Студопедия

Главная страница Случайная страница

КАТЕГОРИИ:

АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторикаСоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника






Характеристика типових умов






функціонування та вимоги до захисту інформації

WEB-сторінки Підприємства

 

До складу КС, яка забезпечує функціонування WEB-сторінки Підприємства, входять: -ОС;

— фізичне середовище, в якому вона знаходиться і функціонує;

— середовище користувачів;

— опрацьовувана інформація, зокрема й технологія її опрацювання.

Під час забезпечення захисту інформації слід враховувати всі характеристики зазначених складових частин, які впливають на реалізацію політики безпеки WEB-сторінки.

Якщо WEB-сторінка Підприємства містить посилання на інформаційні ресурси іншої WEB-сторінки, то умови функціонування останньої не повинні порушувати встановлену для даної WEB-сторінки політику безпеки.

12.2. Вимоги щодо захисту WEB-сторінки Підприємства

 

КСЗІ повинна забезпечувати реалізацію вимог із захисту цілісності та доступності розміщеної на WEB-сторінці загальнодоступної інформації, а також конфіденційності та цілісності технологічної інформації WEB-сторінки.

Технологія опрацювання інформації повинна відповідати вимогам політики безпеки інформації, визначеної для КС, що забезпечує функціонування WEB-сторінки,

Вимоги щодо забезпечення цілісності загальнодоступної інформації WEB-сторінки та конфіденційності й цілісності технологічної інформації передбачають застосування технологій, що забезпечують реалізацію контрольованого й санкціонованого доступу до інформації та заборону неконтрольованої й несанкціонованої її модифікації.

Технологія опрацювання інформації повинна бути спроможною реалізовувати можливість виявлення спроб несанкціонованого доступу до інформації WEB-сторінки та процесів, які з цією інформацією пов'язані, а також забезпечити реєстрацію в системному журналі визначених політикою відповідної послуги безпеки подій (як НСД, так і авторизованих звернень).

Для користувачів, які порушили встановлені правила розмежування доступу до WEB-сторінки, засоби КСЗІ на період сеансу роботи повинні забезпечити блокування доступу до WEB-сторінки.

Технологічними процесами повинна бути реалізована можливість створення резервних копій інформації WEB-сторінки та процедури відновлення їх з використанням резервних копій.

Технологія опрацювання інформації повинна передбачати можливість аналізу використання користувачами і процесами обчислювальних ресурсів КС, а також забезпечувати керування ресурсами.

 

12.3. Інформаційно-телекомунікаційна система Підприємства

 

Узагальнена функціонально-логічна структура інформаційно-телекомунікаційної системи Підприємства включає:

— підсистему опрацювання інформації;

— підсистему взаємодії з користувачами КС;

— підсистему обміну даними.

Підсистема опрацювання інформації забезпечує створення, зберігання, актуалізацію інформації WEB-сторінки і складається із засобів опрацювання інформації, системного та функціонального ПЗ.

До засобів опрацювання інформації належать WEB-сервер та необхідна кількість робочих станцій (або терміналів) для забезпечення всіх функцій щодо супроводження WEB-сторінки та захисту інформації.

Підсистема взаємодії з користувачами КС забезпечує за запитами користувачів надання доступу до загальнодоступної інформації WEB-сторінки, яка має вигляд HTLM-документу, з використанням мереж передачі даних та стандартних Інтернет-протоколів.

Підсистема складається, як мінімум, з програмно-апаратного комплексу, який дозволяє здійснювати маршрутизацію запитів користувачів, забезпечувати пошук необхідних користувачеві інформаційних ресурсів і доступ до них.

Підсистема обміну даними забезпечує підготовку та безпосередньо імпорт/експорт інформації в/із КС, а також внутрішньосистемний обмін інформацією між WEB-сервером та робочими станціями з реалізацією фаз встановлення, підтримання та завершення з'єднання.

Відповідно до політики безпеки інформації в КС підсистеми комплектуються засобами захисту інформації (можуть використовуватися штатні засоби захисту системного й функціонального ПЗ та/або спеціалізовані засоби), які складають компоненти КЗЗ.

Програмно-апаратні засоби захисту, що входять до складу КЗЗ, повинні мати належним чином оформлені документи (експертні висновки, сертифікати), які засвідчують відповідність цих засобів вимогам нормативних документів системи ТЗІ.

Встановлення на ОС нових (додаткових) компонентів, ПЗ (системного та/або функціонального), сервісів та розміщення будь-яких інших мережевих ресурсів, які не належать до категорії WEB-сторінки установи, не повинно порушувати політику безпеки інформації в КС, що забезпечує функціонування WEB-сторінки.

Вимоги до робочих станцій фізичних і юридичних осіб, які є користувачами загальнодоступної інформації WEB-сторінки, та їхнього ПЗ не висуваються.

 

12.4. Середовище користувачів інформаційно-телекомунікаційної системи Підприємства

 

За рівнем повноважень щодо доступу до інформації, характером та складом робіт, які виконуються в процесі функціонування КС, користувачі поділяються на такі категорії:

а) користувачі, яким надано право доступу тільки до загальнодоступної інформації WEB-сторінки;

б)користувачі, яким надано повноваження супроводжувати КСЗІ та забезпечувати керування КС (адміністратор безпеки; інші співробітники СЗІ; користувачі з функціональними обов'язками WEB-майстрів, адміністраторів сервісів, адміністраторів мережевого обладнання, адміністраторів ресурсів DNS (Domain Name System), PROXY, FTP (File Transfer Protocol та ін., якщо передбачається їх взаємодія з WEB-сторінкою, тощо);

в)технічний обслуговуючий персонал, що забезпечує належні умови функціонування КС, повсякденну підтримку життєдіяльності фізичного середовища (електрики; технічний персонал з обслуговування приміщень будівель, ліній зв'язку тощо);

г) розробники ПЗ, які здійснюють розробку та впровадження нових функціональних процесів, а також супроводження вже діючого функціонального ПЗ сервера, розробники та проектанти фізичної структури КС;

д) постачальники обладнання й технічних засобів та фахівці, які здійснюють його монтаж, поточне гарантійне й післягарантійне обслуговування.

Користувачі, які належать до категорії «в» за 6.3.1, повинні мати належний рівень кваліфікації для виконання своїх службових та функціональних обов'язків відповідно до визначених в установі технологічних процесів та режимів експлуатації обладнання.

Доступ до інформації WEB-сторінки повинен надаватися користувачам відповідно до положень політики безпеки інформації, визначеної для КС, що забезпечує функціонування WEB-сторінки.

Для встановлення правил та регламентації доступу цих користувачів до інформації WEB-сторінки розробляються та впроваджуються нормативні та розпорядчі документи, передбачені планом захисту інформації.

Користувачі, які належать до категорій «в»—«д» за 6.3.1, можуть мати доступ до програмних та апаратних засобів КС лише під час робіт із тестування й інсталяції ПЗ, встановлення й регламентного обслуговування обладнання тощо, за умови обмеження їхнього доступу до технологічної інформації КСЗІ.

Зазначені категорії осіб повинні мати дозвіл на доступ до відомостей, які містяться в програмній і технічній документації на КС або окремі її компоненти, і необхідні їм для виконання функціональних обов'язків.

Користувачі загальнодоступної інформації отримують доступ до WEB-сторінки відповідно до діючих у мережі Інтернет правил та регламенту.

 

12.5. Фізичне середовище інформаційно-телекомунікаційної системи Підприємства

 

Фізичне середовище, призначене для розміщення, експлуатації, адміністрування WEB-сторінки установи, включає:

— приміщення, в яких розташовані сервер і робочі станції з усіма компонентами (ОС, сховища для носіїв інформації та документації, робочі місця обслуговуючого персоналу і т.і.);

— засоби енергопостачання, заземлення, життєзабезпечення та сигналізації приміщення;

— допоміжні технічні засоби та засоби зв'язку.

Приміщення, де розміщуються компоненти ОС, повинні знаходитися на контрольованій території і мати охорону.

Доступ здійснюється у порядку, визначеному СЗІ та затвердженому власником WEB-сторінки, або відповідно до умов, передбачених договором (угодою) між власником WEB-сторінки та оператором (провайдером).

Вимоги до засобів енергопостачання, заземлення, життєзабезпечення, сигналізації приміщення та допоміжних технічних засобів і засобів зв'язку не висуваються.

 

12.6. Політика безпеки інформації WEB-сторінки Підприємства

 

Політика безпеки інформації в КС повинна поширюватися на об'єкти комп'ютерної системи, які безпосередньо чи опосередковано впливають на безпеку інформації.

До таких об'єктів належать:

— адміністратор безпеки та співробітники СЗІ;

— користувачі, яким надано повноваження забезпечувати управління КС;

— користувачі, яким надано право доступу до загальнодоступної інформації;

— інформаційні об'єкти, що містять загальнодоступну інформацію;

— системне та функціональне ПЗ, яке використовується в КС для опрацювання Інформації або для забезпечення функцій КЗЗ;

— технологічна інформація КСЗІ (дані про мережеві адреси, Імена, персональні ідентифікатори та паролі користувачів, їхні повноваження та права доступу до об'єктів, встановлені робочі параметри окремих механізмів або засобів захисту, інша інформація баз даних захисту, інформація журналів реєстрації дій користувачів тощо);

— засоби адміністрування та управління обчислювальною системою КС і технологічна інформація, яка при цьому використовується;

— обчислювальні ресурси КС (наприклад, дисковий простір, тривалість сеансу роботи користувача із засобами КС, час використання центрального процесора і т.ін.), безконтрольне використання або захоплення яких окремим користувачем може призвести до блокування роботи інших користувачів, компонентів КС або КС в цілому.

З урахуванням особливостей надання доступу до інформації WEB-сторінки, типових характеристик середовищ функціонування та особливостей технологічних процесів опрацювання інформації визначаються наступні мінімально необхідні рівні послуг безпеки для забезпечення захисту інформації від загроз:

— якщо WEB-сервер і робочі станції розміщуються на території ус-танови-власника WEB-сторінки або на території оператора (технологія Т1), мінімально необхідний функціональний профіль визначається: КА-2, ЦА-1, ЦО-1, ДВ-1, ДР-1, НР-2, НИ-2, НК-1, НО-1, НЦ-1, НТ-1;

— якщо WEB-сервер розміщується в оператора, а робочі станції на території власника WEB-сторінки, взаємодія яких з WEB-сервером здійснюється з використанням мереж передачі даних (технологія Т2), мінімально необхідний функціональний профіль визначається: КА-2, КВ-1, ЦА-1, ЦО-1, ЦВ-1, ДВ-1, ДР-1, НР-2, НИ-2, НК-1, НО-1.НЦ-1, НТ-1, НВ-1.

Технологія Т1 відрізняється від технології Т2 способом передачі інформації від робочої станції до WEB-сервера, а саме: наявністю у другому випадку незахищеного середовища, яке не контролюється, і додатковими вимогами щодо ідентифікації та автентифікації між КЗЗ робочої станції й КЗЗ WEB-сервера під час спроби розпочати обмін інформацією та забезпечення цілісності інформації при обміні.

 

12.7. Захист від комп'ютерних вірусів

Безпека інформації в КС Підприємництва значною мірою залежить від забезпечення організації захисту.

Організація захисту від комп'ютерних вірусів є невід'ємною частиною захисту інформації в КС Підприємництва. Під комп'ютерним вірусом розуміють відокремлено діючу програму, яка має наступні характеристики:

— можливість самостійного впровадження в тіла других програм;

— тиражування свого коду;

— негативного впливу на інформацію та працездатність КС. Проникнення в КС відбувається шляхом активізації зараженої програми або відкриття файлів, які містять макрокоманди. Подальший розвиток комп'ютерного віруса включає наступні етапи:

— інфікування КС;

— інкубаційний період;

— розмноження;

— нелегальний вплив на інформацію та працездатність КС підприємництва.

Класифікація вірусів може розглядатися за їх найбільш істотними ознаками. За об'єктом зараження можуть бути:

— файлові — заражаючі файли з програмами;

— загрузочні — віруси, які заражають програми, що зберігаються в системних областях дисків;

— макровіруси — які заражають файли, що містять макрокоманди. Стосовно режиму функціонування:

— резиденти! віруси — віруси, які після активізації постійно знаходяться в оперативній пам'яті компьютера і контролюють доступ до його ресурсів;

— транзитні віруси (не резиденти!) — віруси, які виконуються тільки під час активності зараженої програми.

Результатом диструктивних дій, що викликані вірусами КС, може бути:

• зміна даних у файлах;

• зміна даних, переданих скрізь паралельні та послідовні порти;

• зміна призначеного диска (інформація записується не на диск, вказаний користувачем, а на вказаний вирусом);

• перейменування файлів (не повідомляючи про це користувача);

• форматування окремих частин жорсткого диска (дискети), або навіть всього диска (дискети);

• знищення каталога диска;

• порушення працездатності операційної системи, коли вона не сприймає зовнішніх дій користувача і вимагає перевантаження;

• зниження продуктивності в результаті постійного виконання «помилкових програм»;

• відмова у виконанні певної функції (наприклад, блокування клавіатури, блокування завантаження програми із захищеної від запису дискети і т. і.);

• стирання інформації на екрані дисплея і т.п. Дуже небезпечними є «дрібні пошкодження» даних (наприклад заміна перших байтів кожного блоку під час запису, заміна окремих символів і т.ін.), які довго можуть бути не розпізнані користувачем.

Кількість рівнів захисту залежить від цінності інформації, яка опрацьовується на ПЕВМ. Для захисту від комп'ютерних вірусів зараз використовуються наступні, методи:

Архівація, яка полягає в копіюванні системних областей магнітних дисків і щоденному веденні архівів змінених файлів. Архівація є одним з основних методів захисту від вірусів. Решта методів захисту доповнює його, але не може замінити повністю.

Вхідний контроль. Перевірка всіх програм, що надходять, детекторами, а також перевірка довжин і контрольних сум програм, що знов надходять, на відповідність значенням, вказаним в документації. Більшість відомих файлових і бутових вірусів можна виявити на етапі вхідного контролю. Для цієї мети використовується батарея (програм, які дещо послідовно запускаються) детекторів. Набір детекторів досить широкий і постійно поповнюється з появою нових вірусів. Проте при цьому можуть бути знайдений не всі віруси, а тільки ті, що розпізнаються детектором. Наступним елементом вхідного контролю є контекстний пошук у файлах слів і повідомлень, які можуть належати. Підозрілою є відсутність в останніх 2-3-х кілобайтах файлу текстових рядків — це може бути ознакою вірусу, який шифрує своє тіло.

Розглянутий контроль може бути виконаний за допомогою спеціальної програми, яка працює з базою даних «підозрілих слів» і повідомлень, і формує список файлів для подальшого аналізу. Після проведеного аналізу нові програми рекомендується кілька днів експлуатувати в карантинному режимі. При цьому доцільно використовувати прискорення календаря, тобто змінювати поточну дату при повторних запусках програми. Це дає змогу знайти віруси, що спрацьовують у певні дні тижня (п'ятниця, 13-те число місяця, неділя і т.д.).

Профілактика. Для профілактики зараження необхідно організувати роздільне зберігання (на різних магнітних носіях) програм, що знов надходять і раніше експлуатувалися, мінімізація періодів доступності дискет для запису, розподіл загальних магнітних носіїв між конкретними користувачами.

Ревізія. Аналіз знов отриманих програм спеціальними засобами (детекторами), контроль цілісності перед читанням інформації, а також періодичний контроль стану системних файлів.

Карантин. Кожна нова програма перевіряється на відомі типи вірусів протягом певного проміжку часу. Для цього слід виділити спеціальну ПЕОМ, на якій не проводяться інші роботи. Якщо неможливо виділити ПЕОМ для карантину програмного забезпечення, то використовують машину, яка відключена від локальної мережі і не містить особливо цінної інформації.

Сегментація. Припускає розбиття магнітного диска на ряд логічних томів (розділів), частина з яких має статус READ_ONLY (тільки читання). У даних розділах зберігаються виконувані програми й системні файли. Бази даних повинні зберігатися в інших секторах, окремо від виконуваних програм. Важливим профілактичним засобом у боротьбі з файловими вірусами є виключення значної частини завантажувальних модулів із сфери досяжності їх. Цей метод називається сегментацією і заснований на розподілі магнітного диска (вінчестера) за допомогою спеціального драйвера, що забезпечує привласнення окремим логічним томам атрибута READ_ONLY (тільки читання), а також підтримуючого схеми парольного доступу. При цьому в захищені від запису розділи диска поміщаються виконувані програми й системні утиліти, а також системи управління базами даних і транслятори, тобто компоненти ПО самі схильні до небезпеки зараження. Як такий драйвер доцільно використовувати програми типу ADVANCED DISK MANAGER (програма для форматування й підготовки жорсткого диска), яка дає змогу не тільки розбити диск на розділи, але й організувати доступ до них за допомогою паролів. Кількість логічних томів, що використовуються, та їх розміри залежать від розв'язуваних задач і об'єму вінчестера. Рекомендується використовувати 3—4 логічні томи, причому на системному диску, з якого виконується завантаження, слід залишити мінімальну кількість файлів (системні файли, командний процесор і т.п.).

Фільтрація. Полягає у використовуванні програм-сторожів для виявлення спроб виконати несанкціоновані дії.

Вакцинація. Спеціальне опрацювання файлів і дисків, що імітує поєднання умов, які використовуються деяким типом вірусу для визначення — заражена вже програма чи ні.

Автоконтроль цілісності. Полягає у використовуванні спеціальних алгоритмів, які дозволяють після запуску програми визначити, чи були внесені зміни в її файл.

Терапія. Припускає дезактивацію конкретного вірусу в уражених програмах спеціальними програмами-фагами. Програми-фаги «викушують» вірус із зараженої програми і намагаються привести її код до початкового стану (стан до моменту зараження). У загальному випадку технологічна схема захисту складається з наступних етапів:

• вхідний контроль нових програм;

• сегментація інформації на магнітному диску;

• захист операційної системи від зараження;

• систематичний контроль цілісності інформації.

Слід зазначити, що не треба прагнути до забезпечення глобального захисту всіх файлів, які є на диску. Це істотно ускладнює роботу і знижує продуктивність.

Проблему захисту від вірусів необхідно розглядати в загальному контексті проблеми захисту інформації від несанкціонованого доступу, а також технологічної та експлуатаційної безпеки ПО в цілому. Основний принцип, який повинен бути основою розробки технології захисту від вірусів, полягає в створенні багаторівневої розподіленої системи захисту, що включає:

— регламентацію проведення робіт на ПЕВМ;

— застосування програмних засобів захисту;

— використовування спеціальних апаратних засобів.

 

13. Підрозділ захисту інформації в Підприємстві

13.1. Мета створення підрозділу захисту інформації

 

Метою створення підрозділу захисту інформації (ПЗІ) є організаційне забезпечення завдань керування комплексною системою захисту інформації (КСЗІ) в Підприємстві та здійснення контролю за її функціонуванням.

На ПЗІ покладається виконання робіт з визначення вимог щодо захисту інформації в автоматизованій інформаційній системі Підприємства (КС), проектування, розроблення й модернізації КСЗІ, а також з експлуатації, обслуговування, підтримки працездатності КСЗІ, контролю за станом захищеності інформації в КС.

Правовою основою для створення і діяльності ПЗІ є Закон України «Про державну таємницю»; Закон України «Про захист інформації в автоматизованих системах»; Положення про технічний захист інформації в Україні; Положення про забезпечення режиму секретності під час опрацювання інформації, що становить державну таємницю, в автоматизованих системах; інші нормативно-правові акти з питань захисту інформації; державні й галузеві стандарти, розпорядчі та інші документи.

ПЗІ здійснює діяльність відповідно до «Плану захисту інформації», календарних, перспективних та інших планів робіт, затверджених керівником (заступником керівника) Підприємства.

Для проведення окремих заходів щодо захисту інформації в КС, які пов'язані з напрямком діяльності інших підрозділів Підприємства, керівник Підприємства своїм наказом визначає перелік, строки виконання та підрозділи для виконання цих робіт.

У своїй роботі ПЗІ взаємодіє з підрозділами Підприємства (РСО, службою охорони та ін.), а також з державними органами, установами та організаціями, що займаються питаннями захисту інформації.

До виконання робіт можуть залучатися й зовнішні організації, що мають ліцензії на відповідний вид діяльності у сфері захисту інформації.

13.2. Завдання підрозділу захисту інформації

 

Завданнями ПЗІ є;

•забезпечення безпеки інформації структурних підрозділів і персоналу Підприємства в процесі інформаційної діяльності та взаємодії між собою, а також у взаємовідносинах із зовнішніми вітчизняними й закордонними організаціями;

• дослідження технології опрацювання інформації з метою виявлення можливих каналів витоку та інших загроз для безпеки інформації, формування моделі загроз, розроблення політики безпеки інформації, визначення заходів, спрямованих на її реалізацію;

•організація та координація робіт, пов'язаних із захистом інформації в Підприємстві, необхідність захисту якої визначається чинним законодавством; підтримка необхідного рівня захищеності інформації, ресурсів і технологій;

• розроблення проектів нормативних і розпорядчих документів, чинних у межах організації, згідно з якими повинен забезпечуватися захист інформації в Підприємстві;

• організація робіт щодо створення й використання КСЗІ на всіх етапах життєвого циклу КС;

• участь в організації професійної підготовки та підвищенні кваліфікації персоналу й користувачів КС з питань захисту інформації;

• формування у персоналу й користувачів Підприємства розуміння необхідності виконання вимог нормативно-правових актів, нормативних і розпорядчих документів, щодо захисту інформації;

• організація забезпечення виконання персоналом І користувачами вимог нормативно-правових актів, нормативних і розпорядчих документів щодо захисту інформації Підприємстві та проведення контрольних перевірок їх виконання;

• забезпечення визначених політикою безпеки властивостей інформації' (конфіденційності, цілісності, доступності) під час створення та експлуатації КС;

• своєчасне виявлення та знешкодження загроз для ресурсів КС, причин та умов, які спричиняють (можуть призвести до) порушення її функціонування та розвитку;

• створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні КС;

• ефективне знешкодження (попередження) загроз для ресурсів КС шляхом комплексного впровадження правових, морально-етичних, фізичних, організаційних, технічних та інших заходів забезпечення безпеки;

• керування засобами захисту інформації, керування доступом користувачів до ресурсів КС, контроль за їхньою роботою з боку персоналу ПЗІ, оперативне сповіщення про спроби НСД до ресурсів КС Підприємства;

• реєстрація, збирання, зберігання, опрацювання даних про всі події в системі, які стосуються безпеки інформації;

• створення умов для максимально можливого відшкодування та локалізації збитків, що завдаються неправомірними (несанкціонованими) діями фізичних та юридичних осіб, впливом зовнішнього середовища та іншими чинниками, зменшення негативного впливу наслідків порушення безпеки на функціонування КС.

13.3. Функції ПЗІ під час створення комплексної системи захисту інформації

 

До функцій ПЗІ під час створення КСЗІ Підприємства належать:

• визначення переліків відомостей, які підлягають захисту в процесі опрацювання, інших об'єктів захисту в КС, класифікація інформації за вимогами до її конфіденційності або важливості для організації, необхідних рівнів захищеності інформації, визначення порядку введення (виведення), використання та розпорядження інформацією в КС;

• розробка та коригування моделі загроз і моделі захисту інформації в КС, політики безпеки інформації в КС;

• визначення й формування вимог до КСЗІ;

• організація й координація робіт з проектування та розробки КСЗІ, безпосередня участь у проектних роботах зі створення КСЗІ;

* підготовка технічних пропозицій, рекомендацій щодо запобігання витоку інформації технічними каналами та попередження спроб несанкціонованого доступу до інформації під час створення КСЗІ;

* організація робіт і участь у випробуваннях КСЗІ та проведенні її експертизи;

* вибір організацій-виконавців робіт зі створення КСЗІ, здійснення контролю за дотриманням встановленого порядку проведення робіт Щодо захисту інформації; разом з РСО та службою охорони Підприємства погодження основних технічних і розпорядчих документів, що супроводжують процес створення КСЗІ (технічне завдання, технічний і робочий проекти, програма і методика випробувань, плани робіт та ін.);

* участь у розробці нормативних документів, чинних у межах Підприємства і КС, які встановлюють дисциплінарну відповідальність за порушення вимог щодо безпеки інформації та встановлених правил експлуатації КСЗІ;

* участь у розробці нормативних документів, чинних у межах Підприємства і КС, які встановлюють правила доступу користувачів до ресурсів КС; визначають порядок, норми, правила щодо захисту інформації та здійснюють контроль за їх дотриманням (інструкцій, положень, наказів, рекомендацій та ін.).

13.4. Функції ПЗІ під час експлуатації комплексної системи захисту інформації

 

До цих функцій належать:

* організація процесу керування КСЗІ;

* розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій; здійснення аналізу причин, що призвели до них; супроводження банку даних таких подій;

• вжиття заходів у разі виявлення спроб НСД до ресурсів КС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;

• забезпечення контролю цілісності засобів захисту інформації та швидке реагування на вихід їх з ладу або порушення режимів функціонування;

• організація керування доступом до ресурсів КС (розподілення між користувачами необхідних реквізитів захисту інформації — паролів, привілеїв, ключів та ін.);

• супроводження та актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об'єктів, ідентифікатори користувачів тощо);

• спостереження (реєстрація та аудит подій в КС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;

• підготовка пропозицій щодо вдосконалення порядку забезпечення захисту інформації в КС, впровадження нових технологій захисту і модернізації КСЗІ;

• організація та проведення заходів щодо модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій КС або КСЗІ;

• участь у роботах з модернізації КС — узгодженні пропозицій з введення до складу КС нових компонентів, нових функціональних завдань і режимів опрацювання інформації, заміни засобів опрацювання інформації тощо;

• забезпечення супроводження й актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування;

• проведення аналітичної оцінки поточного стану безпеки інформації в КС (прогнозування виникнення нових загроз і врахування їх в моделі загроз; визначення необхідності її коригування; аналіз відповідності технології обробки інформації і реалізованої політики безпеки поточній моделі загроз та ін.);

• інформування власників інформації про технічні можливості захисту інформації в КС і типові правила, встановлені для персоналу й користувачів КС;

• негайне втручання в процес роботи КС у разі виявлення атаки на КСЗІ, проведення у таких випадках робіт з викриття порушника;

• регулярне подання звітів керівництву Підприємства-власника (розпорядника) КС про виконання користувачами КС вимог з захисту інформації;

• аналіз відомостей щодо технічних засобів захисту інформації нового покоління, обґрунтування пропозицій щодо придбання засобів для Підприємства;

• контроль за виконанням персоналом і користувачами КС вимог, норм, правил, інструкцій щодо захисту інформації згідно з визначеною політикою безпеки інформації, зокрема контроль за забезпеченням режиму секретності у разі опрацювання в КС інформації, що становить державну таємницю;

• контроль за забезпеченням охорони й порядку зберігання документів (носіїв інформації), які містять відомості, що підлягають захисту;

• розробка й реалізація спільно з РСО Підприємства комплексних заходів з безпеки інформації під час проведення заходів з науково-технічного, економічного, інформаційного співробітництва з іноземними фірмами, а також під час проведення нарад, переговорів та ін., здійснення їхнього технічного та інформаційного забезпечення.

 

13.5. Повноваження та відповідальність підрозділу захисту інформації

 

ПЗІ має право:

• здійснювати контроль за діяльністю будь-якого структурного підрозділу Підприємства (КС) стосовно виконання ним вимог нормативно-правових актів і нормативних документів щодо захисту інформації;

• подавати керівництву Підприємства пропозиції щодо призупинення процесу опрацювання інформації, заборони опрацювання, зміни режимів опрацювання, тощо у випадку виявлення порушень політики безпеки або у випадку виникнення реальної загрози порушення безпеки;

• складати й подавати керівництву Підприємства акти щодо виявлених порушень політики безпеки, готувати рекомендації їхнього усунення;

• проводити службові розслідування у випадках виявлення порушень;

• отримувати доступ до робіт та документів структурних підрозділів Підприємства (КС), необхідних для оцінки вжитих заходів щодо захисту інформації та підготовки пропозицій подальшого удосконалення їх;

• готувати пропозиції стосовно залучення на договірній основі до виконання робіт щодо захисту інформації інших організацій, які мають ліцензії на відповідний вид діяльності;

• готувати пропозиції щодо забезпечення КС (КСЗІ) необхідними технічними й програмними засобами захисту інформації та іншою спеціальною технікою, які дозволені для використання в Україні з метою забезпечення захисту інформації;

• звертатися до керівництва Підприємства з пропозиціями щодо подання заяв до відповідних державних органів на проведення державної експертизи КСЗІ або сертифікації окремих засобів захисту інформації;

• узгоджувати умови включення до складу КС нових компонентів та подавати керівництву пропозиції щодо заборони їхнього включення, якщо вони порушують прийняту політику безпеки або рівень захищеності ресурсів КС;

• надавати висновки з питань, які належать до компетенції ПЗІ і які необхідні для здійснення інформаційної діяльності Підприємства, особливо технологій, доступ до яких обмежено; інших проектів, що потребують технічної підтримки з боку співробітників ПЗІ;

• звертатися до керівництва Підприємства з пропозиціями щодо узгодження планів і регламенту відвідування КС сторонніми особами;

• інші права, які надані ПЗІ відповідно до специфіки та особливостей діяльності Підприємства (КС).

ПЗІ зобов'язаний:

• організовувати забезпечення повноти та якісного виконання організаційно-технічних заходів щодо захисту інформації в КС;

• вчасно і в повному обсязі доводити до користувачів і персоналу КС інформацію про зміни в галузі захисту інформації, які стосуються їх;

• перевіряти відповідність прийнятих Підприємством правил, інструкцій щодо опрацювання інформації, здійснювати контроль за виконанням цих вимог;

• здійснювати контрольні перевірки стану захищеності інформації в КС;

• забезпечувати конфіденційність робіт з монтажу, експлуатації та технічного обслуговування засобів захисту інформації, встановлених в Підприємстві;

• сприяти і, якщо необхідно, брати безпосередню участь у проведенні вищими органами перевірок стану захищеності інформації в КС;

• сприяти (технічними та організаційними заходами) створенню й дотриманню умов збереження інформації, отриманої організацією на договірних, контрактних або інших підставах від організацій-партнерів, постачальників, клієнтів та приватних осіб;

• періодично, не менше одного разу на місяць (інший термін), подавати керівництву Підприємства звіт про стан захищеності інформації в КС і дотримання користувачами та персоналом КС встановленого порядку і правил захисту інформації;

• негайно повідомляти керівництво КС (Підприємства) про виявлені атаки та викритих порушників;

• виконувати інші обов'язки, покладені на керівника та співробітників ПЗІ відповідно до специфіки та особливостей діяльності КС (Підприємства).

 

13.6. Відповідальність ПЗІ

 

Керівництво та співробітники ПЗІ за невиконання або неналежне виконання службових обов'язків, допущені ними порушення встановленого порядку захисту інформації в КС несуть дисциплінарну, адміністративну, цивільно-правову, кримінальну відповідальність згідно з законодавством України.

Персональна відповідальність керівника та співробітників ПЗІ визначається посадовими (функціональними) інструкціями.

Відповідальність за діяльність ПЗІ покладається на її керівника.

Керівник ПЗІ відповідає за:

• організацію робіт щодо захисту інформації в КС, ефективність захисту інформації відповідно до діючих нормативно-правових актів;

• своєчасне розроблення й виконання «Плану захисту інформації в автоматизованій системі»;

• якісне виконання співробітниками ПЗІ завдань, функцій та обов'язків, зазначених у цьому Положенні, посадових інструкціях, а також планових заходів щодо захисту інформації, затверджених керівником Підприємства;

• координацію планів діяльності підрозділів та служб КС (Підприємства) з питань захисту інформації;

• створення системи навчання співробітників, користувачів, персоналу КС з питань захисту інформації;

• виконання особисто та співробітниками ПЗІ розпоряджень керівника Підприємства, правил внутрішнього трудового розпорядку, встановленого режиму, правил охорони праці та протипожежної охорони.

Співробітники ПЗІ відповідають за:

• додержання вимог нормативних документів, що визначають порядок організації робіт щодо захисту інформації, інформаційних ресурсів та технологій;

• повноту та якість розроблення й впровадження організаційно-технічних заходів щодо захисту інформації в КС, точність та достовірність отриманих результатів і висновків з питань, які належать до компетенції ПЗІ;

• дотримання термінів проведення контрольних, інспекційних, перевірочних та інших заходів з оцінки стану захищеності інформації в КС, які включені до плану робіт ПЗІ;

• якість та правомірність документального оформлення результатів робіт окремих етапів створення КСЗІ, документального оформлення результатів перевірок;

• інші питання персональної відповідальності, покладені на керівника та співробітників ПЗІ відповідно до специфіки та особливостями діяльностей Підприємства.

 

13.7. Взаємодія підрозділу захисту інформації

з іншими підрозділами Підприємства

та зовнішніми організаціями

 

ПЗІ здійснює свою діяльність у взаємодії з науковими, виробничими та іншими організаціями, державними органами і установами, які займаються питаннями захисту інформації.

Заходи щодо захисту інформації в КС повинні бути узгоджені ПЗІ із заходами охоронної та режимно-секретної діяльності інших підрозділів Підприємства.

ПЗІ взаємодіє, узгоджує свою діяльність та встановлює зв'язки з:

• РСО Підприємства;

• адміністрацією КС та іншими підрозділами Підприємства, діяльність яких пов'язана із захистом інформації або її автоматизованим опрацюванням;

• службою охорони Підприємства;

• зовнішніми організаціями, які є партнерами, користувачами, постачальниками, виконавцями робіт;

• підрозділами служб безпеки іноземних фірм (що є для Підприємства партнерами, користувачами, постачальниками, виконавцями робіт), їхніми представництвами (на договірних або інших засадах);

• іншими суб'єктами діяльності у сфері захисту інформації. Керівники відповідних підрозділів Підприємства повинні своєчасно інформувати ПЗІ про пересування та зміни в складі технічних засобів ОІД де опрацьовуються ІзОД.

Взаємодію з іншими підрозділами Підприємства з питань, що безпосередньо не пов'язані із захистом інформації, ПЗІ здійснює відповідно до наказів та (або) розпоряджень керівника Підприємства.

 

13.8. Штатний розклад та структура підрозділу захисту інформації

ПЗІ є штатним підрозділом Підприємства, безпосередньо підпорядкованим з питань ТЗІ Керівнику Підприємства або Заступнику Секретаря Підприємства, який відповідає за забезпечення безпеки інформації.

Штатність чи позаштатність ПЗІ в Підприємства визначається керівництвом Підприємства.

Структура ПЗІ, її склад і чисельність визначається фактичними потребами Підприємства для виконання вимог політики безпеки інформації та затверджується керівництвом Підприємства.

Чисельність і склад ПЗІ мають бути достатніми для виконання всіх завдань щодо захисту інформації.

З метою ефективного функціонування й керування захистом інформації ПЗІ має штатний розклад, який включає перелік функціональних обов'язків усіх співробітників, необхідних вимог до рівня їхніх знань та навичок.

Штат ПЗІ комплектується спеціалістами, які мають спеціальну технічну освіту (вищу, середню спеціальну, спеціальні курси підвищення кваліфікації в галузі ТЗІ тощо) та практичний досвід роботи, володіють навичками з розробки, впровадження, експлуатації КСЗІ і засобів захисту інформації, а також реалізації організаційних, технічних та інших заходів щодо захисту інформації, знаннями і вмінням застосовувати нормативно-правові документи у сфері захисту інформації.

Функціональні обов'язки співробітників визначаються переліком і характером завдань, які покладаються на ПЗІ керівництвом Підприємства.

Залежно від обсягів і особливостей завдань ПЗІ до її складу можуть входити спеціалісти (групи спеціалістів, підрозділи та ін.) різного фаху:

• спеціалісти з питань захисту інформації від витоку технічними каналами;

• спеціалісти з питань захисту каналів зв'язку і комутаційного обладнання, налагодження й керування активним мережевим обладнанням;

• спеціалісти з питань адміністрування та контролю засобів захисту, керування системами доступу та базами даних захисту;

• спеціалісти з питань захищених технологій опрацювання інформації.

За посадами співробітники ПЗІ можуть поділятися на такі категорії (за рівнем ієрархії):

• керівник ПЗІ;

• адміністратори захисту КС (безпеки баз даних, безпеки системи тощо);

• спеціалісти служби захисту.

 


НАВЧАЛЬНЕ ВИДАННЯ

В. В. Дома рев С.О. Скворцов

ОРГАНІЗАЦІЯ ЗАХИСТУ

ІНФОРМАЦІЇ НА ОБ'ЄКТАХ ДЕРЖАВНОЇ

ТА ПІДПРИЄМНИЦІ! " ДІЯЛЬНОСТІ

Навчальний посібник Редактор

Трофімчук Г.П.

Комп'ютерна верстка та дизайн Соболевої І.В.

Підписано до друку 19.05.2006 р. Формат 60x84 '/Іе-Папір офсетний. Гарнітура TextBook. Ум. друк. арк. 5, 93. Обл.-видав. 4.29. Тираж 1000. Зам. №2/7

Видання надруковано з оригінал-макета, підготовленого

Видавництвом Європейського університету. 03179, Україна, Київ-179, вуя. М. Ушакова, 8а.

Реєстраційне свідоцтво ДК №603 від 19.09.2001 р.


Поделиться с друзьями:

mylektsii.su - Мои Лекции - 2015-2024 год. (0.042 сек.)Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав Пожаловаться на материал