|
Фактическая защищенность
Доступ служащих к ресурсам разграничивается штатными средствами ОС. Список служащих, имеющих доступ к ресурсам, документально определен. Доступ ограничивается в соответствии с должностными инструкциями.
Документ, определяющий порядок конфиденциального документооборота существует и утвержден.
Документально определена технология обработки информации (документ «Описание технологического процесса обработки информации»).
На серверах и рабочих станциях применяются операционные системы MS Windows, что позволяет применить сертифицированные средства защиты от НСД. Но также осуществляется обработка информации в СУБД, что практически исключает применение на данных объектах сертифицированных средств защиты от НСД по причине отсутствия таких средств на рынке.
Перечень мер по защите
Разработка перечня защищаемой информации
- Необходимо переработать перечень сведений конфиденциального характера в плане детализации обрабатываемых данных и отнесении сведений к той или иной степени конфиденциальности.
Конфиденциальность информации
С целью повышения степени защищенности информации в плане соблюдения конфиденциальности необходимо:
- разделить ввод и вывод информации одного грифа на уровне АРМ или пользователей с целью разделения ответственности и усиления контроля за этими этапами технологического процесса;
- ограничить (в т.ч. организационно) возможности несанкционированного вывода информации пользователями на внешние носители (дискеты, лазерные накопители CD-RW, USB-Flash) и на печать;
- ограничить количество или исключить использование локальных принтеров на АРМ пользователей, назначить ответственных за печать документов на сетевых принтерах;
- исключить доступ пользователей к ресурсам АРМ других пользователей, как на запись, так и на чтение, т.е. возможность создания пользователями общих сетевых ресурсов на своих АРМ. Обмен информацией между пользователями осуществлять через общие ресурсы на серверах;
- если один служащий относится к нескольким категориям пользователей, то при совмещении обязанностей он должен пользоваться разными идентификаторами. Например, администратор может выполнять работу пользователя, но не имеет права делать это с идентификатором администратора.
Целостность информации
С целью повышения степени защищенности информации в плане соблюдения целостности необходимо:
- внедрение исправлений и добавлений централизованно распространяемых ведомственных программных средств на АРМ пользователей и на сервер должно осуществляться в виде уже откомпилированных исполняемых модулей и процедур, в состав которых не должны включаться средства отладки.
Состав рабочей документации
Для документального определения режимов обработки и защиты информации в состав рабочей (исполнительной) документации по защите конфиденциальной информации необходимо включить следующие документы:
· «Описание технологического процесса обработки конфиденциальной информации», в котором отражен порядок проведения всех операций ТП (ввод, вывод, обработка и хранение, резервирование и восстановление, управление доступом);
· «Инструкция пользователя», в которой отражены порядок его работы с информацией, права, обязанности и ответственность;
· «Инструкции администраторов ОС, БД»;
· «Инструкция обслуживающего персонала»;
· «Журнал регистрации бумажных носителей информации», в котором учитываются все операции распечатывания документов, графы журнала заполняются исполнителями работ;
· «Журнал учета резервного копирования», в котором учитываются все операции резервного копирования и восстановления информации, все графы журнала заполняют администраторы.
· Перечень сведение конфиденциального характера Администрации города Миасса.
Приложение №4
«Политика безопасности Администрация города Миасса
|
Администрация города Миасса
Политика
19.10.2007 г. № 1__
г. Челябинск
безопасности Администрации города Миасса
I. Общие положения.
1. Назначение документа.
Политика является основой для:
1. Разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности информации;
2. Принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
3. Координации деятельности структурных подразделений Администрации при проведении работ по созданию, развитию и эксплуатации АС с соблюдением требований обеспечения безопасности информации.
2. Основания для разработки документа.
1. Приказ главы Администрации города Миасса о создании Политики Информационной Безопасности Администрации.
2. Законодательной базой ПИБ являются: Конституция РФ, Гражданский и Уголовный кодексы, нормативные документы действующего законодательства, документы Федеральной службы технического и экспертного контроля, организационно- распорядительные документы Администрации.
3. Основные определения и сокращения.
Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления
Разглашение КИ – несанкционированный выход защищаемых сведений и документов за пределы круга лиц, которым они доверены или стали известны в ходе их трудовой деятельности.
Разрешительная (разграничительная) система доступа к информации – совокупность обязательных норм, устанавливаемых первым руководителем или коллективным органом руководства фирмой с целью закрепления за руководителями и сотрудниками права использования для выполнения служебных обязанностей выделенных помещений, рабочих мест, определенного состава документов и ценных сведений.
При использовании материалов активная ссылка на источник обязательна.