Конфіденційна інформація

[ виправити ] текст може містити помилки, будь ласка перевіряйте перш ніж використовувати.

скачати


ЗМІСТ

1. Інструкція з організації антивірусного захисту

2. Інструкція з організації парольного захисту

3. Порядок поводження з інформацією підлягає захисту

4. План забезпечення безперервної роботи і відновлення

5. Угода про нерозголошення конфіденційної інформації

Список літератури

ЛАБОРАТОРНА РОБОТА 4

ІНСРУКЦІЯ ПО організації антивірусного захисту

Загальні положення

1. Справжня Політика визначає правила, якими повинні керуватися працівники при організації антивірусного захисту.

2. Метою захисту від вірусів і інших шкідливих програм є запобігання збитку від дій, що здійснюються даними програмами.

Область застосування

Положення цієї Політики поширюються на всі роботи, пов'язані із забезпеченням антивірусного захисту, а так само на всіх співробітників, яким надано доступ до інформаційних ресурсів.

Правила використання засобів антивірусного захисту

1. До використання допускаються тільки ліцензійні антивірусні засоби, закуплені у постачальників зазначених коштів.

2. Встановлення та налаштування параметрів засобів антивірусного контролю на робочих станціях і серверах КВС здійснюється уповноваженими співробітниками відділу обслуговування обчислювальної техніки.

3. Оновлення антивірусних засобів має відбуватися в автоматичному режимі. Допускається робота антивіруса з оновленнями не старше 72 годин.

4. Антивірусний контроль всіх дисків і файлів робочих станцій повинен проводитися щотижня.

5. На кожній робочій станції і сервері в резидентном режимі повинен бути запущений антивірусний монітор.

6. Обов'язковому антивірусному контролю підлягає будь-яка інформація, що отримується по телекомунікаційних каналах зв'язку та на знімних носіях.

7. Встановлений програмне забезпечення повинно бути попередньо перевірено на наявність вірусів.

8. Кожен користувач КВС повинен бути обізнаний про небезпеку зараження вірусами і навчений роботі з антивірусним ПЗ. Обов'язки з навчання користувачів по використанню антивірусного ПЗ покладаються на адміністратора ЛВС.

Відповідальність

Відповідальність за організацію антивірусного контролю в підрозділі покладається на керівника підрозділу. Відповідальність за проведення заходів антивірусного контролю в підрозділі покладається на відповідального за забезпечення безпеки інформації в підрозділі і всіх співробітників підрозділу, які є користувачами АС. За порушення положень даної Політики співробітники можуть бути відсторонені від доступу до ресурсів КВС і несуть відповідальність відповідно до законодавства РФ.

2. ІНСТРУКЦІЯ З ОРГАНІЗАЦІЇ Парольний захист

Дана інструкція регламентує організаційно-технічне забезпечення процесів генерації, зміни і припинення дії паролів (видалення облікових записів користувачів) в локальній мережі ФГТУ ВПО Костромської ГСХА далі ЛЗ, а також контроль за діями користувачів і обслуговуючого персоналу системи при роботі з паролями.

  1. Організаційне та технічне забезпечення процесів генерації, використання, зміни та припинення дії паролів у всіх підсистемах ЛЗ і контроль за діями виконавців і обслуговуючого персоналу системи при роботі з паролями покладається на співробітників ІТЦ - адміністраторів засобів захисту, що містять механізми ідентифікації і аутентифікації (підтвердження достовірності) користувачів за значеннями паролів.

  2. Приватні паролі повинні генеруватися і розподілятися централізовано або вибиратися користувачами автоматизованої системи самостійно з урахуванням наступних вимог:

  • довжина пароля повинна бути не менше 8 символів;

  • в числі символів пароля обов'язково повинні бути присутніми літери у верхньому і нижньому регістрах, цифри та спеціальні символи (@, #, $, &, *,% і т.п.);

  • пароль не повинен включати в себе легко обчислювані поєднання символів (імена, прізвища, найменування АРМ і т.д.), а також загальноприйняті скорочення (ЕОМ, ЛВС, USER і т.п.);

  • при зміні пароля нове значення має відрізнятися від попереднього не менш ніж у 6 позиціях;

  • особистий пароль користувач не має права повідомляти нікому.

  1. При наявності у разі виникнення нештатних ситуацій, форс-мажорних обставин і т.п. технологічної необхідності використання імен і паролів деяких співробітників (виконавців) у їх відсутність, такі співробітники зобов'язані відразу ж після зміни своїх паролів їх нові значення (разом з іменами відповідних облікових записів) в запечатаному конверті або опечатаному пеналі передавати на зберігання відповідальній за інформаційну безпеку підрозділи ( керівнику свого підрозділу). Опечатані конверти (пенали) з паролями виконавців повинні зберігатися в сейфі. Для опечатування конвертів (пеналів) повинні застосовуватися особисті печатки власників паролів (при їх наявності у виконавців).

  2. Повна планова зміна паролів користувачів повинна проводитися регулярно, не рідше одного разу на 40 днів.

  3. Позапланова зміна особового пароля або видалення облікового запису користувача автоматизованої системи в разі припинення його повноважень (звільнення, перехід на іншу роботу і т.п.) повинна проводитися уповноваженими співробітниками ІТЦ - адміністраторами відповідних засобів захисту негайно після закінчення останнього сеансу роботи даного користувача з системою.

  4. У випадку компрометації особистого пароля користувача автоматизованої системи повинні бути негайно вжиті заходи відповідно до п. 5 цієї Інструкції.

  5. Зберігання співробітником (виконавцем) значень своїх паролів на паперовому носії допускається тільки в особистому, опечатаному власником пароля сейфі, або в сейфі у відповідального за інформаційну безпеку чи керівника підрозділу в опечатаному особистою печаткою пеналі (можливо разом з персональними ключовими дискетами і ідентифікатором Touch Memory).

3. ПОРЯДОК ЗВЕРНЕННЯ З ІНФОРМАЦІЄЮ ПІДЛЯГАЄ ЗАХИСТУ

Цей Порядок розроблено з метою дотримання належних правил поводження з не містять державної таємниці конфіденційними та іншими захищеними відомостями, а також захисту прав та інтересів ОРГАНІЗАЦІЇ, її клієнтів та кореспондентів у разі неправомірного поводження з захищається.

ОРГАНІЗАЦІЯ, як власник (власник) інформації, вживає заходів по захисту банківської таємниці, персональних даних, службової таємниці, своєї комерційної таємниці та іншої інформації відповідно до наданих йому чинним законодавством правами і обов'язками.

До категорій конфіденційних відносяться відомості, що задовольняють наступним критеріям:

  • вони не є загальновідомими або загальнодоступними на законних підставах;

  • монопольне володіння цими відомостями дає ОРГАНІЗАЦІЇ комерційні переваги, економічну та іншу вигоду і розголошення або відкрите використання яких може призвести до нанесення шкоди (матеріального, морального, фізичного) ОРГАНІЗАЦІЇ, його клієнтам або кореспондентам (комерційна таємниця);

  • щодо яких ОРГАНІЗАЦІЯ зобов'язана забезпечити реалізацію необхідних заходів захисту (банківська таємниця, персональні дані, службова таємниця);

  • ці відомості не захищені діючим законодавством (авторським, патентним правом і т.п.).

3. Під банківською таємницею розуміються відомості про операції, рахунки і внески, а також відомості про клієнтів і кореспондентів Банку, що підлягають обов'язковому захисту згідно зі ст. 26 Закону РФ «Про банки і банківську діяльність» та ст. 857 Цивільного кодексу.

Під службовою таємницею розуміються відомості, які не є банківською таємницею, і підлягають обов'язковому захисту згідно «Переліку відомостей обмеженого поширення в ОРГАНІЗАЦІЇ», введеного Наказом № __ від __.__.__г.

Під комерційною таємницею ОРГАНІЗАЦІЇ розуміються відомості, пов'язані з виробництвом, технологією, управлінням, фінансами та іншою діяльністю ОРГАНІЗАЦІЇ, розголошення (передача, витік, відкрите використання) яких може призвести до нанесення шкоди ОРГАНІЗАЦІЇ, її клієнтам або кореспондентам.

Під персональними даними розуміються відомості про факти, події і обставини приватного життя громадян, що дозволяють ідентифікувати їх особу.

4. Перелік відомостей (інформаційних ресурсів), що становлять банківську таємницю визначається відповідно до Закону РФ «Про банки і банківську діяльність».

5. Перелік відомостей (інформаційних ресурсів), що становлять комерційну таємницю ОРГАНІЗАЦІЇ, неправильне поводження з якими може завдати шкоди їх власнику, власнику або іншій особі, визначається керівництвом ОРГАНІЗАЦІЇ на підставі наданих чинним законодавством прав.

6. Зазначені переліки оформляються у вигляді "Переліку інформаційних ресурсів, які підлягають захисту" (Додаток 4 до Положення про визначення вимог до захисту (категоріювання) ресурсів).

Крім конфіденційної інформації в даний «Перелік ...» включається інформація, що підлягає захисту в силу того, що порушення її цілісності (спотворення, фальсифікація) або доступності (знищення, блокування) може призвести до нанесення відчутного збитку ОРГАНІЗАЦІЇ, її клієнтам або кореспондентам.

7. ОРГАНІЗАЦІЯ, як власник (власник) інформації, що становить комерційну таємницю ОРГАНІЗАЦІЇ, має право передавати та продавати її іншим юридичним і фізичним особам в якості товару за умови, що дана угода не суперечить зобов'язанням ОРГАНІЗАЦІЇ, не обмежує права і не завдає шкоди самому ОРГАНІЗАЦІЇ, його співробітникам, клієнтам або кореспондентам.

Розкриття юридичним або фізичним особам комерційної таємниці ОРГАНІЗАЦІЇ можливо у разі залучення їх до спільної господарської, фінансової та іншої діяльності, що вимагає передачі конфіденційних відомостей, і тільки в тому обсязі, який необхідний для реалізації цілей і завдань ОРГАНІЗАЦІЇ, а також за умови прийняття ними на себе зобов'язань щодо нерозголошення і виключенню неправомірного використання отриманих відомостей.

Право прийняття рішення на передачу (надання) конфіденційних відомостей третім особам надано тільки Керівнику ОРГАНІЗАЦІЇ.

Конфіденційні відомості інших юридичних або фізичних осіб, передані ОРГАНІЗАЦІЇ для виконання робіт або здійснення іншої спільної діяльності, і щодо яких ОРГАНІЗАЦІЯ взяла на себе зобов'язання про нерозголошення і виключення неправомірного їх використання, підлягають захисту нарівні з іншими відомостями, що складають комерційну таємницю ОРГАНІЗАЦІЇ.

Вся інформація, надана розкриває стороною одержує стороні, залишається виключною власністю розкривала сторони.

Інформація не вважається комерційною таємницею, а отримує її сторона не буде мати ніяких зобов'язань відносно даної інформації, якщо вона:

  • стала відома одержує стороні в результаті неправильного поводження або зберігання розкриває стороною;

  • стала відома одержує стороні від третіх осіб;

  • незалежно розроблена одержує стороною, за умови, що особа або особи, які її розробили, не мали доступу до конфіденційної інформації розкривала сторони.

Передача відомостей, що становлять банківську таємницю, здійснюється в суворій відповідності до чинного законодавства.

8. Кожен співробітник ОРГАНІЗАЦІЇ зобов'язаний зберігати банківську, службову і комерційну таємницю і дотримуватися вимог поводження з захищається, що стала йому відомою (або доступною для маніпулювання) в процесі роботи. Свої зобов'язання щодо збереження комерційної таємниці ОРГАНІЗАЦІЇ він підтверджує при укладенні трудового договору (контракту), підписуючи "Угода (зобов'язання) про дотримання вимог поводження з захищається".

Кожен співробітник зобов'язаний знати і виконувати вимоги цього документа і вживати заходів щодо запобігання несанкціонованого витоку (розголошення), спотворення, блокування або знищення використовуваної ним в роботі інформації, що підлягає захисту відповідно до "Переліку ...".

У разі відсутності, на думку виконавця, в "Переліку ..." тих чи інших підлягають захисту відомостей, він зобов'язаний у найкоротший термін через керівника свого структурного підрозділу представити у відділ технічного захисту інформації Управління безпеки і захисту інформації ОРГАНІЗАЦІЇ свої пропозиції про внесення до " Перелік ... "необхідних доповнень (змін) та вжиття заходів щодо захисту відповідних інформаційних ресурсів.

9. Відповідальними за прийняття необхідних організаційних і технічних заходів безпеки і дотримання співробітниками ОРГАНІЗАЦІЇ вимог поводження з захищається є Управління безпеки і захисту інформації ОРГАНІЗАЦІЇ (відділ технічного захисту інформації) та керівники структурних підрозділів ОРГАНІЗАЦІЇ (відповідно до закріпленням відповідальності підрозділів в "Переліку відомостей ... ")

10. Порядок обліку, зберігання та знищення документів і магнітних носіїв інформації.

У підрозділах ОРГАНІЗАЦІЇ облік документів і магнітних носіїв з захищається здійснюється особами (далі - діловодами), яким доручено прийом і облік несекретної документації.

На документах, що містять відомості обмеженого поширення, проставляється позначка "Для службового користування". Зазначена помітка і номер примірника проставляються у правому верхньому куті першої сторінки документа. Використовувати інші обмежувальні позначки або грифи ("Конфіденційно", "Банківська таємниця" тощо) забороняється.

Віднесення конкретних документів до документів «ДСК» проводиться виконавцем (розробником) та / або особою, підписує (затверджує) документ на підставі "Переліку ...".

Документи з позначкою "Для службового користування":

  • враховуються, як правило, окремо від несекретної інформації. При незначному обсязі таких документів дозволяється вести їх облік спільно з іншими несекретними документами. До реєстраційного номера (індексу) документа додається позначка "ДСК";

  • на останньому аркуші (на зворотному боці) має бути вказана кількість примірників, прізвище виконавця, номер його телефону і дата друку. Надруковані і підписані документи разом з чернетками та варіантами передаються для діловодства. Чернетки і варіанти знищуються секретарем з відображенням факту знищення в облікових формах. Недописані з яких-небудь причин проекти документів знищуються особисто виконавцем;

  • після реєстрації передаються співробітникам підрозділів під розписку;

  • пересилаються стороннім організаціям замовними поштовими відправленнями, а за наявності відповідного договору через органи фельдзв'язку або спецзв'язку;

  • розмножуються (тиражуються) з дозволу начальника підрозділу. Дозвіл оформляється на останньому аркуші (на зворотному боці) розмножується документа. Облік розмножених документів здійснюється поекземплярно;

  • зберігаються в надійно замикаються і опечатується шафах (ящиках, сховищах).

Вимоги пунктів цього Порядку поширюється і на знімні машинні носії інформації, що містять відомості обмеженого поширення. Використовувані для запису інформації, що захищається носії повинні бути враховані у діловодів підрозділів ОРГАНІЗАЦІЇ. На магнітному носії проставляються реєстраційний номер, позначка "Для службового користування", дата і розпис працівника, який відповідає за облік носіїв.

При необхідності направлення документів з позначкою "Для службового користування" на кілька адрес складається покажчик розсилки, в якому поадресних проставляються номери примірників відправляються документів. Покажчик розсилки підписується виконавцем та керівником підрозділу, який готував документ.

Виконані документи з позначкою "Для службового користування" групуються у справи відповідно до номенклатури справ несекретної діловодства. На обкладинці справи, в яку поміщені такі документи, також проставляється позначка "Для службового користування".

Знищення справ, документів, машинних носіїв з позначкою "Для службового користування", які втратили своє практичне значення і не мають історичної цінності, здійснюється за актом. В облікових формах про це робиться відмітка з посиланням на відповідний акт.

Передача документів і справ з позначкою "Для службового користування" від одного працівника іншого здійснюється з дозволу керівника підрозділу, з відміткою у відповідних журналах обліку.

При зміні працівника, відповідального за облік документів з позначкою "Для службового користування", складається акт прийому-здачі цих документів, який затверджується начальником управління.

Перевірка наявності документів, магнітних носіїв інформації і справ з позначкою "Для службового користування" проводиться один раз на рік комісією, призначеною начальником управління. Результати перевірки оформляються актом. Перевірка наявності документів і порядку поводження з ними при необхідності може проводитися відповідними співробітниками Управління безпеки і захисту інформації, а також особою, якій доручено прийом і облік документації обмеженого поширення.

У разі невиконання вимог цього документа і нанесення Банку, його клієнтам і кореспондентам матеріального або іншого збитку, до одержує стороні (співробітникові, організації) пред'являються вимоги про його відшкодування відповідно до чинного законодавства.

За розголошення (несанкціоновану передачу третім особам тощо) відомостей, що містять персональні дані або становлять комерційну або банківську таємницю посадові особи (співробітники), клієнти та кореспонденти ОРГАНІЗАЦІЇ несуть кримінальну (ст. 183 КК РФ), цивільну (ст. 139, 857 ГК РФ) або дисциплінарну відповідальність у порядку, визначеному чинним законодавством та внутрішніми нормативними актами ОРГАНІЗАЦІЇ.

ОДЕРЖУЄ, несе відповідальність за:

  • розголошення конфіденційних відомостей (що становлять банківську таємницю, комерційну таємницю або персональних даних) внаслідок їх неправильного зберігання або використання;

  • НЕ припинення розголошення або неправомірного використання конфіденційних відомостей, після виявлення факту розголошення.

За неправомірний доступ до комп'ютерної інформації, створення, використання або поширення шкідливих програм, а також порушення правил експлуатації ЕОМ, наслідком яких стало порушення роботи ЕОМ (автоматизованої системи обробки інформації), знищення, блокування чи модифікація захищається ОРГАНІЗАЦІЄЮ інформації, співробітники ОРГАНІЗАЦІЇ несуть відповідальність згідно до статей 272, 273 та 274 Кримінального кодексу Російської Федерації.

4. ПЛАН ЗАБЕЗПЕЧЕННЯ непріривного РОБОТИ І ВІДНОВЛЕННЯ

1. ЗАГАЛЬНІ ПОЛОЖЕННЯ

1.1. Цей документ визначає основні заходи, методи та засоби збереження (підтримання) працездатності АС при виникненні різних кризових ситуацій, а також способи і засоби відновлення інформації і процесів її обробки у разі порушення працездатності АС і її основних компонентів. Крім того, він описує дії різних категорій персоналу системи в кризових ситуаціях з ліквідації їх наслідків та мінімізації завдається шкоди.

1.2. Класифікація кризових ситуацій. Ситуація, що виникає внаслідок небажаного впливу на АС, не запобіг засобами захисту, називається кризовою. Кризова ситуація може виникнути в результаті злого умислу або випадково (в результаті ненавмисних дій, аварій, стихійного лиха тощо).

Під умисним нападом розуміється кризова ситуація, яка виникла в результаті виконання зловмисниками в певні моменти часу заздалегідь обдуманих і спланованих дій.

Під випадковою (ненавмисної) кризовою ситуацією розуміється така кризова ситуація, яка не була результатом заздалегідь обдуманих дій і виникнення якої стало результатом, об'єктивних причин випадкового характеру, халатності, недбалості або випадкового збігу обставин.

За ступенем серйозності і розмірам завдається шкоди кризові ситуації поділяються на такі категорії:

Загрозлива - призводить до повного виходу АС з ладу і її нездатності виконувати далі свої функції, а також до знищення, блокування, неправомірною модифікації або компрометації найбільш важливої ​​інформації;

Серйозна - приводить до виходу з ладу окремих компонентів системи (часткової втрати працездатності), втрати продуктивності, а також до порушення цілісності та конфіденційності програм і даних в результаті несанкціонованого доступу.

Ситуації, що виникають в результаті небажаних впливів, що не завдають відчутного збитку, але тим не менше потребують уваги та адекватної реакції (наприклад, зафіксовані невдалі спроби проникнення або несанкціонованого доступу до ресурсів системи) до критичних не відносяться. Дії у разі виникнення таких ситуацій передбачені Планом захисту (в обов'язках персоналу відділу захисту інформації).

1.3. Джерела інформації про виникнення кризової ситуації:

  • користувачі, що виявили невідповідності Плану захисту або інші підозрілі зміни в роботі або конфігурації системи або засобів її захисту в своїй зоні відповідальності;

  • засоби захисту, що виявили передбачену планом захисту кризову ситуацію;

  • системні журнали, в яких є записи, що свідчать про виникнення або можливість виникнення кризової ситуації.

2. ЗАХОДИ ЗАБЕЗПЕЧЕННЯ БЕЗПЕРЕРВНОЇ РОБОТИ І ВІДНОВЛЕННЯ АВТОМАТИЗОВАНОЇ СИСТЕМИ

2.1. Безперервність процесу функціонування АС і своєчасність відновлення її працездатності досягається:

  • проведенням спеціальних організаційних заходів та розробкою організаційно-розпорядчих документів з питань забезпечення НРР обчислювального процесу;

  • суворої регламентацією процесу обробки інформації із застосуванням ЕОМ і дій персоналу системи, у тому числі в кризових ситуаціях;

  • призначенням і підготовкою посадових осіб, відповідальних за організацію і здійснення практичних заходів щодо забезпечення НРР інформації та обчислювального процесу;

  • чітким знанням і суворим дотриманням усіма посадовими особами, які використовують засоби обчислювальної техніки АС, вимог керівних документів щодо забезпечення НРР;

  • застосуванням різних способів резервування апаратних ресурсів, еталонного копіювання програмних і страхового копіювання інформаційних ресурсів системи;

  • ефективним контролем за дотриманням вимог щодо забезпечення НРР посадовими особами і відповідальним;

  • постійною підтримкою необхідного рівня захищеності компонентів системи, безперервним керуванням і адміністративної підтримкою коректного застосування засобів захисту;

  • проведенням постійного аналізу ефективності вжитих заходів і застосовуваних способів та засобів забезпечення НРР, розробкою та реалізацією пропозицій щодо їх вдосконалення.

3. ЗАГАЛЬНІ ВИМОГИ

Всі користувачі, робота яких може бути порушена в результаті виникнення загрозливої ​​чи серйозної кризової ситуації, повинні негайно сповіщена. Подальші дії щодо усунення причин порушення працездатності АС, відновлення обробки та відновлення пошкоджених (втрачених) ресурсів визначаються функціональними обов'язками персоналу і користувачів системи.

Кожна кризова ситуація повинна аналізуватися адміністрацією безпеки та за результатами цього аналізу повинні вироблятися пропозиції щодо зміни повноважень користувачів, атрибутів доступу до ресурсів, створення додаткових резервів, зміни конфігурації системи або параметрів налаштування засобів захисту тощо

Серйозна і загрозлива кризова ситуація можуть вимагати оперативної заміни та ремонту вийшло з ладу, а також відновлення пошкоджених програм і наборів даних з резервних копій.

Оперативне відновлення програм (використовуючи еталонні копії) і даних (використовуючи страхові копії) у разі їх знищення або псування в серйозній або загрозливій кризової ситуації забезпечується резервним (страховим) копіюванням і зовнішнім (по відношенню до основних компонентів системи) зберіганням копій.

Резервного копіювання підлягають всі програми й дані, що забезпечують працездатність системи та виконання нею своїх завдань (системне та прикладне програмне забезпечення, бази даних та інші набори даних), а також архіви, журнали транзакцій, системні журнали і т. д.

Всі програмні засоби, що використовуються в системі повинні мати еталонні (дистрибутивні) копії. Їх місцезнаходження та відомості про відповідальних за їх створення, зберігання і використання повинні бути зазначені у формулярах на кожну ПЕОМ (робочу станцію). Там же повинні бути вказані переліки наборів даних, що підлягають страховому копіюванню, періодичність копіювання, місце зберігання та відповідальні за створення, зберігання і використання страхових копій даних.

Необхідні дії персоналу по створенню, зберігання і використання резервних копій програм та даних повинні бути відображені у функціональних обов'язках відповідних категорій персоналу.

Кожен носій, що містить резервну копію, повинен мати позначку, що містить дані про клас, цінності, призначення інформації, що зберігається, відповідальному за створення, зберігання і використання, дату останнього копіювання, місце зберігання тощо

Дублюючі апаратні ресурси призначені для забезпечення працездатності системи у разі виходу з ладу всіх або окремих апаратних компонентів в результаті загрозливою кризової ситуації. Кількість і характеристики дублюючих ресурсів повинні забезпечувати виконання основних завдань системою в будь-якій із передбаченої планом ОНРВ кризової ситуації.

Ліквідація наслідків загрозливою чи серйозної кризової ситуації на увазі, можливо, більш повне відновлення програмних, апаратних, інформаційних та інших пошкоджених компонентів системи. Для відновлення використовуються кошти, перераховані в Додатку 2.

У разі виникнення будь-якої кризової ситуації має проводитися розслідування причин її виникнення, оцінка заподіяної шкоди, визначення винних і прийняття відповідних заходів.

Розслідування кризової ситуації проводиться групою, яка призначається керівництвом закладу. Очолює групу адміністратор безпеки. Висновки групи доповідаються безпосередньо керівництву установи.

Якщо причиною загрозливої ​​чи серйозної кризової ситуації з'явилися недостатньо жорсткі заходи захисту та контролю, а збиток перевищив встановлений рівень, то така ситуація є підставою для повного перегляду Плану захисту та Плану забезпечення безперервної роботи і відновлення.

4. ПОРЯДОК ПЕРЕГЛЯДУ ПЛАНУ

4.1. План ОНРВ підлягає повного перегляду у наступних випадках:

  • при зміні переліку вирішуваних завдань, конфігурації технічних і програмних засобів АС, що призводять до зміни технології обробки інформації;

  • при зміні пріоритетів у значимості загроз безпеки АЕС.

4.2. План ОНРВ підлягає частковому перегляду в наступних випадках:

  • при зміні конфігурації, додавання або видалення програмних і технічних засобів в АС, що не змінюють технологію обробки інформації;

  • при зміні конфігурації використовуваних програмних і технічних засобів;

  • при зміні складу, обов'язків і повноважень користувачів системи.

4.3. Профілактичний перегляд Плану ОНРВ проводиться не рідше 1 разу на рік і має на меті перевірку достатності визначених цим планом заходів реальним умовам застосування АС та існуючим вимогам.

4.4. У разі часткового перегляду можуть бути додані, видалені або змінені різні додатки до плану з обов'язковим зазначенням даних про те, хто санкціонував, хто, коли і з якою метою вніс зміни.

4.5. Внесені в план зміни не повинні суперечити іншим положенням Плану ОНРВ та Плану захисту і повинні бути перевірені на коректність, повноту і реальну здійсненність.

4.6. Перегляд Плану ОНРВ повинен здійснюватися спеціальною комісією, склад якої затверджується керівництвом _________________.

Включення представників служби безпеки (головного адміністратора безпеки) до складу комісії з перегляду Плану ОНРВ обов'язково.

5. ВІДПОВІДАЛЬНІ ЗА РЕАЛІЗАЦІЮ ПЛАНУ

5.1. Відповідальним за реалізацію даного документа призначається

ЛИСТ реєстрації змін

Дата

Зміст внесеного зміни

Ким санкціоновано зміна (яким документом)

Підпис особи, яка провела зміни









Кризові ситуації, передбачені планом забезпечення безперервної роботи і відновлення.

1. До загрозливим кризових ситуацій відносяться:

  • порушення подачі електроенергії в будівлі;

  • вихід з ладу файлового сервера (з втратою інформації);

  • вихід з ладу файлового сервера (без втрати інформації);

  • часткова втрата інформації на сервері без втрати його працездатності;

  • вихід з ладу локальної мережі (фізичного середовища передачі даних);

2. До серйозних кризових ситуацій належать:

  • вихід з ладу робочої станції (з втратою інформації);

  • вихід з ладу робочої станції (без втрати інформації);

  • часткова втрата інформації на робочій станції без втрати її працездатності;

3. До ситуацій, які вимагають уваги відносяться:

  • несанкціоновані дії, заблоковані засобами захисту і зафіксовані засобами реєстрації.

Засоби забезпечення безперервної роботи і відновлення

1. Резервного копіювання (РК) підлягає наступна інформація:

  • системні програми і набори даних - невідновлювані (однократному, еталонному) РК;

  • прикладне програмне забезпечення та набори даних - невідновлюваної РК;

  • набори даних, що генеруються протягом операційного дня і містять цінну інформацію (журнали транзакцій, системний журнал і т.д.) - періодичному поновлюваному РК.

Резервного копіювання в Системі підлягають такі програмні та інформаційні ресурси (Таблиця 1):

Таблиця1

Найменування Інформаційні ресурсу

Де розміщується ресурс в системі

Вид резервного копіювання (період понов-вляемого копіювання)

Відповідальний за резервне копіювання та порядок створення резервної копії (вико-льзуемие технічні засоби)

Де зберігається

резервна копія (відповідальний, його телефон)

Порядок використання резервної копії (хто, в яких випадках)































Відповідальність за своєчасність та правильність здійснення резервного копіювання і зберігання копій несе (хто, яку).

Резервні копії зберігаються (де, в яких умовах, швидкий або віддалений доступ і т.д.).

Безпека резервних копій забезпечується:

  • зберіганням резервних копій поза системою (в інших приміщеннях, на іншій території);

  • дотриманням заходів фізичного захисту резервних копій;

  • суворої регламентацією порядку використання резервних копій.

Дублювання (резервування) у Системі підлягають такі технічні засоби (Таблиця 2):

Таблиця 2

Найменування дубльованого (резер-віруемого) технічного засобу

Де розміщується даний засіб в системі

Вид резерву (груповий або індивідуальний, холодний або гарячий), час готовності резерву

Відповідальний за готовність резервного засобу (період перевірки працездатності резервного засобу)

Порядок використання (включення, налаштування) резерву (для різних кризових ситуацій)

Де зберігається резервний засіб (відповідальний, його телефон)































Дублювання ресурсів та резервне копіювання забезпечують відновлення основних функцій системи протягом ... (Конкретний термін) для кризових ситуацій різних ступенів тяжкості (1 операційного дня у випадку загрозливої ​​чи серйозної кризової ситуації, без вимикання системи у випадку звичайної кризової ситуації).

Обов'язки та дії персоналу по забезпеченню безперервної роботи і відновлення системи

Дії персоналу у кризовій ситуації залежать від ступеня її тяжкості.

1. У разі виникнення ситуації потребує уваги адміністратор безпеки (під) системи повинен провести її аналіз (розслідування) власними силами. Про факт систематичного виникнення таких ситуації та вжиті заходи необхідно ставити до відома керівництво підрозділу.

2. У разі виникнення загрозливої ​​чи серйозної критичної ситуації дії персоналу включають наступні етапи:

  • негайна реакція;

  • часткове відновлення працездатності та відновлення обробки;

  • повне відновлення системи і відновлення обробки в повному обсязі;

  • розслідування причин кризової ситуації і встановлення винних.

3. Етапи включають наступні дії:

3.1. Як негайної реакції:

  • виявив факт виникнення кризової ситуації оператор зобов'язаний негайно сповістити про це адміністратора безпеки;

  • адміністратор повинен поставити до відома операторів усіх суміжних (під) систем про факт виникнення кризової ситуації для їх переходу на аварійний режим роботи (призупинення роботи);

  • викликати відповідальних системного програміста і системного інженера;

  • визначити ступінь серйозності і масштаби кризової ситуації, розміри і область ураження;

  • оповістити персонал взаємодіючих підсистем про характер кризової ситуації та орієнтовний час відновлення обробки.

Відповідальними за цей етап є оператор (під) системи і адміністратор безпеки.

3.2. При частковому відновленні працездатності (мінімально необхідної для відновлення роботи системи в цілому, можливо з втратою продуктивності) та відновлення обробки:

  • відключити уражені компоненти або переключитися на використання дублюючих ресурсів (гарячого резерву);

  • якщо не відбулося пошкодження програм і даних, відновити обробку і оповістити про це персонал взаємодіючих (під) систем.

  • відновити працездатність пошкоджених критичних апаратних засобів та іншого обладнання, при необхідності провести заміну відмовили вузлів і блоків резервними;

  • відновити пошкоджене критичне програмне забезпечення, використовуючи еталонні (страхові) копії;

  • відновити необхідні дані, використовуючи страхові копії;

  • перевірити працездатність пошкодженої підсистеми, упевнитись у тому, що наслідки кризової ситуації не роблять впливу на подальшу роботу системи;

  • повідомити операторів суміжних (під) систем про готовність до роботи.

Потім необхідно внести всі зміни даних за час з моменту створення останньої страхової копії (за поточний період, операційний день), для чого має здійснюватися "докотилася" на підставі інформації з журналів транзакцій або всі пов'язані з пошкодженою (під) системою користувачі повинні повторити дії виконані протягом останнього періоду (дня).

Відповідальним за цей етап є адміністратор безпеки (під) системи, системний програміст і системний інженер.

3.3. Для повного відновлення в період неактивності системи:

  • відновити працездатність всіх пошкоджених апаратних засобів, при необхідності провести заміну відмовили вузлів і блоків резервними;

  • відновити і настроїти всі пошкоджені програми, використовуючи еталонні (страхові) копії;

  • відновити всі пошкоджені дані, використовуючи страхові копії та журнали транзакцій;

  • налаштувати засоби захисту підсистеми відповідно до плану захисту;

  • про результати відновлення повідомити адміністратора системи (бази даних).

Відповідальними за цей етап є адміністратор безпеки (під) системи, системний програміст і системний інженер.

3.4. Далі необхідно провести розслідування причин виникнення кризової ситуації. Для цього необхідно відповісти на питання:

  • випадкова чи навмисна кризова ситуація?

  • враховувалася чи є можливість її виникнення у Плані захисту та Плані забезпечення безперервної роботи і відновлення?

  • чи можна було її передбачити?

  • викликана вона слабкістю засобів захисту та реєстрації?

  • чи перевищив збиток від неї встановлений рівень?

  • чи є непоправної шкоди і чи великий він?

  • це перша кризова ситуація такого роду?

  • чи є можливість точно визначити коло підозрюваних?

  • чи є можливість точно встановити винуватця?

  • в чому причина кризової ситуації?

  • чи достатньо наявного резерву?

  • чи є необхідність перегляду плану захисту?

  • чи є необхідність перегляду плану забезпечення безперервної роботи і відновлення?

Відповідальним за розслідування є адміністратор безпеки (під) системи. Звіт про результати розслідування та пропозиції щодо вдосконалення системи необхідно надіслати адміністратору системи (бази даних) і керівництву організації.

Обов'язки системного інженера по забезпеченню НРР

В обов'язки інженерного складу входить:

  • підтримку апаратних засобів та іншого обладнання, включаючи резервне (дублюючі), в робочому стані і їх періодична перевірка;

  • відновлення функцій апаратних засобів та іншого обладнання в разі відмов;

  • оперативна заміна дефектних вузлів резервними у разі відмов;

  • підготовка та оперативне включення резервних апаратних засобів та іншого обладнання в разі серйозної кризової ситуації.

5. УГОДА про нерозголошення конфіденційної інформації

ДОГОВІР № __

(Про конфіденційність і нерозголошення інформації)

м. Москва ""_________ 200_ р. _______________, іменоване надалі" РОЗКРИВАЄ сторона ", ____________, діючого на основаніі______, з одного боку і ________, в особі ___________, діючого на основаніі_______________, іменований надалі" ОДЕРЖУЄ, ", з іншого боку , а разом і далі по тексту - Сторони, уклали цей договір, надалі "Договір" про таке:

1. Предмет Договору

1. Згідно з Угодою про науково-технічне співробітництво № ________ та в рамках проведення попередніх переговорів і консультацій, РОЗКРИВАЄ сторона припускає можливість, у міру необхідності і на свій розсуд, передавати ОДЕРЖУЄ, певну інформацію, яку вважає конфіденційною або секретом фірми, і яка стосується аспектів діяльності фірми, яке є невід'ємною частиною договору.

2. До цього Договору, конфіденційною інформацією слід вважати інформацію, представлену РОЗКРИВАЄ, ОДЕРЖУЄ, у письмовому, електронному або іншому вигляді і відноситься до предмета комерційної та іншої діяльності або технічним можливостям РОЗКРИВАЄ, а також до виробів, послуг, фактичним або аналітичними даними, висновкам і матеріалами, включаючи, але не обмежуючись, нотатками, документацією і листування, які відповідно до чинного законодавства РФ не може бути віднесена до комерційної або службову таємницю.

2. Зобов'язання сторін

Сторони підтверджують розуміння важливості питання та погоджуються взяти на себе наступні зобов'язання:

2.1. Протягом 10 років з дати укладення Договору ОДЕРЖУЄ, не буде розголошувати ніякої інформації, отриманої нею від СТОРОНИ, ЯКА РОЗКРИВАЄ, яка є секретом фірми або конфіденційною, будь-якій іншій особі, підприємству, організації, фірмі та не буде використовувати цю інформацію для своєї власної вигоди, за винятком мети, визначеної сторонами письмово в явному вигляді.

2.2. ОДЕРЖУЄ, буде дотримуватися таку ж високу ступінь секретності з метою уникнення розголошення або використання цієї інформації, яку ОДЕРЖУЄ, дотримувалася б у розумній мірі стосовно своєї власної конфіденційної або яка є секретом фірми, інформації такого самого ступеня важливості.

3. Особливі умови

3.1. Будь-яка інформація, або не певна підпунктом 1.2. цього Договору, але передача якої оформлена в письмовому вигляді та віднесена обома сторонами до Договору, вважається конфіденційною або секретом фірми.

3.2. Інформація не буде вважатися конфіденційною або секретом фірми, і ОДЕРЖУЄ, не буде мати ніяких зобов'язань відносно даної інформації, якщо вона задовольняє один з наступних пунктів:

3.2.1. Вже відома ОДЕРЖУЄ.

3.2.2. Є або стає прилюдно відомою у результаті невірної, недбалої або навмисної дії СТОРОНИ, ЯКА РОЗКРИВАЄ.

3.2.3. Легально отримана від третьої сторони без обмеження та без порушення Договору.

3.2.4. Надана третій стороні РОЗКРИВАЄ, без аналогічного обмеження на права третьої сторони.

3.2.5. Самостійно розроблена СТОРОНОЮ, ЯКА ОДЕРЖУЄ, за умови, що ні ОДЕРЖУЄ, особисто, ні особи, за участю яких вона була розроблена не мали доступу до конфіденційної або яка є секретом фірми, інформації.

3.2.6. Дозволена до випуску письмовим дозволом СТОРОНИ, ЯКА РОЗКРИВАЄ.

3.2.7. Розкрита урядові на вимогу урядового органу та ОДЕРЖУЄ, докладає максимальних зусиль, щоб добитися поводження з цією інформацією як з конфіденційною або яка є секретом фірми, або якщо її розкриття вимагає Закон.

3.3. ОДЕРЖУЄ, призначає вказану нижче особу своїм Відповідальним за секретність для отримання за її дорученням усієї конфіденційної або яка є секретом фірми, інформації згідно з договором. ОДЕРЖУЄ, може змінити свого Відповідального за секретність у 30-денний термін після призначення.

3.4. Вся інформація, яка видається РОЗКРИВАЄ, ОДЕРЖУЄ, у будь-якій формі згідно з Договором, буде й залишиться виключною власністю СТОРОНИ, ЯКА РОЗКРИВАЄ, і дані та будь-які їх копії повинні негайно повертатися РОЗКРИВАЄ, за письмовою вимогою або знищуватися, на розсуд РОЗКРИВАЄ.

3.5. Всі матеріальні носії на яких написана конфіденційна інформація, надані приймаючій стороні відповідно до цього договору, а також зняті з них копії, технічні та програмні засоби є власністю РОЗКРИВАЄ і підлягають поверненню ОДЕРЖУЄ, відповідно до вказівок РОЗКРИВАЄ.

4. Відповідальність

4.1. ОДЕРЖУЄ, буде відповідальна за:

4.1.1. Ненавмисне розголошення або використання конфіденційної інформації, якщо вона не дотримується такого самого високого ступеня обережності, якого вона б дотримувалася у розумних межах стосовно своєї власної конфіденційної або яка є секретом фірми, інформації аналогічної важливості, і, - після виявлення ненавмисного розголошення або використання цієї інформації, вона не намагається припинити її ненавмисне розголошення або використання.

4.1.2. Несанкціоноване розголошення або використання конфіденційної або яка є секретом фірми, інформації особами, які працюють або працювали на неї за наймом, якщо їй не вдається охороняти цю інформацію з такою же високим ступенем ретельності, якого вона б дотримувалася у розумних межах стосовно своєї власної конфіденційної або яка є секретом фірми, інформації аналогічної важливості.

4.2. У разі заподіяння збитків у результаті розголошення конфіденційної інформації ОДЕРЖУЄ, в порушення цього Договору остання зобов'язана відшкодувати завдані ОДЕРЖУЄ, збитки в повному обсязі.

4.3. Також у разі заподіяння істотної шкоди ОДЕРЖУЄ, у результаті порушення Договору РОЗКРИВАЄ стороною, остання несе відповідальність згідно з чинним законодавством РФ.

5. Інші умови

5.1. Жодна зі сторін не буде розголошувати факт існування договору без попередньої згоди іншої сторони.

5.2. Договір не може бути доручений або переданий СТОРОНОЮ, ЯКА ОДЕРЖУЄ третій стороні в силу Закону або зміни керівництва. Будь-яка спроба третьої сторони отримати договір від ОДЕРЖУЄ, без попередньої письмової угоди РОЗКРИВАЄ, буде недійсною. Якщо третя сторона порушить судовий позов або іншу юридичну дію на предмет розкриття будь-якої конфіденційної інформації, ОДЕРЖУЄ, негайно повідомить РОЗКРИВАЄ, і забезпечить їй допомогу, яку РОЗКРИВАЄ сторона вимагати для запобігання розголошенню.

Цей Договір підлягає юрисдикції та тлумаченню у відповідності до законів РФ.

5.3. Виграла, в будь-якому позові або судовому розгляді між сторонами, що випливають з цього Договору або пов'язаних з ним, буде мати право на відшкодування в розумних межах гонорарів її адвокатам та витрат, понесених у зв'язку з будь-яким таким позовом або судовим розглядом.

5.4. У разі реорганізації ОДЕРЖУЄ, всі права та обов'язки за цим Договором переходять до її правонаступника. Крім того особи, в силу посадових обов'язків мають доступ до секретної інформації, але не стали співробітниками правонаступника, продовжують нести обов'язки щодо збереження інформації в секреті відповідно до умов цього Договору.

5.5. У разі ліквідації ОДЕРЖУЄ, обов'язки за цим договором несе кожна особа, яка в силу своїх посадових обов'язків отримувало інформацію, віднесену цим Договором до конфіденційної або яка є секретом фірми.

5.6. Всі усні домовленості, закріплені на якому-небудь матеріальному носії, за цим Договором мають силу. Договір може бути видозмінений або доповнений у письмовій формі, підписаній обома сторонами.

5.7. Будь-які розбіжності та суперечки за цим договором Сторони будуть вирішувати шляхом переговорів. У випадку не досягнення угоди, спір передається на вирішення в Арбітражний суд м. Москви.

5.8. Цей Договір набуває чинності з моменту його підписання.

8. Юридичні адреси та підписи сторін:

Від РОЗКРИВАЄ Від одержує боку

У разі зміни юридичної адреси, розрахункового рахунку або обслуговуючого банку сторони зобов'язані в 10-денний термін повідомити про це один одного.

Перелік відомостей, які РОЗКРИВАЄ сторона вважає конфіденційною.

  • Форми, методи і засоби комерційної діяльності.

  • Бізнес-плани, бізнес технології, бізнес-процеси і комерційні операції.

  • Інформація з маркетингу.

  • Інформація, зазначена в технічній документації з розробок.

  • Опис процесу виготовлення виробу.

  • Схеми складових частин і компонувальні схеми.

  • Необхідні витратні матеріали та фурнітура.

  • План-графік виконання робіт.

  • Наявність та зміст договорів та угод з юридичними і фізичними особами, а також їх проектів.

  • Інформація по замовниках.

  • Дані за цінами на продукцію (послуги).

  • Обсяги продажів (поставок) продукції (послуг).

  • Банківські вклади.

  • Відомості з реклами продукції (послуг).

  • Кількісний, поіменний склад і анкетні дані співробітників, займані ними посади.

  • Службові, фінансові та товарно-транспортні документи та їх копії на будь-яких носіях.

  • Ліцензійна та патентна інформація, "ноу-хау".

  • Інформація по розробляються проектам, що використовується для розробки обладнання та проектної документації.

  • Комп'ютерні програми.

  • Система та засоби захисту інформації.

  • А також інша інформація, яка може бути передана одержує стороні під час проведення випробувань на її території, презентацій, здійснення спільних проектів та спільної діяльності, інша інформація, визнана конфіденційною за законодавством Російської Федерації.

СПИСОК ЛІТЕРАТУРИ

  1. Мінаєв В. А. Безпека електронного бізнесу. - М.: Геліос АРВ, 2002.

  2. Розсолів М. М. Інформаційне право. - М.: МАУП, 2006.

  3. Горбатов А. С., Фатьянов А. А. Правові основи захисту інформації .- М.: МІФІ, 2006.

  4. Барсуков В. С., водолазки В. В. Сучасні технології безпеки. - М.: Нолидж, 2005.

  5. Партика Т. Л., Попов І. І. Інформаційна безпека. - М.: ИНФРА-М, 2004.


Додати в блог або на сайт

Цей текст може містити помилки.

Програмування, комп'ютери, інформатика і кібернетика | Лабораторна робота
160.9кб. | скачати

Схожі роботи:
Інформація 3
Інформація
Телекомунікація і інформація
Правова інформація
Комерційна інформація
Інформація та інформатика
Цифрова інформація
Ротавіруси інформація
Інформація в менеджменті
© Усі права захищені
написати до нас