- •Календарний план
- •Реферат
- •Перелік умовних скорочень
- •Розділ 1. Огляд та аналіз нормативно-правового простору
- •1.1. Огляд законів України із забезпечення захисту інформації
- •1.2. Аналіз нормативно-методичних документів України з захисту інформації
- •Огляд та аналіз міжнародних стандартів по створенню політики інформаційної безпеки
- •Розділ 2. Нормативні посилання
- •Розділ 3. Бізнес-модель об’єкту комерційного підприємства
- •3.1. Охоронна сигналізація
- •3.2. Відеоспостереження та контроль доступу
- •3.3. Система пожежної сигналізації
- •3.4. Основні вимоги техніки безпеки
- •Розділ 4. Розробка корпоративного документа «політика інформаційної безпеки»
- •4.1. Введення
- •4.2. Політики інформаційної безпеки Компанії
- •4.3. Організація системи управління інформаційною безпекою
- •4.4. Політики інформаційної безпеки
- •4.5. Політика облікових записів
- •4.6. Політика захисту арм
- •4.7. Порядок супроводу іс Компанії
- •Висновки
- •Перелік використаних джерел
4.7. Порядок супроводу іс Компанії
Забезпечення інформаційної безпеки інформаційних систем на стадіях життєвого циклу ІБ ІС повинна забезпечуватися на всіх стадіях життєвого циклу (ЖЦ) ІС, що автоматизують технологічні процеси, з урахуванням всіх сторін, залучених в процеси ЖЦ (розробників, замовників, постачальників продуктів і послуг, що експлуатують і наглядових підрозділів організації). Розробка технічних завдань, проектування, створення, тестування, приймання засобів і систем захисту ІВ проводиться за участю адміністратора інформаційної безпеки та системного адміністратора. Порядок розробки і впровадження ІС повинен бути регламентований і контролюватися.
При розробці ІС необхідно дотримуватися вимог і методичних вказівок, визначених стандартами, що входять до групи ГОСТ 34.ХХХ «Стандарти інформаційної технології ».
Введення в дію, експлуатація, зняття з експлуатації ІС в частині питань ІБ повинні здійснюватися за участю адміністратора інформаційної безпеки.
На стадіях, пов'язаних з розробкою ІС (визначення вимог зацікавлених сторін, аналіз вимог, архітектурне проектування, реалізація, інтеграція та верифікація, постачання, введення в дію), розробником має бути забезпечений захист від загроз:
невірної формулювання вимог до ІС;
вибору неадекватної моделі ЖЦ ІС, у тому числі неадекватного вибору процесів ЖЦ і залучених до них учасників;
прийняття невірних проектних рішень;
внесення розробником дефектів на рівні архітектурних рішень;
внесення розробником недокументованих можливостей в ІС;
неадекватною (неповної, суперечливою, некоректної та ін.) реалізації вимог до ІС;
розробки неякісної документації;
збірки ІС розробником / виробником з порушенням вимог, що призводить до появи недокументованих можливостей в ІС або до неадекватної реалізації вимог;
невірного конфігурування ІС;
приймання ІС, що не відповідає вимогам замовника;
внесення недокументованих можливостей в ІС в процесі проведення приймальних випробувань допомогою недокументованих можливостей функціональних тестів і тестів ІБ.
Залучені для розробки засобів і систем захисту ІВ на договірній основі спеціалізовані організації повинні мати ліцензії на даний вид діяльності відповідно до законодавства України.
При придбанні готових ІС та їх компонентів розробником повинна бути надана документація, яка містить, зокрема, опис захисних заходів, вжитих розробником щодо загроз інформаційній безпеці.
Також розробником повинна бути представлена документація, яка містить опис захисних заходів, вжитих розробником ІС та їх компонентів щодо безпеки розробки, безпеки постачання, експлуатації, підтримки життєвогоциклу, включаючи опис моделі життєвого циклу, оцінки вразливості. Дана документація може бути представлена в рамках декларації про відповідність або бути результатом оцінки відповідності вироби, проведеної в рамках відповідної системи оцінки.
У договір (контракт) про поставку ІС та їх компонентів рекомендується включати положення з супроводу поставляються виробів на весь термін їх служби. У разі неможливості включення в договір (контракт) зазначених вимог до розробника повинна бути розглянута можливість придбання повного комплекту робочої конструкторської документації на виріб, що забезпечує можливість супроводу ІС і їх компонентів без участі розробника. Якщо обидва зазначених варіанти неприйнятні, наприклад, внаслідок високої вартості, керівництво Компанії, повинно забезпечити аналіз впливу загрози неможливості супроводу ІС та їх компонентів на забезпечення безперервності роботи.
На стадії експлуатації має бути забезпечений захист від наступних загроз:
умисне несанкціоноване розкриття, модифікація або знищення інформації;
ненавмисна модифікація або знищення інформації;
недоставляння або помилкова доставка інформації;
відмова в обслуговуванні або погіршення обслуговування.
Крім цього, актуальною є загроза відмови від авторства повідомлення. На стадії супроводу має бути забезпечений захист від загроз:
внесення змін до ІС, що призводять до порушення її функціональності або до появи недокументованих можливостей;
невнесення розробником / постачальником змін, необхідних для підтримки правильного функціонування і правильного стану ІС.
На стадії зняття з експлуатації повинно бути забезпечено видалення інформації, несанкціоноване використання якої може завдати шкоди Компанії, і інформації, використовуваної засобами забезпечення ІБ, з постійної пам'яті ІВ або з зовнішніх носіїв.
Вимоги ІБ повинні включатися в усі договори та контракти на проведення робіт або надання послуг на всіх стадіях ЖЦ ІС.
Профілактіка порушень політик інформаційної безпеки
Під профілактикою порушень п олітік інформаційної безпеки розуміється проведення регламентних робіт із захисту інформації, попередження можливих порушень інформаційної безпеки в Управлінні і проведенняроз'яснювальної роботи з інформаційної безпеки серед користувачів.
Проведення в ІС Компанії регламентних робіт із захисту інформації передбачає виконання процедур контрольного тестування (перевірки) функцій СЗІ, що гарантує її працездатність з точністю до періоду тестування.Контрольне тестування функцій СЗІ може бути частковим або повним і повинно проводитися з встановленої в ІС Компанії ступенем періодичності.
Завдання попередження в ІС Компанії можливих порушень інформаційної безпеки вирішується в міру настання таких подій:
включення до складу ІС Компанії нових програмних і технічних засобів (нових робочих станцій, серверного або комунікаційного устаткування та ін.) при умови появи вразливих місць в СЗІ ІС Компанії;
зміна конфігурації програмних і технічних засобів ІС (зміна конфігурації програмного забезпечення робочих станцій, серверного або комунікаційного устаткування та ін.) за умови появи вразливих місць в СЗІ ІС Компанії;
при появі відомостей про виявлені вразливі місця у складі операційних систем та / або програмного забезпечення технічних засобів, що використовуються в ІС Компанії.
Адміністратор інформаційної безпеки (можливо, за допомогою сторонньої організації спеціалізується в області інформаційної безпеки) собира е т і аналізують е т інформацію про виявлених вразливих місцях у складі операційних систем та / або програмного забезпечення щодо ІС Компанії. Джерелами подібного роду відомостей можуть служити офіційні видання і публікації різних компаній, громадських об'єднань та інших організацій, що спеціалізуються в галузі захисту інформації.
Адміністратор інформаційної безпеки (можливо, за допомогою сторонньої організації, що спеціалізується в області інформаційної безпеки) організовує періодичну перевірку СЗІ ІС Компанії шляхом моделювання можливих спроб здійснення НСД до захищається інформаційних ресурсів.
Для вирішення завдань контролю захищеності ІС використовуються інструментальні засоби для тестування реалізованих у складі СЗІ ІС Компанії засобів і функцій захисту. За результатами профілактичних робіт, що проводяться в ІС, необхідно зробити відповідні записи в спеціальному журналі (Журналі перевірки справності та технічного обслуговування).
Планова роз'яснювальна робота за правилами справжніх політік, а також інструктаж співробітник ів Компанії по дотриманню вимог нормативних і регламентних документів з інформаційної безпеки, прийнятих в Управлінні, проводиться адміністратором інформаційної безпеки щоквартально.
Позапланова роз'яснювальна робота за правилами справжніх п олітік, а також інструктаж співробітник ів Компанії по дотриманню вимог нормативних і регламентних документів з інформаційної безпеки, прийнятих в Компанії, проводиться при перегляді справжніх п олітік, при виникненні інциденту порушення правил справжніх п олітік.
Прийом на роботу нових співробітник ів повинен супроводжуватися ознайомленням їх з правилами та вимогами цих п олітік.
Ліквідація наслідків порушення політик інформаційної безпеки
Адміністратор інформаційної безпеки, використовуючи дані, отримані в результаті застосування інструментальних засобів контролю (моніторингу) безпеки інформації ІС, долж ен своєчасно виявляти порушення інформаційної безпеки, факти здійснення НСД до захищається інформаційних ресурсів та вживати заходів щодо їх локалізації та усунення.
У разі виявлення підсистемою захисту інформації факту порушення інформаційної безпеки або здійснення НСД до захищається інформаційних ресурсів ІС рекомендується повідомити адміністратор а інформаційної безпеки та / або начальника інформаційного відділу, і далі слідувати їх вказівками.
Дії адміністратора інформаційної безпеки та системного адміністратора при ознаках порушення п олітік інформаційної безпеки регламентуються наступними внутрішніми документами:
Інструкцією користувача автоматизованої системи;
Політикою інформаційної безпеки;
Посадовими обов'язками адміністратора інформаційної безпеки;
Посадовими обов'язками програміста.
Після усунення інциденту необхідно скласти акт про факт порушення та вжиті заходи з відновлення працездатності ІС, а також зареєструвати факт порушення в журналі обліку порушень, ліквідації їх причин та наслідків.