Полезное:
Как сделать разговор полезным и приятным
Как сделать объемную звезду своими руками
Как сделать то, что делать не хочется?
Как сделать погремушку
Как сделать так чтобы женщины сами знакомились с вами
Как сделать идею коммерческой
Как сделать хорошую растяжку ног?
Как сделать наш разум здоровым?
Как сделать, чтобы люди обманывали меньше
Вопрос 4. Как сделать так, чтобы вас уважали и ценили?
Как сделать лучше себе и другим людям
Как сделать свидание интересным?
Категории:
АрхитектураАстрономияБиологияГеографияГеологияИнформатикаИскусствоИсторияКулинарияКультураМаркетингМатематикаМедицинаМенеджментОхрана трудаПравоПроизводствоПсихологияРелигияСоциологияСпортТехникаФизикаФилософияХимияЭкологияЭкономикаЭлектроника
|
Организационные мероприятия ⇐ ПредыдущаяСтр 7 из 7
Организационные мероприятия для обеспечения защиты информации от утечки, модификации или уничтожения включают: 1. Контроль доступа к СВТ: должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации, особенно в нерабочее время; – должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку) и регистрацией их выдачи (приема). 2. Комплект нормативных документов, регламентирующих порядок работы и настройки вычислительной техникой: – должна осуществляться регистрация подключения и работы пользователей в сетях передачи данных; – должна быть утверждена типовая аппаратная конфигурация СВТ; – должен быть утвержден регламент приобретения оборудования. 3. Комплект документов, устанавливающий настройки системного и общесистемного ПО: – должен быть утвержден регламент запущенных сервисов на серверном оборудовании и рабочих местах; – должна осуществляться регистрация следующих событий: – использование идентификационного и аутентификационного механизма; – создание и уничтожение объекта; – действия по изменению правил разграничения доступа. – должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала с помощью тест-программ, имитирующих попытки НСД; – должен существовать регламент ведения и хранения контрольного журнала, регистрирующего все чрезвычайные ситуации и события, связанные с нарушением режима безопасности. Кроме отвергнутых попыток входа в системы, целесообразно также регистрировать случаи успешного доступа к ним. Контрольный журнал должен включать следующие данные: – дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы; – результат попытки входа: успешная или неуспешная - несанкционированная; – идентификатор субъекта, предъявленный при попытке доступа; – код или пароль, предъявленный при неуспешной попытке. – для обеспечения точности контрольных журналов, которые могут потребоваться при расследовании или в качестве свидетельства при наложении дисциплинарных взысканий, необходимо правильно установить системные часы компьютеров. Неточные контрольные журналы могут помешать таким расследованиям и подорвать доверие к такому свидетельству; – должен быть утвержден регламент антивирусной защиты: определены настройки мониторов для рабочих мест пользователей и администратора, периодичность обновления антивирусных баз. 4. Контроль доступа к объектам системы: – должен быть утвержден регламент предоставления прав доступа к информационным ресурсам, определяющий все стадии жизненного цикла управления доступом пользователей – от начальной регистрации новых пользователей до удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам. Особое внимание следует уделить необходимости управления процессом предоставления привилегированных прав доступа, которые позволяют пользователям обойти средства системного контроля. – должен существовать регламент удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам. 5. Комплект документов, регламентирующих механизмы восстановления системы после сбоя и поддержания работоспособности системы: – должен быть утвержден перечень критически важного оборудования, находящегося в резерве; – инструкция на инсталляцию СУБД; – регламент импорта данных; – очередность подключения рабочих мест; – должен быть установлен регламент конфигурационного управления: подключения новых пользователей, изменения конфигурационных файлов активного оборудования, сетевого оборудования; – должен быть утвержден регламент резервного копирования и архивирования, должны создаваться две резервные копии, которые хранятся отдельно от серверного оборудования; – должен быть разработан план защиты от непредвиденных обстоятельств, определяющий последовательности действий, необходимых для выхода из различных ситуаций, не предусмотренных процедурами нормального функционирования системы (например, в случае пожара). План защиты от непредвиденных обстоятельств должен включать такие элементы, как: – сведения о том, кто является главным ответственным лицом и как можно установить с ним контакт; – информация о том, кто и на каком основании принимает решение о возникновении необычной ситуации; – технические требования к передаче управления резервным службам, которые могут включать сведения о необходимом дополнительном оборудовании и линий связи; – организационные требования в отношении персонала, который осуществляет передачу управления резервным службам; – сведения о любых внешних источниках, в которых можно будет получить помощь. 6. Контроль за персоналом включает следующие мероприятия: – организация службы безопасности информации, осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.; – ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации; – получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации; – очистка оперативной памяти клиентских ПК путем перезагрузки после завершения работы пользователя с защищаемыми данными, с удалением файлов с жесткого диска компьютера; – должен быть определен регламент реагирования на нарушение безопасности, содержащий описание действий пользователя и администратора при выявлении НСД. Заключение
В данном разделе рассмотрены вопросы обеспечения безопасности работы АИС "Учет ремонта и ТО автотранспорта". В понятие "безопасность" включаются следующие категории: аутентификация, авторизация, аудит, конфиденциальность, целостность, доступность и невозможность отказа от авторства. Для организации грамотной защиты приложения необходимо задействовать все возможные методы защиты. Анализ потоков данных позволил установить наличие конфиденциальной информации в системе, требующей дополнительной защиты. На основе полученных результатов разрабатываемая система была классифицирована как многопользовательская система с разграничением прав доступа к конфиденциальной информации, таким образом, она относится к классу защиты – 1Г, к которому установлены требования, опираясь на которые, мы определили меры и средства борьбы с потенциальными угрозами информации. Определение периметра безопасности позволило установить возможные опасности, угрожающе системе, на этапах горизонтального и вертикального проектирования предложены рекомендации по устранению этих угроз и сведению к минимуму последствий от них. При анализе угроз и требований, выдвигаемых к установленному классу защищенности системы, были разработаны организационно-распорядительные документы, повышающие уровень безопасности системы и закрепляющие представленные ранее рекомендации по защите ИС. Список используемой литературы
1. Основы компьютерных сетей.: Б.Д. Виснадул. – М.: Издательский дом "Форум", 2007. – 272с. 2. Информационная безопасность компьютерных систем и сетей: В.М. Шаньгин. – М.: Издательский дом "Форум", 2008. – 416с. 3. Конев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб.: БХВ-Петербург, 2003. – 752 с.:ил.
|