- •Календарний план
- •Реферат
- •Перелік умовних скорочень
- •Розділ 1. Огляд та аналіз нормативно-правового простору
- •1.1. Огляд законів України із забезпечення захисту інформації
- •1.2. Аналіз нормативно-методичних документів України з захисту інформації
- •Огляд та аналіз міжнародних стандартів по створенню політики інформаційної безпеки
- •Розділ 2. Нормативні посилання
- •Розділ 3. Бізнес-модель об’єкту комерційного підприємства
- •3.1. Охоронна сигналізація
- •3.2. Відеоспостереження та контроль доступу
- •3.3. Система пожежної сигналізації
- •3.4. Основні вимоги техніки безпеки
- •Розділ 4. Розробка корпоративного документа «політика інформаційної безпеки»
- •4.1. Введення
- •4.2. Політики інформаційної безпеки Компанії
- •4.3. Організація системи управління інформаційною безпекою
- •4.4. Політики інформаційної безпеки
- •4.5. Політика облікових записів
- •4.6. Політика захисту арм
- •4.7. Порядок супроводу іс Компанії
- •Висновки
- •Перелік використаних джерел
4.5. Політика облікових записів
Справжня політика визначає основні правила присвоєння облікових записів користувачам інформаційних активів Компанії.
Положення політики
Реєстраційні облікові записи поділяються на:
користувальницькі - призначені для ідентифікації / аутентифікації користувачів інформаційних активів Компанії;
системні - використовувані для потреб операційної системи;
службові - призначені для забезпечення функціонування окремих процесів або додатків.
Кожному користувачеві інформаційних активів Компанії призначається унікальна користувацька реєстраційна обліковий запис. Допускається прив'язка більше однієї користувальницької облікового запису до одного і того ж користувачеві (наприклад, що мають різний рівень повноважень).
У загальному випадку заборонено створювати і використовувати загальну для користувача обліковий запис для групи користувачів. У випадках, коли це необхідно, зважаючи на особливості автоматизируемого бізнес-процесу або організації праці (наприклад, позмінне чергування), використання загальної облікового запису має супроводжуватися відміткою в журналі обліку машинного часу, яка повинна однозначно ідентифікувати поточного власника облікового запису в кожен момент часу. Одночасне використання однієї загальної користувальницької облікового запису різними користувачами заборонено.
Системні реєстраційні облікові записи формуються операційною системою і повинні використовуватися тільки у випадках, передбачених документацією на операційну систему.
Службові реєстраційні облікові записи використовуються тільки для запуску сервісів або додатків.
Використання системних або службових облікових записів для реєстрації користувачів в системі категорично заборонено.
4.6. Політика захисту арм
Справжня Політика визначає основні правила і вимоги щодо захисту персональних даних та іншої конфіденційної інформації Компанії від несанкціонованого доступу, втрати або модифікації.
Положення політики
Під час роботи з конфіденційною інформацією повинен запобігати її перегляд не допущеними до неї особами.
При будь-якому залишення робочого місця, робоча станція повинна бути заблокована, знімні машинні носії, що містять конфіденційну інформацію, замкнені в приміщенні, шафі або ящику стола або в сейфі.
Несанкціоноване використання друкуючих, факсимільних, щорозмножувальних апаратів і сканерів повинне запобігати шляхом їх розміщення в приміщеннях з обмеженим доступом, використання паролів або інших доступних механізмів розмежування доступу.
Співробітник і отримують доступ до ресурсів обчислювальної мережі після ознайомлення з документами, затвердженими стандартами Компанії, (згідно займаної посади), а саме з і нструкц ми по поводженню з носіями конфіденційної інформації, «Перелік відомостей конфіденційного характеру ».
Доступ до компонентів операційної системи і командам системного адміністрування на робочих станціях користувачів обмежений. Право на доступ до подібних компонентів надано тільки адміністратор інформаційної безпеки. Кінцевим користувачам надається доступ тільки до тих команд, які необхідні для виконання їхніх посадових обов'язків.
Доступ до інформації надається тільки особам, які мають обґрунтовану необхідність в роботі з цими даними для виконання своїх посадових обов'язків.
Користувачам забороняється встановлювати неавторизовані програми на комп'ютери.
Конфігурація програм на комп'ютерах повинна перевірятися щомісяця на предмет виявлення установки неавторизованих програм.
Технічне обслуговування повинне здійснюватися тільки на підставі звернення користувача до системного адміністратора.
Локальне технічне обслуговування повинно здійснюватися тільки в особистій присутності користувача.
Дистанційне технічне обслуговування повинно здійснюватися тільки зі спеціально виділених автоматизованих робочих місць, конфігурація і склад яких повинні бути стандартизовані, а процес експлуатації регламентований і контролюватися.
При проведенні технічного обслуговування повинен виконуватися мінімальний набір дій, необхідних для усунення проблеми, що явилася причиною звернення, і використовуватися будь-які можливості, що дозволяють згодом встановити авторство внесених змін.
Копіювання конфіденційної інформації та тимчасове вилучення носіїв конфіденційної інформації (в тому числі у складі АРМ) допускаються тільки з санкції користувача. У разі вилучення носіїв, які містять конфіденційну інформацію, користувач має право бути присутнім при подальшому проведенні робіт.
Програмне забезпечення повинне встановлюватися із спеціальних ресурсів або знімних носіїв і відповідно з ліцензійною угодою з його правовласником.
Конфігурації встановлюваних робочих станцій повинні бути стандартизовані, а процеси установки, налаштування і введення в експлуатацію - регламентовані.
АРМ, на яких передбачається обробляти конфіденційну інформацію, повинні бути закріплені за відповідними співробітник ами Компанії. Забороняється використання зазначених АРМ іншими користувачами без узгодження з адміністратором інформаційної безпеки Компанії. При передачі зазначеного АРМ іншому користувачеві, повинна виробляє ь ся гарантована очистка диска (форматування).
Системний адміністратор в праві відмовити в усуненні проблеми, викликаної наявністю на робочому місці програмного забезпечення або обладнання, встановленого або налаштованого користувачем в обхід діючої процедури.