Организационные мероприятия

Организационные мероприятия для обеспечения защиты информации от утечки, модификации или уничтожения включают:

1. Контроль доступа к СВТ:

должна осуществляться физическая охрана СВТ (устройств и носителей информации), предусматривающая контроль доступа в помещения посторонних лиц, наличие надежных препятствий для несанкционированного проникновения в помещения и хранилище носителей информации, особенно в нерабочее время;

– должен проводиться учет всех защищаемых носителей информации с помощью их маркировки и с занесением учетных данных в журнал (учетную карточку) и регистрацией их выдачи (приема).

2. Комплект нормативных документов, регламентирующих порядок работы и настройки вычислительной техникой:

– должна осуществляться регистрация подключения и работы пользователей в сетях передачи данных;

– должна быть утверждена типовая аппаратная конфигурация СВТ;

– должен быть утвержден регламент приобретения оборудования.

3. Комплект документов, устанавливающий настройки системного и общесистемного ПО:

– должен быть утвержден регламент запущенных сервисов на серверном оборудовании и рабочих местах;

– должна осуществляться регистрация следующих событий:

– использование идентификационного и аутентификационного механизма;

– создание и уничтожение объекта;

– действия по изменению правил разграничения доступа.

– должно проводиться периодическое тестирование функций СЗИ НСД при изменении программной среды и персонала с помощью тест-программ, имитирующих попытки НСД;

– должен существовать регламент ведения и хранения контрольного журнала, регистрирующего все чрезвычайные ситуации и события, связанные с нарушением режима безопасности. Кроме отвергнутых попыток входа в системы, целесообразно также регистрировать случаи успешного доступа к ним. Контрольный журнал должен включать следующие данные:

– дата и время входа (выхода) субъекта доступа в систему (из системы) или загрузки (останова) системы;

– результат попытки входа: успешная или неуспешная - несанкционированная;

– идентификатор субъекта, предъявленный при попытке доступа;

– код или пароль, предъявленный при неуспешной попытке.

– для обеспечения точности контрольных журналов, которые могут потребоваться при расследовании или в качестве свидетельства при наложении дисциплинарных взысканий, необходимо правильно установить системные часы компьютеров. Неточные контрольные журналы могут помешать таким расследованиям и подорвать доверие к такому свидетельству;

– должен быть утвержден регламент антивирусной защиты: определены настройки мониторов для рабочих мест пользователей и администратора, периодичность обновления антивирусных баз.

4. Контроль доступа к объектам системы:

– должен быть утвержден регламент предоставления прав доступа к информационным ресурсам, определяющий все стадии жизненного цикла управления доступом пользователей – от начальной регистрации новых пользователей до удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам. Особое внимание следует уделить необходимости управления процессом предоставления привилегированных прав доступа, которые позволяют пользователям обойти средства системного контроля.

– должен существовать регламент удаления учетных записей пользователей, которые больше не нуждаются в доступе к информационным сервисам.

5. Комплект документов, регламентирующих механизмы восстановления системы после сбоя и поддержания работоспособности системы:

– должен быть утвержден перечень критически важного оборудования, находящегося в резерве;

– инструкция на инсталляцию СУБД;

– регламент импорта данных;

– очередность подключения рабочих мест;

– должен быть установлен регламент конфигурационного управления: подключения новых пользователей, изменения конфигурационных файлов активного оборудования, сетевого оборудования;

– должен быть утвержден регламент резервного копирования и архивирования, должны создаваться две резервные копии, которые хранятся отдельно от серверного оборудования;

– должен быть разработан план защиты от непредвиденных обстоятельств, определяющий последовательности действий, необходимых для выхода из различных ситуаций, не предусмотренных процедурами нормального функционирования системы (например, в случае пожара). План защиты от непредвиденных обстоятельств должен включать такие элементы, как:

– сведения о том, кто является главным ответственным лицом и как можно установить с ним контакт;

– информация о том, кто и на каком основании принимает решение о возникновении необычной ситуации;

– технические требования к передаче управления резервным службам, которые могут включать сведения о необходимом дополнительном оборудовании и линий связи;

– организационные требования в отношении персонала, который осуществляет передачу управления резервным службам;

– сведения о любых внешних источниках, в которых можно будет получить помощь.

6. Контроль за персоналом включает следующие мероприятия:

– организация службы безопасности информации, осуществляющей учет, хранение и выдачу информационных носителей, паролей, ключей, ведение служебной информации СЗИ НСД (генерацию паролей, ключей, сопровождение правил разграничения доступа), а также контроль за ходом технологического процесса обработки конфиденциальной информации и т.д.;

– ознакомление субъекта доступа с перечнем защищаемых сведений и его уровнем полномочий, а также с организационно-распорядительной и рабочей документацией, определяющей требования и порядок обработки конфиденциальной информации;

– получение от субъекта доступа расписки о неразглашении доверенной ему конфиденциальной информации;

– очистка оперативной памяти клиентских ПК путем перезагрузки после завершения работы пользователя с защищаемыми данными, с удалением файлов с жесткого диска компьютера;

– должен быть определен регламент реагирования на нарушение безопасности, содержащий описание действий пользователя и администратора при выявлении НСД.

Заключение

В данном разделе рассмотрены вопросы обеспечения безопасности работы АИС "Учет ремонта и ТО автотранспорта". В понятие "безопасность" включаются следующие категории: аутентификация, авторизация, аудит, конфиденциальность, целостность, доступность и невозможность отказа от авторства. Для организации грамотной защиты приложения необходимо задействовать все возможные методы защиты.

Анализ потоков данных позволил установить наличие конфиденциальной информации в системе, требующей дополнительной защиты. На основе полученных результатов разрабатываемая система была классифицирована как многопользовательская система с разграничением прав доступа к конфиденциальной информации, таким образом, она относится к классу защиты – 1Г, к которому установлены требования, опираясь на которые, мы определили меры и средства борьбы с потенциальными угрозами информации.

Определение периметра безопасности позволило установить возможные опасности, угрожающе системе, на этапах горизонтального и вертикального проектирования предложены рекомендации по устранению этих угроз и сведению к минимуму последствий от них.

При анализе угроз и требований, выдвигаемых к установленному классу защищенности системы, были разработаны организационно-распорядительные документы, повышающие уровень безопасности системы и закрепляющие представленные ранее рекомендации по защите ИС.

Список используемой литературы

1. Основы компьютерных сетей.: Б.Д. Виснадул. – М.: Издательский дом "Форум", 2007. – 272с.

2. Информационная безопасность компьютерных систем и сетей: В.М. Шаньгин. – М.: Издательский дом "Форум", 2008. – 416с.

3. Конев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб.: БХВ-Петербург, 2003. – 752 с.:ил.