Информационная безопасность
..pdf–конструкция объекта;
–схемы и чертежи отдельных узлов и готовых изделий;
–проекты, схемы, технические решения и рецептуры;
–формулы, расчеты, выводы, рецепты;
–документы конструкторских и проектных бюро, содержащие новые технические решения;
–схемы и чертежи отдельных узлов, готовых изделий, новых разработок;
–технический норматив;
–технический образец;
–промышленные образцы;
–товарные знаки (методы защиты от подделки);
–произведения эстетического характера;
–сведения о состоянии программного и компьютерного обеспечения;
–компьютерные программы;
–программный продукт;
–программа для ЭВМ;
–сведения о новых разработках, которые не пущены в серию и не относятся к категории госсекретов.
Технология:
–сведения, связанные с технологической информацией;
–технологические достижения, обеспечивающие преимущества в конкурентной борьбе;
–сведения о применяемых и перспективных технологиях, технологических процессах, приемах и оборудовании;
–сведения о модификации и модернизации ранее известных технологий, процессов и оборудования;
–данные о специфике применения определенных технологических процессов;
–способы производства продукции;
–способы, методы и опыт изготовления продукции;
–сведения о технологии производства;
–технология строительства объекта;
91
elib.pstu.ru
–технологические режимы;
–технология;
–процесс;
–сведения о технологии изготовления, перспективных технологических процессах, технологических приемах и оборудовании, в том числе переданных предприятию в установленном порядке.
Совещания: предмет и результаты совещаний и заседаний органов управления фирм.
92
elib.pstu.ru
ПРИЛОЖЕНИЕ Б
Положение «Разрешительная система доступа
кконфиденциальным документам»
Вэтом приложении представлено примерное содержание положения «Разрешительная система доступа к конфиденциальным документам»:
1. Общие положения.
2. Круг лиц, имеющих право давать разрешение на доступ к конфиденциальной информации.
3. Порядок оформления разрешений на доступ к конфиденциальной информации и предоставления ее пользователям.
Впервом разделе указывается цель разработки положения,
основные задачи и принципы системы доступа, нормативные документы, на которых оно базируется, на кого возлагается ответственность за невыполнение требований положения, кем осуществляется контроль соблюдения его норм. При этом следует отразить, что ответственность за невыполнение требований положения несут все должностные лица, имеющие право давать разрешение на доступ к конфиденциальной информации, а также все пользователи конфиденциальной информации.
Контроль выполнения норм положения должен возлагаться на руководителей службы безопасности, подразделения конфиденциального делопроизводства и управленческо-производ- ственных подразделений в пределах их компетенции.
Во втором разделе должны быть перечислены все должностные лица, которые могут давать разрешение на доступ к конфиденциальной информации; с указанием, какой категории пользователей, к какому составу информации и ее носителей. Основополагающими подходами при этом должны быть следующие:
93
elib.pstu.ru
–руководитель предприятия имеет право давать разрешение на доступ к соответствующей конфиденциальной информации всем категориям пользователей;
–заместители руководителя по отдельным направлениям имеют право давать разрешение на доступ к соответствующей конфиденциальной информации всем пользователям, но в пределах своей сферы деятельности;
–руководителям подразделений дается право разрешать доступ к конфиденциальной информации всем сотрудникам своих подразделений по тематике работы подразделений. Для осуществления доступа к конфиденциальной информации данного подразделения сотрудников других подразделений необходимо разрешение соответствующего заместителя руководителя предприятия;
–первые заместители руководителей, а также должностные лица, временно исполняющие ту или иную должность, могут, как правило, разрешать доступ к конфиденциальной информации в объеме всех прав, предусмотренных для замещаемого ими лица.
В третьем разделе определяется порядок оформления раз-
решений на доступ к различным носителям конфиденциальной информации и выдачи носителей пользователям. Разрешение на ознакомление с конфиденциальными документами должно оформляться по поступившим и изданным документам в форме резолюции на документе; по документам, зарегистрированным по учету документов выделенного хранения, в форме резолюции на документе или подписанного соответствующими руководителями списка пользователей на внутренней стороне обложки документа, титульном листе либо в карточке учета выдачи документа. При этом следует оговорить, что исполнители документов и лица, которые визировали, согласовывали, подписывали, утверждали документы, допускаются к соответствующим документам без оформления дополнительных разрешений, если они продолжают выполнять те же функциональные обязанно-
94
elib.pstu.ru
сти. Без специального разрешения могут допускаться также лица, указанные в тексте распорядительных документов.
В приказе о введении в действие положения должны определяться мероприятия по его введению (порядок изучения положения пользователями, технология осуществления контроля его выполнения и др.). После утверждения приказа с положением должны быть ознакомлены под расписку все сотрудники предприятия, работающие с конфиденциальной информацией.
95
elib.pstu.ru
ПРИЛОЖЕНИЕ В
Пример политики безопасности
Чтобы сделать изложение более конкретным, рассмотрим гипотетическую локальную сеть, которой владеет организация XYZ, и ассоциированную с ней политику безопасности среднего уровня. Для того чтобы фрагмент не выглядел вырванным из контекста, в него добавлены некоторые положения политики верхнего уровня.
Описание аспекта
Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям разделять программы и данные. Это увеличивает риск. Следовательно, каждый из компьютеров, входящих в сеть, нуждается в более сильной защите, чем отдельная машина. Эти повышенные меры безопасности и являются предметом данного документа.
Документ преследует две главные цели: продемонстрировать сотрудникам XYZ важность защиты сетевой среды и описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети, равно как и самой сети.
Область применения
В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.
96
elib.pstu.ru
Позиция организации
Целью организации XYZ является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности. Более частными целями являются следующие:
–обеспечение уровня безопасности, соответствующего нормативным документам;
–следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);
–обеспечение безопасности в каждой функциональной области локальной сети;
–обеспечение подотчетности всех действий пользователей
синформацией и ресурсами;
–обеспечение анализа регистрационной информации;
–предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;
–выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;
–обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.
Роли и обязанности (общие положения)
Следующие группы людей отвечают за реализацию сформулированных выше целей (детально их обязанности будут описаны ниже):
–руководители подразделений. Они отвечают за доведение положений политики безопасности до пользователей и за контакты с пользователями;
–администраторы локальной сети. Они обеспечивают непрерывное функционирование сети и отвечают за реализацию
97
elib.pstu.ru
технических мер, необходимых для проведения в жизнь политики безопасности;
–администраторы сервисов. Они отвечают за конкретные сервисы, в частности за то, что их защита построена в соответствии с общей политикой безопасности;
–пользователи. Они обязаны использовать локальную сеть
всоответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.
Законопослушность
Нарушение политики безопасности может подвергнуть локальную сеть и циркулирующую в ней информацию недопустимому риску. В случаях нарушения со стороны персонала руководством будут приниматься меры вплоть до увольнения.
Роли и обязанности (детальное изложение)
Руководители подразделений обязаны:
–постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные;
–проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты;
–организовать обучение персонала мерам безопасности. Обратить особое внимание на вопросы, связанные с антивирусным контролем;
–информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.);
–обеспечить, чтобы каждый компьютер в их подразделениях имел хозяина или системного администратора, отвечающего за его безопасность и имеющего достаточную квалификацию для выполнения этой роли.
98
elib.pstu.ru
Администраторы локальной сети обязаны:
–информировать руководство об эффективности существующей политики безопасности и технических мерах, которые могут улучшить защиту;
–обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями;
–оперативно и эффективно реагировать на события, таящие угрозу; информировать администраторов сервисов о попытках нарушения защиты; оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;
–использовать проверенные средства аудита и обнаружения подозрительных ситуаций;
–ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и файловым серверам в особенности;
–следить за новинками в области информационной безопасности, информировать о них пользователей и руководство;
–не злоупотреблять данными им большими полномочиями. Пользователи имеют право на тайну;
–разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения; оказывать помощь в обнаружении и ликвидации зловредного кода;
–регулярно выполнять резервное копирование информации, хранящейся на файловых серверах;
–выполнять все изменения сетевой аппаратно-програм- мной конфигурации;
–гарантировать обязательность процедуры идентификации
иаутентификации для доступа к сетевым ресурсам;
–выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
99
elib.pstu.ru
–периодически производить проверку надежности защиты локальной сети, не допускать получения привилегий неавторизованными пользователями.
Администраторы сервисов обязаны:
–управлять правами доступа пользователей к обслуживаемым объектам;
–оперативно и эффективно реагировать на события, таящие угрозу; информировать администраторов локальной сети о попытках нарушения защиты; оказывать помощь в отражении угрозы, выявлении нарушителей и предоставлении информации для их наказания;
–регулярно выполнять резервное копирование информации, обрабатываемой сервисом;
–выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм;
–ежедневно анализировать регистрационную информацию, относящуюся к сервису;
–регулярно контролировать сервис на предмет зловредного программного обеспечения;
–периодически производить проверку надежности защиты сервиса, не допускать получения привилегий неавторизованными пользователями.
Пользователи обязаны:
–знать и соблюдать законы, правила, принятые в XYZ, политику безопасности, процедуры безопасности;
–использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации;
–использовать механизм защиты файлов и должным образом задавать права доступа;
–выбирать хорошие пароли, регулярно менять их, не записывать пароли на бумаге, не сообщать их другим лицам;
–помогать другим пользователям соблюдать меры безопасности, указывать им на замеченные упущения с их стороны;
100
elib.pstu.ru