Главная страница
Навигация по странице:

  • Посадові інструкції персоналу

  • Робота з носіями інформації

  • Знищення носіїв інформації

  • Адміністрування ІТС

  • Робота із представниками сторонніх організацій

    		•

    Методичні вказівки до виконання курсового проекту з дисципліни проектування захищених


    Скачать 0.54 Mb.
    НазваниеМетодичні вказівки до виконання курсового проекту з дисципліни проектування захищених
    АнкорM_V_KP_ZKCM_u.doc
    Дата04.08.2018
    Размер0.54 Mb.
    Формат файлаdoc
    Имя файлаM_V_KP_ZKCM_u.doc
    ТипМетодичні вказівки
    #22454
    страница12 из 14
    1   ...   6   7   8   9   10   11   12   13   14

    4.6 Документація щодо забезпечення режиму інформаційної безпеки

    4.6.1 Керування доступом користувачів


    Для керування процесом надання прав доступу до інформаційних систем потрібно розробити формальні процедури.

    Ці процедури повинні містити в собі всі стадії життєвого циклу керування доступом користувачів - від початкової реєстрації нових користувачів до видалення облікових записів користувачів, які більше не мають потреби в доступі до інформаційних сервісів. Особливу увага варто приділити необхідності керування процесом надання привілейованих прав доступу, які дозволяють користувачам обійти засобу системного контролю.

    4.6.2 Організація роботи персоналу


    Посадові інструкції персоналу
    Для персоналу, допущеного до роботи в ІТС, повинні існувати посадові інструкції, у яких установлюються обов'язки й відповідальність за забезпечення інформаційної безпека відповідно до прийнятої політики інформаційної безпеки.

    В інструкціях необхідно відбити як загальну відповідальність за проведення в життя або підтримку політики безпеки, так і конкретні обов'язки по захисту певних ресурсів або відповідальність за виконання певних процедур або дій по захисту. При розробці інструкцій рекомендується враховувати наступні аспекти.
    Робота з носіями інформації
    Повинні бути підготовлені інструкції з роботи з усіма носіями конфіденційних даних: документів, магнітних стрічок, дисків, звітів, і т. ін. Пропонується розглянути наступні пункти:

    1. правила роботи з носіями інформації і їхнє маркування;

    2. реєстрація одержувачів даних, що мають відповідні повноваження;

    3. забезпечення повноти вхідних даних;

    4. підтвердження одержання переданих даних (по необхідності);

    5. надання доступу до даних мінімальному числу осіб;

    6. маркування всіх копій даних для одержувача, що має відповідні повноваження;

    7. своєчасне відновлення списків одержувачів із правом доступу до даних.


    Знищення носіїв інформації
    В організації повинні існувати інструкції зі знищення носіїв інформації. Пропонуються наступні рекомендації:

    1. Носії даних, що містять конфіденційну інформацію, необхідно знищувати за допомогою їхнього спалювання або здрібнювання (для паперових носіїв), або стирати (для магнітних носіїв) при повторному використанні.

    2. Для ідентифікації носіїв даних, які можуть зажадати знищення, пропонується використати спеціальні ідентифікатори.

    У деяких випадках буде простіше знищувати всі непотрібні носії даних, чим намагатися виділити з них носії, на яких записана конфіденційна інформація.

    1. Кожен випадок видалення носіїв конфіденційної інформації необхідно (по можливості) реєструвати в контрольному журналі.

    2. При нагромадженні інформації, що підлягає видаленню, варто враховувати, що найчастіше велика кількість несекретної інформації містить більше важливу інформацію, чим мала кількість секретної інформації.


    Адміністрування ІТС
    Адміністратор ІТС повинен забезпечувати надійну роботу ІТС і відповідність вимогам інформаційної безпеки.

    Обов'язки адміністратора ІТС і процедури по адмініструванню повинні бути викладені в посадовій інструкції.

    Повинні бути описані інструкції з виконання кожного завдання, у тому числі:

    1. припустимі процедури оперування з файлами даних;

    2. вимоги до планування виконання завдань;

    3. інструкції з обробки помилок й інших виняткових ситуацій, які можуть виникнути під час виконання завдань, у тому числі обмеження на використання системних утиліт;

    4. звернення за допомогою у випадку виникнення технічних й інших проблем, пов'язаних з експлуатацією ІТС;

    5. порядок одержання вихідних даних і забезпечення їхньої конфіденційності, включаючи процедури надійного видалення вихідної інформації від у випадку збоїв завдань;

    6. процедури перезапуску й відновлення працездатності систем, використовувані у випадку їхньої відмови.

    Повинні бути підготовлені інструкції для робіт з обслуговування систем, пов'язаних з адмініструванням АС, у тому числі процедури запуску й останову АС, резервне копіювання даних, технічне обслуговування встаткування.
    Робота із представниками сторонніх організацій
    Залучення представників сторонніх організацій до роботи в ІТС може привести до додаткового ризику порушення режиму інформаційної безпеки.

    Необхідно завчасно виявити такий ризик і вжити заходів по його зменшенню. Варто розглянути наступні питання:

    1. виявити особливо уразливі або критично важливі додатки, винос яких за межі організації небажаний;

    2. одержувати санкції на використання додатків від їхніх власників;

    3. в інструкціях повинні бути описані правила роботи із представниками сторонніх організацій, перевірка дотримання вимог інформаційної безпеки.



    1   ...   6   7   8   9   10   11   12   13   14

    написать администратору сайта