Андрей Обласов - Организация и технология защиты конфиденциальной информации в информационных системах. Методическое пособие для студентов
- Название:Организация и технология защиты конфиденциальной информации в информационных системах. Методическое пособие для студентов
- Автор:
- Жанр:
- Издательство:неизвестно
- Год:неизвестен
- ISBN:9785005110701
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Андрей Обласов - Организация и технология защиты конфиденциальной информации в информационных системах. Методическое пособие для студентов краткое содержание
Организация и технология защиты конфиденциальной информации в информационных системах. Методическое пособие для студентов - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
– в помещения категории П-0…П-3 – только в случаях прямой необходимости, в рабочее время вместе с сотрудником, работающим в данном помещении, в нерабочее время
– с последующим составлением служебной записки на имя Генерального директора ЧОП за подписью начальника смены с изложением причин доступа и описанием состояния помещения; в помещения категории П-4 – без ограничений.
3.3.2. Доступ к средствам информатизации
Доступ к средствам информатизации, находящимся на рабочих местах сотрудников (далее – «ответственные за средства информатизации»), осуществляется этими сотрудниками без ограничений.
Доступ к средствам информатизации сотрудников других подразделений, представителей сторонних организаций, представителей государственных органов и посетителей осуществляется в зависимости от категории:
– к средствам информатизации категорий С-0, С-1 – только при наличии допуска. При этом непосредственное использование средства информатизации осуществляется сотрудником, ответственным за него, а лицо, получившее доступ, присутствует при этом;
– к средствам информатизации категории С-2 – самостоятельно и без ограничений.
Для средств информатизации категорий С-0 и С-1 в отделе информационных технологий должен быть заведен Аппаратный журнал, в котором отражаются все критичные операции и события (выход из строя, ремонт, техобслуживание и т.п.), а также операции по обеспечению информационной безопасности.
Управлению информационных систем и технологий категорически запрещёно подключение средств информатизации категорий С-0 и С-1 к ресурсам и сервисам международной компьютерной сети Internet. Локальная вычислительная сеть, имеющая в своём составе средства информатизации категорий С-0 и С-1 не может иметь выход в международную сеть Internet.
Технические действия по осуществлению доступа заключаются в:
– включении питания;
– преодолении установленным порядком имеющихся средств защиты доступа (замок, вход по паролю, идентификация пользователя и др.). Организационные действия заключаются в:
– ведении Аппаратного журнала;
– ведении Журнала учета доступа.
После того, как операции по доступу к средствам категорий С-0, С-1 выполнены, ответственный за средство информатизации обязан обеспечить невозможность использования средства кем-либо, кроме него самого. Запрещается даже на короткое время оставлять без контроля средство информатизации, если такая возможность не исключена технически.
Для доступа к средствам информатизации там, где это возможно, в обязательном порядке должен использоваться пароль, а доступ должен быть организован строго в соответствии с Руководством по применению паролей.
3.3.3. Доступ к программным продуктам и информации
Порядок получения доступа к программным продуктам и информации определяется порядком доступа в помещения и к средствам информатизации. Ответственность за правильность доступа к программным продуктам и информации несут сотрудники, на рабочих местах которых используются эти программные средства и информация.
Доступ обеспечивается:
– к программным продуктам и компьютерной информации – имеющимися программно-аппаратными средствами защиты;
– к информации на бумажных носителях – принятой технологией несекретного «бумажного» делопроизводства;
– к речевой, видео- и другим видам информации – мерами обеспечения доступа в помещения и к средствам связи.
Технические действия по доступу к программным продуктам и информации заключаются в:
– запуске программного продукта;
– преодолении установленным порядком имеющихся программных и аппаратных – средств защиты;
– регистрации доступа средствами регистрации, если они имеются.
Организационные действия по доступу к программным продуктам и информации заключаются в ведении Журнала учета доступа.
3.4. Содержание средств информатизации
Правильное с точки зрения информационной безопасности содержание (эксплуатация и хранение) средств информатизации предполагает:
– для средств информатизации категории С-0 – полное предотвращение доступа (в том числе и физического) к этим средствам любых лиц, не имеющих соответствующего допуска;
– для средств информатизации категории С-1 – предотвращение несанкционированного их использования;
– для средств информатизации категории С-2 – ограничений нет.
Содержание программных продуктов средств информатизации определяется содержанием технических средств информатизации (компьютеров, сетей), на которых эти программные продукты установлены.
Средства информатизации содержатся, как правило, на рабочих местах сотрудников, за которыми эти средства закреплены. Технические средства категории С-0 могут содержаться в кладовых или в сейфах.
В рабочее время ответственность за содержание средств информатизации несут сотрудники, за которыми эти средства закреплены, а в их отсутствие – их непосредственные начальники. В нерабочее время ответственность за хранение средств информатизации несет дежурная смена охраны.
Приемка в эксплуатацию средств информатизации (аппаратных, программных) категорий С-0 и С-1 проводится силами сотрудников Управления по защите информации Управления информационных систем и технологий в следующем порядке:
– определяется категория средства информатизации;
– средство информатизации оснащается программными продуктами, устанавливается на рабочем месте и проверяется;
– производится проверка безопасности средства информатизации;
– при необходимости для такой проверки могут привлекаться специализированные организации;
– составляется и согласовывается с соответствующим подразделением перечень организационно-технических мероприятий, необходимых для обеспечения информационной безопасности средства информатизации, в том числе перечень средств защиты информации;
– средство информатизации, при необходимости, дополняется средствами защиты информации, из него исключаются не используемые «опасные» устройства и опечатывается;
– средство проверяется сотрудниками подразделения на предмет готовности к эксплуатации; составляется Акт о готовности средства информатизации по вопросам информационной безопасности, который утверждается начальниками Управления по защите информации и принимающего подразделения.
Каждое средство информатизации после приемки в эксплуатацию закрепляется письменным распоряжением руководителя подразделения за одним из сотрудников подразделения, который в дальнейшем отвечает за его содержание.
Сотрудник, ответственный за содержание средства информатизации, в части обеспечения информационной безопасности обязан:
Читать дальшеИнтервал:
Закладка:
