Вариант 2

План защиты информации в АС должен содержать следующие

сведения:

● описание защищаемой системы (основные характеристики

защищаемого объекта): назначение АС, перечень решаемых

АС задач, конфигурация, характеристики и размещение

технических средств и программного обеспечения, перечень

категорий информации (пакетов, файлов, наборов и баз

данных, в которых они содержатся), подлежащих защите в АС

и требований по обеспечению доступности,

конфиденциальности, целостности этих категорий

информации, список пользователей и их полномочий по

доступу к ресурсам системы и т.п.;

● цель защиты системы и пути обеспечения безопасности АС и

циркулирующей в ней информации;

2) Сотрудник группы безопасности. В его обязанности входит

обеспечение должного контроля за защитой наборов данных и

программ, помощь пользователям и организация общей

поддержки групп управления защитой и менеджмента в своей

зоне ответственности. При децентрализованном управлении

каждая подсистема АС имеет своего сотрудника группы

безопасности.

● Администратор безопасности системы. В его обязанности

входит ежемесячное опубликование нововведений в области

защиты, новых стандартов, а также контроль за выполнением

планов непрерывной работы и восстановления (если в этом

возникает необходимость) и за хранением резервных копий.

● Администратор безопасности данных. В его обязанности

входит реализация и изменение средств защиты данных, контроль

за состоянием защиты наборов данных, ужесточение защиты в

случае необходимости, а также координирование работы с

другими администраторами.

● Руководитель (начальник) группы по управлению

обработкой информации и защитой. В его обязанности

входит разработка и поддержка эффективных мер защиты при

обработке информации для обеспечения сохранности данных,

оборудования и программного обеспечения; контроль за

выполнением плана восстановления и общее руководство

административными группами в подсистемах АС (при

децентрализованном управлении).

Вариант 3

1) Разовые мероприятия

● К разовым мероприятиям относят:

● общесистемные мероприятия по созданию научно-технических

и методологических основ (концепции и других руководящих

документов) защиты АС;

● мероприятия, осуществляемые при проектировании,

строительстве и оборудовании вычислительных центров и

других объектов АС (исключение возможности тайного

проникновения в помещения, исключение возможности

установки прослушивающей аппаратуры и т.п.);

● мероприятия, осуществляемые при проектировании,

разработке и вводе в эксплуатацию технических средств и

программного обеспечения (проверка и сертификация

используемых технических и программных средств,

документирование и т.п.);

● проведение спецпроверок всех применяемых в АС средств

вычислительной техники и проведения мероприятий по защите

информации от утечки по каналам побочных электромагнитных

излучений и наводок;

● разработка и утверждение функциональных обязанностей

должностных лиц службы компьютерной безопасности;

● внесение необходимых изменений и дополнений во все

организационно-распорядительные документы (положения о

подразделениях, функциональные обязанности должностных

лиц, инструкции пользователей системы и т.п.) по вопросам

обеспечения безопасности программно-информационных

ресурсов АС и действиям в случае возникновения кризисных

ситуаций;

2) Инструкция по организации парольной защиты

Автоматизированной системы

● Данная инструкция регламентирует организационно-

техническое обеспечение процессов генерации, смены и

прекращения действия паролей (удаления учетных записей

пользователей) в автоматизированной системе

ОРГАНИЗАЦИИ (АС ОРГАНИЗАЦИИ), а также контроль за

действиями пользователей и обслуживающего персонала

системы при работе с паролями.

● 1. Организационное и техническое обеспечение процессов

генерации, использования, смены и прекращения действия

паролей во всех подсистемах АС ОРГАНИЗАЦИИ и контроль

за действиями исполнителей и обслуживающего персонала

системы при работе с паролями возлагается на сотрудников

службы обеспечения безопасности информации (СОБИ)

● администраторов средств защиты, содержащих механизмы

идентификации и аутентификации (подтверждения

подлинности) пользователей по значениям паролей.

● 2. Личные пароли должны генерироваться и распределяться

централизованно либо выбираться пользователями

автоматизированной системы самостоятельно с учетом

следующих требований:

● длина пароля должна быть не менее 8 символов;

● в числе символов пароля обязательно должны присутствовать

буквы в верхнем и нижнем регистрах, цифры и специальные

символы (@, #, $, &, *, % и т.п.);

● пароль не должен включать в себя легко вычисляемые

сочетания символов (имена, фамилии, наименования АРМ и т.

д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.

п.);

● при смене пароля новое значение должно отличаться от

предыдущего не менее чем в 6 позициях;

● личный пароль пользователь не имеет права сообщать

никому.

● Владельцы паролей должны быть ознакомлены под роспись с

перечисленными выше требованиями и предупреждены об

ответственности за использование паролей, не

соответствующих данным требованиям, а также за

разглашение парольной информации.

● 3. В случае, если формирование личных паролей

пользователей осуществляется централизованно,

ответственность за правильность их формирования и

распределения возлагается на уполномоченных сотрудников

СОБИ. Для генерации «стойких» значений паролей могут

применяться специальные программные средства.

● Система централизованной генерации и распределения

паролей должна исключать возможность ознакомления самих

уполномоченных сотрудников СОБИ, а также ответственных за

информационную безопасность в подразделениях с паролями

других сотрудников подразделений ОРГАНИЗАЦИИ

(исполнителей).

● 4. При наличии в случае возникновении нештатных ситуаций,

форс-мажорных обстоятельств и т.п. технологической

необходимости использования имен и паролей некоторых

сотрудников (исполнителей) в их отсутствие, такие сотрудники

обязаны сразу же после смены своих паролей их новые

значения (вместе с именами соответствующих учетных

записей) в запечатанном конверте или опечатанном пенале

передавать на хранение ответственному за информационную

безопасность подразделения (руководителю своего

подразделения)

● Опечатанные конверты (пеналы) с паролями исполнителей

должны храниться в сейфе. Для опечатывания конвертов

(пеналов) должны применяться личные печати владельцев

паролей (при их наличии у исполнителей), либо печать

уполномоченного представителя службы обеспечения

безопасности информации (СОБИ).

● 5. Полная плановая смена паролей пользователей должна

проводиться регулярно, не реже одного раза в месяц.

● 6. Внеплановая смена личного пароля или удаление учетной

записи пользователя автоматизированной системы в случае

прекращения его полномочий (увольнение, переход на другую

работу внутри территориального органа ОРГАНИЗАЦИИ и т.п.)

должна производиться уполномоченными сотрудниками СОБИ

– администраторами соответствующих средств защиты

немедленно после окончания последнего сеанса работы

данного пользователя с системой.

● 7. Внеплановая полная смена паролей всех пользователей

должна производиться в случае прекращения полномочий

(увольнение, переход на другую работу внутри

территориального органа ОРГАНИЗАЦИИ и другие

обстоятельства) администраторов средств защиты и других

сотрудников, которым по роду работы были предоставлены

полномочия по управлению парольной защитой подсистем АС.

● 8. В случае компрометации личного пароля пользователя

автоматизированной системы должны быть немедленно

предприняты меры в соответствии с п.6 или п.7 настоящей

Инструкции в зависимости от полномочий владельца

скомпрометированного пароля.

● 9. Хранение сотрудником (исполнителем) значений своих

паролей на бумажном носителе допускается только в личном,

опечатанном владельцем пароля сейфе, либо в сейфе у

ответственного за информационную безопасность или

руководителя подразделения в опечатанном личной печатью

пенале (возможно вместе с персональными ключевыми

дискетами и идентификатором Touch Memory).

● 10. Повседневный контроль за действиями исполнителей и

обслуживающего персонала системы при работе с паролями,

соблюдением порядка их смены, хранения и использования

возлагается на ответственных за информационную

безопасность в подразделениях (руководителей

подразделений), периодический контроль – возлагается на

сотрудников СОБИ – администраторов средств парольной

защиты.

Вариант 4