Политика информационной безопасности единой системы электронного документооборота государственных органов (стр. 2 )

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4

Это достигается путем внедрения соответствующих правил, инструкций и указаний.

СИБ отвечает за:

1.  разработку и издание правил (инструкций и указаний) по обеспечению ИБ, соответствующих им правилам работы организации и требованиям к обработке информации;

2.  внедрение программы обеспечения ИБ, включая классификацию информации и оценку деятельности;

3.  разработку и обеспечение выполнения программы обучения и ознакомления с основами информацион­ной безопасности в масштабах организации;

4.  разработку и сопровождение перечня минимальных требований к процедурам контроля над доступом ко всем компьютерным системам, независимо от их масштаба;

5.  отбор, внедрение, проверку и эксплуатацию соот­ветствующих методик планирования восстановления работы для всех подразделений организации, принима­ющих участие в автоматизированной обработке самой важной информации;

6.  разработку и внедрение процедур пересмотра пра­вил обеспечения информационной безопасности, а так­ же рабочих программ, предназначенных для поддерж­ки правил, инструкций,  стандартов и указаний организации;

7.  участие в описании, конструировании, создании и приобретении систем в целях соблюдения правил бе­зопасности при автоматизации производственных про­цессов;

8.  изучение, оценку, выбор и внедрение аппаратных и программных средств, функций и методик обеспе­чения информационной безопасности, применимых для компьютерных систем организации.

При необходимости на СИБ возлагается выполнение других обязанно­стей:




1.  формирование требований к системе защиты в про­цессе создания ИС с учетом ее влияния на ЕСЭДО;

2.  участие в проектировании системы защиты, ее ис­пытаниях и приемке в эксплуатацию;

3.  планирование, организация и обеспечение функци­онирования системы защиты информации с учетом планирования непрерывности функционирования ЕСЭДО;

4.  распределение между пользователями необходимых реквизитов защиты;

5.  наблюдение за функционированием системы защи­ты и ее элементов;

6.  организация проверок надежности функционирова­ния системы защиты;

7.  обучение пользователей и персонала ИС правилам безопасной обработки информации;

8.  контроль за соблюдением пользователями и персо­налом ИС установленных правил обращения с защи­щаемой информацией в процессе ее автоматизирован­ной обработки;

9.  принятие мер при попытках НСД к информации и при нарушениях правил функционирования системы защиты.

Организационно-правовой статус службы:

1.  численность службы защиты должна быть достаточ­ной для выполнения всех перечисленных функций;

2.  подчиненность СИБ определяется структурой организации;

3.  штатный состав СИБ не должен иметь других обязанностей, связанных с функционировани­ем ИС;

4.  сотрудники СИБ должны иметь право до­ступа во все помещения, где установлена аппаратура ИС и право прекращать автоматизированную обработ­ку информации при наличии непосредственной угро­зы для защищаемой информации;

5.  руководителю СИБ должно быть предо­ставлено право запрещать включение в число действу­ющих новые элементы ИС, если они не отвечают тре­бованиям ИБ;




6.  СИБ должна иметь все ус­ловия, необходимые для выполнения своих функций.

В структуру службы информационной безопасности входят:

1.  руководи­тель, непосредственно подчиненный руководству организации;

2.  аналитик;

3.  юрист с соответствующей подготовкой (при необходимости);

4.  специалисты в области обеспечения безопасности, (экономической разведки, промышленной контрраз­ведки – при необходимости);

5.  технические специалисты, умеющие применять спе­циальную технику для защиты информации;

6.  сотрудники физической охраны и пропускного ре­жима (по найму), но подчиненные руководителю служ­бы безопасности) – в особых случаях при наличии масштабных серверных центров.

Условно сотрудников службы информационной бе­зопасности можно разделить по функциональным обя­занностям:

1.  Сотрудник группы безопасности. В его обязаннос­ти входит обеспечение контроля над защитой наборов данных и программ, помощь пользователям и органи­зация общей поддержки групп управления защитой и менеджмента в своей зоне ответственности. При децентрализованном управлении каждая подсистема ИБ имеет своего сотрудника группы безопасности.

2.  Администратор безопасности системы. В его обязанности входит ежемесячное опубликование нововведений в области защиты, новых стандартов, а также контроль над выполнением планов непрерывной работы и восстановления (при необходимости) и за хранением резервных копий.

3.  Администратор безопасности данных. В его обязанности входит реализация и изменение средств защиты данных, контроль над состоянием защиты набор данных, ужесточение защиты в случае необходимости, а также координирование работы с другими администраторами.




4.  Руководитель группы. В его обязанности вход разработка и поддержка эффективных мер защиты при обработке информации для обеспечения сохранности данных, оборудования и ПО, контроль за выполнением плана восстановления и общее руководство административными группами в системах ИС (при децентрализованном управлении).

Перечень необходимых знаний, навыков, а также функциональных обязанностей лиц, входящих в группу защиты информации, должен соответствовать назначению и составу задач, решаемых в конкретных ИС, в том числе ЕСЭДО.

При разработке и внедрении дополнительных организационных методов обеспечения ИБ в особых случаях необходимо руководствоваться положениями, требованиями и рекомендациями, изложенными в разделе 6 стандарта ISO 17799.

Физическая безопасность

Критическое или чувствительное оборудование обработки информации должно быть размещено в охраняемых зонах, защищено определенными периметрами безопасности, оснащенными соответствующими барьерами безопасности и средствами контроля на входе. Они должны быть физически защищены от несанкционированного доступа, повреждения или создания помех в работе.

Применительно к безопасности окружающей среды должны быть разработаны (и применяться) меры по физической защите от ущерба в результате пожаров, наводнений, землетрясений, взрывов, массового гражданского неповиновения, а также от других видов бедствий естественного или искусственного характера. Такие меры содержатся в действующих в организации правилах, инструкциях и иных документах по пожарной безопасности, электробезопасности, действиях в условиях чрезвычайных ситуаций.




Обеспечиваемая защищенность должна быть пропорциональна идентифицированным рискам.

Физическая безопасность реализуется совокупностью способов защиты на основе инженерных конструкций в сочетании с техническими средствами охраны, образующих физическую защиту. Составной частью физической защиты - является инженерная защита и техническая охрана объектов (ИЗТОО).

Требуемый уровень информационной безопасности достигается многозональностью и многорубежностью защиты, которая должна быть обеспечена с помощью инженерной защиты и охраны системы ЕСЭДО.

Организационно – технологическая среда ЕСЭДО РК представляет собой единый комплекс информационных и технических ресурсов, эксплуатирующего и обслуживающего персонала.

Технические ресурсы ЕСЭДО РК в целом не являются внутренним изолированным объектом, использующимся исключительно для ее нужд.

Они топологически наложены на техническую инфраструктуру ГО:

1.  на рабочих станциях пользователей ЕСЭДО-В решается целый комплекс других задач, не имеющих отношения к системе ЕСЭДО;

2.  используются внутриведомственные и межведомственные коммуникации ГО;

3.  общие инженерные сети, здания, помещения, комнаты, сейфы…

Применительно к вопросам физической безопасности ЕСЭДО РК предметами рассмотрения являются:

а.)  Для ЕСЭДО-В:

·  Рабочее место пользователя

·  Сервер (одно или несколько логически объединенных устройств)

·  Серверное помещение

·  Рабочее место администратора ЕСЭДО-В

·  Съемные носители информации




·  Помещение хранения резервных носителей

·  Средство хранения резервных носителей

б.)  Для ЕСЭДО-Ц:

·  Сервер (одно или несколько логически объединенных устройств)

·  Серверное помещение

·  Рабочее место администратора ЕСЭДО-Ц

·  Съемные носители информации

·  Помещение хранения резервных носителей

·  Средство хранения резервных носителей

в.)  Сопряженные объекты и сопутствующие мероприятия и процессы

Требования к рабочему месту пользователя (администратора) ЕСЭДО

В состав типового рабочего места пользователя ЕСЭДО-В входят:

1) компьютер (комплект – системный блок, монитор, клавиатура, манипулятор «мышь», многогнездная розетка-удлинитель (опция), источник бесперебойного питания (опция));

2) мебель рабочего места (стол письменный (канцелярский), стул, тумбочка…).

В целях обеспечения требований физической безопасности компьютер как комплект должен быть проверен на информационную безопасность по уровню излучения/воздействия побочных электромагнитных излучений и наводок (ПЭМИН) и соответствующим образом сертифицирован и опломбирован. В случае обнаружения факта, изменения состава комплекта или нарушения пломбы сертификат считается отозванным, дальнейшее использование компьютера прекращается и может быть возобновлено только по результатам сертификации или заключения экспертной комиссии.

Категорически запрещается совместное использование с компьютером внешних устройств с беспроводным подключением (клавиатура, мышь).




Категорически запрещается использование переносных розеток-удлинителей низкого качества, изготовленных полукустарным способом, и могущих стать источником возгорания или поражения персонала электрическим током.

Должно быть минимизировано количество путей доступа к ресурсам компьютера, удалить (физически отключить) «лишние», неиспользуемые для повседневной штатной работы порты (COM, USB, RS,…), флоппи и CD/DVD дисководы.

Монитор следует располагать таким образом, чтобы исключить возможность просмотра содержимого экрана посторонними лицами, в том числе извне с помощью оптических приборов.

Особое внимание следует уделять условиям хранения носителей с резервными копиями ресурсов, а также ключей физической защиты (Aladdin, eToken и т. д.). Они должны храниться в запираемом и опечатываемом металлическом сейфе или тубусе. Должен быть обеспечен быстрый доступ к носителю в условиях чрезвычайной ситуации.

Порядок и условия хранения носителей с ключами ЭЦП и средств криптографической защиты информации регламентированы Правилами регистрации, выдачи, хранения, отзыва (аннулирования) регистрационных свидетельств, в том числе их копий на бумажном носителе и ведения регистра регистрационных свидетельств.

Не следует загромождать поверхность рабочего стола не используемыми в данный момент документами, носителями, а также оставлять их на столе при уходе с рабочего места на продолжительное (например, более 2 часов) время. Следует соблюдать режим «чистого стола» - ничего лишнего, только самое необходимое на данный момент работы.




Аналогичные правила должны распространяться и на «рабочий стол» монитора. Не следует держать открытыми большое число «окон» или сбрасывать их в строку состояния. Должен использоваться паролируемый хранитель экрана.

В качестве носителей информации должны использоваться носители, полученные пользователем непосредственно в организации. Каждый носитель должен иметь заводской номер изготовителя, маркерную метку или не снимаемую этикетку с маркерной меткой организации, датой ввода в эксплуатацию и инвентарным номером ресурса в системе ИБ, соответствующему номеру в карточке ресурса. Использование носителей, не отвечающих этим требованиям, категорически запрещается.

Для хранения носителей с оперативными резервными копиями данных и состояния системы должны быть определены место и средства хранения и соблюдены условия хранения применительно к типу конкретного носителя.

Поскольку состав рабочего места администраторов в целом соответствует вышеприведенному, аналогичные требования и рекомендации распространяются также и на рабочие места администраторов.

Требования к серверному оборудованию и серверному помещению

Требования к серверу как к единице оборудования в отношении ИБ в целом соответствуют требованиям, предъявляемым оборудованию системы.

Общие требования к серверному помещению должны отвечать требованиям, приведенным в технической документации изготовителя или стандарте EIA/TIA 569.

Стойка (шкаф) сервера должны быть закрыты со всех сторон стенками и запираться на ключ (если это предусмотрено конструкцией). Не должно быть понятий «зимнего» и «летнего» режима, когда сервер эксплуатируется со снятыми стенками.




В зависимости от конструктивных особенностей, сервер может поставляться как в виде комплектного моноустройства, так и в виде отдельных блоков, предназначенных для монтажа в аппаратную стойку или шкаф, в том числе и открытого исполнения, что приводит к ликвидации одного рубежа защиты, поскольку невозможно устранить неконтролируемый физический доступ к элементам сервера, также существенно усложняется и сертификация. В этом случае ужесточаются требования к серверному помещению в части контроля доступа, которые должны компенсировать ликвидацию одного рубежа защиты. Должны быть обязательно предусмотрены: металлическая дверь с замком повышенной секретности, система контроля доступа с выводом сигнала тревоги на ПЦО, система видеонаблюдения. Физический доступ персонала в серверное помещение должен осуществляться согласно указаниям п. 9.1.2 стандарта ISO 17799.

Особое внимание следует уделять физическому порядку в серверном помещении. Категорически запрещается использовать серверное помещение для складирования посторонних предметов. Необходимо составить перечень оборудования из состава сервера и задействованных обеспечивающих систем (UPS, автономный кондиционер и т. д.), нахождение которого обоснованно необходимо в серверном помещении, указать ответственного за поддержание порядка. Перечень в распечатанном виде должен быть помещен на видное место.

В целях обеспечения работоспособности, возможности производительной эксплуатации в течение всего срока службы оборудования необходимо выполнять комплекс ремонтно-профилактических мероприятий, предусмотренный технической документацией. С этой целью составляется план таких работ в рамках внутри - и межремонтных циклов с указанием вида, даты начала и планируемого окончания работ.




При производстве всех видов ремонтно-профилактических работ должны быть предусмотрены меры по недопущению реализации угрозы типа «отказ в доступе». С этой целью рекомендуется до начала выполнения работ предусмотреть возможность перехода на резервный режим и проверить готовность такого перехода.

Разделения сред разработки, тестирования и рабочей среды.

В целях уменьшения рисков несанкционированного доступа или изменения системы рабочее оборудование должно быть отделено от оборудования, на котором производится разработка и тестирование.

Должен быть определен и реализован необходимый уровень разделения сред разработки, тестирования и рабочей среды.

Должны быть определены и документированы правила передачи ПО из стадии разработки в стадии тестирования, полноценного рабочего использования.

Разрабатываемое (тестируемое) и рабочее ПО должны использоваться на различных системах и располагаться в различных доменах или каталогах

Системные утилиты не должны быть доступны из операционных систем, когда это не требуется;

При определении уровня разделения рабочей среды и среды тестирования должны учитываться следующие требования:

1.  среда системы, на которой выполняется тестирование, должна быть как можно более близкой к среде рабочей системы;

2.  для уменьшения рисков ошибок пользователи должны использовать различные пользовательские профили в рабочей системе и в системе для тестирования. Меню на обеих системах должны отображать соответственно одинаковые идентификационные сообщения;




3.  тестирование должно выполняться на наборе данных, некритичных для ИБ.

Для выполнения этих требований для целей тестирования и отладки ПО ЕСЭДО должен использоваться отдельный тестовый стенд.

Управление услугами, предоставляемыми третьими сторонами

В целях осуществления и поддержания соответствующего уровня информационной безопасности при использовании услуг, предоставляемых третьей стороной, организация должна проверять наличие в договорных обязательствах соглашений требований по вопросам ИБ, осуществлять мониторинг соответствия соглашений и управлять изменениями, гарантирующими, что предоставляемые услуги удовлетворяют всем требованиям соглашения с третьей стороной.

Транспортировка физических носителей информации

Носители, содержащие информацию, должны быть защищены от несанкционированного доступа, неправильного использования или повреждения при транспортировке вне физических границ организации.

Рекомендации по реализации

Должны быть рассмотрены следующие рекомендации по защите носителей информации, транспортируемых между территориями:

а.)  следует использовать надежных курьеров или надежный транспорт;

б.)  с руководством организации должен быть согласован список уполномоченных курьеров;

в.)  должны быть разработаны процедуры проверки личности курьеров;

г.)  упаковка должна обеспечивать достаточную защиту контента от любого физического повреждения, которое, вероятнее всего, может возникнуть при транспортировке;

д.)  она должна соответствовать спецификациям любых производителей;




е.)  упаковка должна обеспечивать защиту от любых факторов окружающей среды, которые могут уменьшить эффективность восстановления данных с носителей информации, например, из-за нагревания, влажности или электромагнитных полей;

ж.)  при необходимости должны применяться средства управления, защищающие чувствительную информацию от несанкционированного раскрытия или изменения; можно привести следующие примеры:

a)  использование запираемых контейнеров;

b)  доставка вручную;

c)  запечатанная упаковка (обеспечивающая обнаружение попыток вскрытия);

d)  в исключительных ситуациях - разбиение всего отправляемого груза на несколько партий и отправка их к пункту назначения по различным маршрутам.

6.2.3  Программные и аппаратные формы защиты

Программными и аппаратными формами защиты являются (но не ограничиваются) мероприятия, предусмотренные данной ПИБ. К ним относятся:

a)  идентификацию и аутентификацию пользователей;

b)  разграничение доступа к ресурсам;

c)  регистрацию событий;

d)  криптографические преобразования;

e)  проверку целостности системы;

f)  проверку отсутствия вредоносных программ;

g)  программную защиту передаваемой информации и каналов связи;

h)  защиту системы от наличия и появления нежелательной информации;

i)  создание физических препятствий на путях проникновения нарушителей;

j)  мониторинг и сигнализацию соблюдения правильности работы системы;

k)  создание резервных копий информации.




Защита электронного обмена данными

Информация, передаваемая в виде электронных сообщений, должна быть соответствующим образом защищена. Для обмена данными и обеспечения коммуникационного потока в ЕСЭДО используется СГДС, свойства которой позволяют обеспечить требуемый уровень ИБ. Однако ИБ ЕСЭДО в целом зависит и от состояния ИБ при обмене сообщениями в других системах, функционирующих на тех же технических средствах, что и ЕСЭДО. При рассмотрении безопасности электронного обмена данными в этих системах необходимо учитывать следующее:

a)  должна быть предусмотрена защита сообщений от несанкционированного доступа, изменения или отказа в обслуживании;

b)  должна быть обеспечена правильная адресация и транспортировка сообщения;

c)  должна быть обеспечена надежность и доступность обслуживания;

d)  должны быть учтены требования законодательства, в частности, требования, предъявляемые к ЭД и ЭЦП;

e)  должно быть предусмотрено использование более строгих правил идентификации при доступе из сетей общего пользования и обеспечен контроль их соблюдения.

Для уменьшения риска, которому подвергаются производственные процессы и система безопасности, связанного с использованием электронной почты, следует применять (по необходимости) соответствующие средства контроля. Необходимо учитывать:

a)  уязвимость электронных сообщений по отношению к несанкционированному перехвату и модификации;

b)  уязвимость данных, пересылаемых по электронной почте, по отношению к ошибкам, например, неправильная адресация или направление сообщений не по назначению, а также надежность и доступность сервиса в целом;




c)  влияние изменения характеристик коммуникационной среды на производственные процессы, например, влияние повышенной скорости передачи данных или изменения системы адресации между организациями и отдельными лицами;

d)  правовые соображения, такие, как необходимость проверки источника сообщений и др.;

e)  последствия для системы безопасности от раскрытия содержания каталогов;

f)  необходимость принятия защитных мер для контроля удаленного доступа пользователей к электронной почте.

Организации должны задать четкие правила, касающиеся статуса и использования электронной почты.

Защита от злонамеренного и мобильного кода

С целью защиты информации и программных средств от несанкционированного доступа и действия вредоносных программ) при разработке и эксплуатации системы должны быть предприняты организационные, правовые, технические и технологические меры, направленные на предотвращение возможных несанкционированных действий по отношению к программным средствам и устранение последствий этих действий. При этом руководство должно обеспечить неукоснительное выполнение следующих мероприятий:

a)  Сертификация - действия третьей стороны, цель которых - подтвердить (с помощью сертификата соответствия) то, что изделие (в том числе программное средство) или услуга, прямо или косвенно взаимодействующая с системой, соответствует определенным стандартам или другим нормативным документам в области защиты информации.

b)  Профилактика - систематические действия эксплуатационного персонала, цель которых - выявить и устранить неблагоприятные изменения в свойствах и характеристиках используемых программных средств, в частности проверить эксплуатируемые, хранимые и (или) вновь полученные программные средства на наличие компьютерных вирусов.




c)  Ревизия - проверка вновь полученных программ специальными средствами, проводимая путем их запуска в контролируемой среде.

d)  Вакцинирование - обработка файлов, дисков, каталогов, проводимая с применением специальных программ, создающих условия, подобные тем, которые создаются определенным компьютерным вирусом, и затрудняющих повторное его появление.

Средства управления для борьбы со злонамеренными программными кодами

В качестве мер для борьбы со злонамеренными программными кодами должны быть реализованы средства управления для предотвращения его ввода, его обнаружения и восстановления системы после удаления злонамеренного программного кода, а также поддержания компетентности пользователей в этой области.

При этом учитываются следующие рекомендации:

а.)  необходимо внедрить правила, запрещающие использование нелегального ПО;

б.)  должны быть внедрены формальные правила защиты от рисков, связанных с получением файлов и ПО из внешней сети или на любом другом носителе;

в.)  необходимо проводить регулярные проверки ПО и баз данных систем, поддерживающих критические производственные процессы; должно формально исследоваться наличие любых подозрительных файлов или несанкционированных исправлений;

г.)  должны быть обеспечены:

1)  установка и регулярное обновление ПО для обнаружения злонамеренного кода и восстановления среды после его удаления (пакеты антивирусных программ и библиотеки к ним),

2)  сканирование содержимого компьютеров и носителей информации в виде профилактического или регулярно выполняемого средства управления, обеспечивающего:




3)  проверку на злонамеренные коды перед использованием любых полученных файлов - на внешних носителях, полученных по сетям;

4)  проверку прикрепленных файлов электронной почты и загруженных файлов на злонамеренные коды перед их использованием. Эта проверка должна выполняться на различных участках, например, на серверах электронной почты, настольных компьютерах, на входе в сеть организации;

д.)  определение процедур управления и обязанностей, связанных с защитой систем от злонамеренного кода, обучение их использованию, уведомлению о злонамеренных кодах, восстановлению среды после атак, предпринятых злонамеренным кодом;

е.)  подготовка соответствующих планов непрерывного ведения бизнеса, предусматривающих восстановление среды после атак, обусловленных злонамеренным кодом, в том числе все необходимые данные и ПО для копирования и мер по восстановлению;

ж.)  реализация процедур проверки информации, касающейся злонамеренного кода, гарантирование того, что бюллетени с предупреждениями точны и информативны; руководители должны гарантировать, что для того, чтобы отличить мистификации от реальных злонамеренных кодов будут использоваться квалифицированные источники, например, журналы, имеющие хорошую репутацию, надежные сайты в сети Интернет или поставщики защитного ПО; все пользователи должны быть оповещены о проблемах, связанных с мистификациями и о том, что следует делать при получении мистифицированного злонамеренного кода.

С целью повышения эффективности защиты от злонамеренных кодов необходимо предусмотреть использование в среде обработки информации двух или более программных продуктов – «антивирусов» различных поставщиков.




В установленном для защиты от злонамеренных кодов ПО необходимо обеспечить поддержку автоматического обновления файлов определения и утилит сканирования, что гарантирует своевременное обновление защиты.

Кроме того, это ПО может быть установлено на каждом рабочем месте для выполнения автоматических проверок.

Должны быть приняты меры предосторожности по защите от ввода злонамеренных кодов во время обслуживания и процедур работы при чрезвычайных обстоятельствах, при которых могут игнорироваться традиционно используемые средства управления защитой от злонамеренных кодов.

Средства управления для защиты ЕСЭДО от мобильных кодов

В модели безопасности внутренней архитектуры ЕСЭДО имеется специальное средство для защиты от мобильного кода с помощью ведения списка контроля выполнения (ECL).

Системные администраторы должны активизировать эту возможность и выполнить соответствующие настройки в Policy document системы.

7  ПЕРЕСМОТР ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЕСЭДО

Соблюдение требований Политики информационной безопасности ЕСЭДО обязательно для всех категорий сотрудников эксплуатирующих и пользующихся системой ЕСЭДО. Проведение планового аудита информационной безопасности является одним из основных методов проверки эффективности мер по защите информации. Результаты аудита могут служить основанием для пересмотра некоторых положений Политики и внесения в них необходимых корректировок.

Целесообразно ежегодно проводить аудит информационной безопасности системы ЕСЭДО, и должен проводиться пересмотр Политики на предмет соответствия предъявляемым требованиям. В случае возникновения необходимости, при выявлении в процессе аудита несоответствия современным требованиям вносить изменения и дополнения.




Кроме этого, используемые информационные технологии и организация служебной деятельности непрерывно меняются, это приводит к необходимости корректировать существующие подходы к обеспечению информационной безопасности.

8  ПЕРЕЧЕНЬ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ, НА ОСНОВЕ КОТОРЫХ РАЗРАБОТАНА ПОЛИТИКА

1. Закон Республики Казахстан – III
«Об информатизации».

2. Закон Республики Казахстан от 01.01.01 года
«О государственных секретах» (с изменениями и дополнениями по состоянию на 02.04.04 г.).

3. Закон Республики Казахстан от 01.01.01 года
«О национальной безопасности Республики Казахстан» (с изменениями и дополнениями по состоянию на 14.10.2005 г.).

4. Указ Президента Республики Казахстан от 01.01.01 г. N 359
«О Государственной программе обеспечения информационной безопасности Республики Казахстан на годы».

5. Концепция информационной безопасности Республики Казахстан». Одобрена Указом Президента Республики Казахстан от 01.01.01 года, № 000.

6. Международный стандарт ISO/IEC FDIS 17799:2005. Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью.

7. СТ РК 34.. Информационная технология. Основные термины и определения

8. Аудит ЕСЭДО. Аналитический отчет. Анализ уровня информационной безопасности ЕСЭДО и надежности хранения данных. ТОО «Елтал Борлас Консалтинг», 2006.

9. При подготовке документа для сведения и ознакомления использовались материалы СМИ (ссылки приведены в тексте).

10. Общие требования к функциям системы защиты национальной информационной инфраструктуры Республики Казахстан (Выписка из проекта технического задания «Система защиты национальной информационной инфраструктуры Республики Казахстан»).




11. Приказ руководителя Канцелярии Премьер - Министра Республики Казахстан от 3 октября 2005 года № 25-1-90 «Об утверждении Правил обязательного подтверждения соответствия информационных систем, технических, программно-технических и программных средств (изделий), технических средств защиты информации требованиям информационной безопасности».

Приложение 1

К проекту документа

«Политика информационной безопасности»

Правила регистрации пользователей ЕСЭДО

1.  Общие положения

1. Настоящие «Правила регистрации пользователей» (далее - Правила) устанавливают единый порядок регистрации пользователей при предоставлении (изменении уровня, удалении) доступа к единой системе электронного документооборота (далее – ИС) как производственному средству для выполнения ими работ в пределах своих должностных обязанностей (роли).

2. Регистрация пользователей проводится с целью установления информационных границ области производственной деятельности каждого пользователя ИС и обеспечения принципа персональной ответственности каждого пользователя за свои действия. Целью настоящих правил является также обеспечение ИБ на уровне контроля доступа и аутентификации.

3. Регистрация пользователей должна проводиться в соответствии с утвержденным документом «Руководство администратора ЕСЭДО-В».

2.  Назначение документа

Настоящий документ предназначен для использования пользователями и администраторами в рамках ЕСЭДО-В.

3.  Условия регистрации

В качестве пользователей ИС могут быть зарегистрированы только штатные сотрудники организации по представлению руководства подразделения.




Регистрация проводится при одновременном выполнении всех следующих предусловий (таблица 1).

Таблица 1

Условие

Признак выполнения

Примечание

1

Наличие оформленной заявки

Заявка со всеми реквизитами

Всегда

2

Сотрудник должен быть ознакомлен с правилами внутреннего распорядка (внутренним уставом) организации, инструкциями по ОТБ, ЭБ, ППБ, действиям в условиях ЧС и пройти инструктаж в установленном порядке

Наличие отметки ответственных лиц по принадлежности

При первичной регистрации

3

Сотрудник должен быть ознакомлен с ПИБ организации и ИС (если она выделена в отдельный документ)

Наличие отметки ответственных лиц отдела ИБ

При первичной регистрации

При перерегистрации по факту компрометации

4

Сотрудник должен знать способы и приемы работы в пределах должностной инструкции (его роли)

Наличие отметки руководителя подразделения

При первичной регистрации

При смене роли

4.  Порядок регистрации

1.  Для получения доступа к информационным ресурсам ИС пользователь заполняет заявку на регистрацию (далее – Заявка) по форме [ФЗ -1], приведенной в приложении.

2.  Заявка с указанием необходимого уровня доступа подается на имя лица, курирующего подразделение, ответственное за ИС. Уровень доступа к ресурсам ИС определяет руководитель подразделения пользователя по согласованию с подразделением, ответственным за информационную безопасность.

3.  Пользователь, после полного согласования с причастными структурными подразделениями, указанными в заявке, передает заявку в подразделение, ответственное за ИС.




4.  Администраторы ИС регистрируют пользователя в ИС с предоставлением ему доступа к информационным ресурсам согласно удовлетворенной Заявке.

5.  Подразделение, ответственное за ИС, отвечает за своевременное предоставление доступа к ресурсам ИС, правильное заполнение всех позиций Заявки на регистрацию, своевременное удаление аннулированной учетной записи из списка пользователей.

6.  По решению руководства, а также по представлению службы ИБ заявка может быть отклонена или аннулирована.

5.  Требования к элементам регистрации

1.  Для работы в ИС пользователю необходимо иметь имя и пароль, получаемые им в процессе регистрации

2.  Результатом выполнения процесса регистрации является формирование в составе БД ИС учетной записи пользователя.

3.  Учетная запись пользователя представляет собой специальную уникальную запись в БД Lotus в так называемом ID-файле. Пользователь взаимодействует с учетной записью посредством пароля, вводимого в соответствующий элемент интерфейса при входе в ИС.

4.  ID-файл пользователя должен храниться в специальной защищенной папке у пользователя и администратора ИС.

5.  В качестве пароле используется случайная последовательность символов. Пароль должен отвечать следующим требованиям:

6.  Длина пароля должна быть не менее 8 символов;

7.  В числе символов пароля обязательно должны присутствовать буквы из верхнего и нижнего регистров, цифры и специальные символы (§, @, #, $, &, *, % и тому подобное);

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4



Подпишитесь на рассылку:

Основы государства

История государственной безопасности

Информационная безопасность

Проекты по теме:

Основные порталы, построенные редакторами

Домашний очаг

ДомДачаСадоводствоДетиАктивность ребенкаИгрыКрасотаЖенщины(Беременность)СемьяХобби
Здоровье: • АнатомияБолезниВредные привычкиДиагностикаНародная медицинаПервая помощьПитаниеФармацевтика
История: СССРИстория РоссииРоссийская Империя
Окружающий мир: Животный мирДомашние животныеНасекомыеРастенияПриродаКатаклизмыКосмосКлиматСтихийные бедствия

Справочная информация

ДокументыЗаконыИзвещенияУтверждения документовДоговораЗапросы предложенийТехнические заданияПланы развитияДокументоведениеАналитикаМероприятияКонкурсыИтогиАдминистрации городовПриказыКонтрактыВыполнение работПротоколы рассмотрения заявокАукционыПроектыПротоколыБюджетные организации
МуниципалитетыРайоныОбразованияПрограммы
Отчеты: • по упоминаниямДокументная базаЦенные бумаги
Положения: • Финансовые документы
Постановления: • Рубрикатор по темамФинансыгорода Российской Федерациирегионыпо точным датам
Регламенты
Термины: • Научная терминологияФинансоваяЭкономическая
Время: • Даты2015 год2016 год
Документы в финансовой сферев инвестиционнойФинансовые документы - программы

Техника

АвиацияАвтоВычислительная техникаОборудование(Электрооборудование)РадиоТехнологии(Аудио-видео)(Компьютеры)

Общество

БезопасностьГражданские права и свободыИскусство(Музыка)Культура(Этика)Мировые именаПолитика(Геополитика)(Идеологические конфликты)ВластьЗаговоры и переворотыГражданская позицияМиграцияРелигии и верования(Конфессии)ХристианствоМифологияРазвлеченияМасс МедиаСпорт (Боевые искусства)ТранспортТуризм
Войны и конфликты: АрмияВоенная техникаЗвания и награды

Образование и наука

Наука: Контрольные работыНаучно-технический прогрессПедагогикаРабочие программыФакультетыМетодические рекомендацииШколаПрофессиональное образованиеМотивация учащихся
Предметы: БиологияГеографияГеологияИсторияЛитератураЛитературные жанрыЛитературные героиМатематикаМедицинаМузыкаПравоЖилищное правоЗемельное правоУголовное правоКодексыПсихология (Логика) • Русский языкСоциологияФизикаФилологияФилософияХимияЮриспруденция

Мир

Регионы: АзияАмерикаАфрикаЕвропаПрибалтикаЕвропейская политикаОкеанияГорода мира
Россия: • МоскваКавказ
Регионы РоссииПрограммы регионовЭкономика

Бизнес и финансы

Бизнес: • БанкиБогатство и благосостояниеКоррупция(Преступность)МаркетингМенеджментИнвестицииЦенные бумаги: • УправлениеОткрытые акционерные обществаПроектыДокументыЦенные бумаги - контрольЦенные бумаги - оценкиОблигацииДолгиВалютаНедвижимость(Аренда)ПрофессииРаботаТорговляУслугиФинансыСтрахованиеБюджетФинансовые услугиКредитыКомпанииГосударственные предприятияЭкономикаМакроэкономикаМикроэкономикаНалогиАудит
Промышленность: • МеталлургияНефтьСельское хозяйствоЭнергетика
СтроительствоАрхитектураИнтерьерПолы и перекрытияПроцесс строительстваСтроительные материалыТеплоизоляцияЭкстерьерОрганизация и управление производством

Каталог авторов (частные аккаунты)

Авто

АвтосервисАвтозапчастиТовары для автоАвтотехцентрыАвтоаксессуарыавтозапчасти для иномарокКузовной ремонтАвторемонт и техобслуживаниеРемонт ходовой части автомобиляАвтохимиямаслатехцентрыРемонт бензиновых двигателейремонт автоэлектрикиремонт АКППШиномонтаж

Бизнес

Автоматизация бизнес-процессовИнтернет-магазиныСтроительствоТелефонная связьОптовые компании

Досуг

ДосугРазвлеченияТворчествоОбщественное питаниеРестораныБарыКафеКофейниНочные клубыЛитература

Технологии

Автоматизация производственных процессовИнтернетИнтернет-провайдерыСвязьИнформационные технологииIT-компанииWEB-студииПродвижение web-сайтовПродажа программного обеспеченияКоммутационное оборудованиеIP-телефония

Инфраструктура

ГородВластьАдминистрации районовСудыКоммунальные услугиПодростковые клубыОбщественные организацииГородские информационные сайты

Наука

ПедагогикаОбразованиеШколыОбучениеУчителя

Товары

Торговые компанииТоргово-сервисные компанииМобильные телефоныАксессуары к мобильным телефонамНавигационное оборудование

Услуги

Бытовые услугиТелекоммуникационные компанииДоставка готовых блюдОрганизация и проведение праздниковРемонт мобильных устройствАтелье швейныеХимчистки одеждыСервисные центрыФотоуслугиПраздничные агентства

Блокирование содержания является нарушением Правил пользования сайтом. Администрация сайта оставляет за собой право отклонять в доступе к содержанию в случае выявления блокировок.