Разработка политики безопасности при эксплуатации и сопровождении ИС с целью обеспечения сохранности конфиденциальной информации

Автор работы: Пользователь скрыл имя, 12 Марта 2014 в 21:59, курсовая работа

Описание работы

Наибольшими возможностями для нанесения ущерба Управления обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне общества), либо иметь непреднамеренный ошибочный характер. Риск аварий и технических сбоев определяется состоянием технического парка, надежностью систем энергоснабжения и телекоммуникаций, квалификацией персонала и его способностью к адекватным действиям в нештатной ситуации.

Содержание работы

Введение 4
1.1. Цели 5
1.2. Задачи 5
2. Политика информационной безопасности 6
2.1. Назначение политики информационной безопасности 6
2.2. Основные принципы обеспечения ИБ 7
2.3. Соответствие ПБ действующему законодательству 7
2.4. Ответственность за реализацию политик информационной безопасности 7
2.5. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе 8
2.6. Защищаемые информационные ресурсы 8
2.7. Организация системы управления информационной безопасностью 10
2.7.1. Организация системы управления ИБ 10
2.7.2. Реализация системы управления ИБ 11
2.7.3. Методы оценивания информационных рисков 12
3. Политики информационной безопасности 13
3.1. Политика предоставления доступа к информационному ресурсу 13
3.1.1. Порядок создания (продления) учетной записи пользователя 14
3.1.2. Порядок предоставления (изменения) полномочий пользователя 14
3.1.3. Порядок удаления учетной записи пользователя 15
3.1.4. Порядок хранения исполненных заявок 16
3.2. Политика учетных записей 16
3.3. Политика использования паролей 17
3.4. Политика реализации антивирусной защиты 20
3.5. Политика защиты АРМ 22
4. Порядок сопровождения ИС Управления 25
5. Профилактика нарушений политик информационной безопасности 26
6. Ликвидация последствий нарушения политики информационной безопасности 27
7. Ответственность нарушителей ПБ 27
8. Регулирующие законодательные нормативные документы 27
8.1. Основополагающие нормативные документы 28
8.2. Законы Российской Федерации 29
8.3. Указы и распоряжения Президента Российской Федерации 30
8.4. Постановления и распоряжения Правительства Российской Федерации 32
8.5. Нормативные и руководящие документы Федеральных служб РФ 32
8.6. Государственные стандарты 33
Заключение 34
Библионграфический сиписок 35

Скачать архив (64.50 Кб) Сколько стоит заказать работу?
Файлы: 1 файл

Polit bez.docx

— 66.99 Кб (Скачать файл)

Плановая разъяснительная работа по правилам настоящих политик, а также инструктаж сотрудников предприятия по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых на предприятии, проводится администратором информационной безопасности ежеквартально.

Внеплановая разъяснительная работа по правилам настоящих политик, а также инструктаж сотрудников предприятия по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Управление, проводится при пересмотре настоящих политик, при возникновении инцидента нарушения правил настоящих политик.

Прием на работу новых сотрудников должен сопровождаться ознакомлением их с правилами и требованиями настоящих политик.

  1. Ликвидация последствий нарушения политик информационной безопасности

Администратор информационной безопасности, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения информационной безопасности, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению.

В случае обнаружения подсистемой защиты информации факта нарушения информационной безопасности или осуществления НСД к защищаемым информационным ресурсам ИС рекомендуется уведомить администратора информационной безопасности и/или начальника информационного отдела, и далее следовать их указаниям.

Действия администратора информационной безопасности и системного администратора при признаках нарушения политик информационной безопасности регламентируются следующими внутренними документами:

    • Инструкцией пользователя автоматизированной системы;

    • Политикой информационной безопасности;

    • Должностными обязанностями администратора информационной безопасности;

    • Должностными обязанностями программиста.

После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.

  1. Ответственность нарушителей ПБ

Ответственность за выполнение правил Политик безопасности несет каждый сотрудник Управления в рамках своих служебных обязанностей и полномочий.

На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности Управления, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы.

Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный Управления в результате нарушения ими правил политики ИБ (Ст. 238 Трудового кодекса РФ).

За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой информации, сотрудники Управления несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.

  1. Регулирующие законодательные нормативные документы

При организации и обеспечении работ по информационной безопасности сотрудники Управления должны руководствоваться следующими законодательными нормативными документами:

      1. Основополагающие нормативные документы

К основополагающим нормативным документам относятся:

  • Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ от 9 сентября 2000 г. № Пр-1895).

      1. Законы Российской Федерации

  • Закон Российской Федерации от 5 марта 1992 г. № 2446-I «О безопасности»;

  • Гражданский кодекс Российской Федерации;

  • Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» (с изменениями от 8 ноября 2007 г.);

  • Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

  • Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  • Уголовный кодекс РФ;

  • Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» (с изменениями от 9 мая 2005 г., 1 мая, 1 декабря 2007 г.);

  • Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями от 13, 21 марта, 9 декабря 2002 г., 10 января, 27 февраля, 11, 26 марта, 23 декабря 2003 г., 2 ноября 2004 г., 21 марта, 2 июля, 31 декабря 2005 г., 27 июля, 4, 29 декабря 2006 г., 5 февраля, 19 июля, 4, 8 ноября, 1, 6 декабря 2007 г.).

      1. Указы и распоряжения президента Российской Федерации

  • Указ Президента Российской Федерации от 20 января 1994 г. № 170 «Об основах государственной политики в сфере информатизации» (с изменениями от 26 июля 1995 г., 17 января, 9 июля 1997 г.);

  • Указ Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (с изменениями от 25 июля 2000 г.);

  • Указ Президента Российской Федерации от 3 июля 1995 г. № 662 «О мерах по формированию общероссийской телекоммуникационной системы и обеспечению прав собственников при хранении ценных бумаг и расчетах на фондовом рынке Российской Федерации» (с изменениями от 16 августа 1995 г., 4 января 1996 г., 28 мая 1997 г., 29 ноября 2004 г.);

  • Указ Президента Российской Федерации от 9 января 1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (с изменениями от 30 декабря 2000 г.);

  • Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями от 23 сентября 2005 г.).

      1. Постановления и распоряжения правительства Российской Федерации

  • Постановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»;

  • Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» (с изменениями от 23 апреля 1996 г., 29 марта 1999 г., 17 декабря 2004 г.).

      1. Нормативные и руководящие документы Федеральных служб РФ

  • Решение Гостехкомиссии России от 21 октября 1997 г. № 61 «О защите информации при вхождении России в международную информационную систему «Интернет»;

  • Постановление Госстандарта Российской Федерации от 21 сентября 1994 г. № 15 «Об утверждении «Порядка проведения сертификации продукции в Российской Федерации» (с изменениями от 25 июля 1996 г., 11 июля 2002 г.);

  • Постановление Госстандарта Российской Федерации от 10 мая 2000 г. № 26 «Об утверждении Правил по проведению сертификации в Российской Федерации» (с изменениями от 5 июля 2002 г.);

  • Положение о сертификации средств защиты информации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199);

  • Положение по аттестации объектов информатизации по требованиям безопасности информации (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.);

  • Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации т 5 января 1996 г. № 3);

  • Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации (утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

  • Руководящий документ. Временное положение по организации разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

  • Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

  • Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.);

  • Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.);

  • Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114);

  • Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187).

      1. Государственные стандарты

  • ГОСТ 21552-84 «Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортирование и хранение» (утвержден постановлением Госстандарта СССР от 28 июня 1984 г. № 2206, с изменениями от июня 1987 г., ноября 1988 г., декабря 1990 г.);

  • ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (утвержден постановлением Госстандарта СССР от 24 марта 1989 г. № 661);

  • ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» (принят постановлением Госстандарта России от 9 февраля 1995 г. № 49);

Информация о работе Разработка политики безопасности при эксплуатации и сопровождении ИС с целью обеспечения сохранности конфиденциальной информации