Курсовая работа: Политика информационной безопасности для ИС Учет и графическое представление основных объектов и 2

Дополнение к пункту 2 по учету основных технических средств (СВТ) и систем:

2.6 Убрать из конфигурации системного блока диспетчеров наличие дисковода и CD-ROMа. Использовать только при необходимости инсталляции программных продуктов.

Дополнение к пункту 8 по защите от несанкционированного доступа:

Реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий;

Регистрация действий субъекта и его процесса - аудит;

Предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов (регистрация нового пользователя, временные изменения в статусе пользователя, перемещения сотрудника);

Реакция на попытки НСД (блокировка, восстановление после НСД);

Тестирование;

Очистка оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;

Учет выходных печатных и графических форм и твердых копий в АС (маркировка документов);

Контроль целостности программной и информационной части как средств разграничения доступа, так и обеспечивающих ее средств.

11. Пакет нормативных документов по порядку обработки и хранения конфиденциальной информации в сети.

4.3 Процедурные меры

4.3.1 Управление персоналом. ОРМ

Под управлением персоналом понимается непосредственно индивидуальная работа с каждым сотрудником организации и со всем коллективом организации в целом. То есть у каждого сотрудника в производственном процессе имеются свои права и обязанности, с которыми он должен быть ознакомлен и согласен с ними. Это могут быть должностные инструкции, перечень информации, СВТ и программных продуктов, с которыми он имеет право работать.

В рамках данного курсового проекта необходимо разработать ряд документов, инструкций, требований – регламентов, предъявляемых сотрудникам организации, которые будут работать с разрабатываемой информационной системой. Создание такого пакета документов во многом обусловлено проведенными законодательными и административными мерами и, как правило, проведение организационно-распорядительных мероприятий (ОРМ) является самым дешёвым и достаточно эффективным средством защиты информации.

Для защиты ИС «Учет основных устройств и объектов магистрального газопровода и газораспределительной сети, задействованных в производственном процессе поставки газа потребителям» рекомендуется утвердить следующие организационные мероприятия:

Регламент об осуществлении охраны помещения оперативно-диспетчерской службы, в которой находятся СВТ и работы с ними.

1.1. Сотрудники ОДС организации несут ответственность за работоспособное состояние СВТ, а также за результаты своей работы в информационной сети.

1.2. Обеспечение физической недоступности к системному блоку (опечатывание/опломбирование). Использование «хранителей экрана».

1.3. Необходимо назначение ответственного лица за каждую единицу информационного обеспечения и за все периферийные устройства, соединенные с ним.

1.4. В случаях, когда сторонние субъекты (специалисты, консультанты и т.п.) в соответствии с документальным соглашением с организацией получают доступ в информационную сеть, к конкретному сетевому ресурсу или СВТ, субъекты должны быть ознакомлены с правилами информационной безопасности, в частности по системе.

1.5 Для обеспечения нормального функционирования СВТ и всей сети сотрудник должен строго следовать правилам, порядкам и другим нормативным документам, регламентирующим части и разделы работы сотрудников.

Регламент о ведении журнала диспетчеров, в котором они будут обязаны расписываться при приеме и сдаче смены. Это обусловлено их сменной работой. По выбранному классу защищенности ИС данный регламент реализует требования регистрации и учета: входа/выхода субъектов доступа в/из системы.

Регламент на использование и защиту паролей.

3.1. Минимальная длина пароля;

3.2. Минимальный срок жизни пароля;

3.3. Максимальное количество ошибок при вводе пароля;

3.4. Поддержка истории паролей;

3.5. При входе пользователя в систему необходимо предупреждение о запрете использования чужих паролей и НСД;

Регламент о разграничении прав доступа к данным на сервере баз данных. Права доступа назначаются администратором и утверждаются генеральным директором.