Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Организационные меры защиты




 

Организационные (административные) меры защиты – это меры, регламентирующие процессы функционирования автоматизированной системы, использование ее ресурсов, деятельности персонала, а также порядок взаимодействия пользователей системой таким образом, чтобы максимально затруднить или исключить возможность реализации угроз безопасности информации.

Комплекс организационных мероприятий включает разработку следующей необходимой документации:

- должностные инструкции;

- положения об обработке персональных данных;

- приказы;

- журналы:

журнал регистрации выявленных нарушений;

журнал регистрации используемого программного обеспечения;

журнал по учету носителей информации, содержащих персональные данные;

журнал учета обращений граждан (субъектов персональных данных);

- обязательства сотрудников органа муниципального управления о неразглашении данных;

- регламенты взаимодействия между подразделениями органа муниципального управления;

- регламенты использования программного обеспечения;

- регламенты использования ресурсов сети Интернет;

- требования к профессиональной подготовке персонала.

При организации рабочих процессов в местной администрации необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к защищаемым персональным данным. Руководитель администрации должен утвердить перечень должностных лиц, допущенных к обработке персональных данных в информационной системе. Порядок их доступа к конфиденциальным сведениям и персональным данным, хранящимся в базах данных информационной системы, должен определяться соответствующими регламентами и должностными инструкциями.

К организационным мероприятиям по защите ценной информации можно отнести следующие меры:

1. Чёткое разделение персонала с выделением помещений или расположением подразделений компактными группами на некотором удалении друг от друга.

2. Ограничение доступа в помещения посторонних лиц или сотрудников других подразделений.

3. Жёсткое ограничение круга лиц, имеющих доступ к каждому компьютеру. Выполнение данного требования является самым трудным, поскольку довольно часто нет средств на покупку ПК для каждого сотрудника.

4. Требование от сотрудников в перерывах выключать компьютер или использовать специальные программы – хранители экранов, которые позволяют стереть информацию с экрана монитора и закрыть паролем возможность снятия режима хранителя экрана.

Главная цель организационных мер, предпринимаемых на высшем управленческом уровне, – сформировать политику в области обеспечения безопасности информации и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

Под политикой информационной безопасности органа муниципального управления понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика должна четко очертить сферу влияния и ограничения при определении целей безопасности информации, определить, какими ресурсами (материальные, персонал) они будут достигнуты, найти разумный компромисс между приемлемым уровнем безопасности и функциональностью автоматизированной системы, определить процедуры и правила достижения целей и решения задач безопасности информации и детализировать (регламентировать) эти правила.

Элементами осуществления политики безопасности информации являются:

1. Принятие решения о формировании или пересмотре комплексной программы обеспечения безопасности информации, определение лиц, ответственных за ее реализацию.

2. Определение области применения политики безопасности информации;

3. Формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации.

4. Принятие решений по вопросам реализации программы безопасности.

5. Обеспечение нормативной правовой базы вопросов безопасности.

6. Определение роли и обязанности должностных лиц, отвечающих за проведение политики безопасности информации.

7. Определение и разграничение прав доступа и регламента обращения к защищаемой информации.

8. Выбор программно-математических и технических (аппаратных) средств криптографической защиты, противодействия несанкционированным действиям, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

Организационные меры, реализующие правовой режим, предусматривают создание и поддержание правовой базы защиты информации и разработку (введение в действие) следующих организационно-распорядительных документов:

1. Положение о сохранности служебной информации ограниченного распространения.

Указанное Положение регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность работников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, государственным (коммерческим) организациям.

2. Перечень сведений, отнесенных к категории конфиденциальных (служебная информация ограниченного распространения, коммерческая тайна, банковская тайна, персональные данные), уровня и сроков обеспечения ограничений по доступу к защищаемой информации.

3. Приказы и распоряжения по установлению режима защиты информации: о создании комиссии по формированию Перечня сведений ограниченного распространения, о назначении постоянно действующей комиссии по категорированию и аттестации объектов информатизации, о вводе в эксплуатацию объектов информатизации, о назначении выделенных помещений, о допуске работников к работе со служебной информацией ограниченного распространения, о назначении лиц, ответственных за обеспечение сохранности служебной информации ограниченного распространения в автоматизированной системе.

4. Инструкции и функциональные обязанности работников по организации охранно-пропускного режима, делопроизводства, работы со служебной информацией ограниченного распространения в электронной форме, по допуску сторонних организаций и учреждений к информационным ресурсам предприятия, по защите служебной информации ограниченного распространения, по организации модификаций аппаратно-программных конфигураций.

5. другие нормативные правовые акты.

Физические меры защиты

 

Физические меры защиты – различные механические, электро- или электронно-механические устройства, предназначение для создания физических препятствий на путях проникновения потенциальных нарушителей к абонентам АБС и защищаемой информации, а также техник визуального наблюдения, связи и охранной сигнализации. К физическим мерам защиты относится выполнение следующих мероприятий:

1. Организация защиты серверов.

В первую очередь надо подготовить помещение, где будут стоять серверы. Серверы должны находиться в отдельной комнате (серверной), доступ в которую имеет строго ограниченный круг лиц. В этом помещении следует установить кондиционер и хорошую систему вентиляции. Помещение с отсутствием окон является идеальным, поскольку окно является слабым место, а основной идеей является исключение слабых мест защиты. Кроме того, желательно, чтобы стены комнаты не являлись стенами здания, то есть чтобы к ним не было прямого доступа с улицы. Расположение помещения внутри здания также является важной частью защиты. Дверь, через которую должен осуществляться единственно возможный доступ в серверную, должна быть надежно укреплена, рассчитана на преднамеренные попытки взлома, но при этом являться неприметной для злоумышленника, существенно не отличаясь от остальных дверей здания местной администрации.

Необходимой мерой является отключение неиспользуемых дисководов, параллельных и последовательных портов каждого сервера. Корпус серверов, а также всех ПК, на которых хранится и обрабатывается конфиденциальная информация, необходимо опечатать. Все это осложнит кражу или подмену информации даже в том случае, если злоумышленник проникнет в серверную комнату. Необходимо установить железные решетки и двери в особо важные помещения, предусмотреть сейфы для хранения ключей и личных идентификаторов работников, опечатывание кабинетов после окончания рабочего дня и сдачи их на вневедомственную охрану.

2. Защита кабельной системы сети.

В защите нуждается также кабельная система сети. Как правило, в этих целях используются кабельные короба, позволяющие скрыть и надежно закрепить провода.

3. Защита помещений.

Основным аспектом физической защиты является доступность в помещение, в котором находится оборудование, способное помочь проникнуть в локальную сеть. Для эффективной защиты от проникновения в помещение необходимо использование охранно-пожарной сигнализации, видеонаблюдения и физической системы разграничения доступа.

Системы видеонаблюдения предназначены для визуального контроля за ситуацией на объекте и регистрации событий. Уникальность полученной информации о ситуации на охраняемом объекте позволяет получать документальный материал о происходящих правонарушениях для дальнейшего анализа и предоставления видеозаписи в качестве вещественного доказательства.

Необходимо использовать тревожную сигнализацию, предназначенную для извещения службы охраны о разбойном нападении. Все извещатели тревожной сигнализации должны быть запрограммированы на работу в круглосуточном режиме (без права отключения), а устройства для включения тревожной сигнализации должны размещаются в местах, незаметных для посетителей и обеспечивать передачу сигнала тревоги в любой ситуации.

В помещениях с рабочими компьютерами высокий уровень защиты, необходимый для серверных комнат, не требуется. Ключи от помещений с рабочими компьютерами должны выдаваться сотрудникам согласно утвержденному списку. Данные помещения не должны оставаться незапертыми при отсутствии в них сотрудников даже на короткое время. Доступ в здание органа муниципального управления сотрудников, обслуживающего персонала и посетителей в рабочие и выходные дни должен регламентироваться с помощью системы контроля доступа. Доступ в помещения определяется руководителем администрации, при этом можно разграничить время доступа для различных групп лиц.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...