3.4. Основні вимоги техніки безпеки

Експлуотація та технічне обслуговування системи повинні здійсніватись згідно з вимогами “Правил пожежної безпеки в Україні” 1995р., та інструкціями по експлуатації та ОСТ 25950-81 “ Система технического обслуживания установок пожаротушения, пожарной, охранной и охранно-пожарной сигнализации. Организация и порядок проведения работ по техническому обслуживанию”.

До обслуговування системи охоронної сигналізації допускаються особи, які пройшли медичний огляд, мають посвідчення роботи з системою і які пройшли ввідний інструктаж по техніці безпеки та інструктаж на робочому місці безпечним методам праці.

Обслуговуючий та оперативний (черговий) персонал повинен мати відповідну підготовку, знати принцип дії та устрій установки, вивчити та виконувати інструкції по експлуатації і необхідні вимоги “Правил технической эксплуатации электроустановок потребителей (ПТЭ и ПТБ).

Усі ремонтні та регламентні роботи з електрообладнанням системи виконувати після відключення електроживлення. Перед проведенням робіт необхідно перевірити наявність робочого і захисного заземленя (зануленя).

Розділ 4. Розробка корпоративного документа «політика інформаційної безпеки»

4.1. Введення

Політика інформаційної комерційного підприємства будівельної компанії (далі - Компанія) визначає цілі та завдання системи забезпечення інформаційної безпеки (ІБ) і встановлює сукупність правил, вимог і керівних принципів в області ІБ, якими керується Компанія у своїй діяльності.

Основними цілями політики ІБ являють захист інформації установи та забезпечення ефективної роботи всього інформаційно-обчислювального комплексу при здійсненні діяльності.

Загальне керівництво забезпеченням ІБ здійснює начальник Компанії. Відповідальність за організацію заходів із забезпечення ІБ і контроль за дотриманням вимог ІБ несе співробітник відповідає за функціонування автоматизованої систем и і виконує функції адміністратора інформаційної безпеки (далі адміністратор інформаційної безпеки).

Керівники структурних підрозділів установи відповідальні за забезпечення виконання вимог ІБ в своїх підрозділах.

Співробітники установи зобов'язані дотримуватися порядок поводження з конфіденційними документами, носіями ключової інформації та іншої захищається, дотримуватися вимог цієї Політики та інших документів ІБ.

Політика інформаційної безпеки спрямована на захист інформаційних активів від загроз, що виходять від протиправних дій зловмисників, зменшення ризиків і зниження потенційної шкоди від аварій, ненавмисних помилкових дій персоналу, технічних збоїв, неправильних технологічних і організаційних рішень в процесах обробки, передачі та зберігання інформації та забезпечення нормального функціонування технологічних процесів.

Найбільшими можливостями для завдання збитків Компанії має свій персонал. Дії персоналу можуть бути мотивовані злим умислом (при цьому зловмисник може мати спільників як всередині, так і поза суспільством), або мати ненавмисний помилковий характер. Ризик аварій та технічних збоїв визначається станом технічного парку, надійністю систем енергопостачання та телекомунікацій, кваліфікацією персоналу і його здатністю до адекватних дій в нештатної ситуації.

Розроблена на основі прогнозу політика ІБ і відповідно до неї побудована система управління ІБ є найбільш правильним і ефективним способом домогтися мінімізації ризиків порушення ІБ для Компанії. Необхідно враховувати, що з плином часу змінюється характер загроз, тому слід своєчасно, використовуючи дані моніторингу та аудиту, оновлювати моделі загроз і порушника.

Стратегія забезпечення ІБ полягає у використанні заздалегідь розроблених заходів протидії атакам зловмисників, а також програмно-технічних та організаційних рішень, що дозволяють звести до мінімуму можливі втрати від технічних аварій та помилкових дій персоналу.

Завданнями існуючої політики є:

 опис організації системи управління інформаційною безпекою в Компанії;

 визначення Політик інформаційної безпеки, а саме:

• Політика облікових записів;

• Політика надання доступу до інформаційного ресурсу;

• Політика захисту АРМ;

• визначення порядку супроводу ІС Компанії.

Терміни та визначення

Автоматизована система - система, що складається з персоналу і комплексу засобів автоматизації його діяльності, що реалізує інформаційну технологію виконання встановлених функцій.

Адміністратор інформаційної безпеки - спеціаліст Компанії, здійснює контроль за забезпеченням захисту інформаці ії в ЛВС, а також здійснює організацію робіт з виявлення та попередження можливих каналів витоку інформації, потенційних можливостей здійснення НСД до інформації, що захищається.

Аналіз ризику - систематичне використання інформації для виявлення джерел та оцінки ризику.

Аудит інформаційної безпеки - процес перевірки виконання встановлених вимог щодо забезпечення інформаційної безпеки. Може проводитися як самим суспільством (внутрішній аудит), так і з залученням незалежних зовнішніх організацій (зовнішній аудит). Результати перевірки документально оформляються свідоцтвом аудиту.

Аутентіфікація - Перевірка приналежності суб'єкту доступу пред'явленого їм ідентифікатора; підтвердження автентичності. Найчастіше аутентифікація виконується шляхом набору користувачем свого пароля на клавіатурі комп'ютера.

Доступ до інформації - Можливість отримання інформації та її використання.

Захищений канал передачі даних - Логічні і фізичні канали мережевої взаємодії, захищені від прослуховування потенційними зловмисниками засобами шифрування даних (засобами VPN), або шляхом їх фізичної ізоляції та розміщення на території, що охороняється.

Ідентифікатор доступу - унікальний ознака суб'єкта або об'єкта доступу.

Ідентифікація - Привласнення суб'єктам доступу (користувачам, процесам) і об'єктів доступу (інформаційних ресурсів, пристроїв) ідентифікатора і (або) порівняння висунутого ідентифікатора з переліком привласнених ідентифікаторів.

Інформация - це актив, який, подібно до інших активів товариства, має цінність і, отже, повинен бути захищений належним чином.

Інформаційна безпека - механізм захисту, що забезпечує конфіденційність, цілісність, доступність інформації; стан захищеності інформаційних активів товариства в умовах загроз в інформаційній сфері. Загрози можуть бути викликані ненавмисними помилками персоналу, неправильним функціонуванням технічних засобів, стихійними лихами або аваріями (пожежа, повінь, відключення електропостачання, порушення телекомунікаційних каналів і т.п.), або навмисними зловмисними діями, що призводять до порушення інформаційних активів товариства.

Інформаційні системи - Сукупність програмного забезпечення і технічних засобів, що використовуються для зберігання, обробки і передачі інформації, з метою вирішення задач підрозділів Компанії. В Компанії використовуються різні типи інформаційних систем для вирішення управлінських, облікових, навчальних та інших задач.

Інформаційні технології - процеси, методи пошуку, збору, зберігання, обробки, надання, поширення інформації та способи здійснення таких процесів і методів.

Інформаційні активи - інформаційні системи, інформаційні засоби, інформаційні ресурси.

Інформаційні засоби - програмні, технічні, лінгвістичні, правові, організаційні засоби (програми для електронних обчислювальних машин; засоби обчислювальної техніки і зв'язку; словники, тезауруси та класифікатори;інструкції та методики; положення, статути, посадові інструкції; схеми і їх опису, інша експлуатаційна та супровідна документація), що використовуються або створюються при проектуванні інформаційних систем і забезпечують їх експлуатацію.

Інформаційні ресурси - сукупність міститься в базах даних інформації та забезпечують її обробку інформаційних технологій.

Інцидент інформаційної безпеки - дійсне, цілеспрямоване або ймовірне порушення інформаційної безпеки, що приводить до порушення доступності, конфіденційності та цілісності інформаційних активів установи.

Джерело загрози - намір або метод, націлений на умисне використання уразливості, або ситуація або метод, які можуть випадково проявити вразливість.

Конфіденційна інформація - Інформація з обмеженим доступом, що не містить відомостей, що становлять державну таємницю, доступ до якої обмежується відповідно до законодавства Російської Федерації.

Конфіденційність - доступ до інформації тільки авторизованих користувачів.

Критична інформація - Інформація, порушення доступності, цілісності, або конфіденційності якої, може зробити негативний вплив на функціонування підрозділів Компанії, призвести до заподіяння Компанії матеріального чи іншого виду збитку.

Локальная обчислювальна мережа (ЛОМ) - Група ЕОМ, а також периферійне обладнання, об'єднані одним або декількома автономними високошвидкісними каналами передачі цифрових даних в межах одного або декількох довколишніх будівель.

Межсетевой екран (МЕ) - Програмно-апаратний комплекс, який використовується для контролю доступу між ЛВС, що входять до складу мережі, а також між мережею Компанії і зовнішніми мережами (мережею Інтернет).

Моніторинг інформаційної безпеки - постійне спостереження за об'єктами, що впливають на забезпечення інформаційної безпеки, збір, аналіз та узагальнення результатів спостереження під задані цілі. Об'єктом моніторингу в залежності від цілей може бути автоматизована система або її частина, інформаційні технологічні процеси установи, інформаційні послуги установи та ін.

Несанкціонірованний доступ до інформації (НСД) - доступ до інформації, порушує правила розмежування рівнів повноважень користувачів.

Обробка ризику - процес вибору і здійснення заходів щодо мод і фікації ризику.

Залишковий ризик - ризик, що залишається після обробки ризику.

Політика інформаційної безпеки - комплекс взаємопов'язаних керівних принципів і розроблених на їх основі правил, процедур і практичних прийомів, прийнятих в установі для забезпечення його інформаційної безпеки.

Користувач ЛВС - співробітник Компанії (Штатний, тимчасовий, який працює за контрактом тощо), а також інші особи (підрядники, аудитори тощо), зареєстрований в мережі в установленому порядку та отримав права на доступ до ресурсів мережі відповідно до своїх функціональних обов'язків.

Прийняття ризику - рішення прийняти ризик.

Програмне забезпечення - сукупність прикладних програм, встановлених на сервері або ЕОМ.

Робоча станція - Персональний комп'ютер, на якому користувач мережі виконує свої службові обов'язки.

Зареєстрований (обліковий) запис користувача - Включає в себе ім'я користувача і його унікальний цифровий ідентифікатор, однозначно ідентифікує даного користувача в операційній системі (мережі, бази даних, додатку тощо). Реєстраційна запис створюється адміністратором при реєстрації користувача в операційній системі комп'ютера, в системі управління базами даних, в мережевих доменах, додатках і т.п. Вона також може містити такі відомості про користувача, як П.І.Б., назву підрозділу, телефони, E-mail і т.п.

Роль - сукупність повноважень і привілеїв на доступ до інформаційного ресурсу, необхідних для виконання користувачем певних функціональних обов'язків.

Система менеджменту інформаційної безпеки (СМІБ) - та частина загальної системи менед ж мента, яка заснована на підході бізнес-ризиків при створенні, впровадженні, функціонуванні, моніторингу, аналізі, підтримці та вдосконаленні інформаці і -онной безпеки.

Системний адміністратор - співробітник установи, що займається супроводом автоматизованих систем, відповідальний за функціонування локальної мережі установи та ПК.

Список контролю доступу (ACL) - Правила фільтрації мережевих пакетів, що строюються на маршрутизаторах і МЕ, що визначають критерії фільтрації та дії, вироблені над пакетами.

Власник - особа або організація, які мають затверджені зобов а тва з менеджменту для контролю розробки, підтримки, використання та безопа з ності активів. Термін «власник» не означає, що особа дійсно має будь-які права зі б ственности на актив.

Засоби криптографічного захисту інформації - засоби шифрування, засоби імітозащіти, засоби електронного підпису, засоби кодування, засоби виготовлення ключових документів (незалежно від виду носія ключової інформації), ключові документи (незалежно від виду носія ключової інформації).

Загрози інформаційним даними - потенційно існуюча небезпека випадкового або навмисного руйнування, несанкціонованого отримання або модифікації даних, обумовлена структурою системи обробки, а також умовами обробки та зберігання даних, тобто це потенційна можливість джерела загроз успішно виявити певну вразливість системи.

Управління інформаційною безпекою - сукупність цілеспрямованих дій, здійснюваних у рамках політики інформаційної безпеки в умовах загроз в інформаційній сфері, що включає в себе оцінку стану об'єкта управління (наприклад, оцінку та управління ризиками), вибір управляючих впливів та їх реалізацію (планування, впровадження та обслуговування захисних заходів).

Уразливість- недоліки або слабкі місця інформаційних активів, які можуть призвести до порушення інформаційної безпеки установи при реалізації загроз в інформаційній сфері.

Цілісність інформації - стан захищеності інформації, що характеризується здатністю АС забезпечувати збереження і незмінність конфіденційної інформації при спробах несанкціонованих чи випадкових впливів на неї впроцесі обробки або зберігання.

ЕОМ - електронна - обчислювальна машина, персональний комп'ютер.

Електронний цифровий підпис - реквізит електронного документа, призначений для захисту електронного документа від підробки, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису, що дозволяє ідентифікувати власника ключа підпису, а також встановити відсутність спотворення інформації в електронному документі.

VPN (VIRTUAL PRIVATE NETWORK) - «Віртуальна приватна мережа»: технологія та організація систематичної віддаленого зв'язку між обраними групами вузлів у великих розподілених мережах.