Автор работы: Пользователь скрыл имя, 07 Апреля 2012 в 11:43, реферат
Достижение некоторого уровня информационной безопасности возможно только при выработке у персонала и пользователей АС определенной дисциплины по соблюдению установленных ограничений и правил использования ресурсов и обслуживания компонент АС.
Контроль за обеспечением безопасности технологии обработки электронных документов в АС, в том числе за действиями исполнителей, выполняющих свою работу с применением персональных ключевых дискет, осуществляется ответственными за информационную безопасность подразделений в пределах своей компетенции и сотрудниками службы обеспечения информационной безопасности.
«Открытые» ключи ЭЦП исполнителей установленным порядком регистрируются специалистами ЦУКС в справочнике «открытых» ключей, используемом при проверке подлинности документов по установленным на них ЭЦП.
Исполнитель, которому в соответствии с его должностными функциями предоставлено право постановки на ЭД цифровой подписи, несет персональную ответственность за сохранность и правильное использование вверенной ему ключевой информации и содержание документов, на которых стоит его ЭЦП.
Он обязан:
• лично присутствовать в ЦУКС при изготовлении своей ключевой информации (от момента включения до момента выключения «АРМ генерации ключей»), чтобы быть уверенным в том, что содержание его ключевых дискет (эталонной и рабочей копии) не компрометировано;
• под роспись в «Ведомости выдачи ключевых дискет» ЦУКС получить эталонную и рабочую ключевые дискеты, убедиться, что они правильно маркированы и на них установлена защита от записи. Зарегистрировать (учесть) их у ответственного за информационную безопасность своего подразделения, положить их в пенал, опечатать его своей личной печатью и передать пенал на хранение ответственному за информационную безопасность установленным порядком;
• использовать для работы только рабочую копию своей ключевой дискеты;
• в начале рабочего дня получать, а в конце рабочего дня сдавать ответственному за информационную безопасность рабочую копию своей ключевой дискеты. При каждом вскрытии пенала (для извлечения из него или помещения в него рабочей копии ключевой дискеты), они оба обязаны убедиться в целостности и подлинности печати на пенале, а также в наличии в нем эталонной ключевой дискеты и сделать запись о выдаче/приеме дискеты. Если печать на пенале нарушена (и/или эталонная дискета отсутствует), то дискета считается скомпрометированной;
• сдавать свою персональную ключевую дискету на временное хранение ответственному за информационную безопасность, например на время отсутствия исполнителя на рабочем месте. Процедуры сдачи на временное хранение и получения ключевой дискеты после временного хранения в точности должны совпадать с процедурами получения персональной ключевой дискеты в начале рабочего дня и сдачи в конце рабочего дня;
• в случае порчи рабочей копии ключевой дискеты (например при ошибке чтения дискеты) исполнитель обязан передать ее уполномоченному сотруднику подразделения ОИБ, который должен в присутствии исполнителя и ответственного за информационную безопасность подразделения на «АРМ генерации ключей»ЦУКС сделать новую рабочую копию ключевой дискеты с имеющегося у исполнителя эталона и выдать ее последнему взамен старой (испорченной) ключевой дискеты. • Испорченная рабочая копия ключевой дискеты должна быть уничтожена установленным порядком в присутствии исполнителя. Все эти действия должны быть зафиксированы в «Ведомости выдачи ключевых дискет ЦУКС».
Исполнителю ЗАПРЕЩАЕТСЯ:
• оставлять персональную ключевую дискету без личного присмотра где бы то ни было;
• передавать свою персональную ключевую дискету (эталонную или ее рабочую копию) другим лицам (кроме как для хранения ответственному за информационную безопасность в опечатанном пенале);
• делать неучтенные копии ключевой дискеты, распечатывать или переписывать с неё файлы на иной носитель информации (например, жесткий диск ПЭВМ), снимать с дискеты защиту от записи, вносить изменения в файлы, находящиеся на ключевой дискете;
• использовать персональную ключевую дискету на заведомо неисправном дисководе и/или ПЭВМ;
• подписывать своим персональным «секретным ключем ЭЦП» любые электронные сообщения и документы, кроме тех видов документов, которые регламентированы технологическим процессом;
• сообщать кому-либо вне работы, что он является владельцем «секретного ключа ЭЦП» для данного технологического процесса.
Если у исполнителя появилось подозрение, что его персональная ключевая дискета попала или могла попасть в чужие руки (была скомпрометирована), он обязан немедленно прекратить (не возобновлять) работу с ключевой дискетой, сообщить об этом ответственному за информационную безопасность своего подразделения, сдать ему скомпрометированную ключевую дискету, соблюдая обычную процедуру с пометкой в журнале о причине компрометации, написать объяснительную записку о факте компрометации персональной ключевой дискеты на имя начальника подразделения.
В случае утери персональной ключевой дискеты исполнитель обязан немедленно сообщить от этом ответственному за информационную безопасность своего подразделения, написать объяснительную записку об утере дискеты на имя начальника подразделения и принять участие в служебном расследовании факта утери персональной ключевой дискеты.
Ответственный за информационную безопасность подразделения обязан немедленно оповестить о факте утраты или компрометации ключевой дискеты уполномоченному сотруднику ЦУКС, для принятия последним действий по блокированию ключей для ЭЦП указанного исполнителя.
По решению руководителя подразделения установленным порядком исполнитель может получить в ЦУКС новый комплект персональных ключевых дискет взамен скомпрометированного.
В случае перевода исполнителя на другую работу, увольнения и т.п. он обязан сдать (сразу по окончании последнего сеанса работы) свою персональную ключевую дискету ответственному за информационную безопасность своего подразделения под роспись в журнале учёта ключевых дискет. Последний обязан сразу же оповестить об этом уполномоченного сотрудника ЦУКС, для принятия действий по блокированию использования ЭЦП увольняемого исполнителя.
Исполнитель должен иметь право обращаться к ответственному за информационную безопасность своего подразделения за консультациями по вопросам использования ключевой дискеты и по вопросам обеспечения информационной безопасности технологического процесса.
Исполнитель имеет право требовать от ответственного за информационную безопасность своего подразделения и от своего непосредственного руководителя создания необходимых условий для выполнения перечисленных выше требований.
Исполнитель имеет право представлять свои предложения по совершенствованию мер защиты на своем участке работы.
Для создания необходимой юридической основы процедур привлечения сотрудников к ответственности за нарушения в области ОИБ необходимо, чтобы:
• в Уставе организации, во всех положениях о структурных подразделениях и в функциональных (технологических) обязанностях всех сотрудников, участвующих в процессах автоматизированной обработки информации, были отражены требования по обеспечению информационной безопасности при работе в АС;
• каждый сотрудник (при приеме на работу) подписывал Соглашение-обязательство о соблюдении установленных требований по сохранению государственной, служебной и коммерческой тайны, а также об ответственности за нарушение правил работы с защищаемой информацией в АС;
• все пользователи, руководящий и обслуживающий персонал АС были ознакомлены с перечнем сведений, подлежащих защите, в части их касающейся (в соответствии со своим уровнем полномочий);
• доведение требовании организационно-
Сотрудники организации несут ответственность по действующему законодательству за разглашение сведений, составляющих (государственную, банковскую, коммерческую) тайну, и сведений ограниченного распространения, ставших им известными по роду работы.
Любое грубое нарушение порядка и правил работы в АС сотрудниками структурных подразделении должно расследоваться. К виновным должны применяться адекватные меры воздействия.
Нарушения установленных правил и требований по ОИБ являются основанием для применения к сотруднику (исполнителю) административных мер наказания, вплоть до увольнения и привлечения к уголовной ответственности.
Мера ответственности сотрудников за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться с учетом нанесенного ущерба, наличия злого умысла и других факторов по усмотрению руководства.
Для реализации принципа персональной ответственности сотрудников за свои действия необходимы:
• индивидуальная идентификация сотрудников и инициированных ими процессов при работе в АС, т.е. установление за ними уникальных идентификаторов пользователей, на основе которых будет осуществлять разграничение доступа и регистрация событий;
• проверка подлинности соответствия пользователей и сотрудников (аутентификация) на основе паролей, ключей, специальных устройств, биометрических характеристик личности сотрудников и т.п.;
• регистрация (протоколирование) работы механизмов контроля доступа пользователей к ресурсам информационных систем с указанием даты и времени, идентификаторов пользователя и запрашиваемых им ресурсов, вида взаимодействия и его результата;
• оперативная реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).
Информация о работе Обязанности конечных пользователей и ответственных за ОИБ в подразделениях