Материалы представленные на сайте исключительно с целью ознакомления пользователям Интернета и не преследуют коммерческих целей или нарушение авторских прав.
© 2018 - 2024
Ниже приведены уже предпринятые меры обеспечения информационной безопасности в организации ОО «КРГ»:
Физическая защита здания организации (охрана, видеонаблюдение).
Учет основных технических средств (СВТ) и систем:
Наличие схемы размещения СВТ с привязкой к границам контролируемой зоны;
Описание состава и размещения вспомогательных технических средств и систем;
Наличие схем электропитания и заземления основных технических средств и систем, вспомогательных технических средств и систем, схем прокладки кабельных линий передачи данных;
Наличие предписания на эксплуатацию СВТ и систем;
Контроль требований эксплуатационной документации на сертифицированные средства защиты, требований других нормативных документов (не реже одного раза в год).
Учет программного обеспечения, наличие соответствующих лицензий/сертификатов.
Контроль:
при вводе объекта защиты в эксплуатацию,
после проведения ремонта СВТ и средств защиты информации,
при изменениях условий расположения или эксплуатации СВТ.
Основные технические средства и системы необходимо размещать в помещениях, расположенных в пределах контролируемой зоны. Помещения, предназначенные для размещения активного сетевого оборудования и систем, должны отвечать следующим требованиям: отдельное закрытое помещение, ограниченный доступ в помещение, наличие сигнализации, средств охлаждения и средств пожаротушения.
Размещение и монтаж основных технических средств и систем, предназначенных для вывода конфиденциальной информации (печатающих устройств, видеотерминалов, графопостроителей и т.п.) необходимо проводить с учетом максимального затруднения визуального просмотра информации посторонними лицами, а также принимая дополнительные меры, исключающие подобный просмотр (шторы на окнах, непрозрачные экраны и т.п.).
Запрещается в пределах помещений объекта СВТ, где располагаются основные технические средства и системы, прокладывать незадействованные линии, имеющие выход за пределы контролируемой зоны.
Защита от несанкционированного доступа обеспечивается разграничением доступа субъектов к объектам, а именно:
Реализация правил разграничения доступа субъектов и их процессов к данным;
Реализация правил обмена данными между субъектами для АС и СРВ, построенных по сетевым принципам;
Идентификация/аутентификация субъектов в сети и поддержание привязки субъекта к процессу, выполняемому для субъекта.
Использование «хранителей экрана»
Осуществление мониторинга сети.
Использование антивирусного комплекта.
При создании ИС необходимо учесть все требования принятых административных мер организации относительно информационной безопасности, но и целесообразно предпринять дополнительные административные меры относительно системы и её функционирования в сети.
Дополнение к пункту 2 по учету основных технических средств (СВТ) и систем:
2.6 Убрать из конфигурации системного блока диспетчеров наличие дисковода и CD-ROMа. Использовать только при необходимости инсталляции программных продуктов.
Дополнение к пункту 8 по защите от несанкционированного доступа:
Реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий;
Регистрация действий субъекта и его процесса - аудит;
Предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов (регистрация нового пользователя, временные изменения в статусе пользователя, перемещения сотрудника);
Реакция на попытки НСД (блокировка, восстановление после НСД);
Тестирование;
Очистка оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
Учет выходных печатных и графических форм и твердых копий в АС (маркировка документов);
Контроль целостности программной и информационной части как средств разграничения доступа, так и обеспечивающих ее средств.
11. Пакет нормативных документов по порядку обработки и хранения конфиденциальной информации в сети.
Процедурные меры
Управление персоналом. ОРМ
Под управлением персоналом понимается непосредственно индивидуальная работа с каждым сотрудником организации и со всем коллективом организации в целом. То есть у каждого сотрудника в производственном процессе имеются свои права и обязанности, с которыми он должен быть ознакомлен и согласен с ними. Это могут быть должностные инструкции, перечень информации, СВТ и программных продуктов, с которыми он имеет право работать.
В рамках данного курсового проекта необходимо разработать ряд документов, инструкций, требований – регламентов, предъявляемых сотрудникам организации, которые будут работать с разрабатываемой информационной системой. Создание такого пакета документов во многом обусловлено проведенными законодательными и административными мерами и, как правило, проведение организационно-распорядительных мероприятий (ОРМ) является самым дешёвым и достаточно эффективным средством защиты информации.
Для защиты ИС «Учет основных устройств и объектов магистрального газопровода и газораспределительной сети, задействованных в производственном процессе поставки газа потребителям» рекомендуется утвердить следующие организационные мероприятия:
Регламент об осуществлении охраны помещения оперативно-диспетчерской службы, в которой находятся СВТ и работы с ними.
1.1. Сотрудники ОДС организации несут ответственность за работоспособное состояние СВТ, а также за результаты своей работы в информационной сети.
1.2. Обеспечение физической недоступности к системному блоку (опечатывание/опломбирование). Использование «хранителей экрана».
1.3. Необходимо назначение ответственного лица за каждую единицу информационного обеспечения и за все периферийные устройства, соединенные с ним.
1.4. В случаях, когда сторонние субъекты (специалисты, консультанты и т.п.) в соответствии с документальным соглашением с организацией получают доступ в информационную сеть, к конкретному сетевому ресурсу или СВТ, субъекты должны быть ознакомлены с правилами информационной безопасности, в частности по системе.
1.5 Для обеспечения нормального функционирования СВТ и всей сети сотрудник должен строго следовать правилам, порядкам и другим нормативным документам, регламентирующим части и разделы работы сотрудников.
Регламент о ведении журнала диспетчеров, в котором они будут обязаны расписываться при приеме и сдаче смены. Это обусловлено их сменной работой. По выбранному классу защищенности ИС данный регламент реализует требования регистрации и учета: входа/выхода субъектов доступа в/из системы.
Регламент на использование и защиту паролей.
3.1. Минимальная длина пароля;
3.2. Минимальный срок жизни пароля;
3.3. Максимальное количество ошибок при вводе пароля;
3.4. Поддержка истории паролей;
3.5. При входе пользователя в систему необходимо предупреждение о запрете использования чужих паролей и НСД;
Регламент о разграничении прав доступа к данным на сервере баз данных. Права доступа назначаются администратором и утверждаются генеральным директором.
4.1. Регламент об организации матрицы доступа: матрица доступа пользователей к различным объектам системы.
4.2 Регламента по изменению прав доступа при приеме на работу, перемещениях и увольнениях работников.
Регламент выхода во внешние сети (Интернет) / получения электронной почты.
Регламент по очистке оперативной памяти после работы с конфиденциальной информацией (перезагрузка компьютера).
Регламент о резервном копировании и архивировании.
7.1. Выполнение функций резервного копирования и архивирования должны быть закреплены за ответственным лицом.
7.2. Резервное копирование и архивирование должно производиться на внешние носители - CD/RW.
7.3 Резервные копии должны быть в двух экземплярах и должны храниться в различных местах не с сервером.
Регламент на проведение инвентаризации (не реже 1 раза в год).
Регламент о конфигурации рабочего места пользователя. Должен быть запрет на установку постороннего оборудования.
Регламент о запрете установки постороннего ПО на рабочую станцию.
Регламент на использование антивирусных программных средств на рабочих станциях пользователей и на сервере (мониторинг оперативной памяти).
Регламент о работе администратора.
К функциям администратора создаваемой ИС относятся:
12.1 Проведение тестирования процедур и механизмов безопасности (дружеский взлом, тестирование аварийного плана).
12.2 Обновление, настройка и изменение конфигураций функционирующего ПО.
12.3 Настройка и изменение конфигураций функционирующего АО.
12.4 Порядок подключения и работы пользователей в сети.
12.5 Расчет отказоустойчивости и надежности системы. Выводы.
12.6 Учет всех заявок пользователей о возникающих проблемах.
12.7 Тестирование, отладка, документирование вводимых информационных систем.
Регламент по работе с конфиденциальной информацией.
Регламент о службе контроля работы администратора по защите информации (или лица, контролирующего его работу).
Регламент о синхронизации времени на всем сетевом оборудовании.
Регламент по работе пользователей с СВТ.
Регламент поведения администратора при атаках, как внешних, так и внутренних.
Регламент восстановления работоспособности системы при экстренных ситуациях/авариях.
Регламент о наличии эталонной копии на неизменяемые объекты БД (к примеру, схемы БД) и на проведение сличения с целью выявления фальсификаций.
Регламент по ремонту /замене СВТ
При нарушениях любых из вышеперечисленных требований необходимо предусмотреть карательные меры от лишения премиальных и вплоть до увольнения с работы. При особо серьезных нарушениях, предусмотренных в государственных законопроектах и положениях, – заведение уголовного дела.
Необходимым также является периодическое проведение семинаров для сотрудников организации с целью повышения их уровня знаний в области информационных технологий, а также защиты информации и информационных систем, поскольку зачастую сами же сотрудники организации допускают ошибки по незнанию или своей некомпетентности.
Разделение полномочий
Необходимо ввести контролирующее подразделение за соблюдением ОРМ или назначить сотрудника для снижения злоупотребления сотрудниками организации своими полномочиями.
Предоставить администратору информационной системы создание ролей прав доступа, а контролирующему лицу (администратору безопасности) предоставить выдачу пользователям этих ролей, в результате чего снизится возможность утечки или нелегального использования конфиденциальной информации злоумышленниками.
Запретить администратору информационной системы иметь права работы с объектами системы, но иметь доступ к регистрационному журналу для трассировки значимых событий. А администратору безопасности дать возможность просмотра журнала с целью выявления несанкционированных действий со стороны администратора системы (контроль его действий).
Проверка контролирующим лицом записей в журналах учета работы пользователей с конфиденциальной информации. Соответствие прав пользователей.
При введении в эксплуатацию МСЭ следует выделить отдельную штатную единицу для его администрирования, поскольку это очень серьезная и ответственная работа.
Физическая защита
Методы и средства физической защиты в организации:
| № | Методы и средства | |
| 1 | Система охраны периметра | Определение периметра - организация с прилегающей территорией |
| 2 | Система контроля и управления доступом: | |
| 2.1 Управление первичным проходом | Наличие при входе в здание контрольного пункта, службы охраны | |
| 2.2 Управление перемещением по охраняемой территории | Наличие помещения с активным сетевым оборудованием с определенными правами доступа | |
| 3 | Система видеонаблюдения | Наличие камер слежения за охраняемым периметром и внутри организации |
| 4 | Система охранной и пожарной сигнализации | Наличие охранной и пожарной сигнализаций внутри организации |
| 5 | Система хранения | Использование сейфов, шкафов, а также хранение на внутренних и внешних носителях |
Дата: 2019-07-30, просмотров: 224.