Автор работы: Пользователь скрыл имя, 07 Апреля 2012 в 11:43, реферат
Достижение некоторого уровня информационной безопасности возможно только при выработке у персонала и пользователей АС определенной дисциплины по соблюдению установленных ограничений и правил использования ресурсов и обслуживания компонент АС.
9
Достижение некоторого уровня информационной безопасности возможно только при выработке у персонала и пользователей АС определенной дисциплины по соблюдению установленных ограничений и правил использования ресурсов и обслуживания компонент АС.
Эта дисциплина немыслима без персональной ответственности всех сотрудников, допущенных к работе с АС, за нарушения установленного порядка (регламента) безопасной обработки информации, правил хранения и использования находящихся в их распоряжении защищаемых ресурсов системы.
Регламентация работы сотрудников предполагает определение для каждой категории пользователей и обслуживающего персонала:
обязательных знаний, действий и процедур, необходимых для ОИБ при автоматизированной обработке информации и обслуживании компонент АС;
запрещенных действий, которые могут привести к нарушению нормальной работы АС, вызвать непроизводительные затраты ресурсов, нарушить конфиденциальность или целостность хранимой и обрабатываемой информации, нарушить интересы других пользователей;
ответственности за нарушение установленных требований и ограничений.
Общие обязанности сотрудников по обеспечению информационной безопасности при работе с ресурсами АС
Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным автоматизированной системы, несет персональную ответственность за свои действия и ОБЯЗАН:
производить обработку защищаемой информации в подсистемах АС в строгом соответствии с утвержденными технологическими инструкциями (техническими порядками) для данных подсистем;
строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции;
хранить в тайне свой пароль (пароли). С установленной периодичностью в соответствии с «Инструкцией по организации парольной защиты автоматизированной системы» менять свой пароль (пароли);
передавать для хранения установленным порядком свое индивидуальное устройство идентификации ( Touch Memory , Smart Card , Proximity и т.п.).
другие реквизиты разграничения доступа и носители ключевой
информации только руководителю своего подразделения или ответственному за информационную безопасность в подразделении (в пенале, опечатанном своей личной печатью); '
• надежно хранить и никому не передавать личную печать и использовать ее только для опечатывания пенала с реквизитами доступа и носителями ключевой информации;
• если сотруднику (исполнителю) предоставлено право защиты (подтверждения подлинности и авторства) документов, передаваемых по технологическим цепочкам в АС, при помощи электронной цифровой подписи (ЭЦП), то он дополнительно обязан соблюдать все требования «Порядка работы с ключевыми носителями (дискетами)»;
• выполнять требования «Инструкции по организации антивирусной защиты в АС» в части касающейся действий пользователей рабочих станций ( PC );
• немедленно ставить в известность ответственного за безопасность информации и руководителя подразделения в случае утери носителей ключевой информации, индивидуального устройства идентификации или при подозрении компрометации личных ключей и паролей, а также при обнаружении:
• нарушений целостности пломб (наклеек, нарушении или несоответствии номеров печатей) на аппаратных средствах или иных фактов совершения в его отсутствие попыток несанкционированного доступа к закрепленной за ним защищенной рабочей станции;
• некорректного функционирования установленных на PC технических средств защиты;
• несанкционированных (произведенных с нарушением установленного порядка) изменений в конфигурации программных или аппаратных средств PC ;
• непредусмотренных формуляром PC отводов кабелей и подключённых устройств;
• отклонений в нормальной работе системных и прикладных программных средств, затрудняющих эксплуатацию PC , выхода из строя или неустойчивого функционирования узлов PC или периферийных устройств (дисководов, принтера и т.п.), а также перебоев в системе электроснабжения:
• присутствовать при работах по изменению аппаратно-программной конфигурации закрепленной за ним рабочей станции, по завершении таких работ проверять ее работоспособность.
Категорически ЗАПРЕЩАЕТСЯ:
• использовать компоненты программного и аппаратного обеспечения АС не по назначению (в неслужебных целях);
• самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочих станций или устанавливать дополнительно любые программные и аппаратные средства, не предусмотренные формулярами рабочих станций;
• осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц;
• записывать и хранить конфиденциальную информацию (сведения ограниченного распространения) на неучтенных носителях (гибких магнитных дисках и т.п.);
• оставлять включенной без присмотра свою рабочую станцию (компьютер), не активизировав средства защиты от НСД (временную блокировку экрана и клавиатуры);
• передавать кому-либо свой персональный ключевой носитель (дискету, Touch Memory и т.п.) кроме ответственного за информационную безопасность или руководителя своего подразделения установленным порядком, делать неучтенные копии ключевого носителя, снимать с него защиту записи и вносить какие-либо изменения в записанные на носитель файлы;
• использовать свои ключи ЭЦП для формирования цифровой подписи любых электронных документов, кроме электронных документов, регламентированных технологическим процессом на его рабочем месте;
• оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, носители ключевой информации, носители и распечатки, содержащие сведения ограниченного распространения;
• умышленно использовать недокументированные свойства и ошибки в программном обеспечении или в настройках средств защиты, которые могут привести к нарушениям информационной безопасности и . возникновению кризисной ситуации. Об обнаружении такого рода ошибок - ставить в известность ответственного за безопасность информации и руководителя своего подразделения.
Ответственный за обеспечение информационной безопасности (администратор информационной безопасности - АИБ) подразделения (технологического участка) назначается из числа штатных сотрудников подразделения по представлению его руководителя, согласованному с подразделением обеспечения информационной безопасности.
АИБ непосредственно подчиняется руководителю подразделения, в штате которого он состоит, и осуществляет контроль за выполнением требований организационно-
Методическое руководство работой администратора информационной безопасности осуществляется подразделением обеспечения информационной безопасности.
• знать перечень установленных в его подразделении компьютеров и перечень задач, решаемых с их использованием;
• обеспечивать постоянный контроль за выполнением сотрудниками подразделения установленного комплекса мероприятий по обеспечению безопасной автоматизированной обработки, информации;
• контролировать целостность печатей (пломб) на устройствах защищенных компьютеров подразделения;
• немедленно сообщать руководителю подразделения и сотрудникам подразделения обеспечения безопасности информации об обнаруженных фактах (попытках) несанкционированного доступа к информации и техническим средствам, и принимать необходимые меры по пресечению нарушений;
• обеспечивать соблюдение сотрудниками своего подразделения, подразделений автоматизации и ОБИ утвержденного порядка проведения работ по установке и модернизации аппаратных и программных средств PC и серверов («Инструкции по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС»), при их техническом обслуживании и отправке в ремонт (контролировать затирание конфиденциальной информации на магнитных носителях) и лично присутствовать при выполнении данных работ (участвовать в работах);
• вести «Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств PC подразделения»;
• хранить формуляры защищенных PC , контролировать их соответствие реальным конфигурациям PC и вести учет изменений их аппаратно-программной конфигурации (заявки, на основании которых были • произведены данные изменения);
• вести «Журнал учета ключевых дискет подразделения», хранить, осуществлять прием и выдачу ключевых дискет ответственным исполнителям подразделения в строгом соответствии с установленным порядком работы с ключевыми дискетами, осуществлять контроль за правильность использования ключевых дискет сотрудниками своего подразделения (технологического участка);
• осуществлять контроль за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, машинных (выходных) документов (в соответствии с Планом ОНРВ);
• проводить работу по выявлению возможных каналов неправомерного вмешательства в процесс функционирования АС и осуществления НСД к информации и техническим средствам ПЭВМ. При выявлении таковых сообщать о них руководству подразделения и специалистам подразделения ОИБ;
• инструктировать сотрудников подразделения по вопросам ОИБ и правилам работы с используемыми средствами зашиты информации.
• требовать от сотрудников подразделения - пользователей АС соблюдения установленных технологий обработки информации и выполнения инструкций по обеспечению безопасности информации в АС;
• инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения информационной безопасности, несанкционированного доступа, утраты, порчи защищаемой информации и технических компонентов АС;
• обращаться к руководителю подразделения с требованием прекращения работы на рабочих станциях при несоблюдении установленной технологии обработки информации и невыполнении требований по безопасности;
• подавать свои предложения по совершенствованию организационных, технологических и технических мер защиты на своем участке работы;
• обращаться в подразделение обеспечения информационной безопасное за необходимой технической и методологической помощью в своей работе.
В некоторых подсистемах АС для обеспечения контроля за целостностью передаваемых по технологическим цепочкам электронных документов (ЭД), а также для подтверждения их подлинности и авторства могут использоваться средства электронной цифровой подписи (ЭЦП).
Каждому сотруднику (исполнителю), которому в соответствии с его функциональными обязанностями предоставлено право постановки на ЭД цифровой подписи, выдается персональный ключевой носитель информации (например, дискета), на который записана уникальная ключевая информация («секретный ключ ЭЦП»), относящаяся к категории сведений ограниченного распространения.
Персональный ключевой носитель (чаще всего - дискета) обычно изготавливается в центре управления ключевыми,системами (ЦУКС) на основании заявки, подписанной руководителем подразделения исполнителя.
Генерация уникальной ключевой информации и ее запись на дискету осуществляется на специально оборудованном автономном «АРМ генерации ключей», программное обеспечение которого выполняет функции, регламентированные технологическим процессом формирования ключей электронной цифровой подписи, уполномоченными сотрудниками подразделения ОБИ - специалистами ЦУКС в присутствии самого исполнителя, маркируется, учитывается в «Ведомости выдачи ключевых дискет» ЦУКС и выдаётся ему под роспись. Оснащение «АРМ генерации ключей» должно гарантировать, что уникальная секретная ключевая информация исполнителя записывается только на его персональный носитель.
Для обеспечения возможности восстановления ключевой информации исполнителя в случае выхода ключевой дискеты из строя, обычно создается ее рабочая копия. Для того, чтобы при копировании с эталонной на рабочую ключевую дискету ее содержимое не попадало на какой-либо промежуточный носитель, копирование должно осуществляться только на «АРМ генерации ключей», оснащенном двумя накопителями на гибких магнитных дисках (3,5").
Ключевые дискеты должны иметь соответствующие этикетки, на которых отражается: регистрационный номер дискеты (по «Ведомости выдачи...»), дата изготовления и подпись уполномоченного сотрудника подразделения обеспечения информационной безопасности, изготовившего дискету, вид ключевой информации - ключевая дискета (эталон) или ключевая дискета (рабочая копия), фамилия, имя, отчество и подпись владельца-исполнителя.
Персональные ключевые дискеты (эталон и рабочую копию) исполнитель должен хранить в специальном пенале, опечатанном личной печатью.
В подразделении учет и хранение персональных ключевых дискет исполнителей должен осуществляться ответственным за информационную безопасность (при его отсутствии -руководителем подразделения), который ведет «Журнал учета ключевых дискет исполнителей подразделения (технологического участка)». Ключевые дискеты должны храниться в сейфе ответственного за информационную безопасность подразделения в индивидуальных пеналах, опечатанных личными печатями исполнителей. Пеналы извлекаются из сейфа только на время приема (выдачи) рабочих копий ключевых дискет исполнителям. Эталонные копии ключевых дискет исполнителей должны постоянно находиться в опечатанном пенале и могут быть использованы только для восстановления установленным порядком рабочей копии ключевой дискеты при выходе последней из строя. Наличие эталонных ключевых дискет в пеналах проверяется исполнителями и ответственным за информационную безопасность в подразделении при каждом вскрытии и опечатывании пенала.
Информация о работе Обязанности конечных пользователей и ответственных за ОИБ в подразделениях