Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Такие программы используют стойкое шифрование и не хранят ключи на пользовательском ПК, поэтому дешифрование практически невозможно. Следовательно, необходимо предотвратить заражение, чем потом разбираться с последствиями.

1. Резервное копирование

Резервные копии нужно делать в двух вариантах: на съемный носитель информации и на другой сервер. При отсутствии возможности хранения резервных копий на сервере, допустимо использовать удаленные хранилища («облако»). Выбирать «облако» нужно таким образом, чтобы при необходимости получить быстрый доступ к информации.

Соответственно, сделанные резервные копии должны проверяться администратором безопасности в определенные сроки, чтобы быть уверенным в том, что данные пригодны к восстановлению.

1. Спам-фильтры электронной почты

Частым способом заражения является письмо в электронной почте, пользователь открывает вложение и в итоге происходит заражение. В Учреждение необходимо настроить спам-фильтры, которые могут отсеивать большую часть спама, однако часть писем с вредоносным вложением могут проходить и через него.

1. Обновление операционной системы и антивирусных баз

Операционная система и антивирусные базы должны обновляться своевременно, поскольку могут использоваться старые уязвимости в системе, через которые можно заразить персональный компьютер.

1. Настройка межсетевых экранов

Межсетевые экраны нужно настраивать так, чтобы к неиспользуемым портам не было возможности подключиться из Интернет.

1. Действия при заражении

В случае если заражение произошло, то нужно немедленно изолировать зараженные ПК из общей сети, чтобы предотвратить заражение остальных ПК в сети.

Зараженные файлы можно попробовать расшифровать, используя утилиты антивирусных компаний или обратиться к технической поддержке таких компаний.

Запрещается использовать лечение или удаление зараженных файлов и переустановка системы, прежде всего, необходимо предпринять попытки дешифрования зараженных файлов.

1. Использование сети Интернет

12.5.1 Доступ к сети Интернет предоставляется только тем сотрудникам Учреждения, которым он необходим для выполнения служебных обязанностей.

12.5.2 Процесс предоставления доступа к сети Интернет осуществляется в следующем порядке:

12.5.2.1 Руководителем структурного подразделения создается заявка на подключение к сети Интернет сотрудника, написанная на имя Руководителя Учреждения.

12.5.2.2 Заявка согласовывается с руководителем отдела информационных технологий.

12.5.2.3 После согласования с Руководителем Учреждения заявка передается в отдел информационных технологий и осуществляется настройка доступа в Интернет на сетевом оборудовании.

12.5.2 Использование посторонних средств доступа (например, dial-up или использование мобильных телефонов в качестве точки доступа) запрещено.

12.5.3 При использовании сети Интернет запрещено:

12.5.3.1 Использовать Интернет для развлекательных целей (социальные сети, онлайн-игры и т.п.).

12.5.3.2 Использовать программные или аппаратные средства для несанкционированного доступа в Интернет.

12.5.3.3 Осуществлять попытки фальсификации IP-адреса и прочей служебной информации.

12.5.3.4 Публиковать в сети Интернет информацию, запрещенную законодательством Российской Федерации.

12.5.3.5. Публиковать в сети Интернет конфиденциальную информацию и передавать такую информацию в незащищенном виде.

12.5.4 Учреждение оставляет за собой право блокировки доступа к Интернет-ресурсам, которые не нужны для выполнения служебных обязанностей или нарушают законодательство Российской Федерации.

12.5.5 Информация о посещаемых ресурсах протоколируется и может использоваться при проведении служебных проверок.

12.5.6 При подозрении в нецелевом использовании сети Интернет сотрудником может быть начата служебная проверка.

12.5.7 Сотрудники, нарушившие приведенные выше правила, несут ответственность в соответствии с законодательство Российской Федерации и актами Учреждения.

1. Удаленный доступ

В Учреждении должен существовать перечень лиц, которым необходим удаленный доступ. Для удаленного доступа используется технология виртуальной частной сети (VPN).

Сотрудник, использующий VPN должен знать, что:

• он ответственен за недопущение посторонних к сетевым ресурсам Учреждения;

• идентификация и аутентификация происходит при помощи одноразовых паролей;

• весь трафик при подключенном VPN будет идти через него;

• на всех устройствах, использующих VPN должно стоять антивирусное ПО;

• через 20 минут бездействия соединение будет разорвано, для его восстановления сотрудник должен будет авторизоваться снова;

• для организации VPN должно использоваться ПО, которое рекомендует использовать Учреждение;

• общее время непрерывного соединения ограничено 24 часами;

• в качестве программных и аппаратных клиентов для организации виртуальной частной сети могут выступать только утвержденные отделом информационной безопасности средства;

• при использовании VPN устройства становятся частью сети Учреждения, следовательно, на них распространяются все правила безопасности сети.

1. Использование криптографической защиты

Деятельность Учреждения, связанная с криптографией, соответствует требованиям нормативно правовых актов Российской Федерации.

Перед допуском к работе с криптографическими системами сотрудники Учреждения проходят обучение использованию таких систем.

СКЗИ должны размещаться таким образом, чтобы минимизировать возможность несанкционированного доступа к ним. Обслуживание и смена криптографических ключей должна осуществляться только уполномоченным сотрудником и без присутствия посторонних.

Ключи ЭЦП должны храниться в сейфах у уполномоченных лиц. Доступ посторонних к таким ключам должен быть исключен.

По отношению к СКЗИ пользователь обязан:

• при компрометации ключей сотрудник обязан немедленно сообщить об этом администратору безопасности;

• вернуть администратору безопасности носители информации, связанные с СКЗИ при прекращении выполнения должностных обязанностей;

• соблюдать конфиденциальность криптографических ключей.

Пользователям запрещено:

• производить копирование криптографических ключей;

• передавать криптографические ключи другим лицам;

• хранить ключевые носители не в сейфах или запирающихся шкафах;

• оставлять ключевые носители без присмотра.

Действия при компрометации ключей ЭЦП

Под компрометацией ключа ЭЦП понимается утрата доверия к тому, что ключ однозначно идентифицирует владельца и обеспечивает конфиденциальность информации. Компрометацией ключа считается:

• утрата ключевого носителя;

• передача ключа по каналам связи в не зашифрованном виде;

• факт искажения передаваемой информации;

• иные случаи, если был осуществлен несанкционированный доступ к ключевому носителю или его повреждение (кроме случаев, когда было доказано, что ключевой носитель был поврежден не в результате действий злоумышленника).

В перечисленных выше случаях, пользователь должен немедленно обратиться к администратору безопасности любым доступным способом и сообщить о предполагаемой компрометации.

1. Резервное копирование

15.1 Для организации резервного копирования назначается ответственное лицо, в обязанности которого входит:

• планирование резервного копирования и восстановления;

• определение информации, подлежащей резервному копированию;

• контроль наличия ошибок при выполнении резервного копирования;

• контроль и анализ системного журнала резервного копирования;

• контроль состояния и обслуживание оборудования резервного копирования.

15.2 Система резервного копирования должна достаточную производительность для сохранения информации в установленные сроки и с заданной периодичностью.

15.3 Название резервной копии должна показывать дату создания копии и краткое описание.

15.4 Доступ к носителям информации с резервными копиями должен быть контролируемым, носители должны быть защищены от внешних воздействий.

15.5 По выработке ресурса носителя информации он должен быть заменен на новый. При этом информация со старого носителя не копируется, а стирается.

15.6 Учет носителей и действий с ними ведется в журнале резервного копирования, который обязан вести ответственный за резервное копирование.

15.7 Срок хранения резервных копий определяется Учреждением, если иное не установлено нормативными правовыми актами.

15.8 Хранение резервных копий

15.8.1 Резервное копирование осуществляется на сервер Учреждения с технологией RAID. Регулярность создания резервных копий должна обеспечить нормальную работу Учреждения после восстановления информации.

15.8.2 Съемные носители информации, содержащие резервные копии должны быть промаркированы и содержать номер копии, дату записи и идентифицировать информацию, содержащейся в носителе.

15.8.3 Доступ к носителям информации с резервными копиями должен быть контролируемым, носители должны быть защищены от внешних воздействий.

15.9 Восстановление информации из резервных копий

15.9.1 Восстановление информации может быть инициировано в случаях частичной или полной утратой, или повреждением информации, в результате сбоев технических средств, чрезвычайных ситуаций или программного обеспечения.

15.9.2 Восстановление осуществляется из таких резервных копий, которые позволяют минимизировать потерю данных.

1. Защита персональных данных

В соответствии с федеральным законом №152-ФЗ "О персональных данных" от 27.07.2006 в Учреждении создана система защиты персональных данных. В Учреждении существуют персональные данные сотрудников и персональные данные, собранные для формирования статистической информации.

Персональные данные, собираемые для статистических целей должны быть обезличены. Обезличивание персональных данных производится при помощи методических методические рекомендации по исполнению приказа Службы от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных».

Кроме требований к обезличиванию персональных данных, в Учреждении существует набор документов, создание которых требует постановление Правительства Российской Федерации от 21 марта 2012 г. №211. Данные документы находятся в открытом доступе и доступны на официальном сайте Учреждения.

1. Перечень нормативных правовых актов, на которых основаны правила Политики

При создании правил Политики Учреждение руководствовалось следующими нормативными правовыми документами:

Законами Российской Федерации:

• федеральный закон "О персональных данных" от 27.07.2006 № 152-ФЗ;

• федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ;

• федеральный закон от 27.07.2004 №79-ФЗ "О государственной гражданской службе Российской Федерации";

Указами Президента:

• указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

• указ Президента Российской Федерации от 01.02.2005 №112 «О конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации».

Постановлениями и распоряжениями правительства Российской Федерации:

• постановлением Правительства Российской Федерации от 21 марта 2012 г. №211 «Перечень мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами;

• распоряжение Правительства Российской Федерации от 26.05.2005 № 667-р «Об утверждении формы анкеты, подлежащей представлению в государственный орган, орган местного самоуправления, аппарат избирательной комиссии муниципального образования гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации».

Приказом ФСТЭК:

• приказом №17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

1. Ответственность за нарушение Политики

За нарушение положений Политики в соответствии со статьей 192 Трудового кодекса РФ к сотруднику, в зависимости от тяжести нарушения могут быть применены следующие дисциплинарные взыскания: замечание, выговор или увольнение.

Характеристики

Список файлов ВКР