Компьютерные сети и технологии
Привет
Пользователь:

Пароль:



[ ]
[ ]

В сети
Гостей: 8
Участников: 0
На странице: 1
Участников: 3949, Новичок: ritasovurova

Разное


Пример развития сети предприятия ( продолжение Часть 3)
Регламентирующие документы
на Wednesday 22 August 2007
от список авторов
в Сети (локальные и компьютерные) > Сложные компьютерные сети



V. ПОРЯДОК ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ
1. Общие положения
1.1. Целью создания СЗИ является максимально возможное снижение потерь от реализации различных угроз информация, циркулирующей в компьютерной сети, а также объектам информатизации КОМПАНИИ,
1.2. В основу построения СЗИ заложены следующие принципы:
• Принцип разграничения доступа: запрещено все, что не разрешено явно.
• Принцип минимального доступа: сотрудник КОМПАНИИ должен иметь доступ только к той информации, которая необходима ему для исполнения своих служебных обязанностей,
• Принцип адекватности затрат: стоимость организации и эксплуатации системы защиты не должна превышать совокупной стоимости потерь, возникающих в результате реализации угроз безопасности информации КОМПАНИИ.
• Принцип достаточности: затраты злоумышленника на преодоление системы защиты должны превышать потенциальную выгоду, которую он сможет из этого извлечь.
• Принцип непрерывности: система защиты должна строиться равномерно по всем направлениям с целью недопущения образования слабых мест.
1.3. Внедрение и эксплуатация средств защиты информации осуществляется подразделениями ИТ/АСУ КОМПАНИИ, при этом должны быть предусмотрены средства оповещения о критических и сбойных ситуациях. Порядок разработки, внедрения и сопровождения прикладного ПО и СЗИ регламентируется нормативными документами КОМПАНИИ, содержащими требования согласования выбора ПО и СЗИ подразделениями ИТ/АСУ КОМПАНИИ с СБП КОМПАНИИ.
Выбор ПО и СЗИ осуществляется подразделениями ИТ/АСУ КОМПАНИИ на основании требований технологического процесса, при этом отказ от использования выбранного ПО или СЗИ должен осуществляться на основании мотивированного возражения со стороны СБП КОМПАНИИ в срок, определяемый этим нормативным документом.
1.4. Доступ к ОИ, обрабатывающим информацию, содержащую сведения, составляющие государственную тайну, регламентируется соответствующими государственными нормативными документами.
1.5. Объекты и субъекты доступа к ОИ:
1.5.1. Внешние объекты по отношение к ОИ - выделенные каналы связи, арендуемые у поставщиков телекоммуникационных услуг, ресурсы телефонных сетей общего пользования.
1.5.2. Объекты в составе ОИ - информационные ресурсы объектов информатизации КОМПАНИИ (внутренние ИР), доступные посредством внешних объектов информационные ресурсы удаленных
ОИ КОМПАНИИ и Internet (внешние ИР), средства (ТСОИ, ПТС и СВТ) и системы обработки информации (СОИ), используемые в соответствии с принятой в КОМПАНИИ информационной технологией, а также средства обеспечения ОИ.
1.5.3. Субъект доступа - пользователь, устройство или процесс, осуществляющий доступ к объектам в составе ОИ и внешним объектам по отношению к ОИ,
Легальный субъект доступа - субъект доступа, которому разрешен доступ в соответствии с заданными правами доступа.
1.6. В качестве потенциальных угроз безопасности информации КОМПАНИИ в настоящем Положении рассматривается любое, не разрешенное законом, или не разрешенное в установленном в
КОМПАНИИ порядке:
  • изъятие или копирование информационных ресурсов;
  • уничтожение, повреждение или модификация информационных ресурсов:
  • искусственное затруднение доступа пользователей к информационным ресурсам;
  • допущение ознакомления с информацией, содержащейся в информационных ресурсах
.

В качестве источника угроз ИР КОМПАНИИ в настоящем Положении рассматриваются:
  • умышленные или случайные действия сотрудников КОМПАНИИ или посторонних лиц;
  • факторы, связанные с ненадежностью объектов информатизации, стихийные бедствия и другие обстоятельства неодолимой силы;
  • пожароопасность, возможность аварий и других воздействий техногенного характера, в т.ч. возможные проблемы с электропитанием;
  • технические каналы утечки информации.

1.7. В целях настоящего Положения рассматриваются следующие средства защиты от воздействия угроз:

  • физическая защита ОИ от НСД;
  • специальные СЗК (включая криптографические - СКЗИ);
  • программно-аппаратные средства разграничения доступа, архивирования и резервирования;
  • организационные меры, определяющие порядок эксплуатации ОИ к предоставления информационных ресурсов соответствующими службами КОМПАНИИ.

1.8. В настоящем Положении рассматриваются следующие категории внутренних ИР:
«К» - информационный ресурс, содержащий сведения, отнесенные к категории конфиденциальных:
«ДСП» - информационный ресурс, содержащий информацию, порожденную легальными субъектами доступа к ОИ в производственном процессе.
1.9. Данное Положение следует использовать при разработке Должностных инструкций сотрудников КОМПАНИИ ответственных за эксплуатацию СЗИ и Инструкции по использованию информационных ресурсов сотрудниками КОМПАНИИ.

2. Физическая зашита объектов информатизации от несанкционированного доступа

2.1. Физический контроль доступа в серверные помещения (помещения, где расположены сервера, консоли управления, оборудование АТС, входы каналов связи и т.п.), обеспечивается системами контроля доступа в помещения (включая организационные меры), а также, при наличии технической возможности, системами видеонаблюдения.
2.2. Физический контроль доступа к аппаратной части средств защиты от НСД. установленных на объектах ЛВС, обеспечивается также средствами маркирования и блокировки разъемных соединений
корпусов и блоков оборудования.
2.3. Физический контроль доступа к пассивному сетевому оборудованию дополнительно может обеспечиваться также средствами маркирования и блокировки разъемных сетевых соединений.
2.4. Для обеспечения защиты указанных в п.2.1 помещений должны быть реализованы следующие меры:

- на входные двери должны быть установлены электронные или механические кодовые замки, обеспечивающие разграничение доступа персонала в течение рабочего дня и надежную защиту
помещений в нерабочее время:
- входные двери должны быть оборудованы механизмами минимизирующими возможность случайного оставления их ОТКРЫТЫМИ (доводчики закрытия дверей и т п ):
- указанные помещения должны быть оборудованы пожарно-охранной сигнализацией;
- по решению руководства КОМПАНИИ указанные помещения могут быть оборудованы средствами видеонаблюдения.
- при отсутствии централизованных средств пожаротушения и вентиляции, обеспечивающих требования пожарной безопасности и эксплуатационные требования оборудования, указанные помещения следует оборудовать необходимыми средствами непосредственно в этих помещениях;
- резервное оборудование, при наличии возможности, не должно размещаться в тех же помещениях, что и резервируемое оборудование

3. Программно - аппаратные средства разграничения доступа, архивирования, резервирования и специальных средств зашиты

Программно-аппаратное обеспечение защиты информации на ОИ КОМПАНИИ осуществляется применением;

- разграничения доступа;
- сегментации информационных ресурсов;
- контроля доступа;
- редств идентификации и аутентификации;
- СКЗИ и ЭЦП;
- антивирусной защиты;
- резервирования электропитания;
- архивирования ИР;
- контроля обеспечения режима ИБ.
3.1. Разграничение доступа осуществляется на основе функционально-зональной модели.
3.1.1. Все субъекты и объекты разделяются на функциональные зоны (производство, сбыт, кадры, финансы и т.п.) с учетом категории ИР и формы допуска сотрудников КОМПАНИИ. При этом к зоне ИР категории «К», относятся только сотрудники с формами допуска 1 и 2.
3.1.2. Внутри зоны обеспечивается свободный доступ любого субъекта к любому объекту доступа. Доступ субъекта из одной зоны к объекту другой зоны возможен с соответствующими ограничениями прав доступа.
3.2. Сегментация информационных ресурсов
3.2.1. Информационные ресурсы КОМПАНИИ сегментируются (разделяются программно-техническими средствами) по видам обрабатываемой информации:

- информация, содержащая конфиденциальные сведения (ИР категории «К»);
- информация сетевых систем управления ОИ;
- прочая информация, содержащаяся в корпоративной сети КОМПАНИИ
- внешние ИР.
3.2.2. Сегментация ИР производится с помощью:

- активного сетевого оборудования (мультиплексоры, маршрутизаторы, коммутаторы и т.п.);
- межсетевых экранов;
- программно-аппаратных средств, обеспечивающих идентификацию, аутентификацию, разграничение доступа и регистрацию событий при предоставлении доступа к ИР.
3.2.3. Выделение сегмента сетевых систем управления ОИ производится с использованием активного сетевого оборудования или МЭ, или, с использованием защищенных протоколов обмена
информацией.
3.2.4. Доступ к ИР на ОИ КОМПАНИИ должен осуществляться исключительно с использованием ТСОИ, находящихся в собственности КОМПАНИИ.
3.2.5. Доступ к внешним ИР на ОИ КОМПАНИИ регламентируется нормативными документами КОМПАНИИ, согласованными с СЭБ и утвержденными руководством КОМПАНИИ.
Соответствующий нормативный документ доводится до сведения сотрудника КОМПАНИИ при его приеме на работу и должен содержать его согласие на контроль его действий при использовании ИР на ОИ КОМПАНИИ (в т.ч. электронной почты, ресурсов Internet и пр.).

3.2.6. Доступ к внешним ИР категории «К» должен осуществляться с использованием сертифицированных СКЗИ.
3.3. Контроль доступа.
3.3.1. Контроль доступа обеспечивается во всех сегментах средствами ОС, средствами контроля доступа специализированных приложений, сертифицированными средствами защиты от НСД, а
также средствами сетевого мониторинга и аудита.
3.3.2. Контроль доступа к сетевому оборудованию на физическом уровне обеспечивается средствами контроля доступа специализированных приложений и средствами сетевого мониторинга и аудита.
3.3.3. Контроль доступа к ИР обеспечивается средствами сетевого мониторинга и аудита, а также контроля содержимого обмена информацией.
3.4. Идентификация и аутентификация.
3.4.1. Объекты применения средств идентификации и аутентификации - ПТС ОИ.
3.4.2. Средства идентификации и аутентификации применяются в обязательном порядке на всех ОИ КОМПАНИИ для защиты от НСД.
3.4.3. Порядок применения средств идентификации и аутентификации определяется нормативными документами КОМПАНИИ, согласованными с СЭБ и утвержденными руководством КОМПАНИИ.
3.4.4. Предложения по изменению порядка применения средств идентификации и аутентификации на ОИ КОМПАНИИ, вызванные объективной необходимостью, но противоречащие данному документу направляются на рассмотрение в СЭБ.
3.5. СКЗИ и ЭЦП.
3.5.1. СКЗИ и ЭЦП применяются для обеспечения электронного обмена, хранения и передачи информации отнесенной к категории конфиденциальной.
3.5.2. Порядок учета, хранения и использования СКЗИ на ОИ КОМПАНИИ определяется нормативным документом КОМПАНИИ, согласованным с СЭБ и утвержденным руководством КОМПАНИИ, с учетом эксплуатационной документации на СКЗИ.
3.6. Антивирусная защита, резервирование электропитания и архивирование ИР.
Защита информации при сбоях программного обеспечения и электропитания достигается:

- обязательным применением на рабочих станциях и серверах средств антивирусной защиты;
- обеспечением автономного резервного электропитания для серверов, активного сетевого оборудования, а также рабочих станций, работоспособность которых необходима при сбоях электропитания;
- применением программно-аппаратных средств резервирования информации;
- обязательным архивированием критически важных для обеспечения деятельности КОМПАНИИ информационных ресурсов;
Порядок архивирования ИР определяется нормативным документом КОМПАНИИ, согласованным с СБП КОМПАНИИ и утвержденным руководством КОМПАНИИ.
3.7. Контроль обеспечения режима ИБ.
3.7.1. Контроль обеспечения режима ИБ на ОИ является неотъемлемой составной частью общего комплекса мер безопасности в системе безопасности КОМПАНИИ.


Страница
1 : Введение
2 : «Положение о парольной защите».
3 : Положение о защите информации в компьютерной сети -страница1
4 > : Положение о защите информации в компьютерной сети - страница 2
5 : Положение о защите информации в компьютерной сети -страница 3
6 : Управление информацией с использованием средств вычислительной техники - страница 1
7 : Управление информацией с использованием средств вычислительной техники - страница 2
8 : Управление информацией с использованием средств вычислительной техники - страница 3
9 : Инструкция о порядке резервирования служебной информации на рабочих станциях
10 : Методика определения неисправности локальной вычислительной сети предприятия при угрозе простоя оборудования

Поиск Компьютерные сети и технологии

Copyright © 2006 - 2020
При использовании материалов сайта ссылка на xnets.ru обязательна!