тех проект. ПЗ_6.10_Технический_проект. А. В. Ххххххх хх
Скачать 0.62 Mb.
|
2.5.4 Рабочий режим управлению сетьюВ рабочем режиме возможны ситуации, требующие изменения (дополнения, переопределения) настроек клиентского ПО для его соответствия текущей ситуации в зависимости от работы конкретных компонентов, присутствующих в сети организации. Таким образом, при переводе СЗИ в рабочий режим функционирования предполагается возможность изменения настроек, политик и правил доступа на АРМ пользователей при вводе новых ИТ и регламентов ИБ, смене владельца или изменении структуры сети. При этом, выявление причин неисправности взаимодействия с другими АРМ сети будет возможно производить через систему журналирования и изменения режимов работы агентов. 2.5.5 Рабочий режим анализа защищенностиИзменения в настройках ПО в рабочем режиме будут возможны при изменении регламентов безопасности, вводе в эксплуатацию новых сетевых узлов или обновлении парольной базы. 3. Организационные мероприятия по защите информацииВ организационно-распорядительной документации регламентируются: правила и процедуры идентификации и аутентификации пользователей; правила и процедуры управления идентификаторами; правила и процедуры управления средствами аутентификации; правила и процедуры управления учетными записями пользователей; правила разграничения доступа; правила и процедуры применения удаленного доступа; правила и процедуры управления взаимодействием с внешними информационными системами; состав и содержание информации о событиях безопасности, подлежащих регистрации; правила и процедуры сбора, записи и хранения информации о событиях безопасности; правила и процедуры защиты информации о событиях безопасности; правила и процедуры антивирусной защиты информационной системы; правила и процедуры обновления базы данных признаков вредоносных компьютерных программ (вирусов); правила и процедуры выявления, анализа и устранения уязвимостей; правила и процедуры контроля установки обновлений программного обеспечения; правила и процедуры контроля целостности информации; правила и процедуры контроля и управления физическим доступом; перечень лиц, которым разрешены действия по внесению изменений в конфигурацию информационной системы и системы защиты информации; правила и процедуры проведения анализа потенциального воздействия планируемых изменений в конфигурацию ГИС и системы защиты информации; документирование информации об изменениях в конфигурации ГИС и системы защиты информации. Необходима реализация следующих мер: 1. Организация режима обеспечения безопасности помещений, в которых размещена информационная система (далее – Помещения), препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения. Для выполнения требования необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в Помещениях лиц, не имеющих права доступа в Помещения, которое достигается путем: утверждения правил доступа в Помещения сотрудников и посетителей в рабочее и нерабочее время; утверждения перечня сотрудников, имеющих право вскрывать Помещения в нештатных ситуациях, а также порядка вскрытия Помещений в таких ситуациях. 2. Обеспечение сохранности съемных носителей конфиденциальной информации. Для выполнения требования необходимо: осуществлять хранение съемных носителей конфиденциальной информации в сейфах (металлических шкафах), оборудованных внутренними замками с двумя или более дубликатами ключей и приспособлениями для опечатывания замочных скважин или кодовыми замками; осуществлять поэкземплярный учет съемных носителей конфиденциальной информации, который достигается путем ведения журнала учета съемных носителей конфиденциальной информации с использованием регистрационных (заводских) номеров; осуществлять контроль вноса и выноса в контролируемую зону зарегистрированных (учтенных) съемных носителей информации. 3. Утверждение руководителем оператора документа, определяющего перечень лиц, которым необходим доступ к конфиденциальной информации, обрабатываемой в государственной информационной системе. Для выполнения требования необходимо: определить круг лиц, которым необходим доступ к конфиденциальной информации, обрабатываемой в ГИС; разработать и утвердить документ, определяющий данный перечень лиц; поддерживать данный документ в актуальном состоянии 4. Назначение лица, ответственного за обеспечение безопасности персональных данных, обрабатываемых в информационной системе. |