Антиплагиат (1197929), страница 7
Текст из файла (страница 7)
Необходимо наличие процедур с целью обеспечения уверенности втом, что: 1 доступ к данным и системам предоставлен толькоидентифицированному и авторизованному персоналу, целостность системподтверждена в минимальные сроки,а также все действия, предпринятые причрезвычайных обстоятельствах, подробно документально оформлены, 1проанализированы в установленном порядке и о 6 таких действиях сообщеноруководству 6 Учреждения.2.2.6.4 Разделение обязанностейРазделение обязанностей – это способ сведения к минимуму рисканецелевого использования систем вследствие ошибочных или злонамеренныхдействий пользователей.
Необходимо предпринять 10 меры предосторожности,чтобы ни один сотрудник 10 Учреждения не мог осуществлять доступ, 10 изменятьили использовать активы 10 без авторизации, или остаться не обнаруженным.Инициирование события должно быть отделено от его авторизации. Приразработке мер и средств контроля и управления следует учитывать опасностьсговора – в 10 отношении таких видов деятельности необходимо обеспечить38разграничение полномочий среди нескольких лиц.2.2.6.5 Планирование и приемка системТребования к производительности должны быть определены для всех новыхи уже имеющихся видов деятельности.
Следует проводить настройку и контрольсистем для обеспечения 10 доступности и эффективности систем, а 10 такжеприменять выявляющие меры и средства контроля и управления, своевременноуказывающие на проблемы. 10 При этом необходимо уделять особое вниманиересурсам, требующим длительного времени на закупку или больших расходов. 10Эта информация должна использоваться руководством для выявленияпотенциально узких мест и зависимости от ключевого персонала, который могбы представлять угрозу безопасности систем или сервисов, и планированиясоответствующего действия.
10Перед приемкой систем должны быть определены критерии приемки новыхинформационных систем, новых версий и обновлений, а также должнопроводиться 1 их тестирование. До приемки системы необходимопредусматривать следующие мероприятия:– выполнение требований к мощности и производительности компьютера;– определение процедур восстановления после сбоев и 1 перезапуска, а 10 такжепланы действий в чрезвычайных ситуациях;– подготовка и тестирование типовых операционных процедур насоответствие установленным стандартам;– наличие 10 необходимого набора средств 1 управления и контроляинформационной безопасности;– разработка эффективных руководств по процедурам;– обеспечение непрерывности 1 работы;– обязательная проверка и документальное подтверждение того, чтоотсутствует неблагоприятное влияние новых систем на уже существующие;– документальное подтверждение того, что влияние, оказываемое новой39системой на общую информационную безопасность организации, было учтено;– простота использования, так как это влияет на производительность работыпользователя и позволяет избежать ошибок.На всех этапах разработки новых систем должны привлекаться службыподдержки 1 для консультаций, а также конечные пользователи с цельюобеспечения эффективной эксплуатации проектируемой системы.
1 Должныпроводиться соответствующие тесты для подтверждения того, что все критерииприемки 1 выполнены в полном объеме.2.2.6.6 Защита от вредоносного программного обеспеченияВ целях осуществления защиты информации от несанкционированногокопирования, модификации и разрушения данных, используемых вдеятельности Учреждения, а также нарушения работы используемогопрограммного обеспечения при воздействии вирусов и других вредоносныхпрограмм необходимо разработать комплекс организационно-техническихмероприятий по обеспечению информационной безопасности.Защита от вредоносных программ должна основываться на:– обнаружении 8 вредоносных программ и восстановлении программногообеспечения;– на понимании требований безопасности;– на мерах и средствах контроля и управления соответствующего доступа ксистеме и 8 управления изменениями.Мероприятия по обеспечению 1 защиты от вредоносного программногообеспечения:– 1 создание официальной политики, которая устанавливает запрет наиспользование нелицензионного программного обеспечения;– создание официальной политики защиты от рисков, связанных сполучением файлов и программного обеспечения 8 как из внешних сетей, 8 так и излюбых других источников, с указанием предпринимаемых мер безопасности;40– проведение регулярного анализа программного обеспечения и данныхсистем.
Также необходимо расследовать причины наличия любыхнеавторизованных или измененных файлов;– определение управленческих процедур и обязанностей, связанных сзащитой от вирусов, тренинг их использования, а также оповещение ивосстановление после вирусных атак;– подготовка соответствующих планов по обеспечению непрерывности 8деятельности учреждения в части восстановления после атак вредоноснойпрограммы, в 8 которые должны входить работы по резервированию ивосстановлению данных и программного обеспечения;– регулярный мониторинг информации о вредоносном программномобеспечении, например, оформлением подписки на почтовую рассылку илипроверяя web-сайты, дающие информацию о новой вредоносной программе;– реализовать процедуры 8 по контролю информации, касающейсявредоносной программы, и обеспечить точность и информативностьпредупредительных сообщений.
8 Ознакомить пользователей с проблемойложных вирусов и действиях при их получении.– в качестве меры предупреждающего характера осуществить установку ирегулярное обновление антивирусного программного обеспечения для 1сканирования компьютеров и носителей информации. 1 Данное программноеобеспечение должно обеспечивать проверку всех файлов на электронных илиоптических носителях и файлов, полученных из сетей 8 на наличие вредоноснойпрограммы 8 перед их использованием; проверку любых вложений электроннойпочты 8 до их использования на наличие вредоносной программы ( 8 как насерверах электронной почты, 8 так и настольных компьютерах или при входе всеть организации); проверку web-страниц на наличие вредоносной программы. 8Для повышения эффективности защиты от вредоносного программногообеспечения рекомендуется одновременно использовать два и болеепрограммных продукта различных разработчиков.412.2.6.7 Резервирование информацииДля поддержания целостности и доступности важной информации ипрограммного обеспечение необходимо в соответствии с установленнойполитикой регулярно производить резервное копирование.Для упрощения процесса 8 резервного копирования и восстановлениямероприятия по резервированию могут быть автоматизированы.
В 8 таком случаеавтоматизированные процессы должны проходить регулярное тестирование.Руководству необходимо обеспечить уверенность в том, что вся важная 8зарезервированная информация и программное обеспечение 8 будутвосстановлены после бедствия или сбоя оборудования. 8Необходимо уделить внимание следующим вопросам резервирования:– необходимо обеспечивать точные и полные записи резервных копий идокументально оформленные процедуры восстановления;– 8 необходимо определить объем и частоту резервирования, требования кбезопасности резервируемой информации и ее важность для работыУчреждения;– резервные копии необходимо хранить таким образом, чтобы избежатьвозможного повреждения вследствие аварийной ситуации;– носители резервной информации должны проходить регулярноетестирование для подтверждения того, что в случае чрезвычайных ситуаций 8 этиносители могут быть использованы;– процедуры восстановления следует регулярно проверять и тестироватьдля обеспечения уверенности в их эффективности, а также в том, что длявыполнения этих процедур потребуется не больше 8 определенного времени;– в тех случаях, когда конфиденциальность резервируемой информациииграет важную роль, резервные копии необходимо защищать 8 шифрованием;– необходимо определить сроки хранения резервных копий.2.2.6.8 Использование и утилизация носителей информации 842К 8 сменным носителям информации относятся ленты, диски, диски флэшпамяти, сменные жесткие диски, CD, DVD и печатные носители информации.В 8 отношении использования сменных носителей информации следуетрассматривать следующее:– если содержимое носителей, которые должны быть перемещены запределы Учреждения, больше не потребуется для работы, то содержащуюся наних информацию необходимо сделать неизвлекаемой;– при необходимости необходимо оформлять разрешение на выносносителей информации из 8 Учреждения и запись о таком перемещении следуетхранить как контрольную запись для аудита;– все носители информации должны храниться в 8 надежном месте, взависимости от хранящейся на них информации;– если информация, хранимая на носителях, востребована дольше, чемжизненный цикл этого носителя, то это информацию необходимо хранить такжеи в другом месте для предотвращения утраты информации по причине износаносителей;– для уменьшения риска потери данных необходимо предусмотретьрегистрацию сменных носителей информации.Носители информации, если их больше не планируется использовать,следует надежно и безопасно утилизировать, используя формальные процедуры.Они должны снизить риск утечки информации ограниченного доступа.При планировании утилизации носителей необходимо рассмотретьследующее:– носители, которые содержат информацию ограниченного доступа,должны храниться и утилизироваться надежно и безопасно, например 8 путемсжигания или измельчения;– в 8 случае, если носители планируется использовать в пределах 8Учреждения в других целях, информация на них должна быть уничтожена;– необходимо выявлять те носители информации, для которых требуется43безопасная утилизация;– при необходимости, факты утилизации носителей следует фиксировать.2.2.6.9 Обработка информацииДля обеспечения защиты информации ограниченного доступа необходиморазработать процедуры по обработке и передаче информации в соответствии сее классификацией.В рамках обеспечения защиты информации следует рассмотреть следующиевопросы:– необходимо рассмотреть ограничение доступа с целью предотвращениядоступа неавторизованных сотрудников;– необходимо убедиться, что процесс ввода данных и обработкизавершаются должным образом;– 8 следует обеспечить защиту информации, которая находится в буфереданных и ожидает вывода, соответствующую степени чувствительности этойинформации;– хранение носителей информации 8 должно производиться в соответствии соспецификациями изготовителей;– следует свести распространение данных к минимуму;– необходимо маркировать всех копии данных;– необходимо пересматривать списки рассылки и списки авторизованныхполучателей через регулярные интервалы времени.2.2.6.10 Безопасность системной документацииСистемная документация – это комплект документов, описывающийтребования, возможности, устройство, описание процессов работы и функциисистемы обработки информации.Для защиты системной документации от неавторизованного доступа 144необходимо 1 учесть следующее:– системную документацию необходимо хранить безопасным образом;– необходимо свести к минимуму список лиц, которые имеют доступ ксистемной документации.2.2.6.11 Обмен информациейСредства обмена информацией должны соответствовать любымдействующим 8 требованиям законодательства.При использовании электронных средств связи для обмена информацией 8необходимо учитывать:– процедуры, предназначенные для защиты обмениваемой информации отперехвата, копирования, модификации, ложной маршрутизации и разрушения;– процедуры обнаружения вредоносной программы, которая может 8 бытьпередана при использовании электронных средств связи, и процедуры защитыот 8 такой программы;– политику или рекомендации, 8 которые определяют использованиеэлектронных средств связи;– 8 процедуры использования беспроводной связи, учитывая 8 связанные с нейопределенные риски;– 8 использование криптографических средств для защитыконфиденциальности, целостности и аутентичности информации;– 8 напоминание сотрудникам о том, что нельзя оставлять чувствительную 8информацию на печатающих устройствах, 8 так как неавторизованный персоналможет осуществлять к ним доступ;– меры и средства контроля и управления и ограничения, связанные спересылкой средств связи, например автоматическая пересылка электроннойпочты на внешние почтовые адреса;– напоминание сотрудникам о необходимости соблюдения мерпредосторожности, например не следует разглашать чувствительную 845информацию во избежание ее подслушивания или перехвата при телефонныхзвонках;– 8 напоминание сотрудникам о том, что современные факсимильные ифотокопирующие устройства оснащены страничной кэш-памятью, и«запоминают» страницы 8 при возникновении проблем с бумагой или передачей,которые будут напечатаны после устранения неисправности.– 8 следует напоминать сотрудникам о том, что не следует вестиконфиденциальные беседы в общественных местах или открытых офисах.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
