических средств.

Количество таких учетных записейдолжно быть чётко регламентировано и пересмотр привилегированныхучетных записей должен осуществляться чаще, чем обычных учетныхзаписей.При создании привилегированных учетных записей нужно предусмотреть:– определение привилегий для каждого программного обеспечения(например, системы управления базами данных);– должны назначаться только те привилегии, которые необходимы длявыполнения должностных обязанностей и только в случаенеобходимости.2.8.2.2 Управление паролями пользователейПароли в организации должно выдавать уполномоченное лицо. Нужнорассмотреть следующие требования к паролям:– пароль должен состоять определённого количества символов исодержать цифры, заглавные и строчные латинские символы, и37спецсимволы;– алфавит для пароля должен содержать определённое количествосимволов;– каждый пароль должен существовать некоторое время, после которогонужно производить его смену, таким образом, нужно установитьминимальный и максимальный срок действия пароля, а такжепредусмотреть запрет использования предыдущих паролей;– после обозначенного количества попыток ввода пароля учётная записьдолжна быть заблокирована на пятнадцать минут;– нужно определить максимальный срок действия пароля, после которогонеобходима его смена;– временные пароли необходимо выдавать пользователю безиспользования незащищенных каналов связи;– временные пароли должны создаваться также, как и обычные паролипользователей и не должны быть легко угадываемыми;– стандартные пароли программного, технического обеспечения привводе в эксплуатацию необходимо изменять.2.8.3 Обязанности пользователейПользователи должны быть осведомлены о своих обязанностях вотношении паролей и безопасности оборудования, с которым они работают.

75Пользователи не должны:– записывать пароли на бумажные носители;– разглашать пароли;– использовать пароли, выданные в организации в частных целях.Пользователь должен знать о требования безопасности по отношению коставленному без присмотра оборудованию. В случае утерянного илизабытого пароля сотрудник должен обращаться к уполномоченному лицу.38Если оборудование будет находиться без присмотра длительное время, тонеобходимо применять средства защиты от несанкционированного доступаили использовать блокировку с клавиатуры.В организации должна существовать политика «чистого стола» и «чистогоэкрана».2.8.4 Управление доступом в информационных сетях2.8.4.1 Использование сетевых услугВ сетях организации могут существовать сетевые ресурсы, доступ ккоторым должен быть разделен в зависимости от должностей сотрудников.Поэтому нужно создать контролируемый доступ, как во внутреннюю сеть, таки в сети общего пользования.Для этого необходимо описать:– существующие сети и сетевые ресурсы, к которым разрешен доступ;– способы авторизации в сети для предоставления доступа кнеобходимым ресурсам;– средства, осуществляющие организацию доступа к сети и сетевымресурсам.Если в организации существуют пользователи, которым нужноподключаться к сети удалённо, то нужно применять средствакриптографической защиты, такие как криптошлюзы или использоватьзащищенные каналы связи, например, используя виртуальные частные сети.2.8.4.2 Аутентификация пользователей с внешних соединенийПри необходимости удаленного доступа сотрудника нужно использоватьсоответствующие методы аутентификации.

Нужно использовать протоколыудаленной аутентификации, протоколы типа «вызов-ответ» или виртуальные39частные сети.2.8.4.3 Защита портов диагностикиНа персональных компьютерах и сетевых средствах могут существоватьпорты для удалённой диагностики. Через такие порты может осуществлятьсянесанкционированный доступ. Доступ к таким портам должен бытьконтролируемым. Если на данный момент времени эти порты неиспользуются, то необходимо произвести их блокировку.Также существуют физические порты диагностики технических средств.Такие порты должны быть заблокированы и е ним должен иметь доступтолько определенных круг технических специалистов организации.2.8.4.4 Разделения в локальных сетяхПри наличии в организации крупных сетей, нужно использоватьразделение этих сетей на домены.