Смекни!
smekni.com

Данное пособие предназначено для специалистов системы Росстата, занимающихся внедрением и эксплуатацией информационных технологий сбора, обработки, хранения и (стр. 33 из 37)

· установления процедур и обязанностей, связанных с защитой от вирусов.

Резервное копирование

Для поддержания целостности и доступности информационных ресурсов в ИВС Росстата регулярно должно проводиться резервное копирование информации и программного обеспечения.

Средства резервирования должны быть адекватны для обеспечения уверенности в том, что вся важная статистическая информация и программное обеспечение могут быть восстановлены после аварии, сбоя оборудования или стихийного бедствия.

При проведении мероприятий по резервному копированию информационных ресурсов Росстата необходимо руководствоваться следующим:

· минимально необходимый объем резервной информации во избежание любого повреждения должен храниться в достаточно отдаленном месте от здания ЦА Росстата, ТОГС;

· резервная информация должна быть обеспечена гарантированным уровнем физической защиты и защиты от воздействий окружающей среды;

· оборудование резервного копирования должно регулярно подвергаться тестированию;

· процедуры восстановления следует регулярно актуализировать и тестировать для обеспечения уверенности в их эффективности;

следует определять периоды хранения информации, а также учитывать требования к архивным копиям долговременного хранения.

Управление сетевой безопасностью

Для обеспечения требуемого уровня безопасности компьютерных сетей ИВС Росстата и его поддержки необходимо обеспечить внедрение средств защиты информации.

При проведении мероприятий по управлению безопасностью сетей Росстата необходимо:

· распределять ответственность за поддержание сетевых ресурсов;

· устанавливать процедуры и обязанности по управлению удаленным оборудованием, включая оборудование, установленное у конечных пользователей;

· внедрять специальные средства контроля для обеспечения конфиденциальности и целостности данных, проходящих по общедоступным сетям, а также для защиты подключенных систем;

· действия по управлению необходимо тщательно соизмерять как с требованиями производственной деятельности Росстата, так и с общими требованиями к обеспечению безопасности ИВС Росстата.

Безопасность носителей информации

С целью защиты документов, компьютерных носителей информации от НСД, повреждений и хищения необходимо разработать и утвердить соответствующие инструкции.

Инструкции по использованию и защите документов, носителей информации должны быть разработаны исходя из категории информации, типа носителей и с учетом следующих мер безопасности:

  • все носители информации, документы и их копии необходимо маркировать и учитывать в соответствующих журналах;
  • носители информации следует хранить в надежном и безопасном месте;
  • при передаче съемных носителей информации многократного использования за пределы Росстата их содержимое должно быть уничтожено;
  • уничтожение носителей информации должно производиться на основании соответствующего решения; об уничтожении должна быть сделана запись в регистрационном журнале.

Обмен информацией с внешними организациями

Обмен информацией должен происходить на основе соглашений между Росстатом и внешними организациями. Требования безопасности в соглашениях должны учитывать:

· степень важности информации, являющейся предметом обмена;

· обязанности и процедуры по контролю и уведомлению о передаче, отправке и получении информации;

· технические требования при обмене пакетами данных и программным обеспечением;

· использование согласованной системы маркировки информации;

· требования к курьерской службе;

· ответственность и обязательства в случае потери данных.

· Мероприятия по защите информации при передаче информации между Росстатом и внешними организациями должны предусматривать:

· использование услуг специальной фельдъегерской почтовой связи при передаче документов ограниченного распространения;

· применение СКЗИ и средств ЭЦП в системах электронного документооборота.

Безопасность электронной почты

При определении правил безопасного использования электронной почты следует учитывать:

· уязвимость сообщений по отношению к возможности НСД или модификации, а также к отказу в обслуживании;

· перечень информации, при передаче которой не следует пользоваться электронной почтой;

· необходимость защиты вложений в сообщения электронной почты;

· возможность использование криптографических методов для защиты конфиденциальности и целостности электронных сообщений;

· необходимость хранения сообщений.

Управление доступом

Требования Росстата по управлению доступом

Доступ к информационным ресурсам и ИВС Росстата должен быть контролируемым с учетом требований производственных процессов и информационной безопасности.

Требования к контролю доступа должны быть определены и документально оформлены.

Управление доступом пользователей

Для предотвращения НСД и осуществления контроля за предоставлением прав доступа к информационным ресурсам и ИВС Росстата необходимо наличие формализованных процедур.

Процедуры должны быть документированы и должны охватывать все стадии жизненного цикла пользовательского доступа от начальной регистрации новых пользователей до конечного снятия с регистрации пользователей, которым больше не требуется доступ к информационным ресурсам и ИВС Росстата.

Доступ к ИВС Росстата должен быть контролируемым посредством формализованного процесса регистрации пользователей, который должен включать:

· использование уникальных ID (идентификаторов или имен) пользователей;

· уровень предоставляемого доступа должен соответствовать производственной необходимости;

· ведение формализованного учета всех пользователей ИВС Росстата;

· изменение или отмену прав доступа пользователей, у которых изменились должностные обязанности или уволившихся из Росстата;

· периодическую проверку и удаление избыточных пользовательских ID и учетных записей.

Особое внимание следует уделять мероприятиям в отношении предоставления прав привилегированного доступа, с помощью которых пользователи могут обходить системные средства контроля.

Для поддержания эффективного контроля доступа к информационным ресурсам и ИВС Росстата необходимо периодически осуществлять формализованный процесс пересмотра прав доступа пользователей.

Обязанности пользователей ИВС Росстата должны формироваться исходя из необходимости предотвращения НСД, компрометации или кражи информации и средств ее обработки.

Для эффективного управления доступом пользователи ИВС Росстата должны быть ознакомлены со своими обязанностями.

Управление сетевым доступом

Пользователям ИВС Росстата предоставляется непосредственный доступ к внешним сетям путем авторизации в соответствие с их должностными обязанностями. При этом должно быть обеспечено:

· наличие интерфейсов между ИВС Росстата и внешними сетями;

· применение механизмов аутентификации пользователей;

· контроль доступа пользователей к информационным ресурсам и сервисам.

Управление доступом к операционным системам

Для предотвращения неавторизованного доступа к операционным системам должны использоваться сертифицированные по требованиям безопасности СЗИ от НСД. Эти средства должны обеспечивать:

· идентификацию и аутентификацию пользователей;

· регистрацию событий при работе в системе;

· аварийное оповещение при нарушениях требований безопасности системы;

· блокировку компьютера пользователя после определенного периода времени его бездействия.

Необходимо исключить использование системных утилит, позволяющих обходить СЗИ от НСД.

Управление доступом к приложениям

Управление доступом к приложениям в ИВС Росстата должно осуществляться с целью предотвращения НСД к информации, содержащейся в информационных системах.

Доступ к прикладному программному обеспечению следует ограничить и предоставлять только зарегистрированным пользователям. Необходимо обеспечить:

· управление правами доступа пользователей к информации и прикладным системным функциям;

· защиту от внедрения любых утилит, способных подавлять или обходить системные или прикладные средств управления;

· исключение компрометации других информационных систем, с которыми совместно используются информационные ресурсы Росстата.

Переносные устройства и удаленная работа

Для предотвращения НСД к ИВС Росстата необходимо обеспечить безопасность информации при использовании пользователями переносных устройств и средств удаленной работы.

При использовании переносных устройств (ноутбуков, портативных компьютеров и т.д.) пользователями ИВС Росстата необходимо принимать специальные меры защиты информации, включающие:

- требования по физической защите, контролю доступа, использованию СКЗИ и ЭЦП, резервированию и защите от вирусов;

- информирование сотрудников, использующих переносные устройства, о дополнительных рисках и необходимых мероприятиях обеспечения информационной безопасности, связанных с этим способом работы.

Мониторинг защищенности ИВС Росстата

Для проверки эффективности применяемых мер по обеспечению информационной безопасности в ИВС Росстата проводится работа по систематическому сбору информации о параметрах (мониторингу) защищенности информационной системы. Мониторинг должен проводиться администраторами информационной безопасности специальными программно-аппаратными средствами и охватывать все потенциально опасные каналы утечки информации.