ь безпосередній доступ до приміщення, до АРМ, з повноваженнями, обмеженими на рівні системи захисту інформації (СЗІ)
Доступ користувача до інформації іншого користувача в його відсутність, в т.ч. через мережу, перегляд інформації на моніторі (недотримання організаційних вимог). Перегляд і розкрадання паперових носіїв. /Td>
3
Управління функціонуванням АС, тобто вплив на базове програмне забезпечення ОС і СУБД, на склад і конфігурацію обладнання АС, на налаштування СЗІ. Робота із зовнішніми носіями. /Td>
Адміністратори АС, наділені необмеженими повноваженнями з управлінню ресурсами
Доступ адміністратора АС до інформації інших користувачів і до засобам СЗІ, ненавмисне руйнування інформації (недотримання організаційних вимог)
4
Весь обсяг повноважень осіб, здійснюють ремонт технічних засобів АС.
Обслуговуючий персонал АС. Фахівці сторонніх організацій, що здійснюють постачання і монтаж обладнання для АС
Доступ обслуговуючого персоналу АС до МН з інформацією інших користувачів, руйнування інформації, установка закладних пристроїв (недотримання організаційних вимог при ремонті ОТСС)
Фактична захищеність
Доступ службовців до ресурсів розмежовується штатними засобами ОС. Список службовців, що мають доступ до ресурсів, документально визначений. Доступ обмежується в відповідності з посадовими інструкціями.
Документ, визначає порядок конфіденційного документообігу існує і затверджений.
Документально визначена технологія обробки інформації (документ В«Опис технологічного процесу обробки інформації В»).
На серверах і робочих станціях застосовуються операційні системи MS Windows, що дозволяє застосувати сертифіковані засоби захисту від НСД. Але також здійснюється обробка інформації в СУБД, що практично виключає застосування на даних об'єктах сертифікованих засобів захисту від НСД з причини відсутності таких коштів на ринку.
Перелік заходів по захисту
Розробка переліку інформації, що захищається
- Необхідно переробити перелік відомостей конфіденційного характеру в плані деталізації оброблюваних даних і віднесення відомостей до тієї чи іншою мірою конфіденційності. p> Конфіденційність інформації
З метою підвищення ступеня захищеності інформації в плані дотримання конфіденційності необхідно:
- розділити введення і виведення інформації одного грифа на рівні АРМ або користувачів з метою поділу відповідальності та посилення контролю за цими етапами технологічного процесу;
- обмежити (В т.ч. організаційно) можливості несанкціонованого виведення інформації користувачами на зовнішні носії (дискети, лазерні накопичувачі CD-RW, USB-Flash) і на друк;
- обмежити кількість або виключити використання локальних принтерів на АРМ користувачів, призначити відповідальних за друк документів на мережевих принтерах;
- виключити доступ користувачів до ресурсів АРМ інших користувачів, як на запис, так і на читання, тобто можливість створення користувачами загальних мережевих ресурсів на своїх АРМ. Обмін інформацією між користувачами здійснювати через загальні ресурси на серверах;
- якщо один службовець належить до кількох категорій користувачів, то при суміщенні обов'язків він повинен користуватися різними ідентифікаторами. Наприклад, адміністратор може виконувати роботу користувача, але не має права робити це з ідентифікатором адміністратора.
Цілісність інформації
З метою підвищення ступеня захищеності інформації в плані дотримання цілісності необхідно:
- впровадження виправлень і додавань централізовано розповсюджуваних відомчих програмних засобів на АРМ користувачів і на сервер має здійснюватися у вигляді вже відкомпілювалися виконуваних модулів і процедур, до складу яких не повинні включатися засоби налагодження.
Склад робочої документації
Для документального визначення режимів обробки та захисту інформації до складу робочої (Виконавчої) документації по захисту конфіденційної інформації необхідно включити наступні документи:
В· В«Опис технологічного процесу обробки конфіденційної інформації В», в якому висвітлено порядок проведення всіх операцій ТП (введення, висновок, обробка та зберігання, резервування і відновлення, управління доступом);
В· В«Інструкція користувача В», в якій відображені порядок його роботи з інформацією, права, обов'язки і відповідальність;
В· В«Інструкції адміністраторів ОС, БД В»;
В· В«Інструкція обслуговуючого персоналу В»;
В· В«Журнал реєстрації паперових носіїв інформації В», в якому враховуються всі операції р...
