|
Доктор Веб
<#"881867.files/image002.gif">, (1)
где
i - порядковый номер актива.
В результате каждому активу должен быть присвоен “коэффициент важности”,
который должен удовлетворять двум условиям:
 ; (2)
 ,
где
n - порядковый номер информационного актива.
.
Расчёт стоимости каждого ИА
Расчет
стоимости каждого ИА производится, как произведение прибыльной стоимости
информации и коэффициента важности.
 . (3)
Стоимость информационного актива определяет минимально допустимое
значением информационных рисков для него.
. Анализ важности ИА представлен в таблице 5.1
Таблица 5.1
|
№ п.п.
|
Наименование актива
|
Оценка важности (Oу)
|
Коэф. важности (Kn)
|
Стоимость актива (Sиа)
|
|
1
|
Финансовые документы
|
5
|
0,089286
|
62500
|
|
2
|
Данные о партнерах
|
7
|
0,125
|
87500
|
|
3
|
Деловая переписка
|
3
|
0,053571
|
37500
|
|
4
|
Договора с подрядчиками
|
5
|
0,089286
|
62500
|
|
5
|
Сведения о персонале
|
5
|
0,089286
|
62500
|
|
6
|
Лицевые счета работников
|
7
|
0,125
|
87500
|
|
7
|
Банковские выписки
|
7
|
0,125
|
87500
|
|
8
|
Сведения о совещаниях
|
3
|
0,053571
|
37500
|
|
9
|
Сведения передаваемые
налоговым органам
|
7
|
0,125
|
87500
|
|
10
|
Документы по безопасности
|
7
|
0,125
|
87500
|
|
|
|
|
|
|
|
|
|
Стоимость информационного актива определяет минимально допустимое
значение информационных рисков для него.
5.1.2 Расчет стоимости информационных ресурсов
Необходимо создать перечень и проанализировать информационные ресурсы.
Основной задачей при идентификации и оценке ИР является получение полной
стоимости каждого ресурса (SИР),
которая будет равна значению ущерба при воздействии УБИ. Полная стоимость ИР
складывается из его стоимости (SИРз)
и стоимости содержащейся в нём информации (SИРа).
Для объективной оценки ИР необходимо определить их полный перечень. При
определении перечня информационных ресурсов необходимо учитывать состав и
свойства носителей информации, а так же порядок работы с ИР.
Выделим следующие информационные ресурсы:
. Отдельные бумажные документы - документ.
.Бумажные документы, находящиеся в столах сотрудников - стол сотрудника.
. Бумажные документы, подшитые в папку и не закрытые в специальные шкафы
и сейфы - папка с документами.
. Документы, находящиеся в сейфе или специальном шкафе для хранения
документов - сейф, шкаф.
. Документы, находящиеся в архиве отдела кадров - помещение архива ОК.
. Электронные документы, находящиеся на ПЭВМ сотрудников - ПЭВМ
сотрудника.
. Электронные документы и БД, находящиеся на сервере - сервер.
Стоимость ИР определяется как сумма всех фактических расходов на
приобретение, приведение и поддержание их в состоянии, пригодном для
использования в запланированных целях. Расчет стоимости ИР приведён в таблице
5.2.
Таблица 5.2
Анализ стоимости информационных ресурсов
|
№ ресурса
|
Наименование параметра
|
Единица измерения
|
Значение
|
|
1.
|
1.1
|
Заработная плата сотрудника
за месяц
|
руб.
|
15000
|
|
1.2
|
Расход бумаги (затраты на
бумагу)
|
руб.
|
700
|
|
1.3
|
Расход тонера
|
руб.
|
300
|
|
1.4
|
Прочие расходы (оплата за
отопление, электроэнергию и т.п.)
|
руб.
|
6000
|
|
1.5
|
Итого (SИРз1)
|
руб.
|
22000
|
|
2.
|
2.1
|
Заработная плата
сотрудникам за месяц
|
руб.
|
15000
|
|
2.2
|
Расход бумаги (затраты на
бумагу)
|
руб.
|
700
|
|
2.3
|
Расход тонера
|
руб.
|
300
|
|
2.4
|
Стоимость столов
|
руб.
|
12000
|
|
2.5
|
Прочие расходы (оплата за
отопление, электроэнергию и т.п.)
|
руб.
|
6000
|
|
2.6
|
Итого (SИРз2)
|
руб.
|
34000
|
|
3.
|
3.1
|
Заработная плата
сотрудникам за месяц
|
руб.
|
15000
|
|
3.2
|
Расход бумаги (затраты на
бумагу)
|
руб.
|
700
|
|
3.3
|
Расход тонера
|
руб.
|
300
|
|
3.4
|
Стоимость папок
|
руб.
|
150
|
|
3.5
|
Прочие расходы (оплата за
отопление, электроэнергию и т.п.)
|
руб.
|
6000
|
|
3.6
|
Итого (SИРз3)
|
руб.
|
22150
|
|
4.
|
4.1
|
Заработная плата
сотрудникам за месяц
|
руб.
|
15000
|
|
4.2
|
Расход бумаги (затраты на
бумагу)
|
руб.
|
700
|
|
4.3
|
Расход тонера
|
руб.
|
300
|
|
4.4
|
Стоимость шкафов
|
руб.
|
10000
|
|
4.5
|
Прочие расходы (оплата за
отопление, электроэнергию и т.п.)
|
руб.
|
6000
|
|
4.6
|
Итого (SИРз4)
|
руб.
|
32000
|
|
5.
|
5.1
|
Расходы на хранение (SИРз5)
|
руб.
|
1500
|
|
6.
|
6.1
|
Заработная плата
сотрудникам за месяц
|
руб.
|
15000
|
|
6.2
|
Оплата Internet
|
руб.
|
2000
|
|
6.3
|
Расходы на ЭВМ
|
руб.
|
3200
|
|
6.4
|
Прочие расходы (оплата за
отопление, электроэнергию и т.п.)
|
руб.
|
6000
|
|
6.5
|
Итого (SИРз6)
|
руб.
|
26200
|
|
7.
|
7.1
|
Заработная плата системного
администратора
|
руб.
|
12000
|
|
7.2
|
Оплата Internet
|
руб.
|
2000
|
|
7.3
|
Расходы на ЭВМ
|
руб.
|
3200
|
|
7.4
|
Прочие расходы (оплата за
отопление, электроэнергию и т.п.)
|
руб.
|
6000
|
|
7.5
|
Стоимость ПО
|
руб.
|
30000
|
|
7.6
|
Итого (SИРз7)
|
руб.
|
53200
|
5.1.3 Расчет полной стоимости информации
Далее необходимо провести оценку стоимости информации, содержащейся в ИР.
Сначала составляется матрица участия - не участия ИР в реализации каждого ИА.
Если ИР участвует в реализации данного ИА - ставим на их пересечении 1, если
нет - 0 (табл. 5.3). Затем каждая 1 делится на количество единиц в данном
столбце и составляется таблица коэффициентов участия каждого ИР в реализации
каждого ИА. (табл.5.4)
Таблица 5.3
Матрица участия - не участия ИР
|
А1
|
А2
|
А3
|
А4
|
А5
|
А6
|
А7
|
А8
|
А9
|
А10
|
|
Р1
|
1
|
1
|
1
|
1
|
1
|
1
|
1
|
1
|
1
|
1
|
|
Р2
|
1
|
0
|
1
|
1
|
0
|
0
|
0
|
1
|
0
|
0
|
|
Р3
|
1
|
1
|
1
|
1
|
1
|
1
|
1
|
0
|
1
|
1
|
|
Р4
|
1
|
1
|
1
|
0
|
1
|
1
|
1
|
1
|
1
|
1
|
|
Р5
|
1
|
0
|
0
|
0
|
1
|
0
|
0
|
0
|
0
|
0
|
|
Р6
|
1
|
1
|
1
|
1
|
1
|
0
|
1
|
1
|
1
|
0
|
|
Р7
|
1
|
1
|
0
|
0
|
0
|
0
|
1
|
0
|
1
|
1
|
Таблица 5.4
Оценочная матрица ИР
|
А1
|
А2
|
А3
|
А4
|
А5
|
А6
|
А7
|
А8
|
А9
|
А10
|
|
Р1
|
0,14
|
0,2
|
0,2
|
0,25
|
0,2
|
0,33
|
0,2
|
0,25
|
0,2
|
0,25
|
|
Р2
|
0,14
|
0
|
0,2
|
0,25
|
0
|
0
|
0
|
0,25
|
0
|
0
|
|
Р3
|
0,14
|
0,2
|
0,2
|
0,2
|
0,33
|
0,2
|
0
|
0,2
|
0,25
|
|
Р4
|
0,14
|
0,2
|
0,2
|
0
|
0,2
|
0,33
|
0,2
|
0,25
|
0,2
|
0,25
|
|
Р5
|
0,14
|
0
|
0
|
0
|
0,2
|
0
|
0
|
0
|
0
|
0
|
|
Р6
|
0,14
|
0,2
|
0,2
|
0,25
|
0,2
|
0
|
0,2
|
0,25
|
0,2
|
0
|
|
Р7
|
0,14
|
0,2
|
0
|
0
|
0
|
0
|
0,2
|
0
|
0,2
|
0,25
|
Для определения части стоимости актива, входящую в ресурс, необходимо
стоимость актива (SИА) умножить на
коэффициент. Т.е. в оценочной матрице необходимо заменить значения
коэффициентов их произведением на стоимость актива. Стоимость информации ИР (SИРа) определяется, как сумма частей
стоимости активов, которые он реализует. Это соответствует сумме значений
оценочной матрицы по строкам. Эта сумма соответствует стоимости информации,
содержащейся в ресурсе. Эта же сумма является максимально допустимым уровнем
риска для данного ресурса. (табл.5.5).
Таблица 5.5
Матрица стоимости ИР
|
А1
|
А2
|
А3
|
А4
|
А5
|
А6
|
А7
|
А8
|
А9
|
А10
|
(SИРз)
|
|
Р1
|
8750
|
17500
|
7500
|
15625
|
12500
|
28875
|
17500
|
9375
|
17500
|
21875
|
157000
|
|
Р2
|
8750
|
0
|
7500
|
15625
|
0
|
0
|
0
|
9375
|
0
|
0
|
41250
|
|
Р3
|
8750
|
17500
|
7500
|
15625
|
12500
|
28875
|
17500
|
0
|
17500
|
21875
|
147625
|
|
Р4
|
8750
|
17500
|
7500
|
0
|
12500
|
28875
|
17500
|
9375
|
17500
|
21875
|
141375
|
|
Р5
|
8750
|
0
|
0
|
0
|
12500
|
0
|
0
|
0
|
0
|
0
|
21250
|
|
Р6
|
8750
|
17500
|
7500
|
15625
|
12500
|
0
|
17500
|
9375
|
17500
|
0
|
106250
|
|
Р7
|
8750
|
17500
|
0
|
0
|
0
|
0
|
17500
|
0
|
17500
|
21875
|
83125
|
Полная
стоимость ИР (SИР) слагается из суммы затрат на него (SИРз)
и стоимости информации (SИРа), т.е.  . Эта
стоимость является величиной потерь при воздействии УБИ. Результатом анализа
информации является перечень информационных ресурсов с полной стоимостью и
величиной максимального риска. Он представлен в таблице 5.6.
Таблица 5.6
Анализ информации защищаемого объекта
|
№ п.п.
|
Наименование ресурса
|
Полная стоимость ресурса
|
Mакс. риск
|
|
1.
|
Отдельные бумажные
документы - документ
|
179000
|
157000
|
|
2.
|
Бумажные документы,
находящиеся в столах сотрудников - стол
|
75250
|
41250
|
|
3.
|
Бумажные документы,
подшитые в папку и не закрытые в специальные шкафы и сейфы - папка с
документами
|
169775
|
147625
|
|
4.
|
Документы, находящиеся в
сейфе или специальном шкафе для хранения документов - сейф, шкаф
|
173375
|
141375
|
|
5.
|
Документы, находящиеся в
архиве отдела кадров - помещение архива ОК
|
22750
|
21250
|
|
6.
|
Электронные документы,
находящиеся на ПЭВМ сотрудников - ПЭВМ сотрудника
|
132450
|
106250
|
|
7.
|
Электронные документы и БД,
находящиеся на сервере - сервер
|
136325
|
83125
|
5.2 Оценка угроз информационной безопасности
Анализ угроз информационной безопасности состоит из двух частей:
. Составляется список угроз информационной безопасности:
) Угрозы физической целостности, логической структуры, содержания и
доступности информационных ресурсов:
· утрата информации из-за ошибок персонала;
· сбои в работе аппаратуры;
· сбои и ошибки в работе ПО;
· воздействие стихийных сил;
· воздействие вредоносного ПО.
) Угрозы конфиденциальности:
· НСД злоумышленников к традиционным ИР;
· НСД злоумышленников к электронным ИР;
· несанкционированное ознакомление с информацией с помощью
технических средств;
· утрата информацией конфиденциальности за счет ее разглашения
. Производится оценка угроз по степени их опасности. Можно выделить
следующие лингвистические переменные:
- маловероятно 2;
вероятно 4;
очень вероятно 6.
Оценка угроз безопасности предприятия представлена в таблице 5.7.
Таблица 5.7
Оценка угроз безопасности информации предприятия
|
№ п.п.
|
Наименование угрозы
|
Лингвистическая оценка
|
Вероятность
|
|
1.
|
НСД злоумышленников к традиционным
ИР
|
4
|
0,67
|
|
2.
|
НСД злоумышленников к
электронным ИР
|
2
|
0,33
|
|
3.
|
Несанкционированное
ознакомление с информацией с помощью технических средств
|
2
|
0,33
|
|
4.
|
Утрата информацией
конфиденциальности за счет ее разглашения персоналом
|
2
|
0,33
|
|
5.
|
Утрата информации из-за
ошибок персонала
|
4
|
0,67
|
|
6.
|
Сбои в работе аппаратуры
|
2
|
0,33
|
|
7.
|
Сбои и ошибки в работе ПО
|
4
|
0,67
|
|
8.
|
Воздействие вредоносного ПО
|
3
|
0,5
|
|
9.
|
Воздействие стихийных сил
|
1
|
0,17
|
После получения оценки УБИ, значения необходимо нормализовать, т.е. каждое
значение оценки разделить на максимальное. Полученный результат используется в
качестве значения вероятности воздействия угрозы.
5.3 Анализ и оценка уязвимостей
Исходя из определения уязвимости, любая угроза может быть реализована
только через неё. Это значит, что каждой угрозе, если она актуальна для данного
объекта защиты, соответствует одна или несколько уязвимостей. Если на объекте
нет уязвимостей, через которые можно реализовать угрозу, то угроза для объекта
не актуальна.
Особенностью уязвимости является то, что через одну уязвимость может быть
реализовано несколько угроз. В свою очередь, УБИ могут быть реализованы через
несколько уязвимостей.
Соотнесение угроз и уязвимостей представлено в таблице 5.8.
Таблица 5.8
Соотнесение угроз и уязвимостей
|
№ п.п.
|
Угрозы
|
Уязвимости
|
|
1.
|
НСД злоумышленников к
традиционным ИР
|
1.1. Недостаточная
физическая защита объекта (отсутствие ограждений, запираемых дверей, решёток
на окнах, пропускного режима, поста охраны)
|
|
|
1.2. Отсутствие
инженерно-технической защиты объекта (сигнализации)
|
|
|
1.3. Незащищённость ИР
|
|
1
|
|
1.4. Склонение персонала к
сотрудничеству
|
|
2.
|
НСД злоумышленников к
электронным ИР
|
2.1. Наличие
недокументированных возможностей ПО (ошибки разработчиков)
|
|
|
2.2. Ошибки в работе
пользователей
|
|
|
2.3. Незащищённость ИР
|
|
|
2.4. Склонение персонала к
сотрудничеству
|
|
3.
|
Несанкционированное
ознакомление с информацией с помощью технических средств
|
3.1.Снятие ПЭМИН
|
|
|
3.2. Визуально-оптический
КУИ (снятие информации с мониторов, документов на столах сотрудников)
|
|
|
3.3. Акустический КУИ
|
|
4.
|
Утрата информацией
конфиденциальности за счет ее разглашения персоналом
|
4.1. Склонение персонала к
сотрудничеству
|
|
|
4.2. Неправильные действия
персонала
|
|
5.
|
Утрата информации из-за
ошибок персонала
|
5.1. Недостаточная
квалифицированность
|
|
|
5.2. Неправильные действия
персонала
|
|
6.
|
Сбои в работе аппаратуры
|
6.1. Низкая надёжность
отдельных узлов аппаратуры
|
|
|
6.2. Нестабильность
электропитания
|
|
|
6.3. Неправильные действия
пользователей
|
|
7.
|
Сбои и ошибки в работе ПО
|
7.1. Наличие недокументированных
возможностей ПО (ошибки разработчиков)
|
|
|
7.2. Неправильные действия
и ошибки пользователей
|
|
8.
|
Воздействие вредоносного ПО
|
8.1. Наличие
недокументированных возможностей ПО
|
|
|
8.2. Неправильные действия
и ошибки пользователей
|
|
|
8.3. Незащищённость ИР
|
|
9.
|
Воздействие стихийных сил
|
9.1. Пожар (отсутствие
средств пожаротушения и пожарной сигнализации)
|
|
|
9.2. Иные форс-мажорные
обстоятельства
|
|
|
|
|
|
Любая уязвимость может проявиться только в том случае, когда проявляются
три фактора: пространственный, временной и энергетический. Эти факторы
называются прямыми.
Пространственный фактор (Ps) -
это условие того, что информация находится в том пространстве, в котором
проявляется уязвимость. Здесь необходимо учитывать, что под пространством
понимается не только реальное, географическое, пространство, но и виртуальное.
Например, если существуют недокументированные особенности базы данных, которые
приводят к сбоям в её работе, то уязвимость может быть опасной только для той
информации, которая в ней хранится.
Временной фактор (Pt) -
это условие того, что уязвимость проявится в то время, когда будет существовать
информация.
Энергетический фактор (Pp)
можно определить, как условие достаточного количества энергии для проявления
уязвимости. Однако, в некоторых случаях ситуация может быть противоположной.
Т.е. может не хватить энергии для нормальной работы системы, и информация будет
утеряна.
Количественной характеристикой влияния прямых факторов на проявление
угрозы является их вероятность. Поскольку уязвимость проявляется при наличии
сразу трёх факторов, то вероятность проявления уязвимости является прямое
произведение вероятностей этих факторов.
 . (6)
Проявление самих факторов, так же зависит от множества условий, которые
называются косвенными факторами уязвимости. Проявление косвенных факторов
приводит к проявлению прямых. Т.е. вероятность проявления прямых факторов
зависит от вероятности проявления косвенных.
Вероятность угрозы принимается равной 1.
Анализ вероятностей уязвимостей, через которые реализуется угроза,
представлен в таблице 5.9.
Таблица 5.9
Анализ вероятности уязвимости
|
№ уяз.
|
Уязвимость
|
Знач. прям. ф-ра
|
Косвенный фактор и параметр
|
Значение парам.
|
|
|
|
|
Наименование
|
P
|
|
|
1.1
|
Недостаточная физическая
защита объекта Р=0,43
|
Ps = 1
|
Доступ к ресурсам
осуществляется через КЗ
|
|
|
|
Pt = 1
|
Информация существует
постоянно
|
|
|
|
Pp = 0,43
|
Недостаточное качество и
количество рубежей охраны
|
0,43
|
0,43
|
|
1.2
|
Отсутствие
инженерно-технической защиты объекта Р=0,43
|
Ps = 0,43
|
Недостаточная физическая
защиты КЗ
|
0,43
|
0,43
|
|
|
Pt = 1
|
Информация существует
постоянно
|
|
|
|
Pp = 1
|
Отсутствие охранной
сигнализации
|
|
|
1.3 2.3 8.3
|
Незащищённость ИР Р=0,43
|
Ps = 1
|
Информация находится на
незащищённых носителях
|
|
|
|
Pt = 0,43
|
Вероятность доступа к
информации 0,43 0,43
|
|
|
|
Pp = 1
|
Доступ к носителю приведёт
к утере или разглашению информации
|
|
|
1.4 2.4 4.1
|
Склонение персонала к
сотрудничеству Р=0.316
|
Ps = 1
|
Персонал, имеющий допуск,
имеет доступ к ИР
|
|
|
|
Pt = 1
|
Персонал, имеющий допуск,
имеет постоянный доступ к информации
|
Персоналу злоумышленниками
будут предложены более выгодные условия*
|
0.316
|
0.316
|
|
|
2.1 7.1 8.1
|
Наличие недокументированных
возможностей ПО Р=0,05
|
Ps = 1
|
Все ПО работает на сервере
|
|
|
|
Pt = 0.7
|
Процент ошибок
разработчиков
|
0,05
|
5%
|
|
|
Pp = 1
|
Любая ошибка ПО может
привести к потере или НСД к информации
|
|
|
2.2 4.2 5.1, 5.2 6.3 7.2
8.2
|
Неправильные действия и
ошибки пользователей Р=0,3
|
Ps = 1
|
Персонал, имеющий допуск,
имеет доступ к ИР
|
|
|
|
Pt = 0.3
|
Процент ошибочных действий
персонала
|
0,3
|
30%
|
|
|
Pp = 1
|
Любая ошибка может привести
к потере или НСД к информации
|
|
|
3.1
|
Снятие ПЭМИН Р=0
|
Ps = 0
|
Информация обрабатывается
на ПЭВМ, в пределах КЗ, что сводит вероятность снятия ПЭМИн к 0
|
0
|
0
|
|
|
|
Pt = 1
|
Информация существует
постоянно в рамках рабочего дня
|
|
|
|
Pp = 1
|
Затраты на специальное
оборудование превышают ущерб от перехвата информации
|
0
|
0
|
|
|
3.2
|
Утечка через
визуально-оптический КУИ Р=0,2
|
Ps = 0,2
|
Незащищённость от средств
оптической разведки*
|
0,2
|
0,2
|
|
|
|
Pt = 1
|
Информация существует
постоянно в рамках рабочего дня
|
|
|
|
Pp = 1
|
Читаемость данных с
экранов, документов на столах
|
|
|
3.3
|
Утечка через акустический
КУИ Р=0
|
Ps = 0
|
Уровень звукового шума за
перегородками
|
|
|
|
Pt = 1
|
Информация существует
постоянно в рамках рабочего дня
|
|
|
|
Pp = 1
|
Наличие качественных средств
подслушивания и записи информации
|
|
|
6.1
|
Низкая надёжность отдельных
узлов аппаратуры Р=0,64
|
Ps = 1
|
Все узлы сервера участвуют
в обработке информации
|
|
|
|
Pt = 0.64
|
Вероятность выхода из строя
0,64 0,64
|
|
|
|
Pp = 1
|
При выходе из строя любого
узла - ЭВМ выйдет из строя
|
|
|
6.2
|
Нестабил-ть электропитания
Р=0
|
Ps = 1
|
Сервер подключен к данной
линии электропитания
|
|
|
|
Pt = 0
|
Сервер работает
круглосуточно
|
|
|
|
Pp = 1
|
Площадь поперечного сечения
алюминиевого провода, все ЭВМ оснащены ИБП
|
0
|
8 мм2
|
|
|
9.1
|
Пожар Р=0.145
|
Ps = 1
|
Вся информация находится в
одном здании
|
|
|
|
Pt = 0.145
|
Вероятность пожара*
|
0.145
|
0.145
|
|
|
|
Pp = 1
|
Может быть уничтожена вся
информация
|
|
|
9.2
|
Иные форс-мажорные
обстоятельства Р=0,05
|
Ps = 1
|
Вся информация находится в
одном здании
|
|
|
|
Pt = 0.7
|
Вероятность
|
0,1
|
≈ 0,05
|
|
|
|
Pp = 1
|
Может быть уничтожена вся
информация
|
|
|
|
|
|
|
|
|
|
|
|
|
|
При расчете прямых факторов нам необходимо воспользоваться формулой
сложения вероятностей косвенных факторов:
 (7)
*Расчёт
косвенных факторов
.1.
Недостаточная физическая защита объекта
В
соответствии с наличием и качеством рубежей физической охраны выделим следующие
вероятности прохождения каждого рубежа:
· Железный забор - 0,4;
· двери, окна - 0,05;
Прохождение каждого рубежа защиты внесёт свою долю в вероятность
проникновения на объект, соответственно рассчитаем вероятность по формуле:
(8)
11=0,43
.4,2.4,4.1.
Персоналу злоумышленниками будут предложены более выгодные условия
· весомые условия сотрудничества - 0,2;
· личные счёты - 0,1;
· шантаж - 0,05.
P14=0.316
.2. Незащищённость от средств оптической разведки
Вероятность реализации через уязвимости:
· через окна (второй этаж, жалюзи) - 0;
· просмотр документов оставленных на столе, экранах мониторов
сотрудниками - 0,2;
P32=0,2
.3. Уровень звукового шума за перегородками
Расчёт сделан в рамках дипломной по инженерно-технической защите объекта.
.1. Вероятность выхода из строя узлов аппаратуры:
· микропроцессор - 0,1;
· материнская плата - 0,2;
· жесткий диск - 0,5;
P61=
0.64
.1. Вероятность пожара
· доля пожаров на предприятиях относительно общего числа - 0,1;
· количество пожароопасных ситуаций на предприятии - 0;
· неисправности средств пожаротушения и пожарной сигнализацией
- 0,05.
P61=0.145
5.4 Выработка мер по нейтрализации угроз
обработка информация безопасность риск
Разработка мероприятий по защите информации и подбор технических средств
необходимо начать с анализа информационных рисков.
Расчёт риска ведётся по формуле:
 (9), где
-
стоимость информации,
Ругр
- вероятность реализации угрозы,
Руяз
- вероятность уязвимости.
Расчет
рисков ведётся по материалам анализа информации и анализа УБИ. Он представлен в
таблице в таблице 5.10.
Таблица
5.10
Расчет
информационных рисков
|
№ ИР
|
Наименование угрозы
|
Наименование уязвимости
|
Полная ст-ть ресурса
|
Риск
|
Maкс. риск
|
|
1.
|
1 - 0,67; 3 - 0,33; 4 -
0,33; 5 - 0,67; 9 - 0,17;
P=0, 958
|
1.1 - 0,43; 1.2 - 0,43; 1.3
- 0,43; 1.4 - 0,316; 3.2 -0,2; 5.1- 0,3; 5.2 - 0,3; 9.1- 0,145; 9.2 - 0,05 Р=
0,96
|
179000
|
164622
|
157000
|
|
2.
|
1 - 0,67; 4 - 0,33; 5 -
0,67; 9 - 0,17; P=0, 938
|
1.1 - 0,43; 1.2 - 0,43; 1.4
- 0,316; 5.1- 0,3; 5.2 - 0,3; 9.1- 0,145; 9.2 - 0,05 Р= 0,91
|
75250
|
64232
|
41250
|
|
3.
|
1 - 0,67; 4 - 0,33; 5 -
0,67; 9 - 0,17; P=0, 938
|
1.1 - 0,43; 1.2 - 0,43; 1.4
- 0,316; 5.1- 0,3; 5.2 - 0,3; 9.1- 0,145; 9.2 - 0,05 Р= 0,91
|
169775
|
144916
|
147625
|
|
4.
|
1 - 0,67; 4 - 0,33; 5 -
0,67; 9 - 0,17; P=0, 938
|
1.1 - 0,43; 1.2 - 0,43; 1.4
- 0,316; 5.1- 0,3; 5.2 - 0,3; 9.1- 0,145; 9.2 - 0,05 Р= 0,91
|
173375
|
147989
|
141375
|
|
5.
|
1 - 0,67; 4 - 0,33; 9 -
0,17; P=0,815
|
1.1 - 0,43; 1.2 - 0,43; 1.4
- 0,316; 9.1- 0,145; 9.2 - 0,05 Р= 0,82
|
22750
|
15204
|
21250
|
|
6.
|
2 - 0,33; 3 - 0,33; 4 -
0,33; 5 - 0,67; 6 - 0,33; 7 - 0,67; 8 - 0,5; 9 - 0,17; P=
0,990
|
2.1 - 0,05; 2.2 - 0,3; 2.3
- 0,43; 2.4 - 0,316; 3.2 -0,2; 5.1- 0,3; 5.2 - 0,3; 6.1 - 0,64; 7.1- 0,05;
7.2 - 0,3; 8.1 - 0,05; 8.2 -0,3; 9.1- 0,145; 9.2 - 0,05 Р= 0,99
|
132450
|
129814
|
106250
|
|
|
7.
|
2 - 0,33; 3 - 0,33; 4 -
0,33; 5 - 0,67; 6 - 0,33; 7 - 0,67; 8 - 0,5; 9 - 0,17; P=0,990
|
2.1 - 0,05; 2.2 - 0,3; 2.3
- 0,43; 2.4 - 0,316; 3.2 -0,2; 5.1- 0,3; 5.2 - 0,3; 6.1 - 0,64; 7.1- 0,05;
7.2 - 0,3; 8.1 - 0,05; 8.2 -0,3; 9.1- 0,145; 9.2 - 0,05 Р= 0,99
|
136325
|
133612
|
83125
|
|
|
|
|
|
|
|
|
|
|
|
Не все информационные ресурсы защищены достаточно, поэтому необходимо
применить ряд дополнительных мер, снижающих вероятность уязвимостей таблица
5.11.
Таблица 5.11
|
№ п.п.
|
Уязвимость
|
№ ИР
|
Метод предотвращения
|
Снижаемый показатель (Ps,
Pt, Pp)
|
|
|
1.1
|
Недостаточная физическая
защита объекта
|
1-7
|
Установка дополнительных
рубежей охраны: спирального барьера безопасности, укреплённых дверей, решёток
на окна
|
Pp
|
|
|
1.2
|
Отсутствие
инженерно-технической защиты объекта
|
1-7
|
Оснащение СКУД и охранной
сигнализацией
|
Pp
|
|
|
1.3 2.3 8.3
|
Незащищённость ИР
|
1
|
Введение инструкций
хранения документов
|
Pt
|
|
|
1.4 2.4 4.1
|
Склонение персонала к
сотрудничеству
|
1-7
|
Обязательства о
неразглашении, материальная ответственность за разглашение конфиденциальной
информации
|
Pp
|
|
2.2 4.2 5.1 5.2 6.3 7.2 8.2
|
Неправильные действия и
ошибки пользователей
|
1,2,3,4,6,7
|
Составление должностных
инструкций, правил работы с конфиденциальными документами. Регулярное
резервирование информации.
|
Pt
|
|
3.2
|
Утечка через
визуально-оптический КУИ
|
1,6,7
|
Введение инструкций
хранения документов, правильное расположение экранов мониторов
|
Ps
|
|
6.1
|
Низкая надёжность отдельных
узлов аппаратуры
|
6,7
|
Своевременная замена
устаревшего оборудования
|
Pt
|
|
9.1
|
Пожар
|
1-7
|
Своевременное проведение
мероприятий по предотвращению возникновения пожаров
|
Pt
|
|
|
|
|
|
|
|
|
|
В соответствии с предложенными методами необходимо провести мероприятия
по снижению вероятности проявления уязвимостей.
Инженерно-технические средства защиты информации не рассматриваются в
рамках данной работы.
Организационные документы представлены в ПРИЛОЖЕНИИ.
Заключение
Под аттестацией объектов информатизации понимается комплекс
организационно-технических мероприятий, в результате которых посредством
специального документа - «Аттестата соответствия» - подтверждается, что объект
соответствует требованиям стандартов и иных нормативно-технических документов по
безопасности информации, утвержденных федеральным органом по сертификации и
аттестации.
Объекты информатизации вне зависимости от используемых отечественных или
зарубежных технических и программных средств аттестуются на соответствие
требованиям государственных стандартов России или нормативных и методических
документов по безопасности информации, утвержденных федеральным органом по
сертификации и аттестации в пределах его компетенции.
Обязательной аттестации подлежат объекты информатизации, предназначенные
для обработки информации, составляющей государственную тайну, управления
экологически опасными объектами, ведения секретных переговоров. В остальных
случаях аттестация носит добровольный характер (добровольная аттестация) и
может осуществляться по желанию заказчика или владельца объекта информатизации.
Аттестация по требованиям безопасности информации предшествует началу
обработки подлежащей защите информации и предусматривает комплексную проверку
(аттестационные испытания) защищаемого объекта информатизации в реальных
условиях эксплуатации в целях оценки соответствия использованного комплекса мер
и средств защиты информации требуемому уровню безопасности информации.
2.
Список использованной литературы
1. Аверченков,
В.И., Методические указания к выполнению проекта по дисциплине комплексные
системы защиты информации для студентов очной формы обучения специальности
2012.
. Аверченков,
В.И. Организационная защита информации: учеб. пособие для вузов / В.И.
Аверченков, М.Ю. Рытов. - Брянск: БГТУ, 2011.
. Барсуков,
В.С. Особенности обеспечения информационной безопасности / В.С Барсуков,- М.:
ТЭК, 2014.
. Болдырев,
А.И. Методические рекомендации по поиску и нейтрализации средств негласного
съема информации: практ. Пособие/ А.
И. Болдырев - М.: НЕЛК, 2011
. ГОСТ
Р 51275-99 Защита информации. Объект информатизации. Факторы, воздействующие на
информацию
. ГОСТ
Р ИСО/МЭК 13335-2006 Информационные технологии. Методы и средства обеспечения
безопасности. Концепция и модели менеджмента безопасности информационных и телекоммуникационных
технологий
. ГОСТ
Р ИСО/МЭК 17799-2005 Практические правила управления информационной
безопасностью
. Домарев,
В.В. Безопасность информационных технологий. Методология создания систем защиты
/ В.В. Домарев, Киев: ДиаСофт, 2002.
. Положение
по аттестации объектов информатизации по требованиям безопасности информации.
(Утверждено председателем Государственной технической комиссии при Президенте
Российской Федерации 25 ноября 1994 г.)
. Руководящий
документ Автоматизированные системы. Защита от несанкционированного доступа к
информации Классификация автоматизированных систем и требования по защите
информации (Утверждено решением председателя Государственной технической
комиссии при Президенте Российской Федерации от 30 марта 1992 г.)
ПРИЛОЖЕНИЯ
Приложение 1
План 2 этажа МУ «Финансового отдела администрации Злынковского района»
Приложение 2
Технический паспорт объекта (2 этаж).
|
1
|
Название помещения
|
Административное здание
корпус «Финансовый отдел администрации Злынковского района»
|
|
2
|
Этаж
|
2
|
Площадь, м2
|
180
|
|
3
|
Количество окон, тип
сигнализации, наличие штор на окнах
|
16*, сигнализация
отсутствует, имеются жалюзи.
|
Куда выходят окна
|
Окна выходят на проезжую
часть, а также на контролируемую территорию (во двор).
|
|
4
|
Двери (одинарные, двойные),
кол-во
|
10 одинарных дверей,
оснащенных замками. Все двери деревянные.***
|
Куда выходят двери
|
4 двери выходит в коридор.
4 двери выходит в приемную.1 дверь выходит на лестничную площадку.. **
|
|
5
|
Соседние помещения,
название, толщина стен
|
Смежные помещения. Слева
находится Муниципальное унитарное предприятие «Злынковский районный
водоканал» Справа «Отдел образования администрации Злынковского района»
(РОНО). Толщина стен: несущих 0,52 м., внутренних 0,38 м.
|
|
6
|
Помещение над потолком,
название, толщина перекрытий
|
Крыша. Толщина перекрытий
0,40 м
|
|
7
|
Помещение под полом,
название, толщина перекрытий
|
Толщина перекрытий 0, 24 м
|
|
8
|
Вентиляционные отверстия,
места размещения, размеры отверстий
|
Вентиляционные отверстия
отсутствуют.
|
|
9
|
Батареи отопления, типы,
куда выходят трубы
|
Батареи отопления
присутствуют во всех помещениях. Тип батареи - чугунный радиатор. Трубы
выходят к центральной системе отопления.
|
|
10
|
Цепи электропитания
|
Напряжение, В, количество
розеток электропитания, входящих и выходящих кабелей
|
Напряжение 220 В. Несколько
розеток в каждом помещении. Один входящий/исходящий кабель в каждом
помещении.
|
|
11
|
Телефон
|
Типы, места установки
телефонных аппаратов, тип кабеля
|
Каждый кабинет оборудовано
стационарным телефоном. Проводка сделана кабелем ТРП.
|
|
12
|
Радиотрансляция
|
Типы громкоговорителей,
места установки
|
отсутствуют
|
|
13
|
Электрические часы
|
Тип, куда выходит кабель
электрических часов
|
отсутствуют
|
|
14
|
Бытовые радиосредства
|
Радиоприемники, телевизоры,
аудио и видеомагнитофоны, их кол-во и типы
|
отсутствуют
|
|
15
|
Бытовые электроприборы
|
Вентиляторы и др., места их
размещения
|
Электрочайники и
кондиционеры в большинстве помещений
|
|
16
|
ПЭВМ
|
Кол-во, состав, места
размещения
|
18 ПЭВМ****, размещены на
рабочих местах. Имеют различную конфигурацию. Все ПЭВМ объединены в единую
ЛВС.
|
|
17
|
Технические средства охраны
|
Типы и места установки
извещателей, зоны действия
|
Технические средства охраны
включают в себя только замки.
|
|
18
|
Телевизионные средства
наблюдения
|
Места установки, типы и
зоны наблюдения телевизионных трубок
|
отсутствуют
|
|
19
|
Пожарная сигнализация
|
Типы извещателей, схемы
соединения и выводы шлейфа
|
отсутствуют
|
|
20
|
Другие средства
|
Сейфы, шкафы металлические,
находятся в отделе бюджетного планирования, в отделе учета и отчетности,
кабинете начальника не менее 1. Сетевые фильтры - не менее 1 в каждом
помещении.
|
|
|
|
|
|
|
Приложение 3
З А Я В К А
на проведение аттестации объекта информатизации
. МУ «Финансовый отдел администрации Злынковского района» просит провести
аттестацию автоматизированной системы МУ «Финансового отдела администрации
Злынковского района на соответствие требованиям по безопасности информации:
класса 1Д.
. Необходимые исходные данные по аттестуемому объекту информатизации
прилагаются.
. Заявитель готов предоставить необходимые документы и условия для
проведения аттестации.
. Заявитель согласен на договорной основе оплатить расходы по всем видам
работ и услуг по аттестации указанного в данной заявке объекта информатизации.
. Дополнительные условия или сведения для договора:
.1. Предварительное ознакомление с аттестуемым объектом предлагаю
провести в период до 25.10.2010
.2. Аттестационные испытания объекта информатики предлагаю провести в
период до 25.12.2009
Приложение 4
АТТЕСТАТ СООТВЕТСТВИЯ
№ 492
Автоматизированная система
МУ «Финансового отдела администрации Злынковского района»
требованиям по безопасности информации
Выдан " 26 " декабря 2010г
. Настоящим АТТЕСТАТОМ удостоверяется, что:
АС МУ «Финансового отдела администрации Злынковского района» класса
защищенности 1 Д соответствует требованиям нормативной документации по
безопасности информации.
Состав комплекса технических средств автоматизированной системы (АС), с
указанием заводских номеров, модели, изготовителя, номеров сертификатов
соответствия, схема размещения в помещениях и относительно границ
контролируемой зоны, перечень используемых программных средств, а также средств
защиты (с указанием изготовителя и номеров сертификатов соответствия) указаны в
техническом паспорте на АС.
. Организационная структура, уровень подготовки специалистов,
нормативно-методическое обеспечение обеспечивают поддержание уровня защищенности
АС в процессе эксплуатации в соответствии с установленными требованиями.
. С учетом результатов аттестационных испытаний в АС разрешается
обработка конфиденциальной информации.
. При эксплуатации АС запрещается:
· вносить изменения в комплектность АС, которые могут снизить
уровень защищенности информации;
· проводить обработку защищаемой информации без выполнения всех
мероприятий по защите информации;
· подключать к основным техническим средствам нештатные блоки и
устройства;
· вносить изменения в состав, конструкцию, конфигурацию,
размещение средств вычислительной техники;
· при обработке на ПЭВМ защищаемой информации подключать
измерительную аппаратуру;
· допускать к обработке защищаемой информации лиц, не
оформленных в установленном порядке;
· производить копирование защищаемой информации на неучтенные
магнитные носители информации, в том числе для временного хранения информации;
· работать при отключенном заземлении;
· обрабатывать на ПЭВМ защищаемую информацию при обнаружении
каких либо неисправностей.
. Контроль за эффективностью реализованных мер и средств защиты
возлагается на ведущего инженера отдела информационной безопасности.
. Подробные результаты аттестационных испытаний приведены в заключении
аттестационной комиссии (№ 489 от 25.12.2010) и протоколах испытаний.
. "Аттестат соответствия" выдан на 3 года (лет), в течение которых
должна быть обеспечена неизменность условий функционирования АС и технологии
обработки защищаемой информации, способных повлиять на характеристики
защищенности АС.
Руководитель аттестационной комиссии
Заместитель главы администрации района, начальник МУ «Финансовый отдел
администрации Злынковского района» Ермаков Е.Б.
(должность с указанием наименования предприятия, Ф.И.0.)
" 26" декабря 2010г.
Отметки органа надзора:
Приложение 5
Схема ЛВС
1. Приемная
2. Системный администратор
. Отдел учета и отчетности
. Бюджетный отдел
. Начальник
. Отдел прогнозирования и планирования
. Отдел контроля и ревизии
. Отдел экономики
 - розетки
локальной сети
 - свитч
Приложение 6
Российская Федерация
Брянская область
МУНИЦИПАЛЬНОЕ УЧРЕЖДЕНИЕ
«ФИНАНСОВЫЙ ОТДЕЛ
АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА»
ПРИКАЗ
« 25 » ФЕВРАЛЬ 2010 г № 68
(дата)
«Об утверждении Положения
о защите конфиденциальной информации»
ПРИКАЗЫВАЮ:
1. Утвердить и ввести в действие с 01.03.2010 г. Положение о
конфиденциальной информации МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО
РАЙОНА» (Приложение №1).
2. Руководителям структурных подразделений:
2.1. Определить и согласовать со специалистом по защите информации
перечень информации, документов составляющих конфиденциальную информацию;
2.2. Определить круг должностных лиц, имеющих право доступа к
конфиденциальной информации в каждом конкретном случае;
.3. Внести предложения по оснащению служебных помещений средствами
защиты информации;
.4. Довести до подчиненных требования Положения о конфиденциальной
информации и обеспечить контроль его исполнения.
3. Специалисту по защите информации:
3.1. На основании представленных предложений руководителей структурных
подразделений подготовить и представить на утверждение приказы:
3.1.1. Об утверждении перечня и видов документов и иной информации,
составляющих конфиденциальную информацию;
3.1.2. Об утверждении перечня лиц, допущенных к конфиденциальной
информации, и лиц, ответственных за ее неразглашение;
.1.3. Об утверждении формы Обязательства о неразглашении
конфиденциальной информации;
3.2. Обеспечить контроль исполнения требований Положения о
конфиденциальной информации.
4. Менеджеру по снабжению обеспечить приобретение необходимых
средств защиты информации (сейфы, металлические шкафы и ящики, запорные
устройства и др.).
5. Системному администратору обеспечить методы электронной защиты
информации и ограничения несанкционированного доступа в соответствии с приказом
«Об утверждении перечня лиц, допущенных к конфиденциальной информации, и лиц,
ответственных за ее неразглашение».
. Контроль исполнения настоящего приказа оставляю за собой.
Зам главы администрации района,
начальника финансового отдела: Е.Б. Ермакова
ПРИЛОЖЕНИЕ № 1
к ПРИКАЗУ об утверждении Положения о защите
конфиденциальной информации МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО
РАЙОНА»
Положение о защите конфиденциальной информации МУ «ФИНАНСОВЫЙ ОТДЕЛ
АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА»:
Раздел 1. Общие положения
.1. Положение о конфиденциальности информации в МУ «ФИНАНСОВЫЙ ОТДЕЛ
АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» (далее - Положение) разработано в
соответствии с Гражданским кодексом Российской Федерации, Указом Президента РФ
от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального
характера» и иными нормативными правовыми актами РФ отношения, связанными с
охраной и использованием конфиденциальной информации.
.2. Положение регулирует отношения, связанные с отнесением информации к
конфиденциальной независимо от вида носителя, передачей или предоставлением
такой информации, охраной ее конфиденциальности и обеспечением установленного
режима конфиденциальности информации в МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ
ЗЛЫНКОВСКОГО РАЙОНА» (далее - Учреждение).
.3. Положение является локальным нормативным актом МУ «ФИНАНСОВЫЙ ОТДЕЛ
АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» и предусматривает обязательное выполнение
всеми работниками установленного режима конфиденциальности информации в
Учреждении.
.4. Сохранение конфиденциальности информации является неотъемлемой частью
деятельности Учреждения.
.5. Вся информация, являющаяся в соответствии с настоящим Положением
конфиденциальной не подлежит разглашению, в том числе, по открытым каналам
передачи данных и в открытой переписке, в личных и деловых переговорах, в том
числе по открытым каналам связи и в средствах массовой информации (до принятия
решения об их опубликовании).
.6. За разглашение конфиденциальной информации работники Учреждения несут
ответственность в соответствии с законодательством Российской Федерации,
настоящим Положением, Обязательством о соблюдении режима конфиденциальности
информации (п.3.1) и трудовым договором.
.7. Требования Положения не распространяются на сведения, отнесенные в
установленном порядке к государственной тайне, в отношении которых применяются
положения законодательства Российской Федерации о государственной тайне.
Раздел 2. Перечень конфиденциальной информации
.1 Наука и производство
Сведения о производственном оборудовании, его стоимости, выпускаемой
продукции, запасах сырья и материалов
Секреты производства (ноу-хау) и особенности технологии
Особенности и характеристики выпускаемой продукции предприятия
Сведения о целях, задачах, программах научных исследований
Сведения о конструкторских и художественных решениях, дающих
экономический эффект при выпуске изделия предприятия.
.2. Управление и планирование
Сведения о применяемых методах управления предприятия
Сведения о подготовке, принятии и исполнении отдельных решений
руководства предприятия по производственным, научно-техническим, коммерческим,
организационным и иным вопросам
Сведения о планах и объемах расширения производства различных видов
продукции и их технико-экономических обоснованиях
Сведения о планах инвестиций, закупок и продаж продукции предприятия
Сведения о вопросах, рассматриваемых на совещаниях органов управления
предприятия
.3. Экономические сведения
Данные первичных учетных документов бухгалтерского учета предприятия
Бухгалтерская отчетность
Содержание внутренней бухгалтерской отчетности предприятия по сотрудникам
Штатное расписание
Сведения об открытых расчетных и иных счетах и об остатке средств на этих счетах предприятия и
сотрудников (банковская тайна)
Любые переданные налоговым органам, органам государственных внебюджетных фондов и таможенным
органам сведения о предприятии и его сотрудниках (налоговая тайна)
Сведения о применяемых предприятием методах изучения рынка
Сведения об эффективности коммерческой деятельности предприятия
Сведения о регионах сбыта готовой продукции предприятия
.4. Персональные данные
База данных сотрудников предприятия
Персональные данные сотрудников предприятия
Данные анкетирования и личностной оценки сотрудников предприятия
.5. Безопасность
Сведения о системе безопасности организации, действиях при ЧС,
мобилизационные планы
Сведения об организации защиты конф. информации
Сведения, составляющие коммерческую тайну партнеров
Сведения о паролях и учётных записях
.6. Не является конфиденциальной:
общедоступная информация;
информация ставшая впоследствии общедоступной не по вине посвященного
лица;
информация ставшая известной из любых иных источников.
Раздел 3. Порядок допуска, ограничение доступа и учет лиц, допущенных к
конфиденциальной информации, установление порядка обращения с этой информацией
.1. С лицами, поступающими на работу в Учреждение, сотрудник отдела по
работе с персоналом проводит собеседование по вопросам защиты и сохранности
конфиденциальной информации, и предупреждает об ответственности за ее
разглашение. По итогам собеседования лицо, поступившее на работу, подписывает
Обязательство о соблюдении режима конфиденциальности информации в МУ «ФИНАНСОВЫЙ
ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА», которое является приложением к
трудовому договору и хранится в личном деле работника.
.2. Работники Учреждения допускаются к работе с конфиденциальной
информацией, только после подписания Обязательства о соблюдении режима
конфиденциальности информации в МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО
РАЙОНА».
.3. Доступ работника к конкретной конфиденциальной информации,
осуществляется в пределах выполнения его должностных обязанностей.
.4. Предоставление доступа работнику к цифровой конфиденциальной
информации, содержащейся в информационных ресурсах в виде файлов и баз данных,
формируемым, накапливаемым и обрабатываемым в компьютерной сети МУ «ФИНАНСОВЫЙ
ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА», а также в автономных информационных
системах (далее - информационные системы) осуществляется в следующем порядке:
начальники отделов Учреждения вносят заявки на доступ для себя и своих
сотрудников в Журнал доступа к конфиденциальной информации, хранящийся в отделе
Системного администрирования;
отдел Системного администратора отвечает за разграничение доступа к
цифровой конфиденциальной информации и соответствие уровня доступа должностным
обязанностям работников МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО
РАЙОНА».
Раздел 4. Требования к организации делопроизводства с конфиденциальными
документами
.1. Целями учета документов, содержащих конфиденциальную информацию,
являются: обеспечение сохранности документов, разграничение доступа к
конфиденциальным документам, создание возможностей для быстрого нахождения,
контроля исполнения, наведения необходимых справок о документах без
использования самих документов, а также для проверки наличия документов, что
является одним из обязательных требований к осуществлению делопроизводства в
части, касающейся конфиденциальных документов.
.2. Учет конфиденциальных документов ведется в соответствии с Инструкцией
по делопроизводству и контролю исполнения документов в МУ «ФИНАНСОВЫЙ ОТДЕЛ
АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА».
.3. Допускается ведение отдельных журналов (форм) учета конфиденциальных
документов. Все дела и журналы учета конфиденциальных документов должны быть
включены в соответствующие номенклатуры дел общего делопроизводства структурных
подразделений Учреждения.
.4. В записях форм учета конфиденциальных документов запрещается
производить подчистки и исправления с применением корректирующей жидкости.
Вносимые исправления должны быть заверены подписью работника ответственного за
ведение делопроизводства с проставлением даты.
.5. Учет конфиденциальных документов осуществляется поэкземплярно, с
указанием места их хранения (№ дела), в том числе в электронном виде (файл,
дискета, информационная система и т.п.). К регистрационному номеру
конфиденциального документа на самом документе и в учетной форме добавляется
ограничительный гриф о конфиденциальности «Конфиденциально».
.6. Ответственность за правильность присвоения степени конфиденциальности
возлагается:
при работе с документом - на исполнителя и лицо, подписывающее документ,
при работе с базами данных (информационными массивами) - на лицо,
ответственное за создание и (или) ведение баз данных и начальника отдела, в
ведении которого находятся базы данных.
.7. При смене работника, ответственного за учет и хранение
конфиденциальных документов и машинных носителей информации, составляется акт
приема-передачи конфиденциальных документов и машинных носителей информации,
который утверждается начальником соответствующего отдела.
.8. Конфиденциальные документы исполняются в отделах Учреждения под
ответственность начальника отдела и хранятся в надежно запираемых шкафах
(ящиках, сейфах). Исполнительные документы, содержащие конфиденциальную
информацию, группируются в отдельные дела в соответствии с номенклатурой дел.
При этом на обложке дела, в которое помещаются такие документы, проставляется
соответствующая отметка «Конфиденциально».
.9. Конфиденциальные документы передаются работникам отделов под расписку
и размножаются (тиражируются) только с письменного разрешения начальника
отдела.
Дополнительно размноженные экземпляры документа учитываются за номером
этого документа, о чем делается отметка на размножаемом документе и в учетных
формах. Нумерация дополнительно размноженных экземпляров производится от
последнего номера ранее учтенных экземпляров.
.10. Уничтожение конфиденциальных документов и дел с текущим сроком
хранения производится по акту.
4.11. О фактах утраты конфиденциальных документов либо разглашения
конфиденциальной информации начальник отдела ставит в известность, начальника
финансового отдела
Раздел 5. Порядок учета, хранения и обращения со съемными носителями
конфиденциальных данных и их утилизации
.1. Все находящиеся на хранении и в обращении съемные носители с
конфиденциальными данными подлежат учёту. Каждый съемный носитель с записанными
на нем конфиденциальными сведениями иметь этикетку, на которой указывается его
уникальный учетный номер.
.2. Учет и выдачу съемных носителей с конфиденциальными данными по форме
(приложение №2) осуществляют администратором сети, на которого возложены
функции хранения носителей. Сотрудники учреждения получают учтенный съемный
носитель от администратора сети для выполнения работ. При получении делаются
соответствующие записи в журнале учета. По окончании работ сотрудник сдает
съемный носитель для хранения уполномоченному сотруднику, о чем делается
соответствующая запись в журнале учета.
.3. При отправке или передаче конфиденциальных сведений адресатам, на
съемные носители записываются только предназначенные адресатам данные. Отправка
конфиденциальных данных адресатам на съемных носителях осуществляется в
порядке, установленном для документов для служебного пользования. Вынос съемных
носителей с конфиденциальными сведениями для непосредственной передачи адресату
осуществляется только с письменного разрешения руководителя структурного
подразделения
.4. О фактах утраты съемных носителей, содержащих конфиденциальные
сведения, либо разглашения содержащихся в них сведений немедленно ставится в
известность начальник соответствующего структурного подразделения. На
утраченные носители составляется акт. Соответствующие отметки вносятся в
журналы учета съемных носителей.
.5. Съемные носители, пришедшие в негодность, или отслужившие
установленный срок, подлежат уничтожению. Уничтожение съемных носителей с
конфиденциальной информацией осуществляется уполномоченной комиссией. По
результатам уничтожения носителей составляется акт по форме (Приложение №3).
Раздел 5. Порядок подготовки и передачи конфиденциальной информации МУ
«ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» государственным органам и
сторонним организациям
.1. Под передачей конфиденциальной информации государственным органам и
другим лицам (далее - гос. орган, организация) понимается доведение до них
каким-либо способом (передача, пересылка, ознакомление, осуществление доступа)
данной информации.
.2. Предоставление конфиденциальной информации органам государственной
власти, иным государственным органам, органам местного самоуправления
осуществляется на основании мотивированного требования, подписанного уполномоченным
должностным лицом, которое должно содержать цели, правовые основания
затребования информации и срок ее предоставления, если иное не установлено
федеральными законами.
.3. Находящиеся в распоряжении Учреждения документы, содержащие сведения
о партнёрах предоставляются исключительно по решению суда уполномоченным данным
решением лицам или органам государственной власти Российской Федерации.
.4. Предоставление информации о деятельности МУ «ФИНАНСОВЫЙ ОТДЕЛ
АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» в средства массовой информации
регламентируется Приказом начальником финансового отдела.
Раздел 6. Обязанности работников, допущенных к конфиденциальной
информации.
.1. Работник Учреждения должен соблюдать требования Положения и несет
ответственность за разглашение конфиденциальной информации.
.2. Работник Учреждения обязан:
знать и выполнять требования настоящего Положения;
хранить в тайне ставшую известной ему конфиденциальную информацию;
немедленно информировать непосредственного начальника отдела о фактах
нарушения режима конфиденциальности информации, о попытках других лиц получить
(узнать) конфиденциальную информацию, или о попытках несанкционированного
доступа к информационным ресурсам с целью получения таких сведений;
немедленно информировать начальника отдела об утрате или недостаче
носителей, содержащих конфиденциальную информацию (дискет, дисков, устройств
USB Flash и документов, содержащих конфиденциальную информацию), удостоверений,
пропусков, ключей от помещений, хранилищ, сейфов (металлических шкафов),
печатей, а также обо всех других случаях, которые могут повлечь за собой
разглашение конфиденциальной информации.
.3. Лицу, работающему с конфиденциальной информацией запрещается:
разглашать конфиденциальную информацию в любой форме (устной, письменной
или электронной);
оставлять документы и иные носители, содержащие конфиденциальную
информацию, в незакрытом помещении Учреждения;
допускать ознакомление с документами и иными носителями, содержащими
конфиденциальную информацию, сотрудников Учреждения без служебной
необходимости;
передавать без разрешения непосредственного руководителя сведения и
документы. содержащие конфиденциальную информацию (в устной форме, по телефону,
на бумажных и машинных носителях, в электронной форме и т.д.), другим лицам, не
имеющим доступа к этим сведениям;
использовать конфиденциальную информацию в открытой переписке, статьях и
выступлениях, а также в личных интересах;
передавать конфиденциальную информацию по незащищенным техническим
каналам связи;
снимать копии с конфиденциальных документов или производить выписки из
них, копировать документы, содержащие конфиденциальную информацию на машинные
носители информации, а также использовать различные технические средства
(фото-, видео- и звукозаписывающую аппаратуру и т.п.) для записи информации,
содержащей такие сведения без получения соответствующего разрешения в
установленном порядке;
выносить из офисного помещения Учреждения без разрешения
непосредственного руководителя документы и другие носители сведений, содержащих
конфиденциальную информацию.
Раздел 7. Обязанности начальников отделов по обеспечению режима
конфиденциальности информации.
.1. Ответственность за обеспечение режима конфиденциальности информации
возлагается на начальников отделов Учреждения. При этом они обязаны:
организовать в подчиненных отделах работу по обеспечению сохранения
конфиденциальности информации, анализировать состояние этой работы, принимать
меры по предупреждению нарушений режима конфиденциальности информации;
определять права и обязанности подчиненных работников по доступу к
конфиденциальной информации.
Раздел 8. Ответственность за нарушение режима конфиденциальности
информации
.1. Работник несет ответственность за нарушение режима конфиденциальности
информации в соответствии с действующим законодательством Российской Федерации
и локальными нормативными актами Учреждения.
.2. Разглашение работником конфиденциальной информации влечет за собой
дисциплинарную, гражданско-правовую, административную или уголовную
ответственность в соответствии с законодательством Российской Федерации.
.3. Ответственность за организацию доступа к конфиденциальной информации,
хранящейся и обрабатываемой в информационных системах вычислительной сети МУ
«ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА», возлагается на начальника
отдела Системного администрирования.
.4. Начальники отделов несут ответственность за правильность отнесения
работниками сведений к информации, являющейся конфиденциальной, в соответствии
с Перечнем.
.5. По факту нарушения режима конфиденциальности информации проводится
служебное разбирательство по результатам которого при необходимости издается
приказ МУ «ФИНАНСОВЫЙ ОТДЕЛ АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА».
Служебное разбирательство проводится в срок не более 15 рабочих дней со
дня обнаружения факта нарушения. Одновременно принимаются меры по локализации
отрицательных последствий разглашения конфиденциальной информации.
Раздел 9. Контроль за соблюдением требований, предусмотренных настоящим
Положением
Контроль за соблюдением работниками Учреждения предусмотренных Положением
требований по обеспечению режима конфиденциальности информации в Учреждении
возлагается на специалиста по защите информации.
Приложение 2
Журнал учета съемных носителей на 2010 - 2011 г.
|
№
|
Вид носителя
|
Записан Ф.И.О.
|
Должность
|
Место нахождения
|
Дата взятия
|
Дата возврата
|
Подпись
|
|
1
|
USB носитель
|
Ермаков Е.Б.
|
Зам. главы администрации
района, начальника финансового отдела
|
Командировка
|
12.03.2010г.
|
|
|
|
2
|
USB носитель
|
Петров А.С.
|
Главный бухгалтер
|
Отдел учета и отчетности
|
12.03.2010г.
|
|
|
|
3
|
USB носитель
|
Карпов В.И.
|
Главный экономист
|
Командировка
|
12.03.2010г.
|
|
|
|
4
|
USB носитель
|
Громов Г.И.
|
Экономист
|
Отдел экономики
|
12.03.2010г.
|
|
|
|
5
|
USB носитель
|
Шкурин П.А.
|
Системный администратор
|
Отдел IT
|
12.03.2010г.
|
|
|
|
6
|
USB носитель
|
Сидоренко Н. А.
|
Бухгалтер
|
Отдел учета и отчетности
|
12.03.2010г.
|
|
|
|
7
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
_______________________________________ ______________
Должность и ФИО ответственного за хранение Подпись
Приложение 3
УТВЕРЖДАЮ
Заместитель главы администрации района, начальник МУ «Финансовый отдел
администрации Злынковского района»
______________Е.Б. Ермаков
«18» марта 20010 г
АКТ
уничтожения съемных носителей с конфиденциальными данными
Комиссия, наделенная полномочиями приказом начальник МУ «Финансовый отдел
администрации Злынковского района» №___ от __ ______ 20__ в составе:
. __________________________________________________________
. __________________________________________________________
. __________________________________________________________
провела отбор съемных носителей с конфиденциальными данными, не
подлежащих дальнейшему хранению:
|
№ п/п
|
Дата
|
Учетный номер съемного
носителя
|
Пояснения
|
|
|
|
|
Всего съемных носителей______________________________________
(цифрами и прописью)
На съемных носителях уничтожена конфиденциальная информация путем
стирания ее на устройстве гарантированного уничтожения информации
_____________________ (механического уничтожения, сжигания и т.п.).
Перечисленные съемные носители уничтожены путем______________________
(разрезания, демонтажа и т.п.), измельчены и сданы для уничтожения предприятию
по утилизации вторичного сырья.
_______________________________________ _________________
(наименование предприятия) (Дата)
Председатель комиссии Подпись Дата
Члены комиссии
(ФИО) Подпись Дата
Приложение 7
Российская Федерация
Брянская область
МУНИЦИПАЛЬНОЕ УЧРЕЖДЕНИЕ
«ФИНАНСОВЫЙ ОТДЕЛ
АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА»
ПРИКАЗ
« 25 » ФЕВРАЛЬ 2010 г № 68
(дата)
«Об утверждении Перечня
лиц допущенных к работе со сведениями конфиденциального характера»
ПРИКАЗЫВАЮ:
. Утвердить и ввести в действие с 01.03.2010 г. перечень лиц
допущенных к работе со сведениями конфиденциального характера МУ «ФИНАНСОВОГО
ОТДЕЛА АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА» (Приложение №1).
. Руководителям структурных подразделений:
.1. Определить и согласовать со специалистом по защите информации
перечень лиц допущенных к работе со сведениями конфиденциального характера.
3. Специалисту по защите информации:
3.1 На основании представленных предложений руководителей структурных
подразделений подготовить и представить на утверждение приказ: «Об утверждении
перечня лиц допущенных к работе со сведениями конфиденциального характера»;
.2. Ознакомить ответственных сотрудников с утверждённым перечнем под
роспись.
. Контроль над исполнением настоящего приказа оставляю за собой.
Зам главы администрации района,
начальника финансового отдела: Е.Б. Ермакова
ПРИЛОЖЕНИЕ № 1
к ПРИКАЗУ об утверждении перечня лиц допущенных
к работе со сведениями конфиденциального характера МУ «ФИНАНСОВОГО ОТДЕЛА
АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА»
Перечень лиц допущенных к работе со сведениями конфиденциального
характера МУ «ФИНАНСОВОГО ОТДЕЛА АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА»:
|
№
|
ФИО
|
Должность
|
Сведения
|
|
1
|
Сидоренко Николай
Александрович
|
Бухгалтер
|
1.База данных сотрудников
предприятия 2.Бухгалтерская отчетность 3.Переписка финансовым управлением по
вопросам планирования и расходования средств по отраслям социально-культурной
сферы 4.Содержание внутренней бухгалтерской отчетности предприятия по
сотрудникам 5.Лицевые счета работников 6.Переписка по вопросам бухгалтерского
учета и отчетности 7.Договора, контракты, соглашения 8.Переписка с
учреждениями и организациями по вопросам планирования и расходования средств
по отраслям социально-культурной сферы 9.Любые переданные налоговым органам, органам
государственных внебюджетных фондов и таможенным органам сведения о
предприятии и его сотрудниках (налоговая тайна)
|
|
2
|
Петров Александр Сергеевич
|
Главный бухгалтер
|
1.База данных сотрудников
предприятия 2.Бухгалтерская отчетность 3.Переписка финансовым управлением по
вопросам планирования и расходования средств по отраслям социально-культурной
сферы 4.Содержание внутренней бухгалтерской отчетности предприятия по
сотрудникам 5.Лицевые счета работников 6.Переписка по вопросам бухгалтерского
учета и отчетности 7.Договора, контракты, соглашения 8.Переписка с
учреждениями и организациями по вопросам планирования и расходования средств
по отраслям социально-культурной сферы 9.Любые переданные налоговым органам, органам
государственных внебюджетных фондов и таможенным органам сведения о
предприятии и его сотрудниках (налоговая тайна)
|
|
3
|
Шоршина Валентина Петровна
|
Секретарь- Кадровик
|
1.Персональные данные
сотрудников предприятия 2.Данные анкетирования и личностной оценки
сотрудников предприятия 3.Приказы по личному составу 4.Переписка по вопросам
кадровой работы 5.Журнал регистрации поступающих и отправляемых документов
6.Сведения о применяемых методах управления предприятия
|
|
4
|
Карпов Виталий Иванович
|
Главный экономист
|
База данных сотрудников
предприятия
|
|
5
|
Громов Григорий Иванович
|
Экономист
|
1.База данных сотрудников
предприятия 2.Штатное расписание
|
|
6
|
Шкурин Петр Андреевич
|
Системный администратор
|
1.База данных сотрудников
предприятия 2.Сведения о паролях и учётных записях
|
|
7
|
Ермаков Евгений Борисович
|
Зам. главы администрации
района, начальника финансового отдела
|
Сведения о системе
безопасности организации, действиях при ЧС, мобилизационные планы
|
Приложение 8
Российская Федерация
Брянская область
МУНИЦИПАЛЬНОЕ УЧРЕЖДЕНИЕ
«ФИНАНСОВЫЙ ОТДЕЛ
АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО РАЙОНА»
ПРИКАЗ
« 25 » ФЕВРАЛЬ 2010 г № 68
(дата)
«Об утверждении формы обязательства о неразглашении конфиденциальной
информации и перечня лиц»
П Р И К А З Ы В А Ю :
. Утвердить форму «Обязательства «О неразглашении конфиденциальной
информации» (Приложение №1).
. Подписать с лицами, указанными в приказе № _ от 1.03.10. «Об
утверждении перечня лиц, допущенных к конфиденциальной информации»,
обязательство о неразглашении конфиденциальной информации.
. Контроль исполнения настоящего приказа оставляю за собой.
Зам главы администрации района,
начальника финансового отдела: Е.Б. Ермакова
Приложение 1
Обязательство
о неразглашении конфиденциальной информации
Я, _________________________________________________________,
(Ф.И.О., должность сотрудника)
обязуюсь:
. Сохранить конфиденциальную информацию, перечисленную в перечне сведений
конфиденциального характера МУ «ФИНАНСОВОГО ОТДЕЛА АДМИНИСТРАЦИИ ЗЛЫНКОВСКОГО
РАЙОНА».
. Не разглашать третьим лицам содержание ставшей мне известной
конфиденциальной информации, указанной в п. 1 настоящего Обязательства, без
разрешения, выданного в установленном порядке, в период срока работы в
Учреждении либо срока действия договора _______________________________
(наименование, N, дата), а также в течение 3 лет после увольнения либо
прекращения действия указанного договора.
. Не предпринимать никаких действий по получению сведений, указанных в п.
1 настоящего Обязательства, не связанных с моими трудовыми (служебными)
обязанностями либо с обязанностями, предусмотренными договором, указанным в п.
2 настоящего Обязательства.
. Представлять руководителю Учреждения информацию о любых попытках
получения сведений, указанных в п. 1 настоящего Обязательства, посторонними
лицами, а также сотрудниками, не допущенными в установленном порядке к таким
сведениям, либо о фактах нарушения сотрудниками или лицами, заключившими
договор, указанный в п. 2 настоящего Обязательства, установленного порядка
использования носителей информации (документов, чертежей, видеокассет и др.).
. Представлять руководителю Учреждения информацию, являющуюся результатом
моей интеллектуальной деятельности, выполненной в соответствии с моими
трудовыми (служебными) обязанностями либо в соответствии с договором, указанным
в п. 2 настоящего Обязательства, и предназначенную для опубликования или иного
доведения до сведения третьих лиц, для оценки принадлежности этой информации к
категории конфиденциальной.
. Не изготавливать без служебного задания документов, содержащих
конфиденциальную информацию, указанную в п. 1 настоящего Обязательства.
. Не вносить изменений и не копировать без разрешения, выданного в
установленном порядке в Учреждения, конфиденциальную информацию, указанную в
пункте 1 настоящего Обязательства, содержащуюся в ЭВМ и на носителях
конфиденциальной информации: не выводить указанную информацию на мониторы ЭВМ в
нарушение порядка, установленного в Учреждения.
Я знаю, что нарушение данного Обязательства может повлечь негативные
последствия для меня по заработной плате и вплоть до увольнения (расторжения
договора, указанного в п. 2).
Я предупрежден об ответственности за нарушение настоящего Обязательства,
предусмотренной законодательством РФ и локальными актами Учреждения.
__________________________________
______________________________________
Ф.И.О. Подпись:
"___"____________ 200___ г.
Приложение 9
УТВЕРЖДАЮ
Заместитель главы администрации района, начальник МУ «Финансовый отдел
администрации Злынковского района»
_____________________Е.Б. Ермаков
«_13_»__Декабря 20 _10 г.
Политика информационной безопасности
. Общие положения
.1. Политика безопасности разработана в соответствии с действующим
законодательством РФ.
.2. Данная политика определяет основные направления, средства и методы
защиты конфиденциальной информации в МУ «Финансового отдела администрации
Злынковского района».
.3. Требования данной политики обязательны к исполнению всем сотрудникам.
.4. Все информационные ресурсы учтены и имеют владельцев. Ответственность
за разглашение конфиденциальной информации несет владелец..
.5. Система допуска к информационным ресурсам - мандатная.
1.6. Порядок доступа пользователей к информационным ресурсам определен
«Переченем пользователей допущенных к обработке информации», а также «Матрицей
доступа к защищаемым информационным ресурсам», в которых помимо лиц, имеющих
допуск к конфиденциальной информации, определены также уровни допуска
конкретных лиц к информационным ресурсам.
1.7. Защита информации ведется в соответствии со степенью важности
ресурса.
· «Конфиденциально»
. Физическая безопасность
.1. Документы традиционного документооборота должны использоваться
сотрудниками только на рабочих местах.
.2. Сотрудникам запрещается оставлять документ в местах, доступных для
свободного обозрения, когда они покидают рабочее место.
.3. Когда документы не используются их необходимо хранить в специальных
шкафах/сейфах.
.4. Выносить документы, содержащие конфиденциальную информацию,
разрешается только с приказа руководителя, если это не обусловлено спецификой
обработки данных документов.
.5. Отработанные носители информации следует уничтожать способом,
предотвращающим возможность их восстановления и считывания с них информации.
.6. Все неиспользуемые порты и дисководы на рабочих станциях и серверах
должны быть отключены, а корпуса - запломбированы. Вскрытие пломб и подключение
портов разрешается только с письменного разрешения системного администратора.
.9. Все помещения должны быть оснащены средствами пожарно-охранной
сигнализации. Порядок работы с пожарно-охранной сигнализацией определяется
соответствующим положением.
.10. На объекте развернута система видеонаблюдения. Порядок работы с
системой видеонаблюдения определяется соответствующим положением.
. Безопасность рабочих станций и серверов
.1. Разграничение доступа
.1.1. На рабочих станциях и серверах должны быть установлены системы
разграничения доступа. Права доступа должны быть строго определены для всех
пользователей информационной системы. Идентифицирующая информация выдается
каждому пользователю лично под роспись. Пользователи лично несут
ответственность за разглашение идентифицирующей информации.
.1.2. Системный администратор имеет доступ ко всем ресурсам рабочих
станций и серверов.
.1.3. Системный администратор должен постоянно следить за списком
учтенных записей и периодически обновлять его.
.1.4. Не должно существовать учетных записей, не имеющих владельца, а
также один пользователь не может иметь нескольких записей в одной системе.
.1.5. При покидании рабочего места каждый пользователь обязан выходить из
системы либо переводить её в режим запроса идентифицирующей информации.
.2. Антивирусный контроль
.2.1. Все рабочие станции и сервера должны иметь установленное и
настроенное антивирусное ПО. Контроль за наличие антивирусного ПО возлагается
на администратора.
.2.2. Антивирусные базы следует обновлять не реже раза в неделю.
Ответственность за своевременно обновление баз несёт системный администратор.
.2.3. Пользователям следует проводить регулярные проверки на наличие
вредоносного ПО лично, либо при помощи системного администратора.
.2.4. Внешние носители, а также всю входящую электронную почту следует
проверять на наличие вредоносного ПО.
.2.5. При обнаружении вредоносных программ пользователь обязан занести
информацию в журнал антивирусного контроля и, при отсутствии возможности
решения проблемы самостоятельно, обратиться к системному администратору.
.2.6. Ответственность за не проведение проверок и заражение рабочих
станций вредоносным ПО (во время сеанса данного пользователя) возлагается на
пользователей.
. Сетевая безопасность
.1. Системный администратор должен постоянно следить за состоянием ЛВС и
периодически проверять наличие в ней уязвимостей.
.2. Должна быть правильно настроена маршрутизация, исключающая
несанкционированное подключение к сети путем ограничения количества компьютеров
(установлением четкой маски) в каждом сегменте сети.
.3. На межсетевых экранах, фтп-сервере файлового сервера и сервере БД
должны вестись журналы (логи) регистрации событий. Логи должны храниться как
локально, так и на рабочей станции системного администратора.
. Обучение и контроль
.1. С целью повышения уровня технической грамотности и информированности пользователей
в области информационной безопасности руководством инициируется обучение
персонала. Оно реализуется путем ознакомления всех пользователей с политикой
безопасности под роспись, проведения семинаров, тренингов и презентаций, а
также индивидуальной работы с нарушителями требований политики безопасности. По
окончании обучения проводится контроль полученных знаний с помощью специально
разработанных тестов и опросов, по результатам которых определяется уровень
подготовленности персонала.
.2. Обязательные курсы повышения квалификации проводятся не реже 1 раза в
пол года, семинары по защите информации проводятся на базе организации не реже
1 раза в 3 месяца. Контроль знаний осуществляется по завершении
курсов/семинаров.
.3. Контроль выполнения требований политики безопасности осуществляется
путем проведения проверок, которые могут носить разовый, периодический и
постоянный характер.
. Ответственность
.1. Ответственность за обеспечение информационной безопасности несет
лично начальник МУ «Финансового отдела администрации Злынковского района».
.1. Ответственность за нарушение конкретных норм, ставящих под угрозу
информационную безопасность организации прописана в должностных инструкциях
сотрудников.
.2. Нарушение требований политики информационной безопасности и других
документов, регламентирующих правила работы с конфиденциальной информацией,
способное нанести материальный либо иной урон, в зависимости от тяжести
наступивших последствий может повлечь за собой дисциплинарную (включая
увольнение), административную или уголовную ответственность.
.3. В случае обнаружения нарушений требований политики безопасности
сотрудники обязаны сообщать об этом руководству. Для регистрации всех нарушений
в работе информационной системы заводится специальный журнал регистрации
событий, который хранится у начальника службы безопасности.
Приложение 10
УТВЕРЖДАЮ
Заместитель главы администрации района, начальник МУ «Финансовый отдел
администрации Злынковского района»
_____________________Е.Б. Ермаков
«_13_»__Декабря 20 _10 г.
Технологический процесс обработки данных в автоматизированной системе МУ
«Финансовый отдел администрации Злынковского района»
1. Прием данных
Внесение информации в автоматизированную систему обработки данных
осуществляется в ручном режиме, с документов на бумажных носителях, строго на
функциональных местах соответствующих подсистем. Технически ввод информации в
систему осуществляется с использованием специализированных периферийных
устройств.
. Контроль данных
Передача информации между функциональным местом и базой данных должна
осуществляться автоматически в режиме онлайн. Передача информации
регламентируется.
Контроль целостности и структурной корректности внесенной информации
осуществляется базой данных в автоматическом режиме. Контроль смысловой
корректности вносимой информации осуществляется оператором соответствующего
функционального места.
Корректировка информации осуществляется оператором соответствующего
функционального места.
В качестве методов контроля в маршрутах электронной обработки данных при
функционировании внутримашинной информационной базы используются стандартные
методы контроля целостности базы данных. На каждом этапе обработки данных в
соответствии с электронными регламентами на уровне базы данных производится
соответствующая транзакция с проверкой выполнения предыдущего этапа. При
несоответствии проверяемых параметров, транзакция не выполняется и пользователю
показывается сообщение о не завершении предыдущего этапа технологической
цепочки. Корректность изменения данных пользователем на каждом этапе
контролируется при помощи триггеров информационной базы.
. Обработка данных
Обработка данных в Автоматизированной системе МУ «Финансового отдела
администрации Злынковского района» осуществляется двумя методами: оператором
при вводе данных в информационную систему и программным обеспечением
(программными продуктами и триггерами базы данных на уровне БД) при поступлении
данных.
4. Хранение данных
Хранение данных в автоматизированной системе МУ «Финансового отдела
администрации Злынковского района» осуществляется в файле базы данных,
расположенном на одном из компьютеров автоматизированной системы.
. Выдача данных
Выдача данных происходит на функциональных местах на основании запроса
физических и юридических лиц. Технически выдача информации обеспечивается
периферийными устройствами, предусмотренными информационной системой.
Приложение 11
УТВЕРЖДАЮ
Заместитель главы администрации района, начальник МУ «Финансовый отдел
администрации Злынковского района»
_____________________Е.Б. Ермаков
«_13_»__Декабря 20 _10 г.
Инструкция по доступу к ресурсам Интернет.
. Для исполнения задач, связанных с производственной деятельностью
сотрудникам Новозабковского почтамта может быть предоставлен доступ к ресурсам
Интернет. Доступ к ресурсам Интернет в других целях - ЗАПРЕЩЕН.
. Требуемый уровень доступа предоставляется сотруднику компании на
основании заявки «на изменение списков доступа» от руководителя подразделения
на имя руководителя.
. Системный администратор обязан ежедневно проводить анализ
использования ресурсов Интернет и не реже одного раза в неделю представлять
отчет об использовании Интернет ресурсов сотрудниками компании руководителю.
. В случае обнаружения значительных отклонений в параметрах работы
средств обеспечения доступа к ресурсам Интернет от среднестатистических
значений, системный администратор обязан немедленно сообщить об этом
руководителю для принятия последующих решений.
. Системный администратор обязан не реже одного раза в месяц
представлять аналитический отчет об использовании ресурсов Интернет и
предложения об изменении списка доступных ресурсов руководителю.
. Руководители структурных подразделений в праве требовать от
системного администратора отчет об использовании ресурсов Интернет сотрудниками
своего подразделения.
. Доступ к ресурсам Интернет может быть блокирован системным
администратором без предварительного уведомления, при возникновении нештатных
ситуаций, либо в иных случаях предусмотренных организационными документами.
Похожие работы на - Аттестация объектов информатизации и выделенных помещений МУ 'Финансовый отдел администрации Злынковского района'
|