- •Національний авіаційний університет Кафедра безпеки інформаційний технологій Домашнє завдання №1
- •1.Вступ
- •2.Розробка моделі загроз районного осередку політичної партії
- •3.Рекомендації щодо застосування контрзаходів для забезпечення інформаційної безпеки
- •4.Політика інформаційної безпеки районного осередку політичної партії Вступ
- •Організаційний розділ
- •Класифікаційний розділ
- •Антивірусна політика
- •Відповідальність
- •Штатний розділ
- •Рекомендації
- •Відповідальність
- •Фізичний захист інформації
- •Рекомендовані процедури
- •Заборонено і карається
- •Рекомендовані антивірусні процедури
- •5.Використана література
Рекомендації
Служби з підбору персоналу, керівники підрозділів, відділ кадрів, бухгалтерія та ін зобов'язані погоджувати будь-які дії з регламентації, підбору, переміщенню, звільненню вищевказаного персоналу з ІТ підрозділом і його службою ІБ, будувати свою роботу з урахуванням цієї політики.
ІТ підрозділ зобов'язані провести тестовий контроль кожного нового або переміщуваного співробітника на можливість допуску до ІТ ресурсів компанії, а в разі позитивного рішення провести наступні заходи по забезпеченню доступу:
• ознайомити з політиками ІБ компанії (під підпис);
• роз'яснити структуру, склад і організацію інформаційної системи в рамках посадових обов'язків нового співробітника;
• роз'яснити межі комп'ютерної самодопомоги, після якої персонал може звертатися в службу.
• виділити йому інформаційні ресурси і простір, наділити (зареєструвати, авторизувати) його ідентифікаційним (і) номером (ами), паролем (ами), правами згідно Політики паролів;
• зробити налаштування для користування e-mail, Інтернет та іншими зовнішніми ресурсами;
• видати наявні інструкції, розпорядження керівництва, що стосуються його майбутньої роботи з ІТ ресурсами;
• у співробітника, що звільняється - прийняти ресурси і дезактивувати його авторизацію.
Навчання персоналу роботі з новими додатками не може здійснюватися за участю сторонніх організацій.
При прийомі на роботу персонал повинен бути інструктувати з питань режиму в приміщеннях, збереження, обміну, підготовки паперових / електронних документів, користування факсом, міжміським та міжнародним зв'язком, а також з пожежної та електробезпеки.
Відповідальність
До будь-якого співробітника, поміченого в порушенні цієї політики, можуть застосовуватися дисциплінарні стягнення, аж до звільнення з роботи.
Фізичний захист інформації
Захист устаткування інформаційних систем (включаючи устаткування, використовуване за межами організації) необхідний як для того, щоб зменшити ризик несанкціонованого доступу до даних, так і для того, щоб не допустити його втрату або ушкодження. Варто також приділити увагу проблемам розміщення устаткування і його утилізації. Можуть знадобитися спеціальні міри для захисту від несанкціонованого доступу й інших небезпек, а також для захисту допоміжного устаткування, наприклад, системи електроживлення і кабельного розведення. Устаткування інформаційних систем повинне бути так розміщено і захищено, щоб зменшити ризик, зв'язаний із впливом навколишнього середовища і несанкціонованим доступом. Тому пропонуються наступні заходи:
устаткування слід розміщати так, щоб по можливості звести до мінімуму зайвий доступ у робочі приміщення. Робочі станції, що підгримують конфіденційні дані, повинні бути розташовані так, щоб вони завжди були під візуальним контролем;
заборонити прийом їжі і паління в місцях розміщення комп'ютерного устаткування;
Засоби обчислювальної техніки необхідно захищати від збоїв у системі електроживлення й інших неполадках в електричній мережі. Джерело живлення повинне відповідати специфікаціям виробника устаткування. Доцільно розглянути необхідність використання резервного джерела живлення. Для устаткування, що підтримує критично важливі виробничі сервіси, рекомендується установити джерело безперебійного живлення. Устаткування, що працює з джерелами безперебійного живлення, необхідно регулярно тестувати відповідно до рекомендацій виробника.
Кабелі електроживлення і мережеві кабелі для передачі даних необхідно захищати від розкриття з метою перехоплення інформації й ушкодження. Для зменшення такого ризику в приміщеннях організації пропонується реалізувати наступні захисні міри:
Кабелі електроживлення і лінії зв'язку, що йдуть до інформаційних систем, повинні бути проведені під землею (по можливості) чи захищені належним чином за допомогою інших засобів.
Необхідно розглянути заходи для захисту мережевих кабелів від їхнього несанкціонованого розкриття з метою перехоплення даних і від ушкодження, наприклад, скориставшись екранами або проклавши ці лінії так, щоб вони не проходили через загальнодоступні місця.
Для зменшення ризику несанкціонованого доступу або ушкодження паперової документації і носіїв інформації, рекомендується задати чіткі правила використання робочого столу.Необхідно забезпечити фізичний захист устаткування від погроз порушення безпеки і небезпек, що представляються навколишнім середовищем.
Адміністратори інформаційних систем повинні бути завжди готові до небезпеки проникнення шкідливого програмного забезпечення в системи і по необхідності вживати спеціальних заходів по запобіганню або виявленню його впровадження. Зокрема украй важливо вжити заходів обережності для запобігання і виявлення комп'ютерних вірусів на персональних комп'ютерах.