- •Постановка задачі
- •Характеристика підприємства
- •Категоріювання та обстеження об’єкту інформаційної діяльності
- •1.2 Обґрунтування необхідності створення ксзі
- •1.3 Обчислювальна система «ра «Кентаур»
- •Модель загроз, модель порушника та вразливості оід
- •Модель порушника
- •Продовження таблиці 1.10
- •В таблиці 1.11, за результатами моделей загроз та порушника, виділено найбільш значущі джерела загроз іб.
- •Продовження таблиці 1.11
- •Вразливості можуть розрізнятися:
- •Дестабілізуючі фактори можуть розрізнятися:
- •1.5 Профіль захищеності для тов «ра «Кентаур»
- •1.5.1 Позначення профілю
- •1.6 Завдання на створення ксзі
- •2 Спеціальна частина
- •2.1 Профіль захищеності. Його реалізація
- •Конфіденційність при обміні
- •2.2 Задоволення вимог профілю. Ефективне програмне забезпечення
- •Продовження таблиці 2.3
- •Продовження таблиці 2.3
- •Продовження таблиці 2.3
- •За результатами аналізу був обраний програмний продукт Acronis True Image 2013 16 Build 6514.
- •Потім потрібно підтврдити Ліцензійну згоду про використання Acronis True Image і натиснути «Далее»;
- •Налаштування Windows Server 2003
- •2.3 Документи підприємства з питань інформаційної безпеки
- •2.3.1 Посадова інструкція системного адміністратора
- •2.3.2 Посадова інструкція адміністратора безпеки (менеджера з інформаційної безпеки)
- •2.3.3 Інструкція щодо користування антивірусними програмами для користувачів
- •2.3.4 Положення щодо забезпечення безпеки оід
- •2.3.5 Положення щодо забезпечення доступу до сервера підприємства
- •2.3.6 Положення щодо забезпечення безпеки персональних комп'ютерів підприємства
- •2.3.7 Положення щодо користування електронною поштою
- •2.3.8 Положення щодо користування сховищами для збереження інформації з обмеженим доступом
- •2.3.9 Положення про врятування документів з інформацією з обмеженим доступом та майна, в якому вони зберігаються в разі виникнення пожежі, аварійної ситуації тощо.
- •2.4 Висновок
- •Перелік посилань
2.3.7 Положення щодо користування електронною поштою
Ціль положення
Визначення відповідальності користувачів за неправильне використання корпоративною системою електронної пошти.
Дане положення інформує користувачів:
про те, що, використовуючи корпоративну електронну пошту, вони погоджуються виконувати вимоги цього положення і відмовляються від будь-яких прав на конфіденційність повідомлень створених, надісланих або отриманих з використанням корпоративної системи електронної пошти;
про те, що підприємство залишає за собою право контролювати зміст листування без попереднього повідомлення, а також приймати дисциплінарні стягнення до працівників, які порушують вимоги даного положення.
За дотримання правил даного положення відповідає адміністратор організації.
Вимоги положення
Електронна пошта використовується тільки для виконання працівником його службових обов'язків.
Єдино можливий спосіб роботи з електронною поштою на ОІД - використання корпоративної електронної пошти. Робота з іншими сервісами електронної пошти, включаючи, але не обмежуючись, безкоштовними поштовими серверами, тільки при узгодженні з системним адміністратором.
Забороняється розсилка ланцюгових повідомлень, спаму, виконуваних файлів та файлів розважального характеру.
Забороняється використовувати корпоративну електронну пошту для будь-якої діяльності з метою отримання особистої матеріальної вигоди.
Забороняється пересилання та отримання електронної пошти, яка містить ліцензійне програмне забезпечення та інші дії, які дозволяють обійти ліцензійні угоди або порушити авторські права.
Забороняється надсилати листи, що містять конфіденційну інформацію. Винятки становлять користувачі, які мають на це право у відповідності з положенням «Про комерційну таємницю».
При роботі з електронною поштою на комп'ютері обов'язково повинно бути встановлено корпоративне антивірусне програмне забезпечення.
Забороняється використання чужих адрес електронної пошти, а також дозволяти використання своєї адреси іншим особам.
За виконанням вимог положення стежить адміністратор. Він повинен забезпечити ознайомлення з даним положенням всіх користувачів мережі, під підпис у відповідному журналі.
Відповідальність, за дотримання правил даного положення, несуть всі співробітники, які розписалися у журналі щодо ознайомлення з цим положенням.
При порушенні вимог положення, працівники несуть дисциплінарне покарання, в тому числі можуть бути звільнені.
Періодичність перегляду проводиться 1 раз на рік або при зміні загальної політики безпеки підприємства, програмного чи апаратного забезпечення, що потребує змін в політиці безпеки.
2.3.8 Положення щодо користування сховищами для збереження інформації з обмеженим доступом
Ціль положення
Встановити правила щодо доступу персоналу до сховищ та користування ними. Всі співробітники повинні виконувати умови зазначені в цьому документі.
Даний документ поширюється на співробітників підприємства, в яких є доступ до сейфів призначених для зберігання інформації з обмеженим доступом.
За дотримання правил даного положення відповідає заступник директора організації, який виконує обов’язки менеджера з інформаційної безпеки.
Вимоги положення
Сейфи повинні бути взяті на облік.
Документи або електронні носії, які містять інформацію з обмеженим доступом та документи, з відкритою інформацією повинні зберігатись окремо.
Повинен вестись журнал обліку ключів від сейфів.
Не залишати без нагляду ключі або відкрите сховище. В неробочий час закривати та опечатувати сейф печаткою відповідальної особи.
Забороняється виготовляти дублікати ключів.
В разі втрати ключів, написати пояснення щодо факту втрати.
За виконанням вимог положення стежить заступник директора (менеджер з інформаційної безпеки). Він повинен забезпечити ознайомлення з даним положенням всіх користувачів мережі, під підпис у відповідному журналі.
Відповідальність, за дотримання правил даного положення, несуть всі співробітники, які розписалися у журналі щодо ознайомлення з цим положенням.
При порушенні вимог положення, працівники несуть дисциплінарне покарання, в тому числі можуть бути звільнені.
Періодичність перегляду проводиться 1 раз на рік або при зміні загальної політики безпеки підприємства, програмного чи апаратного забезпечення, що потребує змін в політиці безпеки.