Пояснительная записка Пешкова Н.А. 24Б (1209002), страница 4

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 4)

Требования к порядку создания пароля:

• создание пароля должно предусматривать создание первичного пароля администратором, с последующей его сменой пользователем при первом запуске программного обеспечения. В случае если данная возможность не поддерживается программным обеспечением, пользователь обязан самостоятельно создать пароль пользователя при первом запуске программного обеспечения;

• пароли не должны передаваться в электронных сообщениях или любых иных формах электронного обмена;

2.2.7.2 Регулярность смены пароля

Требования к регулярности смены пароля:

• системные пароли (например, пароль учетной записи Root, администратор, а также пароли обеспечивающие возможность полного управления и настройки (включая изменения прав доступа) используемым в Учреждении программным обеспечением) должны меняться регулярно, но не реже одного раза в три месяца;

• пароли пользователей (например, пароли учетной записи, удаленного доступа к базам данным) должны меняться регулярно, но не реже одного раза в три месяца, если иное не определено НПА РФ и/или организационно-распорядительными документами Учреждения;

• в случае компрометации пароля необходимо его немедленное изменение, а также оповещение о данном факте администратора информационной безопасности;

• внеплановая смена паролей пользователя производится в случае прекращения или изменения его полномочий (переход на другую работу внутри Учреждения и т.п.) немедленно после окончания последнего сеанса работы данного пользователя с системой;

• полная внеплановая смена всех системных паролей и паролей пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу внутри Учреждения и т.п.) любого из лиц, выполнявших должностные обязанности администратора и/или имевшего доступ к таким паролям.

Восстановление пароля:

• восстановление утерянных паролей пользователей осуществляется администратором, путем сброса забытого пароля и установления первичного пароля, в случае если установка первичного пароля не поддерживается программным обеспечением, администратор осуществляет сброс забытого пароля, а пользователь обязан самостоятельно создать пароль пользователя при первом запуске программного обеспечения. Основанием для смены пароля может являться только заявка в письменной форме.

2.2.7.4 Хранение пароля и передача его третьим лицам

Требования по организации хранения пароля и передачи его третьим лицам:

• пользователи не должны сообщать свои пароли третьим лицам, включая руководителей и лиц, осуществляющих сопровождение программного обеспечения. Администраторы АС не должны просить пользователей сообщить им их пароли;

• хранение пользователями любых паролей в электронном или физическом виде на любом, в том числе личном, носителе информации (в виде отдельных файлов, записей в ежедневниках, а также с применением функций программного обеспечения и т.п.), разрешено при условии исключения возможности получения доступа к паролям третьих лиц;

• хранение паролей администраторами (в том числе администраторами информационной безопасности), допускается при применении средств криптографической защиты, при этом хранение не зашифрованных системных паролей в электронном виде – запрещено. Использование администраторами функций программного обеспечения, позволяющих исключить ввод пароля при повторных запусках, возможно в исключительных случаях (например, в системе резервного копирования, системе антивирусной защиты);

• допускается хранение пароля на индивидуальном носителе (электронный идентификатор touch memory и т.д.). В таком случае пользователь несет персональную ответственность за сохранность данного индивидуального носителя, а также обязуется вернуть его по запросу структурного подразделения Учреждения, выдавшего его, или при прекращении полномочий.

2.2.8 Обеспечение антивирусной защитой

Требования к обеспечению антивирусной защиты:

• антивирусное программное обеспечение должно быть установлено и функционировать в штатном режиме на всех компьютерах, выполняющих функции серверов КС Учреждения, на всех АРМ отдельно стоящих и подключенных к КС и на всех портативных компьютерах;

• не допускается изменение настроек системы антивирусной защиты, в части оповещения о нахождении компьютерных вирусов или вредоносных программ, в результате действия которых уменьшается эффективность работы АС;

• обновления баз системы антивирусной защиты должно производиться регулярно. Построение системы антивирусной защиты должно предусматривать возможность обновления ее антивирусных баз и компонентов производителем по мере их создания. В случае невозможности такого построения системы (например, отдельно стоящие АРМ не подключенные к каким-либо сетям), обновление системы антивирусной защиты должно производиться с регулярностью, обеспечивающей ее эффективное функционирование;

• запрещается отключение системы антивирусной защиты, за исключением случаев проведения тестирования программного обеспечения и иных тестов, проводимых уполномоченными работниками Учреждения.

2.2.8.1 Предотвращение выполнения вредоносного кода

Правила по предотвращению выполнения вредоносного кода:

• структурные подразделения Учреждения обязаны проводить сканирование своих информационных ресурсов, а также всех подключенных АРМ на наличие компьютерных вирусов и/или вредоносных программ;

• файлы, полученные любым образом, с любых носителей информации или сетей общего пользования должны быть проверены на наличие вредоносного кода;

• подключения к АРМ незарегистрированных отчуждаемых носителей информации (дискеты, компакт-диски, съемные жесткие диски, сотовые телефоны, карманные персональные компьютеры, фотоаппараты и иные носители информации) разрешено с обязательной проверкой «по требованию» таких носителей информации на наличие компьютерных вирусов и/или вредоносных программ;

• в случае получения файлов, проверка которых в исходном состоянии невозможна (например, файлы содержат архивы, не поддерживаемые системой антивирусной защиты, файлы прошли криптографическое преобразование и т.п.), необходимо на АРМ, не подключенном к КС Учреждения, привести данные файлы к состоянию пригодному для проверки на наличие вредоносного кода, осуществить такую проверку, после чего принимать решение о возможности использования данных файлов;

• все файлы передаваемые третьим лицам должны быть проверены на наличие вредоносного кода системой антивирусной защиты до их передачи;

• любые намеренные попытки написания, компиляции, хранения, запуска, пропаганды или распространения пользователями компьютерных вирусов или вредоносных программ, а также иного кода, предназначенного для саморазмножения, нанесения ущерба или снижения производительности АС Учреждения, запрещены.

2.2.8.2 Обнаружение вредоносного кода

Правила по обнаружению вредоносного кода:

• в случае обнаружения системой антивирусной защиты компьютерного вируса или вредоносной программы пользователь обязан прекратить работу и сообщить об этом администратору информационной безопасности;

• о любом инциденте, связанном с выявлением компьютерного вируса или вредоносных программ, на АРМ или портативном компьютере, подключаемом к КС Учреждения, должно быть сообщено администратору информационной безопасности;

• самостоятельные попытки пользователя по удалению компьютерного вируса или вредоносной программы запрещены.

2.2.9 Использование сети Интернет

Требования к использованию сети Интернет [7]:

• вся информация, полученная из сети Интернет, должна считаться недостоверной, не будучи подтвержденной из других источников. Перед использованием свободно распространяемой информации из сети Интернет для принятия решений в рамках деятельности Учреждения, такая информация должна быть перепроверена в других источниках;

• учреждение не несет ответственности за информацию, содержащуюся в сети Интернет. В случае открытия пользователем ресурсов, содержание которых может считаться незаконным или оскорбительным пользователь обязан прекратить работу с данным ресурсом.

2.2.9.1 Обеспечение безопасности использования сети Интернет

Требования к обеспечению безопасности использования сети Интернет:

• для получения возможности доступа пользователя в сети Интернет должны быть обеспечены механизмы защиты информационных ресурсов Учреждения от воздействия из сети Интернет;

• передача информации ограниченного доступа по сетям общего пользования, допускается при условии соблюдения всех требований к такой передаче. Передача информации ограниченного доступа без соблюдения требований, предъявляемых к ее передаче по сети Интернет, запрещена;

• пользователю запрещено любое тестирование и/или попытки обхода установленных механизмов защиты Учреждения.

2.2.9.2 Ограничение предоставления доступа к сети Интернет

Требования к ограничению предоставления доступа к сети Интернет:

• запрещено предоставлять доступ к сети Интернет стороннему обслуживающему персоналу, консультантам и иным лицам, состоящим в договорных отношениях с Учреждением, за исключением случаев, когда такой доступ необходим для решения данными лицами задач в интересах структурных подразделений Учреждения. Доступ может быть предоставлен только по согласованию с уполномоченным лицом структурного подразделения Учреждения, а в случае использования КС Учреждения – с администратором информационной безопасности.

2.2.9.2 Ограничение использования сети Интернет

Требования к ограничению использования сети Интернет работниками Учреждения:

• использование сети Интернет для личных нужд пользователя запрещен. Доступ пользователям предоставляется к сети Интернет для выполнения должностных обязанностей. Использование сети Интернет для участия в игровых, развлекательных и иных ресурсах (включая конкурсы, выставки, социальные сети и иные Интернет-сообщества) запрещено;

• пользователям запрещена загрузка любого программного обеспечения из сети Интернет. В исключительных случаях, когда загрузка такого программного обеспечения продиктована соблюдением интересов Учреждения, загрузка программного обеспечения из сети Интернет осуществляется уполномоченными лицами структурных подразделений Учреждения;

• пользователям Учреждения запрещено участвовать в обмене пиратским программным обеспечением, серийными номерами программного обеспечения и ином обмене, нарушающем и/или ущемляющем права правообладателей обмениваемой информации.

2.2.10 Использование электронной почты

Правила по использованию электронной почты сотрудниками Учреждения [6], [7]:

• электронная почта должна быть использованы работниками Учреждения только для выполнения должностных обязанностей, выполнения договорных обязательств Учреждения и выполнения требований НПА РФ;

• запрещено использовать электронную почту для отправления писем, содержание которых может считаться незаконным или оскорбительным, например, материалы сексуального характера, расистские, дискредитирующие, оскорбительные, непристойные, уничижительные, дискриминационные, угрожающие, или иные подобные сообщения, любых подрывных, оскорбительных, неэтичных, незаконных или недопустимых материалов, включая оскорбительные комментарии по поводу расы, пола, цвета, инвалидности, возрасте, сексуальной ориентации, порнографии, терроризма, религиозных убеждений и верований, политических убеждений или о национальном происхождении, гиперссылок или других ссылок на неприличные или очевидно оскорбительные веб-сайты и подобные материалы, шутки, массовые рассылки, предупреждений о вирусах и розыгрышей, обращений о помощи или вредоносного кода, писем, написанных таким образом, который может быть интерпретирован как официальная позиция или высказывание Учреждения, если это не разрешено руководителем Учреждения в соответствии с нормативно-методическими документами Учреждения;

• запрещено использовать электронную почту в целях отправки сообщения с чужого почтового ящика или от чужого имени, отправки сообщений в личных или благотворительных целях, не связанных с деятельностью Учреждения, отправки и пересылки писем, пересылаемых по цепочке, массовой рассылки писем, кроме случаев, когда необходимо оповещение большого числа работников Учреждения или в случаях когда это обусловлено выполнением задач Учреждения, в любых других незаконных, неэтичных и неразрешенных целях;

• работники Учреждения, получившие электронную почту от другого пользователя Учреждения, с сообщениями, содержащими запрещенное содержание обязаны уведомить о таком факте администратора информационной безопасности.

2.2.10.1 Безопасность при использовании системы электронной почты

Требования к безопасности использования системы электронной почты:

• использование электронной почты должно осуществляться с применением технологий идентификации и аутентификации пользователя;

• отправка электронной почты, содержащей информацию ограниченного доступа, должна осуществляться в соответствии с требованиями, предъявляемыми к такой информации;

• пользователям запрещено открывать вложения в электронные сообщения, в случае если отправитель данного сообщения не известен пользователю. Открывать вложения от неизвестных отправителей допускается только администраторам;

• пользователям запрещено отвечать на запросы любой персональной идентификационной информации, включая пароли, коды доступа, номера кредитных карт и т.п. В случае получения сообщений с такими запросами пользователь обязан сообщить о них администратору информационной безопасности.

2.2.11 Использование съемных носителей информации

Правила по использованию съемных носителей информации сотрудниками Учреждения [4],[5]:

• работники, которым необходимо использование съемных носителей информации для выполнения должностных обязанностей, должны быть обеспечены Учреждением такими носителями. Использование личных съемных носителей информации работников для выполнения должностных обязанностей разрешено, при условии выполнения требований политик безопасности. Необходимость использования работником личных съемных носителей информации должна быть сведена к минимуму, путем обеспечения работников служебными съемными носителями информации;

• служебные съемные носители информации должны подлежать учету, а их передача работникам должна быть подтверждена их росписью. Работник несет персональную ответственность за их сохранность. Работникам запрещено создавать предпосылки для осуществления утраты, кражи и иных противоправных действий со служебными отчуждаемыми носителями информации;

• использование съемных носителей информации для хранения информации ограниченного доступа должно соответствовать требованиям НПА РФ и внутренних документов Учреждения;

• использование служебных съемных носителей информации в личных целях запрещено;

• подключение служебных съемных носителей информации к техническим средствам, заведомо содержащим вирусы и/или вредоносные программы, запрещено. В этом случае съемные носители передаются администратору информационной безопасности;

• эксплуатация съемных носителей информации должна осуществляться в соответствии с требованиями по их эксплуатации, и направлена на предупреждение их неисправности;

• носители должны храниться и утилизироваться надежно и безопасно, например посредством сжигания или измельчения; если носители планируется использовать в пределах организации для других прикладных программ, информация на них должна быть уничтожена;

• передача съемных носителей между различными пунктами назначения должна осуществляться администратором информационной безопасности;

• упаковка должна быть достаточно прочной для защиты съемного носителя от любого физического повреждения [6],[7].

2.2.12 Использование мобильных устройств

Характеристики

Список файлов ВКР