Пояснительная записка Ильина (1197936), страница 3
Текст из файла (страница 3)
2.2.2.2 Владение активами
Владельцы активов должны нести ответственность за:
-
обеспечение уверенности в том, что информация и активы, связанные со средствами обработки информации, классифицированы соответствующим образом;
-
определение и периодический пересмотр ограничений и классификаций доступа, принимая в расчет применимые политики управления доступом.
2.2.2.3 Классификация информации
Для определения необходимости, приоритетов и предполагаемой степени защиты при обработке информации, информацию необходимо классифицировать.
При классификации информации следует учитывать, что она может перестать быть чувствительной к компрометации по истечении определенного периода времени. Также следует учесть, что категория любого вида информации необязательно должна быть постоянной в течение всего времени.
2.2.2.4 Маркировка информации
Выводимые из систем документы, содержащие информацию, которая классифицирована как чувствительная или критическая, должны содержать соответствующий маркировочный знак. Маркированными могут быть экранные отображения, напечатанные отчеты, носители информации, пересылаемые файлы и электронные сообщения.
Маркировка и безопасная обработка классифицированной информации - ключевые требования для соглашений о совместном использовании информации со сторонними организациями. Информационные активы обычно имеют физические метки, однако некоторые из них не могут быть маркированы физически, и поэтому необходимо использовать электронные аналоги маркировки.
2.2.3 Вопросы информационной безопасности, связанные с персоналом
В должностные регламенты всех работников Учреждения должны быть внесены конкретные требования по обеспечению информационной безопасности в зависимости от их должностных обязанностей. Подбор и порядок вступления в договорные и трудовые отношения и их расторжения, а также порядок допуска работника к работе с информацией ограниченного доступа, порядок работы с такой информацией и порядок прекращения допуска к такой информации, должны соответствовать требованиям нормативно-правовым актам Российской Федерации и организационно-распорядительной документации Учреждения.
2.2.3.1 Требования к персоналу перед трудоустройством
Претенденты на работу должны быть проверены на полноту и точность их биографии, а также подлинность документов, удостоверяющих личность.
Должно быть подтверждено заявленное образование и профессиональная квалификация претендента.
В случаях, когда претенденту предстоит работать с чувствительной информацией, например, финансовой или секретной, следует провести более детальную проверку, например кредитоспособности или на наличие судимости.
Все сотрудники должны быть проинформированы о своих ролях и обязанностях, и подписать соглашение о конфиденциальности или неразглашении прежде, чем им будет предоставлен доступ к информационным системам или чувствительной информации. Такое соглашение должно быть неотъемлемой частью трудового договора.
2.2.3.2 Требования к персоналу в течение занятости
Все сотрудники Учреждения, работающие с информацией ограниченного доступа, должны проходить соответствующие обучения, и на регулярной основе получать обновленные варианты политик и других документов, необходимых для выполнения их рабочих функций.
Временные сотрудники и представители третьих сторон должны подписывать отдельно соглашение о соблюдении конфиденциальности до того, как им будет предоставлен доступ к средствам обработки информации.
Соглашения о соблюдении конфиденциальности следует пересматривать при изменениях условий трудового договора.
Персонал обязан уведомлять ответственного по информационной безопасности об инцидентах нарушения безопасности в соответствии с установленным порядком, по возможности, незамедлительно.
Необходимо проводить периодическое практическое тестирование готовности работников к выполнению своих должностных обязанностей по защите информации.
Ответственность за нарушение требований политики безопасности накладывается на сотрудников Учреждения в зависимости от величины причиненного ущерба и категории нарушения.
2.2.3.3 Требования к персоналу при прекращении занятости
Ответственность и служебные обязанности, продолжающие оставаться действительными после прекращения занятости, должны быть описаны в договорах с сотрудниками или третьими сторонами.
При увольнении сотрудник обязан передать уполномоченному лицу все материальные ценности Учреждения, которые были предоставлены ему для выполнения должностных обязанностей.
2.2.3.4 Повышение осведомленности сотрудников в области информационной безопасности
Проведение мероприятий, направленных на постоянное повышение осведомленности сотрудников Учреждения в области информационной безопасности, должно являться одной из задач решаемых Учреждением. Такие мероприятия могут в себя включать создание печатных материалов, содержащих информацию об обеспечении информационной безопасности в доступной форме, проведение массового обучения, в том числе и без отрыва от рабочего места и т.п.
2.2.4 Физическая безопасность
Обеспечение физической безопасности предполагает создание системы физической защиты Учреждения, создающей препятствия для бесконтрольного проникновения или доступа неуполномоченных лиц, совершение ими действий, направленных на нанесение ущерба имуществу и материальным ценностям, а также жизни и здоровью персонала.
2.2.4.1 Зоны безопасности
Периметры безопасности должны быть четко определены, а размещение и надежность каждого из периметров должны зависеть от требований безопасности активов, которые находятся в пределах периметра.
Периметры помещений, где расположены средства обработки информации, должны быть физически прочными (т.е. не должно быть никаких промежутков в периметре безопасности или мест, через которые можно было бы легко проникнуть); внешние стены помещений должны иметь твердую конструкцию, а все двери должны быть соответствующим образом защищены от несанкционированного доступа (оснащены сигнализацией, замками и т.п.); двери и окна помещений в отсутствие сотрудников необходимо запирать, и должна быть предусмотрена внешняя защита для окон.
Все аварийные выходы на случай пожара в периметре безопасности необходимо оборудовать аварийной сигнализацией, также они должны подвергаться мониторингу и тестированию вместе со стенами, чтобы создать требуемый уровень устойчивости в соответствии с применимыми региональными, национальными и международными стандартами; они должны эксплуатироваться в соответствии с местной системой противопожарных правил безотказным образом.
2.2.4.2 Контроль нахождения посторонних лиц в защищаемых помещениях
Проход посетителей или представителей сторонних организаций в помещения Учреждения, в которых хранится или обрабатывается информация ограниченного доступа, и контроль их нахождения в таких помещениях должен осуществляться в соответствии с организационно-распорядительными документами Учреждения.
Доступ сотрудников сторонних организаций в зоны безопасности или к средствам обработки чувствительной информации следует предоставлять только про необходимости. Такой доступ должен осуществляться только по предварительному согласованию со специалистом Учреждения, ответственным за организацию и проведение данного вида работ.
Сотрудники сторонних организаций должны находиться на территории Учреждения в сопровождении уполномоченных работников Учреждения.
2.2.4.3 Безопасность помещений и оборудования
Основное оборудование должно быть расположено в местах с ограничением доступа посторонних лиц.
Средства обработки и хранения важной информации следует размещать таким образом, чтобы уменьшить риск несанкционированного наблюдения за их функционированием. При использовании систем видеонаблюдения, такие системы должны быть установлены в местах, исключающих просмотр содержимого экранов автоматизированных рабочих мест, обрабатывающих информацию ограниченного доступа, а также исключающих просмотр вводимых паролей, кодов.
Меры по управлению информационной безопасностью должны свести к минимуму риск потенциальных угроз, включая воровство, пожары, затопление, перебои в электроснабжении и иных рисков.
В Учреждении необходимо определить порядок приема пищи, напитков и курения вблизи средств обработки информации.
В Учреждении должно проводиться техническое обслуживание оборудования для обеспечения его целостности и непрерывной работоспособности в соответствии с инструкциями и периодичностью, рекомендуемыми поставщиком.
Техническое обслуживание или ремонт оборудования должны производиться только квалифицированными работниками.
Каждый факт профилактического обслуживания или ремонта оборудования следует документировать.
Силовые и телекоммуникационные кабельные сети, по которым передается чувствительная информация, необходимо защищать от перехвата информации или повреждения. Необходимо рассматривать следующие мероприятия:
-
силовые и телекоммуникационные линии должны быть, по возможности, подземными или обладать адекватной альтернативной защитой;
-
сетевой кабель должен быть защищен от посторонних подключений или повреждения;
-
силовые кабели необходимо отделить от коммуникационных для исключения помех.
2.2.4.4 Политика «чистого стола» и «чистого экрана»
Чтобы исключить компрометацию информации, бумажные и электронные носители необходимо хранить в надлежащих запирающихся шкафах или других защищенных предметах мебели, когда они не используются.
Компьютеры, принтеры и терминалы должны быть выключены по окончании работы. По возможности, следует применять пароли, кодовые замки и другие мероприятия в отношении устройств, находящихся без присмотра.
Должны быть защищены пункты работы с входящей и исходящей почтой и факсимильные аппараты, находящиеся без присмотра.
Несанкционированное использование фотокопировальных устройств должно предотвращаться путем запирания на ключ или иными способами.
Документы, содержащие конфиденциальную информацию, необходимо немедленно изымать из принтеров.
2.2.4.5 Защита от внешних угроз и угроз со стороны окружающей среды
Для предотвращения ущерба от пожара, затопления и иных природных или антропогенных бедствий, необходимо:
-
резервное оборудование и носители данных требуется размещать на безопасном расстоянии для предотвращения нанесения ущерба в результате стихийного бедствия;
-
следует должным образом разместить необходимые средства пожаротушения.
2.2.4.6 Работа в зонах безопасности
Для предотвращения возможности злонамеренных действий в зонах безопасности необходимо выполнять необходимые работы только под надлежащем контролем уполномоченного персонала.
Пустующие зоны безопасности необходимо запирать и периодически проверять их состояние.
2.2.4.7 Поддерживающие услуги
Все поддерживающие услуги, включающие в себя водоснабжение, электроснабжение, отопление, вентиляцию, канализацию и кондиционирование воздуха, необходимо время от времени проверять, чтобы уменьшить риски нарушения безопасности, связанные с неисправностью этих услуг или их отказом.
Все оборудование, на котором обрабатывается важная информация, необходимо подключать через источники бесперебойного питания для обеспечения его непрерывного и безопасного функционирования.
2.2.4.8 Утилизация оборудования
Носители данных, которые содержат информацию ограниченного доступа, необходимо разрушать физически, или удалить содержащуюся информацию таким способом, чтобы исходная информация оказалась невосстановимой. Запрещено использовать стандартные функции форматирования таких носителей.
2.2.5 Контроль доступа
Политика контроля доступа должна быть документально оформлена и регулярно пересматриваться.
При составлении правил управления доступом необходимо принять во внимание:
-
различие между правилами, которые обязательны для выполнения, и рекомендациями, которые не являются обязательными;
-
правила должны основываться на предпосылке «все в общем случае запрещено, пока явно не разрешено»;
-
изменения в правах пользователя, которые могут устанавливаться администратором или автоматически.
2.2.5.1 Управление доступом пользователей
Каждый пользователь должен иметь свой уникальный идентификатор. Идентификатор учетной записи пользователя должен быть составлен таким образом, чтобы не позволить не уполномоченным лицам установить личность пользователя по своему составу.
Необходимо проверить, что уровень доступа пользователя не нарушает принципа разграничения обязанностей и согласуется с политикой безопасности.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
