Пояснительная записка Пешкова Н.А. 24Б (1209002), страница 5

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 5)

Под мобильным устройством понимается любое устройство обработки информации в электронном виде по особенностям своей конструкции, предназначенные для обработки информации без привязки к определенному месту (ноутбуки, планшеты, видеокамеры, смартфоны и т.п.).

Правила по использованию мобильных устройств работниками Учреждения:

• использование сотрудниками личных мобильных устройств для выполнения должностных обязанностей запрещено (за исключением случаев совершения телефонных звонков по личным сотовым телефонам);

• подключение личных мобильных устройств к корпоративной сети Учреждения запрещено;

• служебные мобильные устройства должны отвечать требованиям настоящего Положения, включая требования по парольной защите, антивирусной защите, установленному программному обеспечению, использованию технологий беспроводной передачи данных и т.п. Служебные мобильные устройства, не отвечающие требованиям настоящего Положения, запрещено использовать для выполнения должностных обязанностей сотрудниками, в том числе подключать их к корпоративной сети Учреждения;

• обработка информации ограниченного доступа на мобильных устройствах должна соответствовать требованиям нормативных правовых актов Российской Федерации и организационно-распорядительных документов Учреждения;

• сотрудник, использующий служебные мобильные устройства, несет персональную ответственность за обеспечение их сохранности. Сотрудникам запрещено создавать предпосылки для осуществления утраты, кражи и иных противоправных действий со служебными мобильными устройствами;

• использование служебных мобильных устройств в личных целях, а также для совершения противоправных действий запрещено.

2.2.13 Использование средств криптографической защиты

Требования к использованию средств криптографической защиты [6], [7]:

• деятельность со средствами криптографической защиты должны исключать нарушение законодательства Российской Федерации в области лицензирования. В случае, если предполагаемая деятельность со средствами криптографической защиты подразумевает необходимость получения лицензии, то Учреждение обязано получить такую лицензию или привлекать для подобной деятельности сторонние организации, имеющие соответствующие лицензии;

• при использовании средств криптографической защиты для защиты информации ограниченного доступа данные криптографические средства должны соответствовать требованиям НПА РФ;

• установка, настройка и техническое сопровождение средств криптографической защиты должно осуществляться квалифицированными специалистами и не нарушать требования НПА РФ;

• использование, в том числе хранение, средств криптографической защиты должно отвечать требованиям законодательства Российской Федерации;

• перед использованием средств криптографической защиты работники обязаны пройти обучение по порядку их использования;

• пользователям запрещено использование средств криптографической защиты других пользователей, в том числе с целью выдать себя за другого пользователя.

Компроментация ключей:

• все действия по обеспечению сохранности ключей должны быть направлены на исключение компрометации ключей;

• в случае компрометации ключей или подозрения на компрометацию пользователь обязан прекратить любое использование средств криптографической защиты и незамедлительно сообщить о данном факте уполномоченному лицу Учреждения.

2.2.14 Резервное копирование

Требования к организации резервного копирования информации [6], [7]:

–резервное копирование информации, размещенной на АРМ пользователей и компьютерах, выполняющих функции сервера КС, осуществляется уполномоченным лицом Учреждения.

2.2.14.1 Порядок резервного копирования рабочей информации

Требования по организации порядка резервного копирования рабочей информации:

• порядок резервного копирования распространяется только на рабочую информацию, хранящуюся на информационных ресурсах Учреждения;

• резервное копирование должно сочетать как минимум две технологии резервного копирования, одной из которых должна быть технология RAID, используемая для создания дисковых массивов на аппаратных ресурсах Учреждения;

• регулярность создания резервных копий рабочей информации должна быть достаточной для продолжения нормальной работы Учреждения, в случае нарушения целостности и/или доступности рабочей информации на информационных ресурсах Учреждения, но не реже одного раза в день для ежедневно изменяющихся данных и одного раза в неделю для периодически изменяющихся данных. Копирование резервных копий на отчуждаемые носители (внешние дисковые хранилища и т.п.) должно осуществляться регулярно, но реже одного раза в месяц;

• все резервные копии, должны быть размещены в отдельных каталогах, название которых отражает дату последнего изменения рабочей информации и ее краткое описание;

• все рабочая информация, хранящаяся на аппаратных ресурсах Учреждения и регулярно копируемая на отчуждаемые носители, должна быть доступна для дальнейшего восстановления;

• как минимум одна резервная копия рабочей информации должна храниться на съемном носителе;

• процессы резервного копирования и восстановления для каждого отдельного типа информации должны быть документированы и периодически пересматриваться.

2.2.14.2 Порядок хранения резервных копий

Требования по организации порядка хранения резервных копий:

• для хранения резервных копий на съемных носителях должны выбираться такие съемные носители, характеристики которых не изменяются в течение предполагаемого времени хранения резервных копий;

• хранение резервных копий рабочей информации на отчуждаемых носителях должно осуществятся с организацией контролируемого доступа к данным носителям, их защитой от воздействия окружающей среды и в разных помещениях с компьютерами, выполняющими функции сервера в КС Учреждения;

• порядок хранения резервных копий информации ограниченного доступа, определяется отдельными требованиями по защите информации ограниченного доступа;

• срок хранения резервных копий на внешних носителях определяется регламентом резервного копирования, если иное не определено НПА РФ, или организационно-распорядительными документами Учреждения;

• резервные копии, хранящиеся более полугода, должны ежеквартально тестироваться, для подтверждения возможности их восстановления и использования.

2.2.15 Правила «чистого стола» и «чистого экрана»

Правила «чистого стола» и «чистого экрана» [6],[7]:

• носители (бумажные или электронные), содержащие конфиденциальную информацию, если они не используются, следует убирать и запирать (в сейфе, в шкафу или на полках в специальном помещении для хранения), особенно, когда помещение пустует;

• компьютеры и терминалы должны быть выключены или защищены посредством механизма блокировки экрана или клавиатуры, контролируемым паролем, маркером или подобным механизмом аутентификации пользователя, когда они находятся без присмотра, и должны быть защищены блокировкой клавиатуры, паролями или другими средствами управления, когда не используются;

• должны быть защищены пункты работы с входящей и исходящей почтой и факсимильные аппараты, находящиеся без присмотра;

• несанкционированное использование фотокопировальных устройств и другой воспроизводящей техники (например, сканеры, цифровые камеры и фотоаппараты), должно предотвращаться;

• документы, содержащие конфиденциальную информацию, необходимо немедленно изымать из принтеров.

2.2.16 Кадровая политика

2.2.16.1 Требования до приема на работу

Требования до приема на работу [6],[7]:

• претендентам на работу не должна раскрываться информация об имеющейся системе защиты информации;

• до начала выполнения своих должностных обязанностей до претендента должна быть доведена вся необходимая информация и проведены все инструктажи в соответствии с требованиями НПА РФ и организационно-распорядительной документации Учреждения.

2.2.16.2 Требования при выполнении должностных обязанностей

Требования при выполнении должностных обязанностей:

• ответственное выполнение требований по информационной безопасности является обязанностью всех работников Учреждения. Требования по информационной безопасности касаются всех работников Учреждения;

• для выполнения требований по информационной безопасности работники должны знать требования НПА РФ и организационно-распорядительной документации Учреждения, регламентирующие данные требования и письменно подтверждать свое согласие на их выполнение;

• в зависимости от должностных обязанностей, знание требований по информационной безопасности могут быть включены в программу проведения аттестации персонала;

• не выполнение требований НПА РФ и организационно-распорядительной документации Учреждения по защите информации является поводом для проведения служебных расследований и возможному привлечению к дисциплинарной, административной и уголовной ответственности в соответствии с действующим законодательством Российской Федерации и административно-правовыми нормами, установленными в Учреждения;

• для выполнения требований по информационной безопасности пользователям запрещено прибегать к помощи третьих лиц, без согласования с руководителем Учреждения или своего филиала.

2.2.16.3 Требования при прекращении выполнения должностных

обязанностей

Требования при прекращении выполнения должностных

обязанностей:

• при увольнении или прекращении договорных обязательств работники должны быть уведомлены и согласны с требованиями по неразглашению информации ограниченного доступа и сведений о системе защиты информации в Учреждении, в соответствии с НПА РФ и организационно-распорядительной документацией Учреждения;

• при увольнении работник обязан передать в уполномоченному лицу все материальные ценности Учреждения, предоставленные ему для выполнения должностных обязанностей.

2.2.16.4 Требования к персоналу по обеспечению защиты ПДн

Требования к персоналу по обеспечению защиты ПДн:

• все сотрудники оператора, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн;

• при вступлении в должность нового сотрудника непосредственный начальник подразделения, в которое он поступает, обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн;

• сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн;

• сотрудники оператора, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов;

• сотрудники оператора должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации);

• сотрудники оператора должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты;

• сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию;

• сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами оператора, третьим лицам;

• при работе с ПДн в ИСПДн сотрудники оператора обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов;

• при завершении работы с ИСПДн сотрудники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты;

• сотрудники оператора должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн;

• сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

Заключение

Защита от несанкционированного доступа к информационным ресурсам организации, обеспечение безопасности информационных систем очень важная проблема в современном мире.

Во время выполнения данной ВКР:

• была изучена документация в области защиты информации;

• в разделе 1 были исследованы исходные данные по объекту защиты, определены угрозы информационной безопасности в ИС Учреждения, определены категории информационных ресурсов, подлежащих;

• в разделе 2 были выявлены недостатки информационной безопасности в Учреждении, разработаны мероприятия по обеспечению информационной безопасности Учреждения;

Таким образом, был разработан перечень мероприятий по обеспечению информационной безопасности Многофункционального центра для поддержания системы защиты Учреждения в актуальном состоянии, отвечающий требованиям законодательства и нормативно-правовым документам федеральных органов исполнительной власти.

Список сокращений

АРМ – автоматизированное рабочее место

Характеристики

Список файлов ВКР