Политика (1197924), страница 2
Текст из файла (страница 2)
Все сотрудники Учреждения, работающие с информацией ограниченного доступа, должны проходить соответствующие обучения, и на регулярной основе получать обновленные варианты политик и других документов, необходимых для выполнения их рабочих функций.
Временные сотрудники и представители третьих сторон должны подписывать отдельно соглашение о соблюдении конфиденциальности до того, как им будет предоставлен доступ к средствам обработки информации.
Соглашения о соблюдении конфиденциальности следует пересматривать при изменениях условий трудового договора.
Персонал обязан уведомлять ответственного по информационной безопасности об инцидентах нарушения безопасности в соответствии с установленным порядком, по возможности, незамедлительно.
Необходимо проводить периодическое практическое тестирование готовности работников к выполнению своих должностных обязанностей по защите информации.
Ответственность за нарушение требований политики безопасности накладывается на сотрудников Учреждения в зависимости от величины причиненного ущерба и категории нарушения.
5.3 Требования к персоналу при прекращении занятости
Ответственность и служебные обязанности, продолжающие оставаться действительными после прекращения занятости, должны быть описаны в договорах с сотрудниками или третьими сторонами.
При увольнении сотрудник обязан передать уполномоченному лицу все материальные ценности Учреждения, которые были предоставлены ему для выполнения должностных обязанностей.
5.4 Повышение осведомленности сотрудников в области информационной безопасности
Проведение мероприятий, направленных на постоянное повышение осведомленности сотрудников Учреждения в области информационной безопасности, должно являться одной из задач решаемых Учреждением. Такие мероприятия могут в себя включать создание печатных материалов, содержащих информацию об обеспечении информационной безопасности в доступной форме, проведение массового обучения, в том числе и без отрыва от рабочего места и т.п.
6 Физическая безопасность
Обеспечение физической безопасности предполагает создание системы физической защиты Учреждения, создающей препятствия для бесконтрольного проникновения или доступа неуполномоченных лиц, совершение ими действий, направленных на нанесение ущерба имуществу и материальным ценностям, а также жизни и здоровью персонала.
6.1 Зоны безопасности
Периметры безопасности должны быть четко определены, а размещение и надежность каждого из периметров должны зависеть от требований безопасности активов, которые находятся в пределах периметра.
Периметры помещений, где расположены средства обработки информации, должны быть физически прочными (т.е. не должно быть никаких промежутков в периметре безопасности или мест, через которые можно было бы легко проникнуть); внешние стены помещений должны иметь твердую конструкцию, а все двери должны быть соответствующим образом защищены от несанкционированного доступа (оснащены сигнализацией, замками и т.п.); двери и окна помещений в отсутствие сотрудников необходимо запирать, и должна быть предусмотрена внешняя защита для окон.
Все аварийные выходы на случай пожара в периметре безопасности необходимо оборудовать аварийной сигнализацией, также они должны подвергаться мониторингу и тестированию вместе со стенами, чтобы создать требуемый уровень устойчивости в соответствии с применимыми региональными, национальными и международными стандартами; они должны эксплуатироваться в соответствии с местной системой противопожарных правил безотказным образом.
6.2 Контроль нахождения посторонних лиц в защищаемых помещениях
Проход посетителей или представителей сторонних организаций в помещения Учреждения, в которых хранится или обрабатывается информация ограниченного доступа, и контроль их нахождения в таких помещениях должен осуществляться в соответствии с организационно-распорядительными документами Учреждения.
Доступ сотрудников сторонних организаций в зоны безопасности или к средствам обработки чувствительной информации следует предоставлять только про необходимости. Такой доступ должен осуществляться только по предварительному согласованию со специалистом Учреждения, ответственным за организацию и проведение данного вида работ.
Сотрудники сторонних организаций должны находиться на территории Учреждения в сопровождении уполномоченных работников Учреждения.
6.3 Безопасность помещений и оборудования
Основное оборудование должно быть расположено в местах с ограничением доступа посторонних лиц.
Средства обработки и хранения важной информации следует размещать таким образом, чтобы уменьшить риск несанкционированного наблюдения за их функционированием. При использовании систем видеонаблюдения, такие системы должны быть установлены в местах, исключающих просмотр содержимого экранов автоматизированных рабочих мест, обрабатывающих информацию ограниченного доступа, а также исключающих просмотр вводимых паролей, кодов.
Меры по управлению информационной безопасностью должны свести к минимуму риск потенциальных угроз, включая воровство, пожары, затопление, перебои в электроснабжении и иных рисков.
В Учреждении необходимо определить порядок приема пищи, напитков и курения вблизи средств обработки информации.
В Учреждении должно проводиться техническое обслуживание оборудования для обеспечения его целостности и непрерывной работоспособности в соответствии с инструкциями и периодичностью, рекомендуемыми поставщиком.
Техническое обслуживание или ремонт оборудования должны производиться только квалифицированными работниками.
Каждый факт профилактического обслуживания или ремонта оборудования следует документировать.
Силовые и телекоммуникационные кабельные сети, по которым передается чувствительная информация, необходимо защищать от перехвата информации или повреждения. Необходимо рассматривать следующие мероприятия:
-
силовые и телекоммуникационные линии должны быть, по возможности, подземными или обладать адекватной альтернативной защитой;
-
сетевой кабель должен быть защищен от посторонних подключений или повреждения;
-
силовые кабели необходимо отделить от коммуникационных для исключения помех.
6.4 Политика «чистого стола» и «чистого экрана»
Чтобы исключить компрометацию информации, бумажные и электронные носители необходимо хранить в надлежащих запирающихся шкафах или других защищенных предметах мебели, когда они не используются.
Компьютеры, принтеры и терминалы должны быть выключены по окончании работы. По возможности, следует применять пароли, кодовые замки и другие мероприятия в отношении устройств, находящихся без присмотра.
Должны быть защищены пункты работы с входящей и исходящей почтой и факсимильные аппараты, находящиеся без присмотра.
Несанкционированное использование фотокопировальных устройств должно предотвращаться путем запирания на ключ или иными способами.
Документы, содержащие конфиденциальную информацию, необходимо немедленно изымать из принтеров.
6.5 Защита от внешних угроз и угроз со стороны окружающей среды
Для предотвращения ущерба от пожара, затопления и иных природных или антропогенных бедствий, необходимо:
-
резервное оборудование и носители данных требуется размещать на безопасном расстоянии для предотвращения нанесения ущерба в результате стихийного бедствия;
-
следует должным образом разместить необходимые средства пожаротушения.
6.6 Работа в зонах безопасности
Для предотвращения возможности злонамеренных действий в зонах безопасности необходимо выполнять необходимые работы только под надлежащем контролем уполномоченного персонала.
Пустующие зоны безопасности необходимо запирать и периодически проверять их состояние.
6.7 Поддерживающие услуги
Все поддерживающие услуги, включающие в себя водоснабжение, электроснабжение, отопление, вентиляцию, канализацию и кондиционирование воздуха, необходимо время от времени проверять, чтобы уменьшить риски нарушения безопасности, связанные с неисправностью этих услуг или их отказом.
Все оборудование, на котором обрабатывается важная информация, необходимо подключать через источники бесперебойного питания для обеспечения его непрерывного и безопасного функционирования.
6.8 Утилизация оборудования
Носители данных, которые содержат информацию ограниченного доступа, необходимо разрушать физически, или удалить содержащуюся информацию таким способом, чтобы исходная информация оказалась невосстановимой. Запрещено использовать стандартные функции форматирования таких носителей.
7 Контроль доступа
Политика контроля доступа должна быть документально оформлена и регулярно пересматриваться.
При составлении правил управления доступом необходимо принять во внимание:
-
различие между правилами, которые обязательны для выполнения, и рекомендациями, которые не являются обязательными;
-
правила должны основываться на предпосылке «все в общем случае запрещено, пока явно не разрешено»;
-
изменения в правах пользователя, которые могут устанавливаться администратором или автоматически.
7.1 Управление доступом пользователей
Каждый пользователь должен иметь свой уникальный идентификатор. Идентификатор учетной записи пользователя должен быть составлен таким образом, чтобы не позволить не уполномоченным лицам установить личность пользователя по своему составу.
Необходимо проверить, что уровень доступа пользователя не нарушает принципа разграничения обязанностей и согласуется с политикой безопасности.
Пользователям необходимо предоставить письменное заявление об их правах доступа, и потребовать подписать это заявление.
Необходимо незамедлительно отменить или блокировать права доступа пользователей, у которых изменилась роль или рабочее место, либо которые уволились из Учреждения.
Должна проводиться периодическая проверка и удаление или блокирование избыточных пользовательских идентификаторов и учетных записей.
7.2 Управление паролями пользователей
Каждый пользователь должен подписать заявление о сохранении в тайне личных паролей. Такое заявление может быть включено в условия и положения занятости.
Если пользователи самостоятельно управляют своими паролями, им необходимо изначально предоставить временный пароль, который они обязаны сменить сразу после входа в систему.
Пароли следует выдавать пользователям безопасным способом. Запрещено выдавать пароли с помощью электронной почты.
Временные пароли должны быть уникальны для каждого пользователя, и не должны быть легко угадываемыми.
Запрещено хранить пароли в компьютерных системах в незащищенной форме.
Пароли, которые были установлены по умолчанию, необходимо сменить сразу после установки систем или программного обеспечения.
7.3 Пересмотр прав доступа пользователей
Права доступа должны пересматриваться не реже, чем каждые шесть месяцев, а также при любых изменениях, таких как увольнение, или повышение, понижение или изменение должности.
Разрешения в отношении специальных привилегированных прав доступа должны пересматриваться каждые три месяца.
Все изменения прав доступа пользователей должны регистрироваться.
7.4 Обязанности пользователей
Всем пользователям следует сохранять конфиденциальность паролей.
Пользователи не должны записывать пароли на бумаге, в файлах программного обеспечения или карманных устройствах, если не может быть обеспечено безопасное хранение пароля.
Пользователи обязаны изменять пароли при появлении любого признака возможной компрометации пароля или системы.
Пользователи обязаны изменять временные пароли при первом начале сеанса.
При самостоятельной смене пароля пользователи должны выбирать качественные пароли, которые легко запомнить. Они не должны быть подвержены угадыванию или вычислению с использованием личной информации или по словарям. Пароли не должны содержать последовательных идентичных символов, и не должны состоять только из цифр или только из букв.
Пользователи должны изменять пароли через разные интервалы времени и не использовать повторно старые пароли.
Пользователям запрещено включать пароли в автоматизированный процесс начала сеанса.
Вводимые пароли не должны отображаться на экране при вводе.
Пароли, используемые в пределах Учреждения, не должны совпадать с паролями, используемыми сотрудниками в некоммерческих целях.
Пользователи должны завершать активные сеансы по окончании работы при отсутствии соответствующего механизма блокировки, например, экранной заставки, защищенной паролем.
Пользователи должны обеспечивать безопасность персональных компьютеров от несанкционированного доступа.
7.5 Контроль сетевого доступа
Доступ сотрудников к внешним сетям должен контролироваться во избежание компрометации.
Необходимо определить сети и сетевые услуги, к которым разрешен доступ, процедуры авторизации для определения кому, к каким сетям разрешен доступ, и мероприятия по защите от несанкционированного подключения.
7.6 Контроль и мониторинг доступа к операционной системе
Для доступа к операционной системе пользователям необходимо пройти идентификацию. Необходимо регистрировать все успешные и неуспешные попытки доступа к системе.
Мониторинг позволяет обнаруживать отклонения от требований политики контроля доступа. Записи мониторинга как минимум должны содержать идентификатор пользователя, даты и время входа и выхода.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
