3.1. СПЕЦИАЛЬНЫЕ ВОПРОСЫ ДОСТУПА К ИСПОЛЬЗОВАНИЮ РЕСУРСОВ.
3.1.1. Определение расширенного доступа, т. е. привилегий системного администратора.
Привилегии системного администратора, кроме тех сотрудников, которым должностными обязанностями предписано выполнять работы по эксплуатации и ремонту ресурсов, имеют право получать представители руководства Предприятия, СБ и другие должностные лица по согласованию со специально назначенным сотрудником и с разрешения генерального директора. Все лица, имеющие права системного администратора, подлежат отдельному учету в СБ.
3.1.2. Доступ к работе с авторским (лицензионным) программным обеспечением (ПО).
При наличии в ИС или ее компонентах авторских либо лицензионных программ они должны быть соответствующим образом, ясным для пользователя, помечены; там же должны быть указаны все ограничения, связанные с работой с данным
ПО. Однозначно (по умолчанию) запрещается их копирование.
3.1.3. Доступ к исследованию сетевых служб.
Действия пользователей по исследованию сетевых служб и конфигурации системных программ проводиться не должны и являются наказуемыми. Запрещен любой вид деятельности в этом направлении (просмотр и модификация сетевых, системных, других не предназначенных для чтения файлов и пр.).
4. Хранение носителей конфиденциальной информации в ИС.
За организацию хранения и сохранность конфиденциальной информации Предприятия отвечает его руководитель. Общий процесс хранения регламентирован в Положении о конфиденциальной информации.
Магнитные носители конфиденциальной информации хранятся в недоступном для посторонних лиц месте (сейф, металлический шкаф, файл-бокс), исключающем несанкционированный доступ и пользование ими.
Сейф (несгораемый металлический шкаф) должен быть постоянно закрыт на ключ, а в нерабочее время опечатан.
В подразделении должен быть один комплект ключей от сейфов - у руководителя подразделения (ответственного сотрудника Предприятия). Остальные комплекты должны храниться в сейфе начальника СБ в опечатанном пенале. Порядок опечатывания и сдачи под охрану сейфов определяется документами по внутриобъектовому режиму.
Магнитные носители в архиве хранятся в запечатанных конвертах с соответствующими пояснительными надписями, включая также книгу регистрации входящих и исходящих документов. На каждый пакет конвертов должен быть перечень находящихся в них документов с указанием учетных данных.
Строго запрещается хранение магнитных носителей конфиденциальной информации вне специально оборудованных мест. Лицо, нарушившее порядок хранения носителей, несет за это ответственность.
5. Защита ресурсов ИС.
5.1. ФИЗИЧЕСКАЯ ЗАЩИТА РЕСУРСОВ.
В целях обеспечения надежной охраны материальных ценностей вычислительных средств, сетей и данных конфиденциального характера, своевременного предупреждения и пресечения попыток несанкционированного доступа к ним устанавливается определенный режим деятельности, соблюдение которого обязательно для всех сотрудников, посетителей и клиентов. Порядок его регламентации устанавливается во внутренних документах по пропускному и внутриобъектовому режиму.
При этом: запрещен несанкционированный внос-вынос дискет, магнитных лент, CD-ROM, переносных накопителей на твердых магнитных дисках; запрещено кому бы то ни было, кроме специально уполномоченных сотрудников, перемещать компьютерную технику и комплектующие без соответствующих сопроводительных документов (служебных записок или накладных), согласованных с ____________________ (кем).
5.2. АППАРАТНАЯ ЗАЩИТА РЕСУРСОВ.
Аппаратная защита ресурсов проводится исходя из потребностей Предприятия в реальном сохранении своих секретов по назначению руководства и может включать в себя:
- обеспечение реакции на попытку несанкционированного доступа, например, сигнализации, блокировки аппаратуры;
- использование источников бесперебойного или автономного питания;
- строгую нумерацию сообщений в автоматизированной системе обработки данных;
- поддержание единого времени;
- установку на АРМы работающих с особо важной конфиденциальной информацией специальных защитных экранов;
- изъятие с АРМов необязательных дисководов гибких магнитных дисков (ГМД);
- изъятие с АРМов необязательных факсимильных и модемных плат;
- проведение периодических «чисток» АРМов и общих системных директорий на файл- серверах и серверах ИС.
5.3. ПРОГРАММНАЯ ЗАЩИТА РЕСУРСОВ.
Программная защита ресурсов также проводится исходя из потребностей Предприятия в реальном сохранении своих секретов по назначению руководства и может включать в себя:
- установку входных паролей на клавиатуру ПК;
- установку сетевых имен-регистраторов и паролей для доступа к работе в ИС;
- шифрование особо важной конфиденциальной информации;
- обеспечение восстановления информации после несанкционированного доступа;
- обеспечение антивирусной защиты (в т. ч. от неизвестных вирусов) и восстановления информации, разрушенной вирусами;
- контроль целостности программных средств обработки информации;
- проведение периодической замены (возможно принудительной) всех паролей и регистрационных имен;
- использование расширенных систем аутентификации.
5.4. ТЕХНИЧЕСКАЯ ЗАЩИТА РЕСУРСОВ.
Техническая защита ресурсов проводиться под контролем представителей СБ и включает в себя защиту компьютеров, помещений и всех коммуникаций от устройств съема и передачи информации:
- использование технических средств пассивной защиты:
фильтры, ограничители и т. п. средства развязки электрических и электромагнитных сигналов, систем защиты сетей электроснабжения, радио- и часофикации и др.;
- экранирование средств канальной коммуникации;
- использование локальных телефонных систем, локальных систем ЭВМ, не имеющих выхода за пределы кон
Все изменения и дополнения настоящей Инструкции официально доводятся до всего персонала предприятия.
11. Инструкция по защите конфиденциальной информации пользователям ресурсов.
Пользователь лично отвечает за понимание и соблюдение правил безопасности. Если ему не понятны функции по защите информации, он обязан спросить администратора ИС.
Запрещаются любые действия, направленные на:
- получение доступа к информации о пользователях;
- вскрытие и использование чужих регистрационных имен и паролей;
- тестирование и разрушение служб сети;
- просмотр всех доступных для чтения файлов на сетевых устройствах, не принадлежащих пользователю;
- модификация файлов, которые не являются собственными, даже если они имеют право записи в них;
- вскрытие блоков и комплектующих, а также изменение физической конфигурации;
- использование одного и того же регистрационного имени и пароля;
- раскрывание и передача кому бы то ни было своего регистрационного имени и(или) пароля. При выборе пароля пользователь обязан:
- не использовать регистрационное имя в каком бы то ни было виде;
- не использовать имя, фамилию или отчество в каком бы то ни было виде, имена супруга или детей, а также другую информацию, которую легко получить (номер телефона, дату рождения, номер автомашины и пр.);
- не использовать пароль из одних цифр или их одних букв, а также короче шести символов;
- использовать пароль с буквами из разных регистров, с небуквенными символами;
- использовать пароль, который легко запомнить, чтобы не возникало желания записать его, а также который можно легко набрать на клавиатуре, не глядя на нее.
Пользователю при работе с конфиденциальной информацией запрещено, отлучаясь из помещения, оставлять свой терминал подключенным к ИС. Рабочие файлы и базы данных, содержащие конфиденциальную информацию, пользователь обязан хранить на сетевых, а не локальных дисках.