Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

7.1.4 При анализе поданной анкеты кандидатом, проводится проверка следующих поданных данных:

• сведения о документах об образовании;

• наличие рекомендаций с предыдущих мест работы.

7.1.4.1 Документы об образовании проверяются на подлинность через «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении».

7.1.4.2 При наличии рекомендаций с предыдущих мест работы комиссия должна обратиться в эту организацию, чтобы получить подтверждение о том, что кандидат действительно там работал.

7.1.4.3 В случаях, когда вышеперечисленное не подтверждается, кандидат не допускается ко второму этапу конкурса.

7.1.5 При заключении трудового договора, все сотрудники подписывают форму о неразглашении конфиденциальной информации.

7.2 Обязанности сотрудника при выполнении должностных обязанностей

7.2.1 Сотрудник обязан выполнять все требования ИБ.

7.2.1 При зачислении сотрудника в штат Учреждения, он должен быть ознакомлен с организационно распорядительной документацией Учреждения.

7.2.2 Невыполнение требований организационно распорядительной документации Учреждения по защите информации может стать поводом для служебных проверок и возможному привлечению к дисциплинарной, административной или уголовной ответственности в соответствии с законодательством Российской Федерации.

7.2.3 При поступлении на работу, сотрудник проходит инструктаж, после которого расписывается в журнале по проведению инструктажа.

7.2.1Обучение персонала в области ИБ

7.2.1.1 В Учреждении осуществляется обучение персонала вопросам информационной безопасности для поддержания знаний сотрудника и повышения уровня безопасности в Учреждении.

7.2.1.2 Обучение может быть плановым и внеплановым. В первом случае, обучение осуществляется не реже раза в три года и проводится в случае поступления сотрудника на работу, в случае работы сотрудника с повышенными требованиями безопасности.

7.2.1.3 Внеплановое обучение проводится в случае изменения требований информационной безопасности, изменения процессов деятельности Учреждения или произошедших инцидентах в Учреждении.

7.2.1.4 Кроме обучения, в Учреждении проводится вводный инструктаж, который проходят нанятые сотрудники, вне зависимости от образования, стажа работы или должности. Инструктаж проводит администратор безопасности.

7.3 Обязанности сотрудника при прекращении выполнения должностных обязанностей

7.3.1 При прекращении работы на Учреждение сотрудник должен вернуть уполномоченному лицу все активы, выданные ему Учреждением для выполнения служебных обязанностей.

7.3.2 Если при увольнении сотрудника должно продолжать действовать соглашение о неразглашении, то в договоре необходимо обозначить сроки действия данного договора.

1. Инциденты информационной безопасности

Возникшие инциденты информационной безопасности по отношению к Учреждению могут быть внешними или внутренними, а также быть случайными или преднамеренными. Для идентификации инцидентов в Учреждении определены критерии:

• масштаб, то есть число активов, вовлеченных в инцидент информационной безопасности;

• активы, вовлеченные в инцидент безопасности;

• область инцидента, то есть, в какой области случился инцидент (например, управление доступом к информационной системе или нарушение физической безопасности);

• лица, вовлеченные в инцидент безопасности Учреждения, например, владелец актива или сотрудник, обнаруживший инцидент безопасности;

• источник воздействия, искусственный или естественный.

Целями управления инцидентами информационной безопасности являются:

• обеспечение осведомленности сотрудников Учреждения в области информационной безопасности;

• осуществление мониторинга информационной безопасности;

• обнаружение инцидентов и оповещение о них;

• реагирование на инциденты;

• анализ инцидента информационной безопасности и оценка нанесенного ущерба;

• улучшение системы управления инцидентами информационной безопасности.

В Учреждении осуществляется мониторинг событий информационной безопасности с использованием программно-технических средств, которые ведут журналы событий информационной безопасности. В журналы аудита для записи администратором безопасности определена следующая информация:

• вход (выход), а также попытки входа пользователей в информационную систему и загрузки операционной системы;

• подключение машинных носителей информации и вывод информации на носители информации;

• запуск (завершение) программ и процессов (заданий, задач), связанных с обработкой защищаемой информации;

• попытки доступа программных средств к определяемым организацией защищаемым объектам доступа и иным объектам доступа;

• попытки удаленного доступа;

• блокировка учётной записи, в случае неверного ввода пароля;

• попытки доступа к файлам и папкам, к которым у пользователя нет разрешений;

• запуск и завершение процессов;

• смена пароля паролей пользователя;

• создание, изменение, удаление учётных записей.

Учреждением установлен срок хранения журналов в течение шести месяцев.

При выполнении входа (выхода) сотрудника в систему, в журнал также включаются следующие данные:

• результат загрузки (успешная, неуспешная);

• при использовании идентификаторов (например, «токенов») записать номер этого идентификатора.

При подключении машинных носителей информации (далее – МНИ) включается также имя МНИ и дата вывода информации на этот МНИ.

Администратор безопасности должен осуществлять мониторинг событий безопасности каждые две недели.

Для обеспечения точных временных данных в журналах, все технические средства синхронизируют время с сервером в Учреждении.

Источниками информации об инцидентах в Учреждении являются:

• средства мониторинга информационной безопасности;

• средства обнаружений вторжений;

• средства антивирусной защиты;

• средства регистраций событий операционных систем или иного программного обеспечения;

• сигнализация;

• сотрудники.

Все сотрудники Учреждения осведомлены об обязанности сообщать администратору безопасности о возникших инцидентах информационной безопасности. Информация, которая должна быть предоставлена при возникновении инцидента:

• краткое описание инцидента, с описанием активов, вовлеченных в инцидент;

• структурное подразделение, где случился инцидент информационной безопасности.

После того как администратор безопасности подтвердил информацию об инциденте ИБ, информация о нем должна быть занесена в базу данных инцидентов ИБ и должны быть приняты меры для уменьшения негативного влияния на деятельность Учреждения. Администратором безопасности должны учитываться следующие факторы:

• при принятии соответствующего решения необходимо максимально быстро отключить атакованную сеть или средства обработки информации;

• предотвращение повторного инцидента ИБ таким же путем, для этого нужно устранить уязвимость, через которую реализуется угроза ИБ;

• вся информация об инциденте должна быть сохранена и защищена.

Все ТС, учувствовавшие в инциденте ИБ должны быть опечатаны, доступ к таким ТС должен быть только у администратора безопасности. В случае бумажных носителей, подлинник и копии должны храниться в защищенном месте, доступ к которому имеет только администратор безопасности.

После устранения инцидента ИБ, необходимо проводить анализ инцидента ИБ для устранения повторного появления такого рода инцидента ИБ и улучшения СУИБ.

1. Физическая безопасность

9.1 Контроль доступа

9.1.1 В Учреждении имеется система контроля доступа. На входе в здание Учреждения имеется турникет с прилегающим ограждением. За турникетом установлена видеокамера, которая охватывает пространство от входа до лифта. Рядом с турникетом находится пост охраны.

9.1.2 Проход через турникет осуществляется с помощью карточек доступа. Карты доступа хранятся в технологическом отделе, выдаются пользователю после инструктажа. Через программное обеспечение для каждой карточки записываются данные владельца. Система фиксирует время всех входов и выходов из здания. Неиспользуемые карты доступа хранятся в сейфе.

9.2 Ограничение доступа в помещения

9.2.1 Двери в помещения, доступ в которые должен быть ограничен, запираются на электронный замок с доступом по карте.

9.2.2 Доступ в помещения ограниченного доступа, есть только у персонала с соответствующими правами доступа.

9.2.3 В Учреждении существует список сотрудников, которые имеют право пребывания в таких помещениях.

9.2.4 При необходимости предоставления доступа сотруднику не имеющего таких прав, его пребывание в помещении контролируется. Доступ к серверной комнате и к кабинету с аттестованной информационной системой осуществляется по картам доступа, таким образом, данные о доступе в помещения хранятся в электронном виде на сервере Учреждения. Сотрудники не должны пытаться проникнуть в такие помещения.

9.3 Ограничение доступа в серверные комнаты

9.3.1 Право доступа в серверное помещение с использованием карточек СКУД имеют только сотрудники, состоящие в списке допуска.

9.3.2 Физический доступ в серверное помещение осуществляется только на основании списка допуска.

9.3.3 Сотрудники, указанные в списке допуска, должны проходить регистрацию в системе СКУД.

9.4.4 В случае возникновения необходимости доступа в серверное помещение лицам, не входящих в список допуска, оформляется заявка с обоснованием физического доступа. Данная заявка рассматривается и подписывается руководителем подразделения Компании, согласовывается с руководителем СИБ. При наличии разрешительного документа лица, которым разрешен физический доступ в серверное помещение, должны сопровождаться дежурным администратором серверов.

9.4.5 Для входа в серверное помещение сотрудники, состоящие в списке допуска, должны использовать карточку системы СКУД.

9.4.6 Находясь в серверном помещении, сотрудник по завершению необходимых работ должен произвести отметку в журнале регистрации посещений серверного помещения. Выходя, сотрудник должен убедиться в закрытии дверей серверного помещения.

9.4.7 Для проведения в серверном помещении работ лицами, не входящими в список допуска, у них должен быть в наличии разрешительный документ. Работы в серверном помещении указанными лицами разрешается только в сопровождении дежурного администратора серверов. Журнал регистрации посещения серверного помещения должен содержать данные, в которых отражаются дата, время входа/выхода в серверное помещение, наименование работ, проводимых на серверах, ФИО и должность, роспись.

9.3.8 Перечень работ, требующих физического доступа к серверам перечислен представлен в приложении 1.

9.4 Контролируемая зона и организация охраны

9.4.1 Администратором безопасности определена контролируемая зона по ограждающим конструкциям здания. По периметру здания установлены камеры видеонаблюдения. В здании установлены видеокамеры на входе в серверную комнату. Все помещения находятся под охранной сигнализацией, в случае срабатывания оповещается пост охраны и учреждение, занимающееся охраной. После окончания рабочего дня, все помещения закрываются и устанавливаются на сигнализацию. Все помещения оборудованы пожарной сигнализацией и вентиляцией.

9.4.2 Сотрудники не должны оставлять помещение без присмотра, если сотрудник покидает помещение, и в кабинете отсутствуют другие сотрудники, ­то кабинет должен быть закрыт.

9.5 Контроль посторонних лиц в Учреждении

9.5.1 При необходимости выполнения работ сотрудниками из посторонних организаций, их пребывание в контролируемой зоне Учреждения контролируется ответственным лицом структурного подразделения, для которого выполняются работы.

9.6 Безопасность технических средств

9.6.1 Доступ к техническим средствам обработки информации осуществляется только сотрудниками, которые имеют необходимые полномочия. Остальным сотрудникам Учреждения запрещено осуществлять вскрытие корпусов технических средств, подключать сторонние устройства, за исключением съемных носителей информации, разрешенных в Учреждении. При необходимости применения таких устройств, сотрудник должен согласовать это с администратором безопасности.

9.6.2 Размещение устройств вывода информации должно исключать несанкционированный просмотр информации. При использовании видеонаблюдения, камеры должны быть размещены так, чтобы исключить возможность просмотра информации с устройств вывода информации.

9.6.3 Техническое обслуживание средств обработки информации производится уполномоченными сотрудниками Учреждения. При необходимости передачи технических средств посторонним организациям для обслуживания, носители информации должны быть либо очищены, либо изъяты из корпуса технического средства во избежание попадания конфиденциальной информации третьим лицам.

9.6.4 При выводе технического средства обработки информации из эксплуатации, должны быть применены меры по очистке носителя информации. Уничтожение информации с МНИ должно исключать возможность восстановления информации. Для уничтожения используются сертифицированные средства удаления информации. При невозможности использования таких средств, производится физическое уничтожение МНИ, например, сжиганием.

9.6.5 Силовые линии и кабели каналов связи должны быть проложены таким образом, чтобы исключить возможность их повреждения сотрудниками при повседневной работе.

9.6.6 Все неиспользуемые на технических средствах обработки информации аппаратные порты (последовательный, параллельный и т.д.) - отключены.

9.6.7 Технические средства Учреждения оборудуются средствами бесперебойного питания.

1. Управление доступом к информационным системам

1. Учетные записи

Для работы за техническими средствами допускаются сотрудники, которые ознакомились с правилами работы за техническим средством и Политикой. Каждому сотруднику для работы за техническим средством предоставляется уникальная учетная запись.

Администратор безопасности ответственен за выдачу учетных записей пользователям. Предусмотрены следующие виды учетных записей:

• внутренняя учетная запись;

• внешняя учетная запись;

• временная учетная запись;

• системная учетная запись.

Внутренняя учетная запись используется для сотрудников, работающих на локальных АРМ (администраторы или пользователи). Внешняя учетная запись используется для пользователей, работающих удаленно. Временная учетная запись используется для пользователей, доступ которых ограничен определенным промежутком времени. После истечения срока такие учетные записи удаляются, но если точный срок окончания не определен, то устанавливается максимальный срок действия учетной записи в 14 дней.

Анонимные, гостевые или иные учетные записи без авторизации и групповые учетные записи - заблокированы.

10.1.1Привилегированные учетные записи

Привилегированные учетные записи используются только для настройки технических средств или установки программного обеспечения. Доступ к таким записям есть только у лиц с соответствующими должностными обязанностями.

1. Порядок создания учетной записи

Сотрудник обязан написать заявление о необходимости создания учетной записи и указать:

• должность;

• номер документа, определяющий необходимость предоставления учетной записи (например, номер приказа о принятии на работу).

Данное заявление подтверждается отделом кадров и передается администратору безопасности.

1. Изменение прав доступа учетной записи

При необходимости изменений прав учетной записи, пользователь пишет служебную записку, в которой указывает:

• ФИО;

• имя учетной записи;

• тип актива или ресурса, к которому нужно обеспечить доступ или убрать доступ.

Записка передается администратору безопасности, и он обеспечивает изменение прав доступа.

1. Удаление учетной записи

При необходимости удаления учётной записи (например, при увольнении сотрудника) сотрудник отдела кадров должен в течение трех дней сообщить администратору безопасности о прекращении деятельности сотрудника для удаления учетной записи, принадлежащей сотруднику.

1. Парольная защита

Требования к созданию паролей в Учреждении определяются на основании инструкции о парольной защите.

1. Обязательства пользователей

В отношении учетных записей пользователи должны знать следующее:

• необходимо хранить пароль в тайне от третьих лиц;

• не записывать пароли на бумагу, не хранить их в электронном виде на компьютере;

• запрещено передавать данные учетных записей в электронном виде

• в случае компрометации данных учетной записи, сотрудник должен немедленно обратиться к администратору безопасности для установки новых данных;

• запрещено использование данных учетной записи Учреждения для применения в ресурсах общего доступа в сети Интернет.

1. Политика «чистого стола» и «чистого экрана»

С целью минимизации возможность несанкционированного доступа к информации ограниченного доступа, в Учреждении применяется политика «чистого стола» и политика «чистого экрана».

Характеристики

Список файлов ВКР