Комплексна система захисту інформації інформаційно-телекомунікаційної системи. Обґрунтування загальних вимог до комплексної системи захисту

Страницы работы

36 страниц (Word-файл)

Фрагмент текста работы

захист конфіденційних даних від НСД, у тому числі використання засобів шифрування;

·  резервне копіювання критично важливих даних;

·  відновлення роботи ІТС після відмов, особливо для систем з підвищеними вимогами до доступності;

·  захист від внесення несанкціонованих доповнень і змін;

·  забезпечення засобів контролю, наприклад, за допомогою використання програми для вибіркового контролю й альтернативні варіанти програмного забезпечення для повторення критично важливих обчислень.

5.4 Забезпечення безперебійної роботи організації

У процесі планування безперебійної роботи організації розглядаються наступні питання:

·  виявлення критично важливих процесів у роботі ІТС;

·  визначення можливого впливу аварій різних типів на роботу ІТС;

·  визначення й узгодження всіх обов'язків і планів дій у надзвичайних ситуаціях;

·  планування підготовки персоналу до роботи в надзвичайних ситуаціях.

План забезпечення безперебійної роботи організації повинен включати:

·  процедури реагування на надзвичайні ситуації, що описують міри, які слід прийняти відразу після великого інциденту, що піддає небезпеки роботу організації й/або порушення інформаційної безпеки;

·  процедури переходу на аварійний режим, що описують міри, які слід прийняти для тимчасового перекладу основних робіт і сервісів в інші місця;

·  процедури поновлення роботи організації, що описують міри, які слід прийняти для поновлення нормальної виробничої діяльності організації;

·  графік випробувань, що визначає, як і коли буде проведене тестування плану.

Плани забезпечення безперебійної роботи організації необхідно обновляти при виникненні істотних змін. Такими змінами є:

·  установка нового обладнання або модернізація функціонуючих систем;

·  установка нових систем сигналізації або пожежогасіння;

·  організаційні зміни;

·  зміни у виробничих процесах;

·  зміни в програмному забезпеченні;

·  зміни в процедурах обслуговування ІТС.

Необхідно призначити відповідального для відстеження змін і корекції планів. Інформацію про оновлення планів необхідно доводити до відома співробітників.

5.5 Документи по політиці інформаційної безпеки

Політика ІБ утримується в наступних документах:

·  концепція політики ІБ;

·  аналіз ризиків;

·  визначення вимог до засобів захисту й вибір основних рішень по забезпеченню режиму ІБ;

·  посадові інструкції персоналу й користувачів ІТС (розробляється на етапі "Робоча документація, що ставиться до забезпечення режиму ІБ");

·  забезпечення безперебійної роботи організації.


6 Документація щодо забезпечення режиму інформаційної безпеки

6.1 Керування доступом користувачів

Для керування процесом надання прав доступу до інформаційних систем потрібно розробити формальні процедури.

Ці процедури повинні містити в собі всі стадії життєвого циклу керування доступом користувачів - від початкової реєстрації нових користувачів до видалення облікових записів користувачів, які більше не мають потреби в доступі до інформаційних сервісів. Особливу увага варто приділити необхідності керування процесом надання привілейованих прав доступу, які дозволяють користувачам обійти засобу системного контролю.

6.2 Організація роботи персоналу

Посадові інструкції персоналу

Для персоналу, допущеного до роботи в ІТС, повинні існувати посадові інструкції, у яких установлюються обов'язки й відповідальність за забезпечення інформаційної безпека відповідно до прийнятої політики інформаційної безпеки.

В інструкціях необхідно відбити як загальну відповідальність за проведення в життя або підтримку політики безпеки, так і конкретні обов'язки по захисту певних ресурсів або відповідальність за виконання певних процедур або дій по захисту. При розробці інструкцій рекомендується враховувати наступні аспекти.

Робота з носіями інформації

Повинні бути підготовлені інструкції з роботи з усіма носіями конфіденційних даних: документів, магнітних стрічок, дисків, звітів, і т. ін. Пропонується розглянути наступні пункти:

1.  правила роботи з носіями інформації і їхнє маркування;

2.  реєстрація одержувачів даних, що мають відповідні повноваження;

3.  забезпечення повноти вхідних даних;

4.  підтвердження одержання переданих даних (по необхідності);

5.  надання доступу до даних мінімальному числу осіб;

6.  маркування всіх копій даних для одержувача, що має відповідні повноваження;

7.  своєчасне відновлення списків одержувачів із правом доступу до даних.

Знищення носіїв інформації

В організації повинні існувати інструкції зі знищення носіїв інформації. Пропонуються наступні рекомендації:

1.  Носії даних, що містять конфіденційну інформацію, необхідно знищувати

Похожие материалы

Информация о работе