Исследование нормативно-правовой базы информационной безопасности предприятия (организации)

Автор работы: Пользователь скрыл имя, 11 Октября 2013 в 22:56, лабораторная работа

Краткое описание

Цель: На основе оценки возможных угроз информационной безопасности и с учетом существующей отечественной и международной нормативно-правовой базы построить модель угроз, дать сравнительный анализ нормативных и правовых документов по организации защиты информации на предприятии и разработать рабочую документацию по информационной безопасности.

Содержание

1. Краткие теоретические сведения о нормативно- правовой базе и классификации угроз информационной безопасности
2. Постановка задачи исследования в соответствии с индивидуальным заданием
3. Модель угроз ИБ на заданном предприятии
4. Сравнительный анализ отдельных вопросов защиты информации в зарубежных и отечественных документах (по индивидуальному заданию)
5. Разработка документов по обеспечению информационной безопасности на предприятии
6. Выводы по результатам исследований

Вложенные файлы: 1 файл

инф без лаб.1.docx

— 128.94 Кб (Скачать файл)

В Задании по безопасности предусматривается  возможность включения функциональных требований и требований гарантированности, не содержащихся в ОК. Однако при  включении новых компонентов  в ЗБ необходимо учитывать, что при  этом не только требуется соответствие структуре и правилам ОК, но и не гарантируется сопоставимость результатов при оценке различными специалистами.

Результатом оценки безопасности по ОК должен быть общий вывод, в котором описана степень соответствия объекта оценки функциональным требованиям и требованиям гарантированности.

После оценки продукта ИТ, предназначенного для широкого использования, результаты оценки могут быть включены в каталог оцененных продуктов, чтобы они стали доступными более широкому кругу потребителей. 

4.  Разработка документов по обеспечению информационной безопасности на предприятии.

Приложение А

 справочное

Образцы документов, оформляемых службой  информационной безопасности

 

УТВЕРЖДАЮ

Руководитель  предприятия

Петров Н.Н

“5” _октября 2013 г.

 

А.1   Должностная инструкция

сотруднику, ответственному за защиту информации

Общая часть

  1. Ответственный за защиту информации (штатный специалист) назначается и освобождается от должности руководителем предприятия по согласованию с Управлением Гостехкомиссии России по Южному федеральному округу.
  2. Ответственный за защиту информации назначается из числа ИТР, имеющих опыт работы по основной деятельности предприятия или в области защиты информации.
  3. В своей производственной деятельности ответственный за защиту информации подчиняется руководителю предприятия или его заместителю, ответственному за организацию защиты информации.
  4. Работа ответственного за защиту информации проводится в соответствии с планами работ по защите информации. На ответственного по защите информации запрещается возлагать задачи, не связанные с его деятельностью.
  5. Ответственный за защиту информации свою работу проводит в тесном взаимодействии с научными, производственными, режимно-секретными подразделениями предприятиями, представителями территориальных органов ФСБ, ФАПСИ, Гостехкомиссии.
  6. Ответственный за защиту информации в своей деятельности руководствуется:
    • положением о государственной системе защиты информации в РФ;
    • нормативно-техническими документами по противодействию иностранным техническим разведкам;
    • приказами, указаниями вышестоящих органов по защите информации;
    • ведомственными организационно-распорядительными и нормативно-методическими документами.

Основные функциональные задачи и обязанности:

    1. Планирование работ по защите информации на предприятии, предусматривающее решение конкретных вопросов по защите информации, организацию их выполнения, а также контроль за их эффективностью.
    2. Участие в подготовке предприятия к аттестованию на право проведения работ с использованием сведений, отнесенных к гостайна.
    3. Организация разработки нормативно-методических документов по защите информации на предприятии.
    4. Согласование мероприятий по защите информации для рабочих мест, на которых проводятся работы с использованием сведений, отнесенных к гостайне.
    5. Организация и проведение работ по выявлению:

- демаскирующих признаков предприятия  и выпускаемой продукции;

- видов и средств технической  разведки, которые позволяют получить  сведения о деятельности предприятия;

- технических каналов утечки  информации;

- возможности несанкционированного  доступа к информации, ее разрушения (уничтожения) или искажения и  разработка соответствующих мер  по защите информации.

    1. Разработка (самостоятельно или совместно с режимными органами и другими подразделениями) проектов распорядительных документов по вопросам организации защиты информации.
    2. Организация, в соответствии с нормативно-техническими документами, специальных проверок и проведение аттестования рабочих мест, ПЭВМ и т.д. с выдачей предписания на право проведения на них работ с секретной информацией.
    3. Разработка предложений по совершенствованию системы защиты информации на предприятии.
    4. Разработка совместно с другими подразделениями предприятия Руководства по защите информации на предприятии.
    5. частие в разработке комплекса мероприятий по защите гостайны при установлении и осуществлении научно-технических и торгово-экономических связей с зарубежными фирмами, а также при посещении предприятия иностранными специалистами.
    6. частие в разработке требований по защите информации при проведении работ, связанных с движением и хранением продукции, а также при проектировании, строительстве (реконструкции) и эксплуатации объектов предприятия.
    7. Участие в согласовании ТЗ на проведение работ, связанных со сведениями, содержащими гостайну.
    8. Организация и проведение периодического контроля эффективности мер защиты информации на предприятии. Учет и анализ результатов контроля.
    9. Участие в расследовании нарушений в области защиты информации на предприятии и разработка предложений по устранению недостатков и предупреждению подобного рода нарушений.
    10. Подготовка отчетов о состоянии работ по защите информации на предприятии.
    11. Организация проведения занятий с руководителями и специалистами предприятия по вопросам защиты информации.

Ответственный за защиту информации имеет право:

      1. Допуска к работам и документам подразделений предприятия, для оценки принимаемых мер по защите информации и подготовки предложений по их дальнейшему совершенствованию.
      2. Готовить предложения о привлечении к проведению работ по защите информации предприятия, имеющего лицензию на соответствующий вид деятельности.
      3. Контролировать деятельность любого структурного подразделения предприятия по выполнению требований по защите информации.
      4. Участвовать в работе технической комиссии предприятия при рассмотрении вопросов защиты информации.
      5. Вносить предложения руководителю предприятия о приостановке работ в случае обнаружения утечки (или предпосылок к утечке) информации.
      6. Получать лицензии на право выполнения работ по защите информации и при ее получении оказывать услуги в этой области другим предприятиям.
      7. Быть соисполнителем при проведении на договорной основе работ, связанных с защитой информации по темам НИОКР, а также производственным заказам или программам испытаний.

________________________________________________________________________________________________ 

УТВЕРЖДАЮ

Руководитель  предприятия

Петров Н.Н

“5” _октября 2013 г.

А.3   ИНСТРУКЦИЯ

о порядке ввода в  эксплуатацию  объектов  ЭВТ, допуска сотрудников  к работе на ПЭВМ,  и соблюдению требований собственной  безопасности  при  обработке  закрытой   информации   на   СВТ

К работе на ПЭВМ в  Банке допускаются   сотрудники,  имеющие  соответствующую  квалификацию (прошедшие подготовку), после сдачи ими зачета по знанию инструкции о порядке ввода в эксплуатацию объектов ЭВТ,  допуска сотрудников к работе на ПЭВМ, и соблюдению требований собственной безопасности  при обработке закрытой информации на средствах вычислительной техники,  инструкции по защите электронной информации  от компьютерных вирусов по заявлению установленного образца.

Все приобретенные компьютеры, независимо от источника их получения в 10-дневный  срок должны пройти проверку в  отделе автоматизации.  Пуско-наладочные работы  по  вводу ПЭВМ в эксплуатацию и последующее техническое обслуживание СВТ осуществляются специалистами ВЦ.

На ПЭВМ устанавливается только необходимое,  сертифицированное  проверенное математико-программное  обеспечение (МПО), утвержденное директором Петровым (Вн. № 854796).

Узлы и блоки оборудования СВТ, к которым в процессе эксплуатации доступ  не  требуется,  опечатываются  специалистами ВЦ с целью предупреждения несанкционированного вскрытия оборудования.

По всем фактам несанкционированного вскрытия узлов и  блоков СВТ проводится служебное разбирательство.

Замена или подключение других технических средств, не входящих в  комплект объекта ЭВТ, не допускается.

Запрещается :

  • устанавливать  и использовать нештатное МПО без согласования с ВЦ;
  • производить обработку секретной информации на СВТ, не прошедших соответствующую проверку в ВЦ,  регистрацию, категорирование и не имеющих предписания на эксплуатацию;
  • сообщать устно или письменно кому бы то ни было,  если это не вызвано  служебной необходимостью,  любые сведения о характере выполняемой на СВТ работы; о применяемых системах защиты информации; о паролях, используемых в средствах защиты; о системе охраны и пропускном режиме;
  • перевозить  машинные носители, содержащие конфиденциальную информацию, и документы общественным транспортом,  заходить с ними в места,  не связанные с выполнением задания,  и транспортировать их без соответствующей упаковки.

 

 Категорически  запрещается :

  • осуществлять ремонт СВТ с установленными магнитными  носителями в сторонних организациях без согласования с ВЦ и начальника отдела автоматизации.

 

 

Ответственность за  обеспечение  режима конфиденциальности и выполнение мероприятий по защите  информации,  обрабатываемой  на СВТ, несет начальник подразделения.

Начальник _________ отдела

                                                                                                                      


            Утверждена

приказом  руководителя предприятия №_____ от_______200  г. 

 

 

УТВЕРЖДАЮ

Руководитель  предприятия

Петров Н.Н

“5” _октября 2013 г.

 

 

А.6      И Н С Т  Р У К Ц И Я 
по ПД ТСР и обеспечению безопасности информации 
от несанкционированного доступа на объектах ЭВТ  
Банка

1. Для непосредственного осуществления  комплекса мероприятий по ПД  ИТР и обеспечению безопасности  информации от несанкционированного  доступа приказом по Банку назначаются ответственные лица. В их обязанность входит:

- выявление и устранение  возможных каналов утечки информации;

- знание перечня задач,  решаемых на объекте;

- осуществление контроля за порядком работы персонала в части защиты от несанкционированного доступа к информации.

2. Размещение и установка СВТ  в помещениях должна исключать  возможность их бесконтрольного  использования и просмотра обрабатываемой  информации лицами, не имеющими  права доступа к ней.

3. Руководитель структурного подразделения совместно с ответственным за ПД ИТР и защиту информации данного подразделения определяет количество специалистов для работы на СВТ каждого помещения, согласовывает с начальником отдела автоматизации и представляет на утверждение директору список лиц, имеющих право выполнения работ на СВТ с секретной и несекретной информацией. После утверждения данный список вывешивается на наружной части входной двери данного помещения.

Вход посторонних лиц  в данное помещение запрещается.

4. Для каждого помещения с установленными в нем СВТ должна быть разработана схема размещения, на которой отмечены все технические средства и кабельные трассы с указанием расстояний по их разносу. Установление нового оборудования, технических средств, мебели и т.п. или замена их, а также ремонт помещения, где установлены СВТ, должны производиться только по согласованию с директором.

5. Ответственность за режим секретности  на объектах ЭВТ и правильность  использования установленных технических средств несет директор, который обязан строго руководствоваться требованиями статей раздела 16 Инструкции N 0126 - 87 г. и требовать неукоснительного их выполнения от подчиненных ему специалистов.

6. На всех СВТ, допущенных  к частичной обработке секретной  информации, загрузка и применение  игр запрещается.

7. В рабочее время, в случае  временного отсутствия работающих  лиц, оставлять помещение в  открытом состоянии строго запрещается.

8. По окончании рабочего дня  помещения с установленными в  них СВТ должны закрываться  на замок, опечатываться печатью и сдаваться под охрану под расписку в журнале установленной формы, после чего ставиться на сигнализацию.

9. Оператор СВТ обязан постоянно  вести "Журнал учета времени  работы" как с частично обрабатываемой  секретной информацией, так и  несекретной по форме N 76 Инструкции N 0126 - 87 г., а директор  не реже одного раза в месяц производить контроль правильности ведения журнала с записью результатов и даты контроля.

Информация о работе Исследование нормативно-правовой базы информационной безопасности предприятия (организации)