- •2. Разработать Соглашение (обязательство) о соблюдении требований обращения с защищаемой информацией. Соглашение (обязательство) о соблюдении требований обращения с защищаемой информацией
- •Разработать Инструкцию по организации парольной защиты автоматизированной системы. Инструкция по организации парольной защиты
- •1. Дублирование информации
- •2. Повышение надежности кс
- •3. Создание отказоустойчивых кс
- •4. Блокировка ошибочных операций
- •5. Оптимизация взаимодействия человека с кс
- •6. Минимизация ущерба от аварий и стихийных бедствий
Описание предприятия
Общество с ограниченной ответственностью «MYPROGSCOMPANY» (далее MP) является ведущим учреждением в крае по реализации эколого-биологической и туристско-краеведческой информационно-просветительской деятельности. В связи с этим информация, циркулирующая в MP представляет собой повышенный интерес для злоумышленников.
Предприятие включает в себя 6 структурных подразделений, представленных на рисунке 1:
- кабинет директора (1);
- актовый зал (2);
- холл (3);
- информационно-аналитический отдел (4);
- отдел методической работы (5);
-бухгалтерия и отдел кадров (6).
Предусмотрена комната для ведения переговоров (7).
Ведущую роль по обеспечению информационной безопасности играет информационно-аналитический отдел, сотрудники которого занимаются обеспечением функционирования компьютерного парка МР, разработкой мероприятий по предотвращению несанкционированного доступа к информации, разработкой специализированного ПО и пр.
Общая характеристика здания
MP расположено на втором этаже двухэтажного здания, общей площадью 348 м2. Здание расположено на территории двора, огражденного металлическим забором высотой 2 метра.
С северной стороны здания через проезжую часть (120м. до здания, до проезжей части 30м.) расположено 12-этажное жилое здание, с южной – находится пустырь (200м.), с восточной и западной - 2-х этажные здания (на расстоянии 50м.), где расположены офисы типографии «Радуга» и агентства недвижимости «Стройинвестиции» соответственно.
Вход на второй этаж отдельный от входа на первый, представляет собою металлическую лестницу, расположенную с южной стороны здания. На входе расположен контрольно-пропускной пункт (вход по пропускам).
Смежные помещения справа, слева и вверху отсутствуют. Внизу располагается офис компании «Неостел», занимающейся производством систем видеонаблюдения.
Наружные стены здания железобетонные толщиной 400 мм, в каждом кабинете на данной стене укреплены по 2 чугунные батареи, соединенные металлическими трубами с трубами в боковых стенах. По периметру комнаты для переговоров (7) стена имеет такую же конструкцию.
Смежные стены внутри здания также железобетонные, толщина их 150 мм.
Потолок представляет собой железобетонную плиту толщиной 400 мм, окрашенную водо-эмульсионной краской. Пол – железобетонная плита толщиной 400 мм, покрыт паркетом и ковролином.
Имеется 7 дверей. Из них:
- в кабинете директора, переговорной комнате и информационном-аналитическом отделе установлены металлические щитовые двери с доводчиком и кодовой механической защита;
- в остальных кабинетах установлены типовые щитовые двери без доводчика, закрываемые механическим замком.
В кабинетах 1, 2, 5 установлено по 2 окна двухрамных, обращенных на улицу согласно рисунка 1, с толщиной стекла 5 мм. В кабинетах 3, 4, 6, 7 окна отсутствуют.
Предметы мебели и интерьера
Во всех кабинетах, кроме 7-го расположены:
- книжные шкафы со стеклянными дверцами и 4-мя полками (общее количество – 15 шт.);
- стулья деревянные полужесткие (общее количество – 25 шт.);
- компьютерные столы с подставкой для монитора и процессора, двумя закрывающимися на замок шкафчиками (общее количество -11 шт).
В кабинетах 1, 3, 4, 6 расположены сейфы напольные с механическим кодовым замком.
В кабинете 2 расположен а доска-экран размерами 2000х1200 мм и приставной стол, который имеет под столешницей полку.
Кабинет 7 оснащен деревянным круглым столом заседаний (рассчитан на 15 человек).
Радиоэлектронные средства и электрические приборы
Каждое рабочее место оборудовано:
- компьютером (системный блок, монитор, клавиатура, мышь, колонки, usb-удлинитель), расположенном на компьютерном столе;
- телефоном внутренней АТС.
В кабинете 3 на столе секретаря расположен телефон городской АТС.
В каждом кабинете установлено:
- 2 громкоговорителя оповещения;
- 2 пожарных извещателя, которые расположены на потолке;
- люстры из 7 рожков.
В кабинете 4 расположены: коммутатор, серверная станция.
Средства коммуникаций
Розетки электропитание спаренные расположены по две у каждого рабочего места сотрудников. В кабинете 7 розетки электропитания отсутствуют. Электропроводка скрыта в стенах.
Кабели телефонных линий закреплены на стене (имеется выход наружу). Телефонные розетки установлены у каждого рабочего места.
Кабель локальной сети закреплен на стене, помещен в кабель-канал.
Шлейф пожарной безопасности монтирован на потолке.
Нормативная база в сфере информационной безопасности
В уставе определены положения об организации отдела, ответственного за реализацию политики информационной безопасности в MP.
Концепция обеспечения информационной безопасности организации.
Правила обеспечения информационной безопасности при работе пользователей в корпоративной сети организации.
Политика и Регламент резервного копирования и восстановления данных
Политика обеспечения безопасности при взаимодействии с сетью Интернет.
Антивирусная политика.
Инструкция по защите от компьютерных вирусов.
Стандарт на антивирусное ПО.
Политика обеспечения безопасности платежных систем организации.
Парольная политика.
Политика управления доступом к ресурсам корпоративной сети.
Соглашение о соблюдении режима информационной безопасности, заключаемое со сторонними организациями.
Политика установки обновлений программного обеспечения.
Процедура планирования и реализации превентивных и корректирующих мер по обеспечению ИБ.
Руководство по защите конфиденциальной информации.
Перечень сведений, составляющих конфиденциальную информацию.
Регламент использования мобильных устройств.
Регламент работы с цифровыми носителями конфиденциальной информации.
Политика информационной безопасности.
Политика инвентаризации и реестр информационных активов.
Политика обеспечения физической безопасности помещений и оборудования.
Положение об информационно-аналитическом отделе.
Положение об организации защиты персональных данных.
Положение об организации защиты коммерческой тайны.
Циркулирующая информация
Сведения, содержащие конфиденциальную информацию в MP можно классифицировать по 2-м основным направления, представленным на рисунке 2.
Рисунок 2 - Результаты структурирования информации, циркулирующей на предприятии
Таблица 1 Результаты структурирования информации, циркулирующей на предприятии
№ элемента информации |
Наименование элемента информации |
Гриф конфиденциальности информации |
Цена информации |
Наименование источника информации |
Местонахождение источника информации |
1 |
2 |
3 |
4 |
5 |
6 |
|
|||||
Сведения в области организационно-управленческой деятельности |
|||||
111 |
Сводные сведения о реализации программ управления производства «MYPROGSCOMPANY» |
КТ |
500000 |
Отчетная документация |
Шкаф, 1 |
112 |
Структура построения корпоративной локальной вычислительной сети (ЛВС) Организации.
|
КТ |
50000 |
Положение о ЛВС |
6 |
113 |
Принципы реализации построения систем автоматизированного доступа к рабочему месту сотрудника удаленно. |
КТ |
200000 |
Инструкция об организации удаленного доступа к рабочему месту сотрудника |
4 |
114 |
Сведения о планируемых изменениях в структуре управления Организации. |
КТ |
100000 |
План по развитию и оптимизации деятельности |
1 |
115 |
Сведения о цели командирования директора организации и ее сотрудников. |
КТ |
100000 |
Командировочные листы |
6 |
Сведения о финансово-экономической деятельности |
|||||
121 |
Бизнес-планы организации.
|
КТ |
120000 |
Документ |
6 |
122 |
Сведения об остатках на счетах Организации в банках. |
КТ |
50000 |
Выписка из расчетного счета |
6 |
123 |
Сведения о путях и способах получения информации из бухгалтерской автоматизированной базы данных.
|
КТ |
180000 |
Инструкция об организации автоматизированной бухгалтерской базы |
4 |
124 |
Сведения, связанные с функционированием системы «Банк-Клиент».
|
ДСП |
120000 |
Электронные отчеты |
6 |
125 |
Сведения о страховании оборудования автоматизации. |
КТ |
50000 |
Выписки из ФСС |
6 |
126 |
Сводные сведения |
КТ |
500000 |
Набор документов о деятельности предприятия |
1 |
Сведения в области науки и технологий |
|||||
131 |
Сведения, содержащие прогнозные оценки научно-технического прогресса в области web-программирования и разработки программного обеспечения. |
КТ |
100000 |
Анализ развития научно-технического прогресса в области web-программирования |
4, сейф |
132 |
Сведения, раскрывающие существо реализации алгоритмов в создании принципиально нового.
|
КТ |
300000 |
Программный код |
4, 1 |
Сведения в области научно-технического сотрудничества |
|||||
141 |
Сведения о принципах построения управления единой системой дистанционного обучения. |
КТ |
300000 |
Инструкция |
4, сейф |
142 |
Сводные сведения по анализу состояния используемой техники и перспективах применения новых технологических процессов в технике. |
КТ |
150000 |
Отчет о состоянии используемой техники и перспективах применения новых технологических процессов в технике |
4 |
143 |
Сведения о планируемых закупках на сумму, превышающую 250 (двести пятьдесят) тысяч рублей. |
КТ |
500000 |
План закупок |
6 |
Сведения о социально-бытовых отношениях |
|||||
151 |
Персональные данные работников. |
ПДн |
300000 |
Личные дела сотрудников |
6, металлический шкаф ОК |
152 |
Сведения о содержании трудовых договоров сотрудников. |
ПДн |
250000 |
Личные дела сотрудников |
6, металлический шкаф ОК |
Сведения о поддержании надлежащего состояния непрерывного процесса деятельности |
|||||
161 |
Сведения о методах и способах реализации обеспечения информационной безопасности в корпоративной ЛВС Организации. |
КТ |
450000 |
Набор документов |
4 |
162 |
Информация и документы, в которых рассматриваются вопросы защиты информации, создаваемой, обрабатываемой и хранящейся в средствах вычислительной техники, а также циркулирующей в ЛВС Организации. |
КТ |
300000 |
Сводные документы |
4 |
163 |
Сводные сведения о техническом состоянии линий связи. |
КТ |
300000 |
Отчет |
4 |
Проанализируем возможные пути проникновения злоумышленников на территорию здания и результаты анализа занесем в таблицу 2.
Таблица 2 – Анализ возможных путей проникновения злоумышленников на территорию здания
№ элемента информации |
Путь проникновения злоумышленника |
Оценка реальности пути |
Цена информации |
Величина угрозы |
Ранг угрозы |
1 |
2 |
3 |
4 |
5 |
6 |
|
|||||
Сведения в области организационно-управленческой деятельности |
|||||
111 |
Преодоление забора – вход по лестнице через парадную дверь – вскрытие двери кабинета 1 – вскрытие металлического сейфа |
6 |
500000 |
30 |
1 |
112 |
Преодоление забора – вход по лестнице – вскрытие двери 6 – вскрытие сейфа |
6 |
50000 |
3 |
6 |
113 |
Преодоление забора – проникновение через окно 5 кабинета – вскрытие двери 4 |
5 |
200000 |
10 |
4 |
114 |
Преодоление забора – проникновение – через окно 1 кабинета – взлом сейфа |
2 |
100000 |
2 |
7 |
115 |
Преодоление забора – проникновение на 1-й этаж – деформация потолка/пола у 6 кабинета – взлом двери шкафа |
4 |
100000 |
4 |
6 |
Сведения о финансово-экономической деятельности |
|||||
121 |
Преодоление забора – проникновение на крышу здания – деформация крыши – чердак – вентиляция |
5 |
120000 |
6 |
5 |
122 |
Подключение к линиям связи за пределами территории – попытка подмены сервера |
3 |
50000 |
1,5 |
7 |
123 |
Преодоление забора - подключение к линиям связи через wi-fi путем взлома – копирование информации |
5 |
180000 |
9 |
4 |
124 |
Поддельное удостоверение – проход через КПП – вход в 6 кабинет – социальная инженерия |
7 |
120000 |
8,4 |
4 |
125 |
Поддельное удостоверение – проход через КПП – вход в 6 кабинет – маскировка под агента страховой компании |
6 |
50000 |
3 |
6 |
126 |
Преодоления забора с воздуха – деформация окна 1 кабинета – взлом сейфа |
5 |
500000 |
25 |
1 |
Сведения в области науки и технологий |
|||||
131 |
Вход на территорию 2 кабинета как участника семинара – преодоление двери в 5 кабинет – взлом двери в 4 кабинет – взлом сейфа |
4 |
100000 |
4 |
6 |
132 |
Проникновение на первый этаж здания – использование вентиляционного прохода для попадания в кабинет 4 |
5 |
300000 |
15 |
3 |
Сведения в области научно-технического сотрудничества |
|||||
141 |
Преодоление забора – установка взрывного устройства у стены кабинета 4 – проникновение через дыру – изъятие сейфа |
4 |
300000 |
12 |
4 |
142 |
Подключение к выделенной линии у провайдера – взлом ПК со сведениями – изъятие электронных документов |
6 |
150000 |
9 |
4 |
143 |
Проникновение через крышу здания в холл 3 у центрального входа – взлом двери в 6 кабинет – взлом сейфа |
6 |
500000 |
30 |
1 |
Сведения о социально-бытовых отношениях |
|||||
151 |
Преодоление забора – вход под предлогом общения по вопросам – воровство ключей и создание дубликатов – проникновение через чердак |
5 |
300000 |
15 |
3 |
152 |
Преодоление забора – вход под предлогом общения по вопросам – воровство ключей и создание дубликатов – проникновение через лестницу 1 этажа |
6 |
250000 |
15 |
3 |
Сведения о поддержании надлежащего состояния непрерывного процесса деятельности |
|||||
161 |
Подкуп сотрудника |
5 |
450000 |
22,5 |
2 |
162 |
Шантаж сотрудника |
6 |
300000 |
18 |
3 |
163 |
Подключение к линиям связи за пределами контролируемой территории – использование ПО для прозвонки линий связи |
7 |
300000 |
21 |
2 |
ЛБ – 3
Таблица 3 – Анализ возможных путей проникновения злоумышленников на территорию здания
№ элемента информации |
Путь утечки информации |
Оценка реальности канала |
Источник сигнала |
Вид канала |
Цена информации |
Величина угрозы |
Ранг угрозы |
1 |
2 |
3 |
4 |
5 |
6 |
7 |
8 |
|
|||||||
Сведения в области организационно-управленческой деятельности |
|||||||
111 |
Документ – окно кабинета – окно противоположного здания – оптический прибор злоумышленника |
5 |
Отчетная документация |
Оптический |
500000 |
25 |
2 |
112 |
ЛВС предприятия – сетевое оборудование – оборудование злоумышленника |
8 |
Положение о ЛВС. ЛВС |
Радиоэлектронный |
50000 |
3 |
6 |
113 |
Источник акустического канала – опасный сигнал за пределы контролируемой зоны |
5 |
Сотрудник |
Радиоэлектронный |
200000 |
10 |
4 |
114 |
Источник акустического сигнала – воздушная среда помещения – окно помещения |
3 |
Директор |
Акустический |
100000 |
3 |
6 |
115 |
Источник акустического сигнала – воздушная среда – кабинет 3 |
6 |
Директор |
Акустический |
100000 |
5 |
6 |
Сведения о финансово-экономической деятельности |
|||||||
121 |
Бухгалтер - пол в соседнее учреждение - злоумышленник |
3 |
Озвучивание документа бухгалтером |
Акустический |
120000 |
3,6 |
6 |
122 |
Кабель-внутренней АТС – оборудование злоумышленника |
5 |
Выписка из расчетного счета |
Радиоэлектронный |
50000 |
2,5 |
7 |
123 |
Телевизионное закладное устройство – радиоканал – телевизионный приемник злоумышленника |
4 |
Инструкция об организации автоматизированной БД |
Оптический |
180000 |
7,2 |
5 |
124 |
Запись сотрудниками на неучтенных листах бумаги - злоумышленник |
7 |
Электронные отчеты |
Материально-веществен-ный |
120000 |
9,4 |
4 |
125 |
Запись сотрудниками на неучтенных листах бумаги - злоумышленник |
7 |
Выписка из ФСС |
Материально-веществен-ный |
50000 |
3,5 |
6 |
126 |
Передатчики акустических и акустических сигналов – приемник - злоумышленник |
5 |
Сводные сведения, кабинет директора |
Радиоэлектронный |
500000 |
25 |
2 |
Сведения в области науки и технологий |
|||||||
131 |
Источник сигнала – воздухопровод – закладное устройство – приемник - злоумышленник |
4 |
Сотрудник |
Акустичекий |
100000 |
4 |
6 |
132 |
ЛВС предприятия – сетевое оборудование – оборудование злоумышленника |
7 |
Серверная станция |
Радиоэлектронный |
300000 |
21 |
2 |
Сведения в области научно-технического сотрудничества |
|||||||
141 |
Источник опасного сигнала – опасный сигнал за пределы контролируемой зоны |
6 |
Инструкция |
Радиоэлектронный |
300000 |
18 |
3 |
142 |
Подключение к выделенной линии у провайдера – взлом ПК со сведениями – изъятие электронных документов |
6 |
Отчет |
Радиоэлектронный |
150000 |
9 |
5 |
143 |
Запись сотрудниками на неучтенных листах бумаги - злоумышленник |
7 |
Бухгалтер |
Материально-веществен-ный |
500000 |
35 |
1 |
Сведения о социально-бытовых отношениях |
|||||||
151 |
Побочные электромагнитные излучения, акустические вещания – приемник - злоумышленник |
5 |
Личные дела сотрудников |
Радиоэлектронный, акустический |
300000 |
15 |
3 |
152 |
Передатчики акустических и акустических сигналов – приемник - злоумышленник |
5 |
Личные дела сотрудников |
Радиоэлектронный |
250000 |
7,5 |
5 |
Сведения о поддержании надлежащего состояния непрерывного процесса деятельности |
|||||||
161 |
Запись сотрудниками на неучтенных листах бумаги - злоумышленник |
7 |
Набор документов |
Материально-вещественный |
450000 |
31,5 |
1 |
162 |
Видео-регистрирующее оборудование в вентиляционном проходе – приемник - злоумышленник |
4 |
Сводные документы |
Оптический |
300000 |
12 |
4 |
163 |
ЛВС предприятия – сетевое оборудование – оборудование злоумышленника |
7 |
Отчет |
Радиоэлектронный |
300000 |
21 |
2 |
ЛБ – 4
1. Разработать Примерный перечень исходных данных необходимых для анализа состояния дел по вопросам обеспечения информационной безопасности, разработки предложений по совершенствованию безопасности, разработки предложений по совершенствованию системы защиты и организационно-распорядительных документов.
Общая характеристика Организации
Нормативно-правовая основа деятельности Организации (название, назначение, статус, подчиненность, структура, задачи, функции организации как объекта информатизации, взаимодействие с другими организациями и т.п.).
Учредительные документы.
Общая характеристика АС Организации
Название, назначение, нормативно-правовая основа создания и эксплуатации автоматизированной системы (АС) Организации (конкретные документы).
Действующие ведомственные и внутренние нормативно-методические и организационно-распорядительные документы по вопросам создания (развития) и применения АС.
Перечень субъектов правоотношений при использовании АС и организации ее защиты. Их основные интересы субъектов всфере обеспечения информационной безопасности.
Состав, структура АС, размещение, основные функции и режимы работы подсистем АС.
Виды информационных связей АС с внешними организациями, режимы и способы взаимодействия. Документы, регламентирующие порядок взаимодействия и разрешения связанных с обменом информацией конфликтов.
Состав средств вычислительной техники АС (серверов, рабочих станций).
Перечень используемого в системе прикладного и системного программного обеспечения.
Характеристика телекоммуникационной системы Организации, описание топологии сетей, состава и характеристик используемых каналов и телекоммуникационных средств, перечень используемых протоколов обмена и сетевых служб. Наличие и способы подключения к сети Internet и другим сетям общего назначения.
Технологические схемы обработки, хранения и передачи информации (данных, документов) в подсистемах АС, информационные потоки (входящие, исходящие и циркулирующие внутри) и требования к их защите.
Категории информационных и других подлежащих защите ресурсов АС (с привязкой к функциям и задачам) и требования к обеспечению их конфиденциальности, целостности и доступности.
Основные категории пользователей и обслуживающего АС персонала, их права по доступу к защищаемым ресурсам АС (для разных видов доступа и режимов функционирования АС). Уровень подготовки пользователей и квалификации обслуживающего АС персонала.
Порядок допуска сотрудников подразделений к работе с АС и наделения их полномочиями по доступу к ее ресурсам(разрешительная система).
Технологические инструкции пользователей, администраторов ЛВС, баз данных и приложений.
Порядок приобретения, разработки, внедрения, модернизации, использования и сопровождения программных средств.
Порядок приобретения, внедрения, эксплуатации и ремонта технических средств вычислительной техники и телекоммуникации.
Другие особенности АС, влияющие на ее защищенность.
Характеристика существующей системы обеспечения информационной безопасности в АС
Действующие ведомственные и внутренние нормативно-методические и организационно-распорядительные документы по вопросам обеспечения информационной безопасности АС (определяющие перечень конфиденциальных сведений Организации и режим их защиты, регламентирующие порядок работы с конфиденциальной информацией, в том числе с использованием средства втоматизации, порядок учета, хранения и использования носителей защищаемой информации, архивирования входных и выходных данных). Форма договора(контракта) с сотрудниками Организации (соглашения о неразглашении конфиденциальных сведений и соблюдении требований по работе с АС)
Требования к информационной безопасности в АС, необходимый класс и категория защищенности АС(в соответствии с РД Гостехкомиссии). Требования по защите от утечки информации по техническим каналам (ПЭМИН, акустический, визуальный и т.д.),
Организационная структура системы защиты. Характеристика службы технической защиты информации (наличие, подчиненность, штаты, задачи, оснащение, планы развития). Наличие и функции внештатных ответственных за информационную безопасность в подразделениях и на технологических участках.
Перечень, характеристики и зоны ответственности используемых в подсистемах АС средств защиты информации. Схема управления средствами защиты на объектах (централизованная или децентрализованная). Инструкции по эксплуатации средств защиты информации.
Используемые физические средства защиты, соблюдение режимных требований, соответствие помещений, в которых осуществляется обработка информации ограниченного доступа, требованиям нормативных документов.
Документы, регламентирующие действия персонала при возникновении нештатных (аварийных ситуаций).
Документы по аттестации и категорированию компонентов и подсистем АС.
2. Разработать Соглашение (обязательство) о соблюдении требований обращения с защищаемой информацией. Соглашение (обязательство) о соблюдении требований обращения с защищаемой информацией
ОРГАНИЗАЦИЯ, именуемая в дальнейшем MYPROGSCOMPANY, в лице Есипенко Дмитрия Юрьевича _______________________________________________, с одной стороны, и _________________________________________________________, именуемый (-ая) в дальнейшем СЛУЖАЩИЙ, с другой стороны, заключили настоящее соглашение о том, что:
1. СЛУЖАЩЕМУ будет предоставлен доступ к конфиденциальным и другим защищаемым ОРГАНИЗАЦИЕЙ сведениям, необходимым ей для выполнения своих функциональных обязанностей (согласно занимаемой должности).
2. СЛУЖАЩИЙ обязуется:
хранить тайну по операциям, счетам и вкладам ОРГАНИЗАЦИИ, ее клиентов и корреспондентов (банковскую тайну);
во время работы в ОРГАНИЗАЦИИ и в течение 3-х лет после увольнения не раскрывать (не передавать) третьим лицам ставшие ему известными конфиденциальные (защищаемые ОРГАНИЗАЦИЕЙ) сведения (за исключением случаев привлечения последних к деятельности, требующей раскрытия такой информации и только в объеме, необходимом для реализации целей и задач ОРГАНИЗАЦИИ, с письменного разрешения руководства ОРГАНИЗАЦИИ);
не использовать ставшие ему известными или разработанные им конфиденциальные сведения иначе, как в интересах ОРГАНИЗАЦИИ;
соблюдать указанные в «Порядке обращения с информацией, подлежащей защите» требования и правила обеспечения информационной безопасности ОРГАНИЗАЦИИ;
в случае прекращения работы в ОРГАНИЗАЦИИ, сразу же возвратить ОРГАНИЗАЦИИ все документы и другие материалы, содержание которых отнесено к конфиденциальной и иной защищаемой ОРГАНИЗАЦИЕЙ информации, полученные в ходе выполнения СЛУЖАЩИМ своих служебных обязанностей.
3. СЛУЖАЩИЙ подтверждает, что:
он (она) ознакомлен(-а) с требованиями «Порядка обращения с информацией, подлежащей защите»;
он (она) не имеет перед кем-либо никаких обязательств, которые входят в противоречие с настоящим соглашением или ограничивают его (ее) деятельность в ОРГАНИЗАЦИИ.
СЛУЖАЩИЙ
"____"_____________ 20 г.
Разработать Инструкцию по организации парольной защиты автоматизированной системы. Инструкция по организации парольной защиты
Данная инструкция призвана регламентировать организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе организации, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах АС и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников информационно-аналитического отдела (далее ИАО) - администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей.
Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований:
длина пароля должна быть не менее установленной (обычно 6-8 символов);
в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.);
при смене пароля новое значение должно отличаться от предыдущего не менее чем в заданном числе (например в 6-ти) позициях;
личный пароль пользователь не имеет права сообщать никому.
Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на уполномоченных сотрудников ИАО. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления самих уполномоченных сотрудников ИАО, а также ответственных за информационную безопасность в подразделениях с паролями других сотрудников подразделений организации (исполнителей).
При наличии технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие (например, в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п.), такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами своих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей), либо печать уполномоченного представителя службы обеспечения безопасности информации (ИАО).
Полная плановая смена паролей пользователей должна проводиться регулярно, например, не реже одного раза в месяц.
Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу внутри организации и т.п.) должна производиться администраторами соответствующих средств защиты в соответствии с «Инструкцией по внесению изменений в списки пользователей АС и наделению их полномочиями доступа к ресурсам системы» немедленно после окончания последнего сеанса работы данного пользователя с системой.
Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и т.п.) администраторов средств защиты и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой подсистем АС.
В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры по внеплановой смене паролей (в зависимости от полномочий владельца скомпрометированного пароля).
Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory ).
Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на ответственных за информационную безопасность в подразделениях (руководителей подразделений), периодический контроль - возлагается на сотрудников ИАО - администраторов средств парольной защиты.
ЛБ 5
Для блокирования (парирования) случайных угроз безопасности информации в КС должен быть решен комплекс задач.