Читайте также:
|
Рис.10.Скад служби захисту інформації
Керівник служби захисту інформації відповідає за:
· організацію робіт з захисту інформації в АС, ефективність захисту інформації відповідно до діючих нормативно-правових актів;
· своєчасне розроблення і виконання “Плану захисту інформації в автоматизованій системі”;
· якісне виконання співробітниками СЗІ завдань, функцій та обов'язків, зазначених у цьому Положенні, посадових інструкціях, а також планових заходів з захисту інформації, затверджених керівником організації;
· координацію планів діяльності підрозділів та служб АС (організації) з питань захисту інформації;
· створення системи навчання співробітників, користувачів, персоналу АС з питань захисту інформації;
· виконання особисто та співробітниками СЗІ розпоряджень керівника організації, правил внутрішнього трудового розпорядку, встановленого режиму, правил охорони праці та протипожежної охорони.
Обов’язки адміністратора безпеки:
· підтримку системи в рамках обраної політики безпеки;
· забезпечення належного рівня конфіденційності і цілісності даних;
· підготовка і збереження резервних копій даних, їх періодична перевірка і знищення;
· створення і підтримка в актуальному стані призначених для користувача облікових записів;
· відповідальність за інформаційну безпеку;
· відстеження інформації про уразливість системи і своєчасне вжиття заходів;
· періодичне практичне тестування захищеності системи;
· документування своєї роботи;
· усунення неполадок в системі;
· дотримання вимог інформаційної телекомунікаційної системи;
· вести та зберігати журнал обліку паролів;
· вносити користувачів до журналу обліку паролів;
· контролювати процедуру заміни непрацюючого обладнання;
· вимагати письмове пояснення системного адміністратора;
· вимагати письмове пояснення користувачів.
Обов’язки системного адміністратора:
· підготовка й збереження резервних копій даних, їх періодична перевірка й знищення;
· встановлення й конфігурування оновлень операційної системи і прикладного програмного забезпечення;
· встановлення й конфігурування нового апаратного й програмного забезпечення;
· створення й підтримка в актуальному стані файлу облікових записів користувачів;
· підтримання інформаційної безпеки в організації;
· документування своєї роботи;
· усунення неполадок у комп’ютерній системі;
· монтаж комп'ютерної техніки та визначення необхідності ремонту;
· участь у проектуванні та монтажі локальної мережі;
· участь у плануванні комп'ютерних систем та придбанні нової комп'ютерної техніки;
· дотримання інструкцій інформаційної телекомунікаційної системи;
· виконання вказівок адміністратора безпеки;
· надання письмових пояснень адміністратору безпеки.
5.2.Політика безпеки
За означенням, під ПБ інформації розуміється набір законів, правил, обмежень, рекомендацій тощо, які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз.
Термін політика безпеки може бути застосований до організації, КС, операційної системи, послуги, що реалізується системою (набору функцій) для забезпечення захисту від певних загроз, і т. ін. Чим дрібніший об'єкт, щодо якого вживається цей термін, тим конкретніші й формальніші стають правила.
Побудова ПБ ─ це зазвичай такі кроки:
─ в інформацію вноситься структура цінностей і проводиться аналіз ризику;
─ визначаються правила для будь-якого процессу користування певним видом доступу до елементів інформації, які мають певну оцінку цінностей.
Види моделей політики інформаційної безпеки:
· Дискреційна політика безпеки
Дискреційну політику безпеки ми використаємо до порядку самого доступу до примішення. Так як до об’єкту інформаційної діяльності а саме СТЗІ до якого має доступ тільки деякі працівники. Ми повинні надати кожному з працівників індефікацію та поділити за рівнем доступу.
· Рольова політика безпеки
Рольову політики ми використовуємо в нашій автоматизованій системі для авторизації користувачів та надання їм права на використання документів з якими користувач має право користуватися.
· Мандатна політика
Мандатна політика на нашому об’єкті є поділ кожного документу системи надано мітку секретності, яка визначає цінність інформації, що міститься в ньому (гриф секретності).
5.3.Категоріювання об`экта інформаційної діяльності
Метою проведення категоріювання є становлення категорії об’єкту.
Воно здійнюєсться відповідно до НД ТЗІ 1.6-005-2013 «Захист інформації на об’єктах інформаційної діяльності. Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці».
У СТЗІ обробляється інформація, що становить державну таємницю, для якої встановлено гриф секретностi "таємно". За результати проведення категоріювання комісія встановила 3-ю категорію. Акт категоріювання у додатку Б.
5.4.Нормативно-правові заходи захисту інформації об`экта інформаційної діяльності
Захист інформації в СТЗІ ДСНС у Волинській області повинен базуватися на вимогах нормативно-правових актів та нормативних документів системи технічного захисту інформації.
До таких документів відносяться:
Закони України:
· Про інформацію;
· Про захист інформації в інформаційно-телекомунікаційних системах.
Нормативно-правові акти, затверджені Указами Президента України та постановами Кабінету Міністрів України:
· Положення про технічний захист інформації в Україні. Затверджено Указом Президента від 27.09.99 р. №1129;
· Концепція технічного захисту інформації в Україні. Затверджено постановою Кабінету Міністрів України від 8 жовтня 1997 року № 1126;
· Положення про забезпечення режиму секретності під час обробки інформації, що становить державну таємницю, в автоматизованих системах. Затверджено постановою Кабінету Міністрів України від 16.02.98 № 180;
· «Порядок організації та забезпечення режиму секретності в органах державної влади, органах місцевого самоврядування, на підприємствах, в установах і організаціях», затверджено постановою Кабінету Міністрів України від 2 жовтня 2003 р. № 1561-12.
Державні стандарти та інші нормативні документи з стандартизації:
· ДСТУ 3396.0-96. Технічний захист інформації. Основні положення;
· ДСТУ 3396.1-96. Технічний захист інформації. Порядок проведення робіт.
Нормативні документи системи технічного захисту інформації в Україні:
· ТПКО-95. Тимчасове положення про категоріювання об'єктів. Затверджено наказом ДСТЗІ від 10 липня 1995 року № 35;
· НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ від 28 квітня 1999 року № 22;
· НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп'ютерних системах від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ від 28 квітня 1999 року №22;
· НД ТЗІ 2.5-007-2001. Вимоги до комплексу засобів захисту інформації, що становить державну таємницю, від несанкціонованого доступу при її обробці в автоматизованих системах класу 1. Затверджено наказом ДСТСЗІ СБУ від 18 червня 2001 року № 05;
· НД ТЗІ 3.6-001-2000. Технічний захист інформації. Комп'ютерні системи. Порядок створення, впровадження, супроводження та модернізації засобів технічного захисту інформації від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБУ від 20 грудня 2000 року № 60;
· НД ТЗІ 3.7-001-99 Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі. Затверджені наказом Департаменту спеціальних телекомунікаційних систем та захисту інформації СБ України від 28.04.99 р. за №22;
· НД ТЗІ 2.1-001-2001 Створення комплексів технічного захисту інформації. Атестація комплексів. Основні положення. Затверджено наказом ДСТСЗІ СБУ від 9 лютого 2001 року № 2;
· НД ТЗІ 1.6-003-2004 Створення комплексів технічного захисту інформації на об’єктах інформаційної діяльності. Правила розробки, побудови, викладення та оформлення моделі загроз для інформації. Затверджено наказом ДСТСЗІ СБУ від 04 січня 2004 року;
· НД ТЗІ 1.4-001-2000 Типове положення про службу захисту інформації в АС, Затверджено наказом ДСТЗІ СБУ від 4 грудня 2000 року №53;
· НД ТЗІ 3.7-003-05. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі. Затверджено наказом ДСТСЗІ СБУ від 08 листопада 2005 року № 125;
· Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами ПЕМВН (ТР ЕОТ-95), затверджене наказом ДСТЗІ від 09.06.95 р. №25;
· Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою КМ від 29 березня 2006 р. № 373.
5.5.Перелік організаційних заходів захисту на об`экті інформаційної діяльності
Організаційні заходи вимагають створення політики інформаційної безпеки, а також:
· складання посадових інструкцій для користувачів та персоналу обслуговування;
· написання правил адміністрування компонент інформаційної системи, обліку, зберігання, розмноження, знищення носіїв інформації, ідентифікації користувачів;
· розроблення планів дій у разі виявлення спроб несанкціонованого доступу до інформаційних ресурсів системи, виходу з ладу засобів захисту, виникнення надзвичайної ситуації;
· навчання правилам інформаційної безпеки користувачів;
· залучення до проведення робіт із захисту інформації організацій, що мають ліцензію на діяльність в області захисту інформації, видану відповідними органами;
· встановлення категорій й атестація об'єктів технічні засоби приймання, обробки, зберігання та передання інформації і виділених для проведення закритих заходів приміщень (далі виділених приміщень) по виконанню вимог забезпечення захисту інформації при проведенні робіт з відомостями відповідного ступеня таємності,
· використання на об'єкті сертифікованих технічні засоби приймання, обробки, зберігання та передання інформації і допоміжні технічні засоби і системи;
· установлення контрольованої зони навколо об'єкта;
· залучення до робіт по будівництву, реконструкції об'єктів технічні засоби приймання, обробки, зберігання та передання інформації, монтажу апаратури організацій, що мають ліцензію на діяльність в області захисту інформації по відповідних пунктах;
· організація контролю й обмеження доступу на об'єкти технічні засоби приймання, обробки, зберігання та передання інформації та у виділені приміщення;
· введення територіальних, частотних, енергетичних, просторових і тимчасових обмежень у режимах використання технічних засобів, що підлягають захисту.
На етапі проведення організаційних заходів необхідно:
· визначити перелік відомостей з обмеженим доступом, що підлягають технічному захисту;
· обґрунтувати необхідність розроблення і реалізації захисних заходів з урахуванням матеріальної або іншої шкоди, яка може бути завдана внаслідок можливого порушення цілісності інформації з обмеженим доступом чи її витоку технічними каналами;
· установити перелік виділених приміщень, в яких не допускається реалізація загроз та витік інформації з обмеженим доступом;
· визначити перелік технічних засобів, які повинні використовуватися в комплексу системи захисту інформації;
· визначити технічні засоби, застосування яких не обґрунтоване службовою та виробничою необхідністю і які підлягають демонтажу;
· визначити наявність задіяних і незадіяних повітряних, наземних, настінних та закладених у приховану каналізацію кабелів, кіл і проводів, що виходять за межі виділених приміщень;
· визначити системи, що підлягають демонтажу; потребують переобладнання кабельних мереж, кіл живлення, заземлення або установлення в них захисних пристроїв.
Організаційні заходи щодо роботи з інформацією з обмеження доступу:
· обліку, використання і зберігання документів;
· організації зберігання, використання і знищення документів і, що містять інформацію з обмеженим доступом, відповідно до вимог нормативних документів.
Організаційні заходи в автоматизованій системі:
· резервне копіювання;
· облік, використання і зберігання документів в автоматизованій системі;
· облік встановлення та видалення програмного забезпечення
· контроль цілісності системного програмного забезпечення;
5.6 Технічні та програмні засоби захисту.
Технічний захід – це захід щодо захисту інформації, що передбачає застосування спеціальних технічних засобів і реалізацію технічних рішень. Поділяються на активні та пасивні.
Для захисту об`экту інформаційної діяльності я використаю такі засоби захисту.
Технічні засоби захисту:
Дата добавления: 2015-07-11; просмотров: 273 | Нарушение авторских прав
| <== предыдущая страница | | | следующая страница ==> |
| Специфікація моделі порушника за місцем дії. | | | Генератор шуму ГШ-2500М |