![]() Главная страница Случайная страница КАТЕГОРИИ: АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника |
Организационно-технические мероприятия по защите информации
Приведем перечень основных организационно-технические мероприятия по ЗИ: • разработка и утверждение функциональных обязанностей должностных лиц службы информационной безопасности; • внесение необходимых изменений и дополнений во все организационно-распорядительные документы по вопросам обеспечения безопасности программно-информационных ресурсов ИС и действиям в случае возникновения кризисных ситуаций; • оформление юридических документов по вопросам регламентации отношений с пользователями (клиентами), работающими в автоматизированной системе, между участниками информационного обмена и третьей стороной (арбитраж, третейский суд) о правилах разрешения споров, связанных с применением электронной подписи; • создание научно-технических и методологических основ защиты ИС; • исключение возможности тайного проникновения в помещения, установки прослушивающей аппаратуры и т.п.; • проверка и сертификация используемых в ИС технических и программных средств на предмет определения мер по их защите от утечки по каналам побочных электромагнитных излучений и наводок; • определение порядка назначения, изменения, утверждения и предоставления конкретным должностным лицам необходимых полномочий по доступу к ресурсам системы; • разработка правил управления доступом к ресурсам системы, определение перечня задач, решаемых структурными подразделениями организации с использованием ИС, а также используемых при их решении режимов обработки и доступа к данным; • определение перечня файлов и баз данных, содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уровням их защищенности от НСД при передаче, хранении и обработке в ИС; • выявление наиболее вероятных угроз для данной ИС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; • оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты; • организация надежного пропускного режима; • определение порядка учета, выдачи, использования и хранения съемных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т.п.; • организация учета, хранения, использования и уничтожения документов и носителей с закрытой информацией; • организация и контроль за соблюдением всеми должностными лицами требований по обеспечению безопасности обработки информации; • определение перечня необходимых мер по обеспечению непрерывной работы ИС в критических ситуациях, возникающих в результате НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий и т.п. • контроль функционирования и управление используемыми средствами защиты; • явный и скрытый контроль за работой персонала системы; • контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования ИС; • периодический анализ состояния и оценка эффективности мер защиты информации; • распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.); • анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы; • составление правил разграничения доступа пользователей к информации; • периодическое с привлечением сторонних специалистов осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты; • рассмотрение и утверждение всех изменений в оборудовании ИС, проверка их на удовлетворение требованиям защиты, документальное отражение изменений и т.п.; • проверка принимаемых на работу, обучение их правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обучение, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности.
|