Антиплагиат (1197929), страница 6
Текст из файла (страница 6)
31Если пользователи самостоятельно управляют 31 своими паролями, имнеобходимо изначально предоставить временный пароль, который они обязанысменить сразу после входа в систему.Пароли следует выдавать пользователям безопасным способом. Запрещеновыдавать пароли с помощью электронной почты.Временные пароли должны быть уникальны для каждого пользователя, и недолжны быть легко угадываемыми.
31Запрещено хранить пароли в компьютерных системах в незащищеннойформе.Пароли, которые были установлены по умолчанию, необходимо сменить31сразу после установки систем или программного обеспечения.2.2.5.3 Пересмотр прав доступа пользователейПрава доступа должны пересматриваться не реже, чем каждые шестьмесяцев, а также при любых изменениях, таких как увольнение, илиповышение, понижение или изменение должности.Разрешения в отношении специальных привилегированных прав доступадолжны пересматриваться каждые три месяца.Все изменения прав доступа пользователей должны регистрироваться.2.2.5.4 Обязанности пользователейВсем пользователям следует сохранять конфиденциальность паролей.Пользователи не должны записывать пароли на бумаге, в файлахпрограммного обеспечения или карманных устройствах, если не может бытьобеспечено безопасное хранение 31 пароля.Пользователи обязаны изменять пароли при появлении любого признакавозможной компрометации пароля или системы.Пользователи обязаны изменять временные пароли при первом началесеанса.При самостоятельной смене пароля пользователи должны выбиратькачественные пароли, которые легко запомнить.
31 Они не должны быть 31подвержены угадыванию или вычислению с использованием 31 личнойинформации или по словарям. Пароли не должны содержать последовательныхидентичных символов, и не должны состоять только из цифр или только из букв.Пользователи должны изменять пароли через разные интервалы времени ине использовать повторно старые пароли.Пользователям запрещено включать пароли в автоматизированный процессначала сеанса.32Вводимые пароли не должны отображаться на экране при вводе.Пароли, используемые в пределах Учреждения, не должны совпадать спаролями, используемыми сотрудниками в некоммерческих целях.Пользователи должны завершать активные сеансы по окончании работы приотсутствии соответствующего механизма блокировки, например, экраннойзаставки, защищенной паролем.Пользователи должны обеспечивать безопасность персональныхкомпьютеров от несанкционированного доступа.2.2.5.5 Контроль сетевого доступаДоступ сотрудников к внешним сетям должен контролироваться воизбежание компрометации.Необходимо определить сети и сетевые услуги, к которым разрешен доступ,процедуры авторизации для определения кому, к каким сетям 1 разрешен доступ,и мероприятия 1 по защите от несанкционированного подключения.2.2.5.6 1 Контроль и мониторинг доступа к операционной системеДля доступа к операционной системе пользователям необходимо пройтиидентификацию.
Необходимо регистрировать все успешные и неуспешныепопытки доступа к системе.Мониторинг позволяет обнаруживать отклонения от требований политикиконтроля доступа. Записи мониторинга как минимум должны содержатьидентификатор пользователя, даты и время входа и выхода.2.2.5.7 Мобильные устройства и дистанционная работаМобильное устройство – это любое устройство, которое предназначено дляобработки информации в электронном виде, и не привязано к определенному33месту (ноутбуки, планшеты, видеокамеры, смартфоны и т.п.).При использовании мобильных устройств необходимо приниматьспециальные меры для обеспечения уверенности в том, что 4 рабочаяинформация не скомпрометирована.
Политика использования мобильныхвычислительных средств должна учитывать риски, связанные с работой спереносными устройствами в незащищенной среде. 4Учреждение может разрешать дистанционную работу только при 4 условии,что применяются соответствующие соглашения о безопасности и меры исредства контроля и управления, которые, в свою очередь, согласуются сполитикой безопасности 4 Учреждения.Необходимо обеспечить защиту места дистанционной работы в отношении,например хищения оборудования и информации, несанкционированногораскрытия информации, несанкционированного удаленного доступа квнутренним системам организации или неправильного использованияоборудования. Дистанционная работа должна быть санкционирована иконтролируема руководством, и должна быть обеспечена уверенность в том, чтоимеются соответствующие меры для данного способа работы.Необходимо принимать во внимание следующее: 4предлагаемые условия дистанционной работы;требования в отношении безопасности коммуникаций, учитываяпотребность в удаленном доступе к внутренним системам организации,чувствительность информации, к которой будет осуществляться доступ икоторая будет передаваться по каналам связи, а также чувствительность самихвнутренних систем;угрозу несанкционированного доступа к информации или ресурсам состороны других лиц, использующих место дистанционной работы, напримерчленов семьи и друзей; 4политики и процедуры для предотвращения споров, касающихся прав наинтеллектуальную собственность, разработанную на оборудовании,находящемся в частной собственности; 434 4требования в отношении антивирусной защиты и межсетевых экранов.Рекомендации и необходимые организационные меры включают в 4 себя:обеспечение подходящим оборудованием и мебелью для дистанционнойработы в тех случаях, когда запрещается использование оборудования,находящегося в частной собственности, если оно не находится под контролеморганизации;определение видов разрешенной работы, времени работы, классификациюинформации, которая может поддерживаться внутренними системами иуслугами, к которым разрешен доступ сотруднику в дистанционном режиме;обеспечение подходящим телекоммуникационным оборудованием,включая методы обеспечения безопасности удаленного доступа;физическую безопасность;правила и рекомендации в отношении доступа членов семьи и друзей коборудованию и информации;обеспечение технической поддержки и обслуживания аппаратного ипрограммного обеспечения;обеспечение страхования;процедуры в отношении резервного копирования данных; 4аудит и мониторинг безопасности;аннулирование полномочий, отмену прав доступа и возвращениеоборудования в случае прекращения работы в дистанционном режиме.2.2.6 4 Управление передачей данных и операционной деятельностью 2Эксплуатационные (операционные) процедуры – это термин, которыйприменяется в отношении действий, которые выполняются одинаково(стандартно).Руководству Учреждения необходимо установить обязанности и процедурыпо управлению и функционированию средств обработки информации для35обеспечения уверенности в правильном и безопасном их функционировании.2.2.6.1 Документальное оформление эксплуатационных процедурЭксплуатационные процедуры содержат детальную инструкцию повыполнению конкретного задания.
Процедуры должны рассматриваться какофициальные документы, документироваться и строго соблюдаться. 1 Любыеизменения должны быть санкционированы и утверждены руководствомУчреждения.Процедуры включают:– обработку и управление информацией;– резервирование;– требования в отношении графика работ, а 16 также взаимосвяз ь 27 междусистемами, время начала самой ранней работы и время 10 окончания последнейработы;– инструкции по 10 уст ранению 27 ошибок или других исключительныхситуаций, которые могут 1 возникнуть в процессе выполнения работы, включаяограничения на использование системных утилит;– необходимые контакты на случай 16 возник новения неожиданныхэксплуатационных 27 или технических проблем;– специальные мероприятия по управлению выводом данных и 1 обращениюс носителями информации, к 10 примеру, использование специальной бумаги дляпечатающих устройств или управление выводом конфиденциальных данных,включая процедуры по безопасной утилизации выходных 10 данных в случаесбоев в работе;– перезапуск системы и соответствующие процедуры восстановления наслучай системных сбоев;– управление информацией, содержащейся в контрольных записях исистемных журналах.
16362.2.6.2 Управление изменениями 16Все изменения конфигурации в средствах и системах обработкиинформации должны строго контролироваться.Необходимо рассматривать следующее:– определение и регистрацию существенных изменений;– планирование и тестирование изменений;– оценку возможных последствий 10 изменений;– формализованную процедуру утверждения 10 изменений;– подробное информирование об изменениях всех заинтересованных лиц;– процедуры возврата, 10 определяющие обязанности по прерыванию ивосстановлению работы средств и систем обработки информации в 1 исходныйрежим, в случае неудачных изменений программного обеспечения. 1Информацию обо всех внесенных изменениях необходимо отражать вконтрольном журнале.2.2.6.3 Процедуры в случае нарушения информационной безопасностиДля обеспечения быстрой и эффективной реакции на нарушенияинформационной безопасности должны быть определены обязанности ипроцедуры по управлению в отношении инцидентов.
При этом необходиморассмотреть следующие мероприятия:– необходимо определить 1 процедуры в отношении всех возможных типовинцидентов нарушения информационной безопасности, 1 включающие в себясбои в информационных системах, отказ в обслуживании, ошибки вследствиенеполных или неточных данных, нарушения конфиденциальности;– в дополнение к 1 ним должны существовать процедуры выполнения такихтребований, как анализ и идентификация причины инцидента, планирование ивнедрение средств, предотвращающих повторное проявление инцидентов,использование журналов аудита и аналогичных свидетельств, 1 взаимодействие с37лицами, на которых инцидент оказал воздействие или 1 лиц, участвующих вустранении последствий, 1 информирование о действиях соответствующихдолжностных лиц;– журналы аудита и 1 подобные свидетельства должны быть собраны изащищены с 1 целью внутреннего анализа проблемы, использования какдоказательство в отношении возможного нарушения условий контракта, 1нарушений требований законодательства, или в случае 1 судебныхразбирательств, и 1 для ведения переговоров относительно компенсации ущерба споставщиками программного обеспечения и услуг;– действия по устранению сбоев и 1 последствий инцидентов нарушенияинформационной безопасности в 1 системах должны быть под тщательным 1контролем.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
