захист конфіденційних даних від НСД, у тому числі використання засобів шифрування;
· резервне копіювання критично важливих даних;
· відновлення роботи ІТС після відмов, особливо для систем з підвищеними вимогами до доступності;
· захист від внесення несанкціонованих доповнень і змін;
· забезпечення засобів контролю, наприклад, за допомогою використання програми для вибіркового контролю й альтернативні варіанти програмного забезпечення для повторення критично важливих обчислень.
У процесі планування безперебійної роботи організації розглядаються наступні питання:
· виявлення критично важливих процесів у роботі ІТС;
· визначення можливого впливу аварій різних типів на роботу ІТС;
· визначення й узгодження всіх обов'язків і планів дій у надзвичайних ситуаціях;
· планування підготовки персоналу до роботи в надзвичайних ситуаціях.
План забезпечення безперебійної роботи організації повинен включати:
· процедури реагування на надзвичайні ситуації, що описують міри, які слід прийняти відразу після великого інциденту, що піддає небезпеки роботу організації й/або порушення інформаційної безпеки;
· процедури переходу на аварійний режим, що описують міри, які слід прийняти для тимчасового перекладу основних робіт і сервісів в інші місця;
· процедури поновлення роботи організації, що описують міри, які слід прийняти для поновлення нормальної виробничої діяльності організації;
· графік випробувань, що визначає, як і коли буде проведене тестування плану.
Плани забезпечення безперебійної роботи організації необхідно обновляти при виникненні істотних змін. Такими змінами є:
· установка нового обладнання або модернізація функціонуючих систем;
· установка нових систем сигналізації або пожежогасіння;
· організаційні зміни;
· зміни у виробничих процесах;
· зміни в програмному забезпеченні;
· зміни в процедурах обслуговування ІТС.
Необхідно призначити відповідального для відстеження змін і корекції планів. Інформацію про оновлення планів необхідно доводити до відома співробітників.
Політика ІБ утримується в наступних документах:
· концепція політики ІБ;
· аналіз ризиків;
· визначення вимог до засобів захисту й вибір основних рішень по забезпеченню режиму ІБ;
· посадові інструкції персоналу й користувачів ІТС (розробляється на етапі "Робоча документація, що ставиться до забезпечення режиму ІБ");
· забезпечення безперебійної роботи організації.
Для керування процесом надання прав доступу до інформаційних систем потрібно розробити формальні процедури.
Ці процедури повинні містити в собі всі стадії життєвого циклу керування доступом користувачів - від початкової реєстрації нових користувачів до видалення облікових записів користувачів, які більше не мають потреби в доступі до інформаційних сервісів. Особливу увага варто приділити необхідності керування процесом надання привілейованих прав доступу, які дозволяють користувачам обійти засобу системного контролю.
Посадові інструкції персоналу
Для персоналу, допущеного до роботи в ІТС, повинні існувати посадові інструкції, у яких установлюються обов'язки й відповідальність за забезпечення інформаційної безпека відповідно до прийнятої політики інформаційної безпеки.
В інструкціях необхідно відбити як загальну відповідальність за проведення в життя або підтримку політики безпеки, так і конкретні обов'язки по захисту певних ресурсів або відповідальність за виконання певних процедур або дій по захисту. При розробці інструкцій рекомендується враховувати наступні аспекти.
Робота з носіями інформації
Повинні бути підготовлені інструкції з роботи з усіма носіями конфіденційних даних: документів, магнітних стрічок, дисків, звітів, і т. ін. Пропонується розглянути наступні пункти:
1. правила роботи з носіями інформації і їхнє маркування;
2. реєстрація одержувачів даних, що мають відповідні повноваження;
3. забезпечення повноти вхідних даних;
4. підтвердження одержання переданих даних (по необхідності);
5. надання доступу до даних мінімальному числу осіб;
6. маркування всіх копій даних для одержувача, що має відповідні повноваження;
7. своєчасне відновлення списків одержувачів із правом доступу до даних.
Знищення носіїв інформації
В організації повинні існувати інструкції зі знищення носіїв інформації. Пропонуються наступні рекомендації:
1. Носії даних, що містять конфіденційну інформацію, необхідно знищувати
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.
