Читайте также:
|
|
· Для входа в компьютерную сеть «Ин Техно» сотрудник должен ввести имя и пароль. Не допускается режимы беcпарольного (гостевого) доступа к какой-либо информации
· Разграничение прав доступа к сетевым ресурсам, программному обеспечению и системам хранения данных решается с использованием сетевой операционной системы и механизма безопасности Active Directory:
· Пользователи разделены на группы.
· Каждой группе присвоен свой уровень доступа к ресурсам.
· Подключения пользователей к локальной сети ООО «Ин Техно» заносятся в журнал событий операционной системы, причем при входе в сеть записывается IP-адрес рабочей станции, с которой произведен этот вход
· Если пользователь отлучается с рабочего места, его экран блокируется.
· Для доступа в АС требуется дополнительно имя пользователя и пароль, которые устанавливаются администратором АС.
· При работе с АС имя пользователя и пароль должны быть отличны от имени пользователя и пароля при входе в общую компьютерную сеть «Ин Техно». Пароль должен быть не менее шести символов. Категорически запрещается сообщать свой пароль другим лицам, а также пользоваться чужими паролями. Все действия пользователя, работающего с АС протоколируются. Журнал операций хранится не менее трех месяцев
· Для доступа к Diasoft Custody 5NT и другим прикладным системам производится дополнительная аутентификация по имени пользователя и паролю
· Защищенность внутренних ресурсов сети от вмешательства извне
· Внутренняя сеть ООО «Ин Техно» представляет собой физически изолированный сегмент. Подключение USB-устройств контролируется на уровне драйвера путем привязки к конкретному устройству через его серийный номер.
· Защищенность Интернет-сегмента сети ООО «Ин Техно» базируется на системе межсетевого экрана (CheckPoint Firewall):
· Правила и политики, которые разрешают или запрещают прохождение запросов извне в Интернет-сегмент ООО «Ин Техно» и наоборот.
· Маршрутизация, позволяющая направлять и перенаправлять необходимые запросы на требуемые узлы в сети или Интернете.
· Средства мониторинга, анализирующие весь входящий трафик и имеющие в себе информацию об известных уже вредоносных атаках, прерывающие такие попытки.
· Вся информация о входящих и исходящих запросах, работе правил, политик и маршрутизации заносятся в журнал, где подвергаются еженедельному контролю ответственным лицом
· Управление доступом и регистрацией в АС
· Система управления доступом в АС построена на распределении пользователей по группам. Используются следующие группы (в порядке уменьшения прав учетной записи на объекты системы):
· Заместитель генерального директора
· Главный бухгалтер
· Начальник отдела
· Каждому пользователю на основании внутренних документов, утвержденных и подписанных руководством ООО «Ин Техно», присваивается учетная запись и выдаются реквизиты доступа к АС - имя пользователя и пароль. Эти реквизиты сотрудник обязан сохранять в тайне.
· Все действия пользователей в АС журналируются. На основе записей в журнале при необходимости восстанавливается информация о действиях пользователя в системе.
· Все изменения, вносимые в АС персоналом ИТ-департамента, ответственным за поддержку системы, документируются путем составления комментариев в коде в соответствии с принятым RS Softlab стандартом.
· Действия по созданию учетной записи пользователя АС выполняются независимо специалистами двух отделов – специалиста департамента информационных технологий и специалиста отдела сопровождения продукции. Не существует сотрудника, который мог бы единолично все действия по регистрации новой учетной записи.
· Управление доступом и регистрацией в Diasoft 5NT
· Система управления доступом в Diasoft Custody 5NT построена на распределении пользователей по группам. Используются следующие группы (в порядке уменьшения прав учетной записи на объекты системы):
· Администратор
· Начальник отдела
· Пользователь
· Каждому пользователю на основании внутренних документов, подписанных руководством ООО «Ин Техно», присваивается учетная запись и выдаются реквизиты доступа - имя пользователя и пароль. Эти реквизиты сотрудник обязан сохранять в тайне.
· Управление доступом к телекоммуникационному оборудованию и УПАТС
· Физический доступ к специальным помещениям, в которых установлено телекоммуникационное оборудование, защищен с помощью системы контроля доступа на основе пропусков, находящейся в ведении Альба Секьюрити
· Разрешение на внесение в пропуск данных с разрешением на доступ к АТС дает Президент ООО «Ин Техно». Технически программирование пропусков осуществляет Альба Секьюрити
· Разграничение прав доступа на разделяемые сетевые ресурсы
· Права доступа на разделяемые сетевые ресурсы устанавливает системный администратор (сотрудник департамента информационных технологий) в соответствии с заявкой или служебной запиской, подписанной президентом ООО «Ин Техно».
· При необходимости на определенные разделяемые сетевые ресурсы устанавливается дополнительный аудит.
· В системе прав доступа Windows 2003 AD владельцем ресурсов является пользователь Администратор так, что сотрудник не может создать файл, к которому будут иметь доступ только он
· Если возникает необходимость иметь файлы, к которым не должен иметь доступ администратор, применяются внешние носители с разрешения руководства «Ин Техно».
· Использование ресурсов Интернет
· Ресурсы сети Интернет в ООО «Ин Техно» используются в следующих целях:
· для ведения дистанционного банковского обслуживания
· для получения и распространения информации
· для информационно-аналитической работы в интересах организации
· для обмена почтовыми сообщениями исключительно с внешними организациями
· ведения собственной хозяйственной деятельности
Иное использование ресурсов сети Интернет, решение о котором не принято руководством организации в установленном порядке, рассматривается как нарушение информационной безопасности.
При работе с сетью ИНТЕРНЕТ сотрудникам запрещено:
· Скачивать и устанавливать на компьютер программное обеспечение.
· Посещать ресурсы, не имеющие непосредственного отношения к работе и служебным обязанностям.
· Осуществлять подписку на рассылку информации непроизводственного характера.
· Сообщать адрес электронной почты в непроизводственных целях.
· Пользоваться различными Интернет-пейджерами.
· Использовать Интернет для получения материальной выгоды или непроизводственных целях, в том числе осуществляя торговлю через Интернет
В связи с повышенными рисками информационной безопасности при взаимодействии с сетью Интернет применяются соответствующие средства защиты информации (межсетевые экраны, антивирусные средства), обеспечивающие прием и передачу информации только в установленном формате и только для конкретной технологии. Локальная сеть организации, где функционирует АС и находятся основные документы, выделена физически и не подключена к сети Интернет.
· Полномочия пользователей на рабочих станциях, подключенных к сети Интернет, ограничены групповыми политиками безопасности домена
· Подробности технической реализации межсетевых экранов, антивирусных средств и групповых политик на рабочих станциях пользователей, описаны в отдельных документах
· Почтовый обмен через сеть Интернет должен осуществляться с использованием защитных мер.
· Электронная почта архивируется. Архив доступен только подразделению, ответственному за обеспечение ИБ. Изменения в архиве не допускаются. Доступ к информации архива ограничен..
· При взаимодействии с сетью Интернет обеспечивается противодействие атакам хакеров и распространению спама.
· Порядок подключения и использования ресурсов сети Интернет в ООО «Ин Техно» контролируется руководителем департамента информационных технологий. Для любого подключения и использования сети Интернет необходима санкция руководства функционального подразделения ООО «Ин Техно»
· Использование средств криптографической защиты информации
· Используемые в ООО «Ин Техно» средства криптографической защиты информации поставляются при установке внешних торговых и расчетных систем (депозитарии, SWIFT, МЦИ) с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней
· Правила хранения ключевых носителей и работы с ними установлены приказом Президента ООО «Ин Техно». Эти Правила устанавливают строгий регламент использования ключей, предполагающий контроль со стороны администратора информационной безопасности за действиями пользователя на всех этапах работы с ключевой информацией (получение ключевого носителя, ввод ключей, использование ключей и сдача ключевого носителя);
· Средства криптографической защиты информации, используемые в ООО «Ин Техно» реализованы на основе алгоритмов, соответствующих национальным стандартам РФ или условиям договора с контрагентом.
· Средства криптографической защиты информации, используемые в ООО «Ин Техно», не содержат требований к ЭВМ по специальной проверке на отсутствие закладных устройств и не требуют дополнительной защиты от утечки по побочным каналам электромагнитного излучения, за исключением отдельных оговоренных в технической документации и Договорах случаев.
· Информационная безопасность процесса изготовления ключевых носителей СКЗИ гарантируется владельцем систем, в которых используются эти СКЗИ
· Внутренний порядок применения СКЗИ в ООО «Ин Техно» определяется владельцем систем, в которых используются эти СКЗИ, и руководством организации и включает:
· порядок ввода в действие
· порядок эксплуатации
· порядок восстановления работоспособности в аварийных случаях
· порядок внесения изменений
· порядок снятия с эксплуатации
· порядок управления ключевой системой (осуществляется владельцем системы)
· порядок обращения с носителями ключевой информации
· Защита серверов и рабочих станций пользователей локальной сети от доступа извне и заражения вирусами
· Антивирусная защита строится на основе комплексного многоуровневого подхода. Комплексная антивирусная защита обеспечивается применением нескольких антивирусных пакетов на разных уровнях.
· Время обновления в зависимости от конфигурации составляет от 1 часа до 1-х суток.
· Самостоятельное удаление и отключение антивирусов пользователями технически невозможно.
· Антивирусная защита рабочих станций строится на основе комплексного подхода. Комплексная антивирусная защита рабочих станций обеспечивается
· применением антивирусного пакета на рабочих станциях конечных пользователей
· базы данных о вирусах обновляются ежедневно, причем пользователь не может отказаться от обновления антивирусных баз
· все файлы, к которым обращается операционная система при работе, проверяются антивирусным программным обеспечением «на лету»
· все файлы электронной почты перед попаданием на рабочую станцию предварительно проверяются потоковым антивирусом Trend Micro
· Антивирусная защита серверов строится на основе комплексного многоуровневого подхода. Комплексная антивирусная защита серверов обеспечивается применением антивирусного пакета
· Антивирусная защита межсетевых экранов, прокси-серверов и электронной почты строится на основе комплексного многоуровневого подхода. Комплексная антивирусная защита обеспечивается применением антивирусных пакетов Trend Micro
· Защита серверов от доступа извне осуществляется:
· Средствами ограничения доступа на маршрутизаторах
· Средствами защиты межсетевого экрана CheckPoint Express NG R55. Конфигурация межсетевого экрана выполнена в соответствии с международным стандартом безопасности информационных систем ISO 17799 и подробно документирована
· Средствами максимально подробного мониторинга трафика собственной разработки, позволяющими записать и проанализировать весь трафик взаимодействия между серверами и внешним Интернет-адресами
· Выделением наиболее важных серверов, включая АБС, в физически отдельную, не соединенную с Интернет локальную сеть
· Защита пользовательских станций от доступа извне осуществляется:
· Средствами ограничения доступа на маршрутизаторах
· Аппаратным включением DEP на рабочих станциях, поддерживающими такую функциональность
· Настройкой персонального межсетевого экрана
· Средствами доменных групповых политик, ограничивающих возможности пользователей по запуску приложений и построенных по принципу запрета запуска приложений из тех каталогов, куда пользователю разрешена запись
· Дублирование, резервирование и раздельное хранение конфиденциальной информации
· По расписанию ежедневно автоматически выполняются процедуры резервного копирования информации с дисков серверов, включая резервное копирование
· Резервные копии хранятся на отдельных устройствах не в помещении серверной, но в здании «Ин Техно».
· Доступ к резервным копиям имеет ограниченный список авторизованных лиц
· Изменения в резервных копиях не допускаются
· Обеспечение бесперебойного функционирования информационных систем «Ин Техно»
· Бесперебойность функционирования информационных систем «Ин Техно» обеспечивается дублированием ключевых систем, разработкой комплекса мероприятий по устранению аварийных ситуаций и тренингом ИТ-персонала по выполнению этих мер
· Резервированием ключевой информации и хранением ее в отдельных помещениях
· Резервированием каналов связи в ключевых системах
· Сопровождением фирм-разработчиков автоматизированных систем и приложений
· Наличием документации разработчика, содержащей описание защитных мер, предпринятых разработчиком АС, и их компонентов относительно безопасности разработки, безопасности поставки и эксплуатации, поддержки жизненного цикла, включая описание модели жизненного цикла, оценки уязвимости.
Заключение
Политика информационной безопасности описывает цели, задачи и определяет совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется «Ин Техно» в своей деятельности
Требования ИБ должны определять содержание и цели деятельности «Ин Техно» в рамках процессов управления ИБ
Детали реализации отдельных пунктов Политики содержатся во внутренних документах «Ин Техно»
Лица, ответственные за реализацию политики ИБ и поддержание ее в актуальном состоянии, назначаются приказом Генерального директора «Ин Техно».
Дата добавления: 2015-02-16; просмотров: 46 | Поможем написать вашу работу | Нарушение авторских прав |