Обязанности по обеспечению безопасности информационных технологий презентация

2016

РАЗДЕЛ 2. Обеспечение безопасности информационных технологий Тема 2. Обязанности по обеспечению безопасности информационных технологий.

Государственное бюджетное профессиональное образовательное учреждение г. Москвы Колледж связи № 54 им. П.М.Вострухина

менее серьезная проблема, чем «дырки в программном обеспечении».

Пользователь АС является важнейшим информационным ресурсом автоматизированной системы, который:
- реализует критичные функции;
- настраивает программное обеспечение;
- хранит пароли;
- управляет безопасностью ИТ.

Система безопасности ИТ должна обеспечить защиту АС от нарушений со стороны конечных пользователей, обслуживающего персонала, сетевых и системных администраторов, администраторов безопасности и руководителей.

Каждый сотрудник ОБЯЗАН:

- хранить конфиденциальные (защищаемые организацией) сведения, ставшие ему известными в силу производственной (служебной) необходимости;

- во время работы в организации и в течении 3-х лет после увольнения не раскрывать (не передавать) посторонним лицам ставшие ему известными конфиденциальные сведения;

ставшие ему известными или разработанные им конфиденциальные сведения иначе, как в интересах организации;

- соблюдать требования и правила обеспечения безопасности информации в организации;

- в случае прекращения работы в организации, сразу же возвратить все документы ( в т.ч. электронные), носители информации и другие материалы, содержание которых отнесено к конфиденциальной информации, полученные в ходе выполнения своих служебных обязанностей;

Каждый сотрудник, участвующий в рамках своих функциональных обязанностей в процессах автоматизированной обработки информации и имеющий доступ к аппаратным средствам, программному обеспечению и данным автоматизированной системы, несет персональную ответственность за свои действия и ОБЯЗАН:

1. Производить обработку защищаемой информации в подсистемах АС в строгом соответствии с утвержденными технологическими инструкциями;

2. Строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;

АС

3. Знать и строго выполнять правила работы со средствами защиты информации, установленными на его рабочей станции;

4. Хранить в тайне свой пароль (пароли). С установленной периодичностью в соответствии с «Инструкцией по организации парольной защиты» менять свой пароль (пароли);

АС

5. Передавать для хранения установленным порядком свое индивидуальное устройство идентификации (iButton, Smart Card, eToken и т.п.), другие реквизиты разграничения доступа и носители ключевой информации только руководителю своего подразделения или ответственному за информационную безопасность (в пенале, опечатанном своей личной печатью);

6. Надежно хранить и никому не передавать личную печать и использовать ее только для опечатывания пенала с реквизитами доступа и носителями ключевой информации;

АС

7. Если сотруднику предоставлено право защиты документов при помощи ЭЦП, то он дополнительно обязан соблюдать требования «Порядка работы с ключевыми носителями».

8. Присутствовать при работах по изменению аппаратно-программной конфигурации, закрепленной за ним рабочей станции, по завершении таких работ проверять ее работоспособность.

АС

1. Использовать компоненты программного и аппаратного обеспечения не по назначению (в неслужебных целях).

Категорически ЗАПРЕЩАЕТСЯ:

2. Самовольно вносить какие-либо изменения в конфигурацию аппаратно-программных средств рабочей станции.

АС

3. Осуществлять обработку конфиденциальной информации в присутствии посторонних (не допущенных к данной информации) лиц.

4. Записывать и хранить конфиденциальную информацию на неучтенных носителях.

АС

5. Оставлять включенной без присмотра свою рабочую станцию, не активизировав средства защиты от НСД (блокировка экрана и клавиатуры).

6. Передавать кому-либо свой персональный ключевой носитель (iButton, Smart Card, eToken и т.п.), кроме ответственного за информационную безопасность или руководителя своего подразделения.

АС

7. Использовать свои ключи ЭЦП для формирования электронной цифровой подписи любых электронных документов, кроме электронных документов, регламентированных технологическим процессом на его рабочем месте

8. Оставлять без личного присмотра на рабочем месте или где бы то ни было свое персональное устройство идентификации, носители ключевой информации, носители и распечатки, содержащие сведения ограниченного распространения.

информации
ОБЯЗАН:

1. Знать перечень установленных в его подразделении компьютеров и перечень задач, решаемых с их использованием

2. Обеспечивать постоянный контроль за выполнением мероприятий по обеспечению безопасной автоматизированной обработки информации

целостность печатей (пломб) на устройствах защищенных компьютеров

4. Немедленно сообщать об обнаруженных фактах (попытках) несанкционированного доступа к информации и техническим средствам, и принимать необходимые меры по пресечению нарушений

соблюдение порядка проведения работ по установке и модернизации аппаратных и программных средств, при их техническом обслуживании и отправке в ремонт и лично присутствовать при выполнении данных работ

6. Вести «Журнал учета нештатных ситуаций, фактов вскрытия и опечатывания ПЭВМ, выполнения профилактических работ, установки и модификации аппаратных и программных средств»

формуляры защищенных рабочих станций, вести учет изменений их аппаратно-программной конфигурации

8. Проводить работу по выявлению возможных каналов неправомерного вмешательства в процесс функционирования АС и осуществления НСД к информации и техническим средствам ПЭВМ.

контроль за порядком учета, создания, хранения и использования резервных копий массивов данных, докуметов.

10. Инструктировать сотрудников подразделения по вопросам обеспечения безопасности информации и правилам работы с используемыми СЗИ.

информации
ИМЕЕТ ПРАВО:

1. Требовать от соблюдения установленных технологий обработки информации и выполнения инструкций по обеспечению безопасности информации в АС.

2. Инициировать проведение служебных расследований по фактам нарушения установленных требований обеспечения безопасности ИТ, НСД, утраты, порчи защищаемой информации и технических компонентов АС.

руководителю подразделения с требованием прекращения работы на рабочих станциях при несоблюдении установленной технологии обработки информации и невыполнении требований по безопасности ИТ.

4. Подавать свои предложения по совершенствованию организационных, технологических и технических мер защиты на своем участке работы

5. Обращаться в подразделение обеспечения безопасности ИТ за необходимой технической и методологической помощью в своей работе.

ключей
2. Использование ключей
3. Хранение ключей
4. Передача ключей
5. Уничтожение ключей
6. Обновление ключей

Ошибки в технологиях распространения ключей, небрежное хранение становятся причиной того, что злоумышленник получает доступ к строго конфиденциальной информации и может подделать электронную подпись владельца

всевозможных ошибок, в организации должна быть разработана «Политика безопасности при работе с носителями ключевой информации», которая должна содержать ответы на основные вопросы:

- кто должен формировать ключи для пользователей;
- где должны храниться ключи;
- должен ли владелец ключей иметь лицензию на деятельность по техническому обслуживанию шифровальных средств;
- как восстановить зашифрованную информацию при потере ключа;
- кто должен изготовлять ключевые носители;
- как должны уничтожаться ключевые носители;
- кто должен уничтожать ключевые носители и т.д.

Что представляет из себя пользователь АС и какие функции он реализует?
2. Требования обязательства сотрудника по конфиденциальности.
3. Расскажите функциональные обязанности сотрудника, принимающего участие в процессах автоматизированной обработки информации.
4. Что категорически запрещается сотруднику, принимающему участие в процессах автоматизированной обработки информации?
5. Назовите обязанности ответственного за обеспечение безопасности информации.
6. Назовите права ответственного за обеспечение безопасности информации.
7. Ответы на какие основные вопросы должна содержать «Политика безопасности при работе с носителями ключевой информации»?