Разное по IT
  • Регистрация
1 1 1 1 1 1 1 1 1 1 Рейтинг 0.00 (0 Голоса)

Відкрите Акціонерне Товариство

ЗАТВЕРЖУЮ

Керівник відкритого

акціонерного товариства

_____________

“____” ___________200___ року

ПРОЕКТ

ПЛАН ЗАХИСТУ

Автоматизованої системи _______________ ВАТ

Від несанкціонованого доступу до інформації та незаконного втручання у процесі її функціонування

УЗГОДЖЕНО УЗГОДЖЕНО

Начальник управління інформатизації Начальник Служби інформаційної безпеки

________________ _______________

“____” ________200___р. “____” ________200 ___р.

200___р

1.  Загальні положення

1.1. Теперішній документ розроблений на основі Концепції інформаційної безпеки ВАТ і визначає комплекс організаційно-технічних заходів з захисту автоматизованої системи (підсистеми) _______(найменування системи) ВАТ (по дальшому АС) від несанкціонованого доступу (НСД) до інформації, яка циркулює в ній, а також незаконного втручання у процес її функціонування.

1.2. Документ не регламентує питання охорони приміщень та забезпечення зберігання і фізичної цілісності компонентів АС, захисту від стихійних лих (пожарів, повнів), збивань, а також заходів забезпечення особистої безпеки персоналу.

1.3. Вимоги теперішнього документа розміщується на всі структурні підрозділи ВАТ, в яких здійснюється автоматизована обробка, яка підлягає захисту інформації, а також підрозділи, яка здійснює супроводжування, обслуговування та забезпечення нормального функціонування АС ____________ ВАТ.

2.  Ціль та задачі захисту

2.1. Головна ціль, на досягнення якої напрямлені всі положення даного документа, є захист ВАТ, її клієнти та кореспонденти від можливого нанесення їм помітної матеріальної, моральної або другої шкоди шляхом випадкового або передбаченого несанкціонованого втручання у процес функціонування АС ВАТ або несанкціонованого доступу до інформації, яка циркулює в ній та її незаконного використовування.

2.2 Вказана ціль досягається шляхом забезпечення та постійного підтримування послідовних властивостей інформації та автоматизованої системи її обробки:

·  доступність до обробленої інформації (стійкого функціонування АС, при якому користувачі системи мають можливість одержання необхідної їм інформації та результатів рішення задач за припустимий час);

·  конфіденційність визначеної частини інформації, збереженої, обробленої та переданої по каналам зв’язку;

·  цілісності інформації, збереженої та обробленої в АС та переданої по каналам зв’язку.

2.3. Для досягнення головної цілі захисту і забезпечення вказаних властивостей АС та інформація в якій циркулює система безпеки АС повинна забезпечити ефективне рішення послідовних задач:

·  захист АС від втручання у процес її функціонування сторонніх осіб(можливість використовування автоматизованої підсистеми та доступ до її ресурсів повинні мати тільки зареєстровані встановленим порядком користувачі – співробітники структурних підрозділів ВАТ);

·  розмежування доступу зареєстрованих користувачів до апаратних. Програмних та інформаційним ресурсам АС (можливість доступу тільки до тих ресурсів та виконання тільки тих операцій з ними, які необхідні конкретним користувачам АС для виконання своїх службових зобов’язань);

·  реєстрацію дій користувачів при роботі захищеними ресурсами АС в системних журналах та періодичний контроль коректності (правомірності) дій користувачів системи шляхом аналізу наявності цих журналів фахівцями служби безпеки та/або адміністраторами інформаційної безпеки технологічних участків;

·  захист збережених та переданих по каналам зв’язку даних від несанкціонованої модифікації (перекручення), фальсифікації, знищення та підтвердження автентичності (авторства) електронних документів;

·  захист інформації обмеженого поширення, збереженої, обробленої та переданої по каналам зв’язку, від несанкціонованого розголошення (витоку);

·  захист від несанкціонованої модифікації (підміни, знищення) та контроль цілісності використовуваних в АС програмних засобів, а також захист системи від упровадження несанкціонованих програм, включаючи комп’ютерні віруси;

·  контроль цілісності операційного середовища виконання прикладних програм (рішення прикладних задач) та її відновлення у випадку порушення.

3.  Заходи забезпечення безпеки

Поставлена головна мета захисту перерахованих задач досягається:

·  строгої регламентації процесів обробки даних з прийманням засобів автоматизації та дій співробітників ВАТ, використовуваних АС, а також дій персоналу, які виконують обслуговування та модифікацію програмних і технічних засобів АС, на основі затверджених керівником ВАТ організаційно-розпоряних документів по запитанням забезпечення інформаційної безпеки;

·  повнота обхвату всіх аспектів проблеми, непротимовністью (узгодженістю) та реальним виконанням вимог організаційно-розпорядних документів по запитанням забезпечення інформаційної безпеки в АС;

·  зазначенням та підготовкою посадових осіб (співробітників), відповідальних за організацію та виконання практичних міроприємств по забезпеченню безпеки інформації і процесів її обробки;

·  наділенням кожного співробітника ВАТ (користувача) мінімально необхідного для виконання їх своїх функціональних обов’язків повноваження до доступу, до ресурсів АС;

·  чітким знанням та суворим додержуванням всіма співробітниками, використовування та обслуговування апаратних та програмних засобів АС, встановленим вимогам по запитанням забезпечення безпеки інформації;

·  прийняття ефективних заходів забезпечення фізичної цілісності технічних засобів та неперервною підтримкою необхідного рівня захищеності компонентів АС;

·  прийняття фізичних та технічних (програмно-апаратних) засобів захисту ресурсів та неперервною адміністративною підтримкою їх використовування;

·  проведенням робіт з персоналом (підбір, роз’яснювання ВАТ – користувачами АС вимог по забезпеченню інформаційної безпеки;

·  юридичний захист інтересів ВАТ при взаємодії підрозділів ВАТ з сторонніми організаціями (зв’язані з обміном інформацією) від протиправних дій, як зі сторони цих організацій, так і від несанкціонованих дій обслуговуючого персоналу та третіх осіб;

·  проведенням постійного аналізу ефективності та достатності прийнятих заходів та використовуваних засобів захисту інформації, розробкою та реалізацією пропозицій по удосконаленню системи захисту АС.

4.  Вимоги по забезпеченню інформаційної безпеки АС (основні положення політики безпеки)

4.1 Організаційні, технологічні та технічні заходи по захисту інформації в АС ВАТ повинні проводитися в згідності з вимогами діючого законодавства, нормативних ті інших документів Державної технічної комісії при Президенті Російської Федерації (Гостехкомісії Росії), Федерального агентству урядового зв’язку та інформації при Президенті Російської Федерації (ФАПСІ), а також нормативно-методичними матеріалами та організаційно-розпорядними документами ВАТ по запитанням забезпечення інформаційної безпеки а АС.

4.2 Усі ресурси повинні бути установлені порядком категорійовані (для кожного ресурсу повинен бути визначений необхідний рівень захисту). Підлеглі захисту ресурси системи (інформація, задачі, програми, робочі станції, сервера і тощо) підлягають суровому обліку ( на основі використовування відповідних формулярів або спеціалізованих баз даних).

4.3 На робочих станціях (РС) АС, які підлягають захисту, повинні бути встановлені необхідні технічні засоби захисту ( які відповідають вимогливому рівню захищеності – категорії РС). Для користувачів захищених РМ (тобто є РС, на яких оброблюється захищена інформація або вирішуються підлеглі захисту задачі) повинні бути розроблені необхідні технологічні інструкції, які включають вимоги по забезпеченню інформаційної безпеки. Експлуатація в структурних підрозділах ВАТ захищених РС повинна бути дозволена тільки при наявності формулярів РС (паспортов-приписів на їх експлуатацію, які засвідчують про виконання усіх необхідних вимог інформаційної безпеки).

4.4 Усі співробітники ВАТ, використовуючи при роботі АС, повинні бути ознайомлені з Планом захисту АС в частині, їх застосовування, повинні знати і невпинно виконувати технологічні інструкції та “Загальні обов’язки співробітників ВАТ по забезпеченню безпеки інформації при використанні АС”. Доведення вимог до осіб, допущенних до обробки захищеної інформації, повинно виконуватися начальниками підрозділів під підпис.

Співробітники ВАТ, допущені до роботи з АС, повинні нести персональну відповідальність за порушення установленого порядку автоматизованої обробки інформації, правило зберігання, використовування та передачі, які знаходяться в їх розпорядженні захищених ресурсів системи. Кожний співробітник ( при прийомі на роботу або при допуску до роботи з захищеними ресурсами АС) повинен підписувати Договір-забовязання про додержування та відповідальності за порушення установлених вимог по зберіганню банківської, службової та комерційної таємниці, а також правило роботи з захищеною інформацією в АС. Любе сурове порушення порядку та правил роботи в АС співробітниками ВАТ повинно розслідуватися. До провинців повинні прийматися адекватні міри дій. Міра відповідальності персоналу за дії, здійснені за порушення установлених правил забезпечення автоматизованої обробки інформації, визначається нанесеною шкодою, наявністю злого умислу та другими факторами на розгляд керівника ВАТ.

4.5 Допуск співробітників ВАТ до роботи з автоматизованою підсистемою та доступ до її ресурсів повинен бути сурово регламентований. Любі змінення складу та повноважень користувачів АС повинні проводитися установленим порядком згідно “Інструкції про внесення змін в списки користувачів АС та наділенню їх повноважень доступу до ресурсів системи”. Кожному співробітнику ВАТ (користувачу) повинні надаватися мінімально необхідні для виконання їм своїх функціональних обов’язків прав та повноважень по доступу до ресурсів АС (виробнича необхідність виконання співробітниками повноважень та прав доступу до ресурсів АС визначається керівником відповідних структурних підрозділів). Не один співробітник ВАТ не повинен володіти всією повнотою повноважень для єдино особового безконтрольного знищення, змін або створення та авторизації ресурсів в АС. Керівники структурних підрозділів зобов’язані своєчасно представляти заявки на предоставлення своїм співробітникам або позбавлення ( в випадку звільнення, переводу, хвороби і тощо.) співробітників згідно прав доступу та повноважень по роботі з ресурсами АС.

4.6 Апаратно-програмна конфігурація робочих станцій (автоматизованих робочих місць), на яких обробляється захищена інформація (з яких можливо доступ до захищених ресурсів). Повинна відповідати кругу покладених на користувачів даної РС функціональних обов’язків. Усі не використовувані у роботі (зайві) пристрої вводу-виводу інформації (СОМ, LPT порти, дисководи НГМД, СD з других носіїв інформації) на таких РС повинні бути відключені (знищені фізично або логічно) не потрібні для роботи програмні засоби та дані з дисків РС повинні бути знищені.

Для спрощення супроводження, обслуговування та організації захисту РС повинно обґрунтовування програмними засобами та конфігуровування уніфіковано ( в згідності з установленими правилами.)

4.7 Ввод в експлуатацію нових РС та всі зміни в конфігурації технічних та програмних засобів існуючих РС в АС повинні виконуватися тільки установленим порядком згідно “Інструкції по уставці, модифікації та технічному обслуговуванню програмного забезпечення та апаратних засобів РС АС”.

4.8 Усе програмне забезпечення (розроблено фахівцями УІ, отримане централізовано або придбане у фірм виробників) повинно установлениим порядком проходити перевірку (іспити) в Управлінні інформатизації (УІ) та передаватися у фонд алгоритмів та програм (ФАП) або архів еталонних програм УІ. В АС повинні установлюватися и використовуватися тільки одержані установленим порядком із ФАП програмні засоби. Використовування в АС ПО, не залікованого в ФАП (не зареєстрованого та яке не має дозволу на використовування в АС), заборонено.

4.9 Фізична цілісність апаратних компонентів захищених РС повинна забезпечуватися організаційними заходами та використовуванням механічних запорів (при наявності), пломб (наклейок, печаток або тощо) на блоках та пристріях засобів обчислювальної техніки. Повсякденний контроль за цілісністю та відповідністю печаток (пломб, наклейок) на системних блоках ПЕОМ повинен виконуватися користувачами РС (АРМ) та адміністраторами інформаційної безпеки підрозділів. Періодичний контроль – керівниками підрозділів та співробітниками служби інформаційної безпеки.

4.10 Експлуатація підлеглих захисту РС повинна здійснюватися в приміщеннях, обладнаних автоматичними замками, засобами сигналізації та постійно знаходитися під охороною або наглядом, виключаючи можливість безконтрольного проникнення в приміщення сторонніх осіб та забезпечення фізичного збереження, які знаходяться в приміщенні захищених ресурсів (РС, документів, реквізитів доступу і тощо). Розміщення та установлення технічних засобів ПЕОМ таких РС (АРМ) повинна виключити можливість візуального перегляду уводиму (виводиму) інформації особам, які не мають до неї відношення.

Прибирання приміщень з встановленими в них ПЕОМ повинна провидитися в присутності відповідального, за яким закріплені дані технічні засоби, або чергового по підрозділу з додерженням заходів, з вилученням доступу сторонніх осіб до захищених ресурсів.

В приміщеннях під час обробки та відображення на ПЕОМ конфіденційної інформації повинні бути присутні тільки особи, які допустимі до даної роботи з даною інформацією. ВАТ прийом відвідувачів повинен виключати можливість їх візуального ознайомлення з захищеною інформацією, до якої вони мають допуск.

Після закінчення робочого дня приміщення з встановленими захищеними РС повинні здаватися під охорону, за включенням сигналізації та відміткою в книзі приойму і сдачі службових приміщень.

4.11 Розробка ПО задач (комплексів задач), проведення іспитів розробленого та придбаного ПО, передача ПО в експлуатацію повинна здійснюватися в згідності з затвердженим “Порядком розробки, проведення іспитів та передачі задач (комплексів задач) в експлуатацію”.

5.  Порядок перегляду плану захисту

5.1 План захисту підлягає частотному перегляду в послідовних випадках:

·  При зміні крнфігурації, добавленні або знищенні програмних та технічних засобів в АС, які не змінюють технологію обробки інформації;

·  При зміні конфігурації та наладок технічних засобів захисту, використовуваних в АС;

·  При зміні складу та обов'язків посадових осіб – користувачів та обслуговуючого персоналу АС та співробітників, які відповідають за інформаційну безпеку в АС.

5.2 Профілактичний перегляд Плану захисту проводиться не рідше 1 раза на рік та має ціль перевірку відповідно визначеним даним планом заходів реальним умовам використовування АПС та поточним вимогам до її захисту.

5.3 План захисту підлягає повному перегляду у випадку зміни технології обробки інформації або використовування нових технічних засобів захисту.

5.4 У випадку частотного перегляду можуть бути набавлені, знищені різні застосовування до Плану захитсу з обов'язковою вказівкою у листі реєстрації змін даних про, то, хто, коли, з якою метою, які зміни вніс і хто санкціонував ці зміни.

5.5 Зміни, внесені у план, не повинні протилежати другим положенням Плану захисту та повинні бути перевірені на коректність, повноту та реальну виконаність.

5.6 Любий перегляд Плану захисту повинен здійснюватися з обов'язковим участієм представників Служби інформаційної безпеки ВАТ.

6.  Відповідальні за реалізацію Плану захисту

6.1 Відповідальність за реалізацію та додержування вимог даного документу співробітниками, які мають допуск до роботи з АС, покладена на начальників структурних підрозділів та адміністраторів інформаційної безпеки (відповідальних за інформаційну безпеку в підрозділах та на технологічних участках).

6.2 За реалізацію положень Плану захисту, зв'язаних з застосовуванням та адміністрірованням технічних засобів зхисту інформації від НСД відповідає служба забезпечення інформаційної безпеки.

6.3 Реалізація положень Плану захисту, звязаних с супроводом програмного забезпечення та обслуговування технічних засобів, покладена на уповноважених спвробітників відділу інформатизації.

6.4 Методичне керівництво та контроль за воконанням вимог теперішнього документу покладена на службу забезпечення інформаційної безпеки.

7. Основні поняття та визначення

Під Автоматизованою системою (АС) розуміється організаційно-технічна система, що являє собою сукупність наступних взаємозалежних компонентів:

·  технічних засобів обробки і передачі даних (засобів обчислювальної техніки і зв'язку);

·  методів і алгоритмів обробки даних у виді відповідного програмного забезпечення;

·  інформації (масивів, наборів, баз даних) на різних носіях;

·  персоналу,

Об'єднаних по організаційно-структурних, тематичних, технологічних або інших ознаках для виконання автоматизованої обробки інформації (даних) з метою задоволення інформаційних потреб державних органів, державних, суспільних або комерційних організацій і підприємств (юридичних осіб), окремих громадян (фізичних осіб) і інших учасників процесу інформаційної взаємодії.

Безпека інформації - такий стан інформації (інформаційних ресурсів) та автоматизованої системи її обробки, при якому з необхідною надійністю забезпечується захист інформації (даних, ключів шифрування і т. д.) від витоку, розкрадання, втрати, несанкціонованого знищення, модифікації (підробки), несанкціонованого копіювання, блокування і т. п.

Для захисту інформації в будь-який АС (підсистеми АС) потрібно створення спеціальної Системи безпеки (системи захисту), що представляє собою сукупність спеціального персоналу, організаційних заходів, а також фізичних і технічних засобів захисту, застосовуваних відповідно до загального задуму.

Набір правил, що регламентують функціонування АС відповідно до необхідних умов забезпечення інформаційної безпеки, а так само дій персоналу АС у випадку порушення цих умов, називається Політикою безпеки.

План захисту - Документ, що містить загальний опис політики безпеки АС (підсистеми АС). План захисту призначений для фіксування на визначений момент часу стану АС (технології обробки інформації, списку користувачів - посадових осіб, переліку і наладок програмних і апаратних засобів), виявлених значимих загроз безпеки АС, установлених прав доступу користувачів до ресурсів АС та конкретні міри і заходи щодо протидії виявленим значимим загрозам.

ЛИСТ

Реєстрації змін

Дата

Зміст внесених змін

Ким санкціоновано

Зміну

Підпис особи, яка провела зміну

       
       
       
       
       
       
       
       
       
       

Додаток 1

Опис технологічного процесу обробки даних в АС

(Далі повинно випливати конкретний опис підсистеми АС (як об'єктів захисту) і використовуваних у них інформаційних технологій)

Зразковий план опису:

·  Призначення об'єкта, що захищається, (підсистеми АС), його основні функції;

·  Структура, склад і розміщення основних елементів, інформаційні зв'язки з іншими об'єктами. Основні особливості об'єкта, що захищається;

·  Використовувані технології (режими) обробки і передачі інформації, механізми взаємодії основних елементів (підсистем) об'єкта, що захищається;

·  Категорії інформаційних ресурсів, які підлягають захисту;

·  Види оброблюваної інформації;

·  Категорії користувачів і обслуговуючого персоналу, рівень їхнього доступу до інформації;

·  Схеми потоків даних на всіх технологічних ділянках автоматизованої обробки інформації в АС.

 

Добавить комментарий


Защитный код
Обновить

По темам:

История Украины

Культурология

Высшая математика

Информатика

Охотоведение

Статистика

География

Военная наука

Английский язык

Генетика

Разное

Технологиеские темы

Украинский язык

Филология

Философия

Химия

Экология

Социология

Физическое воспитание

Растениевосдство

Педагогика

История

Психология

Религиоведение

Плодоводство

Экономические темы

Бухгалтерские темы

Маркетинг

Иностранные языки

Ветеринарная медицина

Технические темы

Землеустройство

Медицинские темы

Творчество

Лесное и парковое хозяйство