p> НС - надзвичайна ситуація
ЕПТ - електронно-променева трубка
II. Опис інформаційної системи.
1. Відповідальність підрозділів.
Відповідальність підрозділів розподіляється наступним чином:
- За підтримання ІС в робочому стані та забезпечення її функціонування відповідально Системний адміністратор;
- За фізичну схоронність обладнання та носіїв інформації відповідальна Служба безпеки;
- За інформаційну безпеку та забезпечення конфіденційності інформації відповідальний фахівець із захисту інформації.
2. Режим функціонування системи.
Режим функціонування інформаційної системи - тільки в робочий час. У цілях виконання регламентних робіт з обслуговування обладнання або програмного забезпечення системи можлива зупинка в роботі окремих елементів системи (Сервера.) без шкоди для загальної функціональності. p> При виникненні збоїв відповідне повідомлення зберігається підсистемою журнал копіювання в системному журналі.
3. Цілі і завдання політики безпеки.
Мета: забезпечення захисту інформації від її спотворення, модифікації, втрати, які можуть призвести до порушення роботи адміністрації, як муніципального органу управління.
Завдання політики безпеки:
- виявлення діючих і потенційних загроз;
- розробка методів протидії виявленим загрозам;
визначення оптимальної кількості сил і засобів, необхідних для забезпечення безпеки.
III. Засоби управління.
1. Оцінка ризиків і керування ними.
2. Експертиза системи ЗІ (Існуючі засоби ЗІ).
3. Правила поведінки, посадові обов'язки і відповідальність.
4. Планування безпеки.
5. Дозвіл на введення компонентів до ладу (будь-якого компонента ІС і системи ЗІ).
6. Порядок підключення підмереж підрозділів до мереж загального користування.
IV. Функціональні кошти.
1. Захист персоналу.
2. Управління роботою і введенням/виводом інформації.
3. Планування безперервної роботи.
4. Засоби підтримки програмних додатків.
Для підтримки програмних додатків, системний адміністратор обов'язковому порядку, кожне ранок перевіряє наявність оновлень на сайтах виробників встановленого ПО і, за наявності, вживає заходів щодо виправлення ситуації, що склалася.
5. Засоби забезпечення цілісності інформації.
У разі виявлення розбіжності контрольних сум - здійснюється відновлення даних з резервних копій.
Резервні копії інформації та програмного забезпечення повинні вилучатись і тестуватися на регулярній основі.
6. Документування (вся структура документів з ІВ та СЗІ + правила складання документів).
Документація повинна включати записи рішень керівництва для забезпечення отслеживаемость дій до рішень керівництва і політикам, а також відтворюваності записаних результатів.
У структуру документації по системі захисту інформації входять:
- Перелік відомостей конфіденційного характеру;
- Перелік персональних даних;
- Положення про конфіденційний документообіг;
- Технічне завдання на проведення робіт по створенню комплексної системи захисту інформації;
- Технологічний процес обробки інформації в інформаційній системі;
- Технічний паспорт інформаційної системи;
- Перелік загроз інформаційної системи;
- Печінка об'єктів захисту.
Розроблювана документація оформляється відповідно до ГОСТ РД 50-34.698-90 і ГОСТ 6.10-84, а так само В«Положенням про конфіденційний документообігВ».
7. Поінформованість та навчання фахівців.
У цілях оперативного оповіщення про відбулися інциденти, планових та позапланових робіт, обмеження функціональності і зміни в документах, присвячених системі захисту інформації сповіщаються всі службовці посредствам нарад ..
Всі службовці Адміністрації повинні в обов'язковому порядку проходити навчання з питань інформаційної безпеки. Для персоналу безпосередньо бере участь у процесі розробки або підтримки функціонування інформаційної системи та системи безпеки таке навчання має проходити не рідше 1 разу на рік, для всього решти персоналу - не рідше 1 разу на 3 роки, для новоприйнятих на роботу - перед вступом на посаду.
8. Відповідні дії, в разі виникнення пригод.
Всі інциденти інформаційної безпеки повинні записуватися в базу знань для подальшого аналізу і вироблення рішень для запобігання подібних подій у майбутньому.
Крім того повинні бути розроблені та затверджені інструкції щодо дій в аварійних ситуаціях (Пожежа, затоплення та ін.) h1> V. Технічні кошти.
1. Вимоги до процедур ідентифікації і аутентифікації.
Процедури ідентифікації і аутентифікації повинні забезпечувати надійний контроль доступу до ресурсів ІС.
2. Вимоги до систем контролю ро...
