курсовая основа. Описание системы безопасности 6 глава правовые основы системы безопасности 18
Скачать 0.74 Mb.
|
ГЛАВА 2. Правовые основы системы безопасностиЗаконодательные меры Перечень основных нормативных документов по информационной безопасности, на основании которых работает ООО «Знаток»: Федеральный закон российской федерации от 27 июля 2006 г. N 149-фз об информации, информационных технологиях и о защите информации. Статья 6 данного закона регулирует права и обязанности обладателя информации: Обладатель информации вправе: разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа; использовать информацию, в том числе распространять ее, по своему усмотрению; передавать информацию другим лицам по договору или на ином установленном законом основании; защищать установленными законом способами свои права в случае незаконного получения информации или ее незаконного использования иными лицами. В то же время обладатель информации обязан: соблюдать права и законные интересы иных лиц; принимать меры по защите информации; ограничивать доступ к информации, если такая обязанность установлена федеральными законами. Статья 9 вышеуказанного закона регулирует ограничение доступа к информации. Статья 16 закона о защите информации описывает защиту информации. Конституция Российской Федерации содержит нормы, которые определяют правовые основы информационной безопасности: основные положения правового статуса субъектов информационных отношений, принципы информационной безопасности (законности, уважения прав, баланс интересов личности, общества и государства), конституционный статус государственных органов, обеспечивающих информационную безопасность и др. Федеральный закон от 29 июля 2004 № 98-ФЗ «О коммерческой тайне»; Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных». Перечисленные документы 3-4 устанавливают правовые режимы информации ограниченного доступа, в том числе, сведений, составляющих коммерческую тайну. Административные меры Административные меры защиты информации ООО «Знаток» включают в себя: Разработку должностных инструкций; Разработка инструкций по использованию средств защиты информации; Обучение и инструктаж сотрудников; Разработка политики безопасности. Проект политики безопасности Общие положения Политика безопасности организации — совокупность документированных руководящих принципов, правил, процедур и практических приёмов в области безопасности, которые регулируют управление, защиту и распределение ценной информации. Основной целью, на достижение которой направлены все положения настоящей Политики, является защита информационных ресурсов от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, её носители, процессы обработки и передачи, а также минимизация рисков ИБ. Областью действия настоящей политики безопасности является информационная среда организации. Для достижения указанных целей и задач в Учреждении внедряется система управления информационной безопасностью. СУИБ документирована в настоящей политике, в правилах, процедурах, рабочих инструкциях, которые являются обязательными для всех работников Учреждения в области действия системы. Документированные требования СУИБ доводятся до сведения работников Учреждения. Требования и рекомендации Ответственность за информационные активы В отношении всех собственных информационных активов должна быть определена ответственность соответствующего сотрудника компании. Информация о смене владельцев активов, их распределении, изменениях в конфигурации и использовании за пределами компании должна доводиться до сведения руководителя компании. Все работы в пределах офисов компании выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в компании. Внос в здания и помещения компании личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т.п.), а также вынос их за пределы компании производится только при согласовании с руководством компании. В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля. Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим. Защита оборудования Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранятся информация. Все программное обеспечение, установленное на предоставленном компанией компьютерном оборудовании, является собственностью компании и должно использоваться исключительно в производственных целях. Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Все компьютеры должны иметь программное обеспечение антивирусной защиты, имеющее последние обновления. Все компьютеры должны иметь программное обеспечение защиты папок на жёстком диске. Сотрудники Компании не должны: блокировать антивирусное программное обеспечение; устанавливать другое антивирусное программное обеспечение; изменять настройки и конфигурацию антивирусного программного обеспечения. Сообщение об инцидентах информационной безопасности, реагирование и отчетность Все пользователи должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности, а также должны быть проинформированы о том, что ни при каких обстоятельствах они не должны пытаться использовать ставшие им известными слабые стороны системы безопасности. В случае кражи переносного компьютера, бумажного или съёмного носителя следует незамедлительно сообщить об инциденте руководству и системному администратору компании. Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан: Проинформировать системного администратора компании; не пользоваться и не выключать зараженный компьютер; не подсоединять этот компьютер к компьютерной сети Компании до тех пор, пока на нем не будет произведено удаление обнаруженного вируса и полное антивирусное сканирование специалистами Департамента информационных технологий. Защита и сохранность данных Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Только системный администратор на основании заявок руководителей подразделений могут создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним. Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ. Взаимодействие с программно-аппаратными средствами Каждый сотрудник должен следить за состоянием своего ПК. В случае неисправности сотрудник должен сообщить системному администратору. Каждое аппаратное средство должно быть подключено к источнику бесперебойного питания для защиты от короткого замыкания или перегрузки сети. Системный администратор должен следить за работой системы видеонаблюдения, докладывать о случаях несанкционированного доступа на защищаемую территорию. Каждый ПК должен периодически сканироваться на наличие вирусов и уязвимостей при помощи антивирусного ПО. Каждая папка с конфиденциальной информацией должна быть защищена паролем. В данной главе были описаны законодательные и административные меры защиты информации. Также был составлен проект политики безопасности для организации. |