Функциональные средства.
Под функциональными средствами понимаются методы обеспечения безопасности АС, имеющие отношение, прежде всего, к механизмам, выполняемым при непосредственном участии работников предприятия (человеческого фактора).
3.7.1. Работа с персоналом.
Меры по организации системы безопасности при работе с АС персоналом призваны минимизировать ущерб, наносимый системе при помощи действий человека, как намеренных, так и не преследующих разрушительных целей. Защита обеспечивается:
Неукоснительным соблюдением пользователями правил доступа к АС и выполнение ими своих обязанностей в соответствии с положениями и инструкциями.
Реализацией ограничения доступа пользователей к ресурсам АС. При формировании матриц доступа необходимо руководствоваться правилом минимизации полномочий, согласно которому каждый пользователь обеспечивается минимальным количеством ресурсов, необходимых для выполнения функциональных обязанностей.
Формированием перечня ресурсов, предоставляемых пользователю, осуществляется на основании занимаемой должности и выполняемых работ. До получения прав доступа пользователь АС должен быть ознакомлен с положениями Политики информационной безопасности и предупреждён об ответственности за невыполнение правил Политики безопасности.
Разделением выполнения всех критичных для функционирования АС действий между несколькими лицами. Не допускается возникновение ситуации, когда только один человек имеет права доступа ко всем компонентам АС. В частности, парольная информация учётных записей уровня администратора сети должна быть разделена между системным администратором и администратором безопасности.
Не допускается передача парольной информации пользователями сторонним лицам, а также хранения ее на бумажных или электронных носителях в открытом (незашифрованном) виде.
3.7.2. Планирование непрерывной работы.
Мероприятия по планированию непрерывной работы обеспечивают функционирование организации в случае сбоя в информационной поддержке и включают в себя следующие требования:
Системный администратор совместно с администратором информационной безопасности разрабатывают инструкции исправления штатных неполадок для всех компонентов сети.
Системный администратор совместно с администратором информационной безопасности разрабатывает планы восстановления данных, циркулирующих в АС, обеспечивает возможность продолжения выполнения критических заданий в кратчайшие сроки в случае возникновения непредвиденных ситуаций.
Конечные пользователи сети инструктируются системным администратором и администратором информационной безопасности.
Письменные описания действий при возникновении аварийных ситуаций должны быть доступны пользователям.
3.7.3. Средства поддержки программных приложений.
Средства поддержки программных приложений призваны обеспечить контроль легальности установленного программного обеспечения при выполнении следующих требований:
При введении в эксплуатацию приобретённого или разработанного программного обеспечения необходимо строго следовать определенным ранее положением.
Количество приобретённых лицензий должно соответствовать количеству автоматизированных рабочих мест, на которых установлен программный продукт.
Копия легального программного обеспечения, установленная на переносной компьютер (ноутбук), не считается нелегальной и не требует приобретения дополнительных лицензий.
Изменения программных приложений или их отдельных компонентов производятся только по согласованию с администратором информационной безопасности.
Не допускается использование версий программного обеспечения, не прошедших тестирование.
Пользователи системы не имеют права самостоятельно устанавливать, модифицировать или переконфигурировать программное обеспечение без письменного разрешения системного администратора и администратора информационной безопасности.
3.7.4. Средства обеспечения целостности информации.
Средства обеспечения целостности информации предназначены для защиты от случайного или преднамеренного изменения, или уничтожения и включают в себя реализацию следующих мер:
На каждой рабочей станции должно быть установлено антивирусное программное обеспечение, включающее:
Антивирусный сканер.
Резидентный антивирусный монитор.
Систему антивирусной защиты электронной почты.
Дисковый ревизор, осуществляющий контроль целостности критических файлов с использованием контрольных сумм.
Сигнатуры антивирусных баз должны обновляться ежедневно в автоматическом или ручном режиме.
Должна проводиться регулярная проверка программ и данных в системах, поддерживающих критически важные информационные и технологические процессы. Наличие случайных файлов и несанкционированных исправлений должно быть расследовано.
Съемные накопители информации неизвестного происхождения должны проверяться на отсутствие вирусов до их использования.
В автоматическом режиме, с целью последующего анализа, должны фиксироваться следующие данные:
идентификатор пользователя, который последний входил в систему;
дата и время последнего входа и выхода из системы;
число неудачных попыток входа в систему.
Функции администратора, связанные с назначением прав и полномочий пользователей, не должны быть доступны прочим пользователям и процессам.
Контроль целостности конкретных программных и информационных ресурсов должен обеспечиваться как минимум одним из следующих способов:
Средствами подсчёта и анализа контрольных сумм.
Средствами электронной цифровой подписи.
Средствами сравнения критичных ресурсов с их эталонными копиями.
Не допускается работа пользователя (в т.ч. администратора) на рабочей станции другого пользователя без разрешения администратора информационной безопасности. Для пользователя, получившего разрешение на работу, не должны быть доступны файлы и каталоги, созданные владельцем рабочей станции. Работа пользователей на рабочих станциях администраторов без контроля с их стороны не допускается.
Документирование механизмов безопасности является средством защиты, позволяющим формализовать защитные и функциональные процедуры обеспечения информационной безопасности, характерные для данной системы.
Обязанности должностных лиц в области документирования средств обеспечения информационной безопасности:
Администратор информационной безопасности, руководствуясь результатами анализа безопасности сети, составляет документацию.
Администратор информационной безопасности обеспечивает автоматическое введение файлов журналов, отражающих все действия пользователя в отношении механизмов обеспечения информационной безопасности.
Администратор информационной безопасности на основании данных, предоставленных системным администратором, разрабатывает и модифицирует Политику безопасности, а также рекомендации по реализации конкретных мер защиты сети в виде приложений к Политике безопасности.
-
Осведомлённость и обучение специалистов.
Каждый пользователь системы до получения прав доступа к системе должен быть проинструктирован о принятых мерах по обеспечению информационной безопасности.
В случае возникновения затруднений в отношении реализации установленных правил, пользователь должен обратиться к системному администратору за помощью.
Пользователи, не владеющие установленными правилами, к работе с использованием АС не допускаются.
Администратор информационной безопасности и системные администраторы должны обладать уровнем профессиональной подготовки (пройти обучение), достаточным для качественного исполнения функциональных обязанностей.
-
Действия в случаях возникновения происшествий.
В случае возникновения событий, приводящих к подавлению механизмов обеспечения информационной безопасности или являющихся попыткой преодолеть установленные защитные меры, последовательность ответных действий должна быть следующей:
Определение типа происшествия;
Локализация источника угрозы;
Выработка ответных действий и согласование их с администратором информационной безопасности;
Реализация ответных действий;
Анализ причины возникновения угрозы и разработка мер по устранению этой причины в последующем.
Каждый из этапов должен сопровождаться документом, описывающим в произвольной форме последовательность предпринятых действий.
Заключение
В результате выполнения дипломной работы были разработаны необходимые организационно-методические документы и политика информационной безопасности на основе методических рекомендаций.
Сотрудники предприятия были должным образом проинструктированы и осведомлены об особенностях защиты информации на предприятии.
Организован процесс реагирования на инциденты по фактам нарушений защиты информации на предприятии в виде Технического регламента.
На предприятии была проведена внутренняя проверка. В ходе проверки были выявлены и классифицированы защищаемые информационные ресурсы, классифицированы предполагаемые нарушители безопасности информации, циркулирующей на предприятии, выявлены и классифицированы актуальные угрозы безопасности ПДн в ИСПДн на основе Базовой модели угроз безопасности ПДн при их обработке в ИСПДн утвержденной ФСТЭК России, и, для уменьшения риска реализации угроз, были предложены и реализованы меры противодействия.
Достигнута цель работы:
Разработать политику информационной безопасности и организационно-распорядительную документацию в области информационной безопасности для предприятия ФКУ «Налог-Сервис» ФНС России в Тюменской области.
Выполнены поставленные задачи.
Список используемой литературы
1.Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
2.Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и защите информации»;
3.Постановление Правительства Российской Федерации от 03.11.94 № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;
4.Гражданский кодекс Российской Федерации (ГК РФ);
5.Федеральный закон от 29.07.2004 № 98-ФЗ «О коммерческой тайне»;
6.Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»;
7.ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа»;
8.ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения»;
9.ГОСТ Р 51275-2006 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»;
10.ГОСТ Р ИСО/МЭК 15408-1-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;
11.ГОСТ Р ИСО/МЭК 15408-3-2008 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий»;
12.ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью»;
13.ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий»;
14.ГОСТ Р ИСО/МЭК 27001-2005 «Информационные технологии. Технологии безопасности. Система управления информационной безопасностью»;
15.Нормативно-методический документ «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 15 февраля 2008 года;
16.Нормативно-методический документ «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный заместителем директора ФСТЭК России 14 февраля 2008 года;
17.Нормативно-методический документ «Положение о методах и способах защиты информации в информационных системах персональных данных», утвержденный приказом директора ФСТЭК России от 05 февраля 2010 года №58;
18.Нормативно-методический документ «Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Гостехкомиссия России. 2002 год;
19.Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» от 17 ноября 2007 года №781;
20.Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» от 15 сентября 2008 года №687;
21.Руководящий документ «Защита от несанкционированного доступа к информации. Термины и определения». Гостехкомиссия России. 1992 год;
22.Руководящий документ «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от НСД к информации». Гостехкомиссия России. 1992 год;
23.Указ Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 года №188 (с изменениями и дополнениями от 23 сентября 2005 года).
|
