Пояснительная записка (ПЗ) (1209507), страница 6
Текст из файла (страница 6)
При расторжении трудового договорасотрудник должен также подписывать соглашение о неразглашениеконфиденциальной информации.43После окончании сотрудничества или партнерства необходимо вернутьвсе активы организации, находящиеся во владении сторонних лиц.При расторжении трудового договора права доступа должны бытьаннулированы и уничтожены.3.5ЦельюФизическая защита и защита взаимодействия окружающей средыполитикиинфрмационнойбезопасностиохраняемойзоныявляется предотвращение несанкционированного физического доступа,повреждения и воздействия на помещения и информацию организации.Периметр охраняемой зоныФизическая защита может быть достигнута созданием несколькихфизических барьеров вокруг помещений компании и средств обработкиинформации. Барьеры устанавливают отдельные периметры безопасности,каждый из которых обеспечивает усиление защиты в целом.
Организациямследует использовать периметры безопасности для защиты зон расположениясредств обработки информации.Периметр безопасности – граница, создающая барьер, например,проходная, оборудованная системой контроля входа по идентификационнымкарточкам.Рекомендуется рассматривать и внедрять при необходимости следующиемероприятия по обеспечению ИБ: периметр безопасности должен быть четко определен; периметр помещений должен быть физически сплошным. Внешние стеныпомещений должны иметь достаточно прочную конструкцию, а всевнешние двери должны быть соответствующим образом защищены отнеавторизованного доступа;44 должна быть выделена выделенная и укомплектованная персоналом зонарегистрации; физические барьеры; все противопожарные выходы в периметре безопасности должны бытьоборудованы аварийной сигнализацией и плотно закрываться.3.5.1Контроль доступа в охраняемую зонуЗоны информационной безопасности необходимо защищать с помощьюсоответствующих мер контроля входа для обеспечения уверенности в том,что доступ позволен только авторизованному персоналу.Необходимо рассматривать следующие меры контроля: посетители зон безопасности должны сопровождаться или обладатьсоответствующим допуском; дату и время входа и выхода следуетрегистрировать.
Доступ следует предоставлять только для выполненияопределенныхавторизованныхзадач.Необходимотакжезнакомитьпосетителей с требованиями безопасности и действиями на случайаварийных ситуаций; доступ к важной информации и средствам ее обработки долженконтролироваться и предоставляться только авторизованным лицам. Следуетиспользовать средства аутентификации, например, карты доступа плюс PINкоддляавторизацииНеобходимотакжеипредоставлениянадежнымобразомсоответствующегопроводитьаудитдоступа.журналоврегистрации доступа; необходимо требовать, чтобы весь персонал носил признаки видимойидентификации,следуетпоощрятьеговниманиекнезнакомымнесопровождаемым посетителям, не имеющим идентификационных картсотрудников;45 права доступа сотрудников в зоны информационной безопасностиследует регулярно анализировать и пересматривать.3.5.2Защита от внешних угроз и угроз со стороны окружающей средыПри этом следует предусматривать следующие меры: основное оборудование должно быть расположено в местах сограничением доступа посторонних лиц; здания не должны выделяться на общем фоне и должны иметьминимальные признаки своего назначения - не должны иметь очевидныхвывесок вне или внутри здания, по которым можно сделать вывод овыполняемых функциях обработки информации; подразделенияподдержкииоборудование,например,фотокопировальные устройства и факсы, должны быть расположенысоответствующим образом в пределах зоны безопасности во избежаниедоступа, который мог бы скомпрометировать информацию; двери и окна необходимо запирать, когда в помещениях нетсотрудников, а также следует предусмотреть внешнюю защиту окон особенно, низко расположенных; необходимо также внедрять соответствующие системы обнаружениявторжений для внешних дверей и доступных для этого окон, которыедолжны быть профессионально установлены и регулярно тестироваться.Свободные помещения необходимо ставить на сигнализацию.
Аналогичноследует оборудовать другие помещения, в которых расположены средствакоммуникаций; необходимо физически изолировать средства обработки информации,контролируемые организацией и используемые третьей стороной; справочники и внутренние телефонные книги, идентифицирующиеместоположения средств обработки важной информации, не должны бытьдоступны посторонним лицам;46 следует обеспечивать надежное хранение опасных или горючихматериаловнадостаточномрасстоянииотзоныинформационнойбезопасности. Большие запасы бумаги для печатающих устройств не следуетхранитьвзонебезопасностибезсоответствующихмерпожарнойбезопасности; резервное оборудование и носители данных следует располагать набезопасномрасстояниивоизбежаниеповрежденияотпоследствийстихийного бедствия в основном здании.3.5.3Зоны общественного доступаТребования безопасности для таких зон должны быть определены наоснове оценки рисков.
В этих случаях рекомендуется предусматриватьследующие мероприятия: доступ к зоне складирования с внешней стороны здания должен бытьразрешен только определенному и авторизованному персоналу; зонаскладированияпоступающиематериальныедолжнабытьценностиорганизованамоглибытьтак,чтобыразгруженыбезпредоставления персоналу поставщика доступа к другим частям здания; должна быть обеспечена безопасность внешней (их) двери (ей)помещения для складирования, когда внутренняя дверь открыта; поступающие материальные ценности должны быть осмотрены напредмет потенциальных опасностей прежде, чем они будут перемещены изпомещения для складирования к местам использования; поступающие материальные ценности должны быть зарегистрированы,если это необходимо.473.5.4 Безопасность оборудованияЦель: предотвращение потерь, повреждений или компрометацийактивов и нарушения непрерывности деятельности организации.Оборудование необходимо защищать от угроз его безопасности ивоздействий окружающей среды.Необходимо обеспечивать безопасность оборудования (включая и то,чтоиспользуетсявнеорганизации),чтобыуменьшитьрискнеавторизованного доступа к данным и защитить их от потери илиповреждения.
При этом необходимо принимать во внимание особенности,связанныесрасположениемоборудованияивозможнымегоперемещением. Могут потребоваться специальные мероприятия защитыот опасных воздействий среды или неавторизованного доступа черезинфраструктуры обеспечения, в частности, системы электропитания икабельной разводки.3.5.5Размещение и защита оборудованияОборудование должно быть расположено и защищено так, чтобыуменьшить риски от воздействий окружающей среды и возможностинеавторизованногодоступа.Необходиморассматриватьследующиемероприятия по управлению информационной безопасностью: оборудование необходимо размещать таким образом, чтобы свести доминимума излишний доступ в места его расположения; средства обработки и хранения важной информации следует размещатьтак, чтобы уменьшить риск несанкционированного наблюдения за ихфункционированием; отдельные элементы оборудования, требующие специальной защиты,необходимо изолировать, чтобы повысить общий уровень необходимойзащиты;48 меры по управлению информационной безопасностью должны свести кминимуму риск потенциальных угроз, включая: воровство; пожар; взрыв; задымление; затопление (или перебои в подаче воды); пыль; вибрацию; химические эффекты; помехи в электроснабжении; электромагнитное излучение.49ЗаключениеЗащита от несанкционированного доступа к информационным ресурсаморганизации, обеспечение безопасности информационных систем оченьважная проблема в современном мире.Во время выполнения данной ВКР: была изучена документация в области защиты информации; в первом разделе были исследованы исходные данные по объектузащиты,определеныУчреждения,угрозыопределеныинформационнойкатегориибезопасностиинформационныхвИСресурсов,подлежащих; во втором разделе были выявлены недостатки информационнойбезопасностивКлиникедиетологии,разработанымероприятияпообеспечению информационной безопасности Учреждения.Таким образом, был разработан перечень мероприятий по обеспечениюинформационнойбезопасностиМногофункциональногоцентрадляподдержания системы защиты Клиники диетологии в актуальном состоянии,отвечающийтребованиямзаконодательстваинормативно-правовымдокументам федеральных органов исполнительной власти.50Список использованных источников1.
«Об организации предоставления государственных и муниципальныхуслуг»: Федеральный закон от 27 июля 2010 г. № 210-ФЗ.2. «О персональных данных»: Федеральный закон Российской Федерацииот 27 июля 2006 г. № 152-ФЗ.3. Состав и содержание организационных и технических мер пообеспечению безопасности персональных данных при их обработке винформационных системах персональных данных: Утв. Приказом ФСТЭКРоссии от 18 февраля 2013 г. № 21.4. Методическийдокумент.Мерызащитыинформациивгосударственных информационных системах: Утв.
ФСТЭК России 11февраля 2014.5. ГОСТ Р ИСО/МЭК 27001-2006 Методы и средства обеспечениябезопасности. Системы менеджмента информационной безопасности.6. ГОСТ Р ИСО/МЭК 27002/2012 Методы и средства обеспечениябезопасности.7. Доктрина информационной безопасности РФ: Утв. Президентом РФ от9 сентября 2000 г. № Пр-1895.8. Указ Президента РФ от 6 марта 1997 г. № 188 "Об утвержденииперечня сведений конфиденциального характера".51Обозначения и сокращенияАРМ – Автоматизированное рабочее место.АС – Автоматизированная система.БД – База данных.ЗИ – Защита информации.ИБ – Информационная безопасность.ИС – Информационная система.ИТС – Информационно-телекоммуникационная система.КЗ – Контролируемая зона.МЭ – Межсетевой экран.НСД – Несанкционированный доступ.ОС – Операционная система.ПБ – Политики безопасности.ПО – Программное обеспечение.СВТ – Средства вычислительной техники.СЗИ – Средство защиты информации.СКЗИ – Средство криптографической защиты информации.СПД – Система передачи данных.СУБД – Система управления базами данных.СУИБ – Система управления информационной безопасностью.СЭД – Система электронного документооборота.ЭВМ–Электронная-вычислительнаякомпьютер.ЭЦП – Электронная цифровая подпись.52машина,персональный.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
