Отчет антиплагиат (полный) (1198830), страница 5
Текст из файла (страница 5)
Контрольможет осуществляться с помощью внутренних проверок. Политику стоитпересматривать не реже установленных сроков с учётом внутренних провероки выявленных инцидентов или нарушений информационной безопасности,либо в случае изменений в организации таких как:– изменения в правовой сфере;– изменения в организационной среде;– изменения в технической и физической среде.После разработки или изменения политики, с ней должны бытьознакомлены все сотрудники.25Рисунок 3На рисунке показана иерархия документов в области информационнойбезопасности. Политика безопасности должна являться документом первогоуровня в организации.
Остальные документы (инструкции, процедуры и такдалее) в области безопасности находятся на втором уровне2.3Организационные вопросы информационной безопасности2.3.1 Разделение обязанностей по обеспечению информационнойбезопасностиОбязанности в области информационной безопасности должны бытьразделены.
Разделять обязанности нужно в соответствии с политикойбезопасности. Те лица, на которых возложены обязанности, могутраспределять эти обязанности между другими лицами, но ответственностьбудет нести первоначальное лицо. Нужно назначить ответственность заактивы и описать обязанности лиц, отвечающих за них.При необходимости, обязанности по защите активов можно дополнять26отдельными документами, такими как инструкции или руководства.2.3.2 Контакты с другими инстанциями и профессиональными группамиВ организации нужно разработать инструкции для контакта с различнымиорганизациями, такими как: органы правопорядка, пожарная и налоговаяинспекция, Интернет-провайдеры.
Кроме организаций такого рода, можноподдерживать контакты со специализированными группами поинформационной безопасности. Это может обеспечить:– быстрого получения информационных сообщений, исправлений дляпрограммного обеспечения;– получение консультаций в области информационной безопасности;– получение информации о новых информационных технологиях,угрозах и уязвимостей.При передаче третьим сторонам конфиденциальную информацию, тонужно создать соглашение о конфиденциальности. В соглашении нужноописать:– описание информации, подлежащей защите;– ответственность сторон за нарушение договора;– срок действия договора;– действия, которые должны быть предприняты в случаенарушения договора.2.3.3 Взаимодействие со сторонними организациямиПри необходимости предоставления доступа к информационной системесторонней организации, нужно описать следующее:– какие средства обработки информации используются стороннейорганизацией;– сотрудники, которые будут иметь доступ к средствам обработкиинформации;27– каким образом осуществляется доступ сотрудников к этим средствамобработки информации;– описать услуги, предоставляемые организацией;– инструкции, на случай возникновения инцидентов информационнойбезопасности;– правовые и нормативные документы, на основании которых должнарегулироваться деятельность.Все сотрудники сторонней организации должны быть ознакомлены сосвоими обязанностями и берут на себя ответственность в отношенииобработки информации.2.4Определение ценных активов организацииВ любой организации существуют активы, которые должны быть описаны.Все активы необходимо идентифицировать, то есть обозначить ихместоположение, описать формат актива, существует ли резервированиеданного актива, какую ценность он имеет для организации.
Активами могутявляться:– информация: базы данных, системная документация,эксплуатационная документация, договора, планы непрерывностидеятельности;– физические средства: персональные компьютеры, серверы;– персонал;– программное обеспечение.Каждому активу должен быть назначен владелец, который должен нестиответственность за сохранность актива и обеспечение его безопасности.Можно возложить некоторые обязанности на сотрудника, ежедневноработающего с активом, но ответственность должна сохраняться на владельце28актива.2.4.1 Классификация информацииСледует классифицировать информацию, учитывая её критичность дляорганизации или законодательные требования.
Нужно назначить периодвремени, после которого следует производить пересмотр информации,поскольку её критичность для организации может измениться.Классификацией и пересмотром должен заниматься владелец актива.2.5Процедуры при трудоустройстве, выполнении трудовых обязанностей ипрекращении деятельности2.5.1 При трудоустройствеПри найме сотрудников на работу необходимо иметь уверенность том, чтосотрудники имеют достаточную квалификацию для выполнения своихслужебных обязанностей для минимизации рисков из-за человеческогофактора. Новые сотрудники обязаны подписывать соглашение онеразглашении, если такое имеется в организации и обязаны ознакомиться сосвоими обязанностями в области информационной безопасности.Предварительная проверка кандидата, должна осуществляться всоответствии с законодательством и должна включать:– положительные рекомендации кандидата;– проверка кандидата на точность указанной биографии;– подтверждение документов об образовании.В организации должны существовать процедуры проверки кандидата,должен быть создан список сотрудников, которые имеют на это право, инужно описать случаи, в которых такая проверка должна проводиться.2.5.2 Требования к сотруднику при выполнении должностныхобязанностейСотрудник должен быть осведомлён об политики информационной29безопасности, об угрозах информационной безопасности, об ответственностиза нарушение информационной безопасности и обязательствах.
Такжесотрудник должен быть ознакомлен с требованиями иной организационноучредительной документацией Учреждения в области информационнойбезопасности.Сотрудник обязан выполнять все требования безопасности и должен знать,что за невыполнение требований организационно-учредительнойдокументации в отношении него может быть начато рассмотрениедисциплинарного процесса.2.5.3 Прекращение работы сотрудникаПри прекращении деятельности сотрудника в организации, он обязанвернуть всё оборудование, которые было ему предоставлено на время работыи должны аннулироваться все права доступа.
Если нужно, то устанавливаетсявремя, в течение которого, на сотрудника ещё продолжают действоватьнекоторые обязанности. Если сотрудник использовал свои техническиесредства для работы, то надо убедиться в том, что значимая информация былаудалена или передана в организацию.2.5.4 Расследование нарушений информационной безопасностиЕсли по вине сотрудника произошло нарушение информационнойбезопасности, то стоит начать дисциплинарный процесс. При рассмотрениидисциплинарного нарушения, необходимо учитывать такие факторы как:тяжесть нарушения и его последствия для Учреждения, впервые ли сотрудниксовершает нарушение или повторно и иные факторы.
В зависимости оттяжести нарушения, должны быть предусмотрены меры такие как:аннулирование всех прав, привилегий пользователя.2.5.5 Обучение персонала и осведомление в области информационнойбезопасности30Сотрудники организации должны периодически проходить обучение вцелях осведомления о новых требованиях, правил и процедур в Учреждении,правовой ответственности, правил использования средств защиты. Обучениедолжно соответствовать уровню квалификации сотрудника и обязанностямсотрудника.
Это может позволить сотрудникам распознавать инцидентыинформационной безопасности и правильное реагировать на них.2.6 Управление инцидентами информационной безопасностиВ любом учреждении могут происходить инциденты информационнойбезопасности, а с учётом использования средств автоматизации их числотолько увеличивается. Существует множество инцидентов информационнойбезопасности, таких как отказ в обслуживании, кража конфиденциальныхданных, взломы серверов, несанкционированный доступ. Таким образом,инциденты могут быть внутренними и внешними.Внутренний инцидент – это инцидент, источник которого связан сучреждением (например, сотрудник).Внешний инцидент – это инцидент, источник которого не связан сучреждением.2.6.1 Информирование об инцидентахПри инциденте информационной безопасности, пользователь должензнать, каким образом он должен сообщить в отдел информационнойбезопасности.
Поэтому должна быть внедрена процедура информирования обинцидентах информационной безопасности, содержащая описание действийпользователя. Должно быть назначено контактное лицо, для уведомления отсотрудников об инцидентах. Сотрудники должны быть ознакомлены с этойпроцедурой. Нужно обеспечить обратную связь, то есть сотрудник должензнать, что проблема была решена.Нужно разработать процедуры, которые необходимо выполнять при31инцидентах безопасности, поскольку инциденты могут быть разными,например, вредоносное программное обеспечение или отказ в обслуживании.Затем нужно проанализировать случившийся инцидент и разработатьдействия для дальнейшего предотвращения такого рода инцидентов.Случившийся инцидент безопасности в дальнейшем можноиспользовать с целью повышения осведомлённости пользователей во времяих обучения.2.6.2 Доказательства инцидента информационной безопасностиВ организации нужно предусмотреть вероятность того, что результатинцидента может привести к судебному иску.
Доказательства могут быть вэлектронном виде или бумажном. В случае бумажных документов, нужнохранить оригинал в безопасном месте, нужно зафиксировать кто, когда и гдеобнаружил документ.В случае информации в электронном виде, должна быть создана копияфайлов, процесс копирования должен протоколироваться и все это должнохраниться в защищенном месте.2.6.3 События информационной безопасностиВ организации должны быть определены возможные событиябезопасности, которые подлежат регистрации. Минимальный набор событийдля регистрации должен быть таким:– вход (выход), а также попытки входа 47 пользователей винформационную систему и загрузки 47 операционной системы;– подключение машинных носителей информации и выводинформации на носители информации;– запуск (завершение) программ и процессов (заданий, задач),связанных с обработкой защищаемой информации;– попытки доступа программных средств к определяемым 4732 47организацией защищаемым объектам доступа и 47 иным объектамдоступа;– попытки удаленного доступа;– блокировка учётной записи, в случае неверного ввода пароля;– попытки доступа к файлам и папкам, к которым у пользователя нетразрешений;– запуск и завершение процессов;– смена пароля;– создание, изменение, удаление учётных записей.2.7Физическая безопасность2.7.1 Контроль доступаВ организации нужно определить зоны, в которых находится информацияи технические средства обработки информации.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
