Антиплагиат (1197929), страница 5
Текст из файла (страница 5)
Такиемероприятия могут в себя включать создание печатных материалов,25содержащих информацию об обеспечении информационной безопасности вдоступной форме, проведение массового обучения, в том числе и без отрыва отрабочего места и т.п.2.2.4 Физическая безопасностьОбеспечение физической безопасности предполагает создание системыфизической защиты Учреждения, создающей препятствия для бесконтрольногопроникновения или доступа неуполномоченных лиц, совершение ими действий,направленных на нанесение ущерба имуществу и материальным ценностям, атакже жизни и здоровью персонала.2.2.4.1 Зоны безопасностиПериметры безопасности должны быть четко определены, а размещение инадежность каждого из периметров должны зависеть от требованийбезопасности активов, 10 которые находятся в пределах периметра.Периметры помещений, где расположены средства обработки информации,должны быть физически прочными (т.е.
не должно быть никаких промежутков впериметре 10 безоп асности 26 или мест, через которые можно было бы легкопроникнуть); внешние стены помещений должны иметь твердую конструкцию,а все 10 двери должны быть соответствующим образом защищены от 10несанкционированного доступа (оснащены сигнализацией, замками и т.п.);двери и окна помещений в отсутствие сотрудников 10 необходимо запирать, идолжна быть предусмотрена внешняя защита для окон.Все аварийные выходы на случай пожара в периметре безопасности 10необходимо оборудовать аварийной сигнализацией, также они должныподвергаться мониторингу и тестированию вместе со стенами, чтобы создатьтребуемый уровень устойчивости в соответствии с применимымирегиональными, национальными и международными стандартами; они должны 1026эксплуатироваться в соответствии с местной системой противопожарных правилбезотказным образом.2.2.4.2 10 Контроль нахождения посторонних лиц в защищаемых помещенияхПроход посетителей или представителей сторонних организаций впомещения Учреждения, в которых хранится или обрабатывается информацияограниченного доступа, и контроль их нахождения в таких помещениях долженосуществляться в соответствии с организационно-распорядительнымидокументами Учреждения.Доступ сотрудников сторонних организаций в зоны безопасности или ксредствам обработки чувствительной информации 10 следует предоставлять только 1про необходимости.
Такой доступ должен осуществляться только попредварительному согласованию со специалистом Учреждения, ответственнымза организацию и проведение данного вида работ.Сотрудники сторонних организаций должны находиться на территорииУчреждения в сопровождении уполномоченных работников Учреждения.2.2.4.3 Безопасность помещений и оборудованияОсновное оборудование должно быть расположено в местах с ограничениемдоступа посторонних лиц. 1Средства обработки и хранения важной информации следует размещать 1таким образом, чтобы уменьшить риск несанкционированного наблюдения заих функционированием. 1 При использовании систем видеонаблюдения, такиесистемы должны быть установлены в местах, исключающих просмотрсодержимого экранов автоматизированных рабочих мест, обрабатывающихинформацию ограниченного доступа, а также исключающих просмотрвводимых паролей, кодов.Меры по управлению информационной безопасностью должны свести к 127минимуму риск потенциальных угроз, включая воровство, 1 пожары, затопление,перебои в электроснабжении и иных рисков.В Учреждении необходимо определить порядок приема пищи, напитков икурения вблизи средств обработки информации.В 1 Учреждении должно проводиться техническое обслуживаниеоборудования для обеспечения его целостности и непрерывнойработоспособности в соответствии с инструкциями и периодичностью,рекомендуемыми поставщиком.Техническое обслуживание или ремонт оборудования должныпроизводиться только квалифицированными работниками.Каждый факт профилактического обслуживания или ремонта оборудованияследует документировать.Силовые и телекоммуникационные кабельные сети, по которым передаетсячувствительная информация, необходимо защищать от перехвата информацииили повреждения.
Необходимо рассматривать следующие мероприятия:силовые и телекоммуникационные линии 1 должны быть, по возможности,подземными или обладать адекватной альтернативной защитой;сетевой кабель должен быть защищен от 1 посторонних подключений илиповреждения; 10силовые кабели необходимо отделить от коммуникационных дляисключения помех.2.2.4.4 Политика «чистого стола» и «чистого экрана» 2Чтобы исключить компрометацию информации, 1 бумажные и электронныеносители 1 нео бходимо хранить в надлежащих запирающихся шкафах или другихзащищенных предметах 27 мебели, 27 когда они не используются.
1Компьютеры, принтеры и терминалы должны быть выключены поокончании работы. По возможности, следует применять пароли, кодовые замкии другие мероприятия в отношении устройств, находящихся без присмотра. 628 6Должны быть защищены пункты работы с входящей и исходящей почтой ифаксимильные аппараты, находящиеся без присмотра. 44Несанкционированное использование фотокопировальных устройств должнопредотвращаться путем запирания на ключ или иными способами.Документы, содержащие конфиденциальную информацию, необходимонемедленно изымать из принтеров.2.2.4.5 Защита от внешних угроз и угроз со стороны окружающей среды 10Для предотвращения ущерба от пожара, затопления и иных природных илиантропогенных бедствий, необходимо:резервное оборудование и носители данных 10 требуется размещать набезопасном расстоянии 10 для предотвращения нанесения ущерба в результатестихийного бедствия;следует должным образом разместить необходимые средствапожаротушения.2.2.4.6 Работа в зонах безопасности 10Для предотвращения возможности злонамеренных действий в зонахбезопасности необходимо 10 выполнять необходимые работы только поднадлежащем контролем уполномоченного персонала.Пустующие зоны безопасности необходимо запирать и периодическипроверять их состояние.2.2.4.7 Поддерживающие услугиВсе поддерживающие услуги, включающие в себя водоснабжение,29электроснабжение, отопление, вентиляцию, канализацию и кондиционированиевоздуха, необходимо время от времени проверять, чтобы уменьшить рискинарушения безопасности, связанные с неисправностью этих услуг или ихотказом.Все оборудование, на котором обрабатывается важная информация,необходимо подключать через источники бесперебойного питания дляобеспечения его непрерывного и безопасного функционирования.2.2.4.8 Утилизация оборудованияНосители данных, которые содержат информацию ограниченного доступа,необходимо разрушать физически, или удалить содержащуюся информациютаким способом, чтобы исходная информация оказалась невосстановимой.Запрещено использовать стандартные функции форматирования такихносителей.2.2.5 Контроль доступаПолитика контроля доступа должна быть документально оформлена ирегулярно пересматриваться.При составлении правил управления доступом необходимо принять вовнимание:различие между правилами, которые обязательны для выполнения, ирекомендациями, которые не являются обязательными;правила должны основываться на предпосылке «все в общем случаезапрещено, пока явно не разрешено»; 31изменения в правах пользователя, которые могут устанавливатьсяадминистратором или автоматически.2.2.5.1 Управление доступом пользователей30Каждый пользователь должен иметь свой уникальный идентификатор.Идентификатор учетной записи пользователя должен быть составлен такимобразом, чтобы не позволить не уполномоченным лицам установить личностьпользователя по своему составу.Необходимо проверить, что уровень доступа пользователя не нарушаетпринципа разграничения обязанностей и 31 согласуется с политикой безопасности.
31Пользователям необходимо предоставить письменное заявление об ихправах доступа, и потребовать подписать это заявление.Необходимо незамедлительно отменить или блокировать права доступапользователей, у которых 31 изменилась роль или рабочее место, 31 либо которыеуволились из Учреждения.Должна проводиться периодическая проверка и удаление или блокированиеизбыточных пользовательских идентификаторов и учетных записей.2.2.5.2 31 Управление паролями пользователейКаждый пользователь должен подписать заявление о сохранении в тайнеличных паролей. Такое заявление может быть включено в условия и положениязанятости.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
