Побудова комплексної системи захисту інформації

Імовірність реалізації - низька.

Втрати внаслідок реалізації - високі.

Ефективний рівень - середній.

К.1.3. Отримання несанкціонованого доступу сторонніх осіб до персональної інформації, що обробляється в межах ЦВ або РВД, внаслідок навмисного підключення до каналів зв'язку чи обладнання з наступним використанням для НСД відомих вразливостей програмно-технічних засобів ІТС.

Імовірність реалізації - низька.

Втрати внаслідок реалізації - високі.

Ефективний рівень - середній.

К.1.4. Отримання несанкціонованого доступу сторонніх осіб до персональної інформації, що обробляється в межах ЦВ або РВД, внаслідок навмисного підключення до каналів зв'язку чи обладнання з наступним використанням для НСД перехоплених атрибутів доступу авторизованих користувачів.

Імовірність реалізації - низька.

Втрати внаслідок реалізації - високі.

Ефективний рівень - середній.

К.1.5. Отримання несанкціонованого доступу сторонніх осіб до персональної інформації, що зберігається та обробляється в ІТС, внаслідок фізичного доступу до носіїв інформації (змінних носіїв, носіїв, що вийшли з ладу, носіїв, що підлягають утилізації).

Імовірність реалізації - середня.

Втрати внаслідок реалізації - високі.

Ефективний рівень - високий.

1.2 Порушення конфіденційності технологічної інформації

К.2.1 Порушення конфіденційності технологічної інформації (атрибутів доступу адміністраторів або інших користувачів системи) сторонніми особами внаслідок необережного поводження авторизованих користувачів з атрибутами доступу (розглядається як частина реалізації атак, спрямованих на порушення конфіденційності персональної інформації К.1.1, К.1.4).

Імовірність реалізації - середня.

Втрати внаслідок реалізації - середні.

Ефективний рівень - середній.

К.2.2. Порушення конфіденційності технологічної інформації (атрибутів доступу адміністраторів або інших користувачів системи) з боку авторизованих користувачів системи внаслідок необережного поводження авторизованих користувачів з атрибутами доступу. Як мета такого порушення розглядається ескалація прав доступу до ресурсів системи та виконання несанкціонованих дій від імені іншого користувача системи (розглядається як частина атак, спрямованих на порушення цілісності технологічної та персональної інформації Ц.1.3, Ц.2.1, Ц.2.2).

Імовірність реалізації - висока.

Втрати внаслідок реалізації - середні.

Ефективний рівень - високий.

К.2.3. Порушення конфіденційності технологічної інформації (атрибутів доступу адміністраторів або інших користувачів системи) з боку авторизованих користувачів системи із застосуванням відомих вразливостей програмно-технічних засобів ІТС (розглядається як частина атак Ц.1.3, Ц.2.1, Ц.2.2, спрямованих на порушення цілісності технологічної та персональної інформації).

Імовірність реалізації - висока.

Втрати внаслідок реалізації - середні.

Ефективний рівень - високий.

К.2.4. Отримання несанкціонованого доступу сторонніх осіб до технологічної інформації (атрибути доступу, конфігураційні настроювання), що зберігається та обробляється в ІТС внаслідок фізичного доступу до носіїв інформації (змінних носіїв, носіїв, що вийшли з ладу, носіїв, що підлягають утилізації).

Імовірність реалізації - середня.

Втрати внаслідок реалізації - низькі.

Ефективний рівень - середній

2 Загрози цілісності інформації

2.1 Загрози цілісності персональної інформації

Ц.1.1. Порушення цілісності персональної інформації, що зберігається в централізованій базі даних, внаслідок апаратного або програмного збою.

Імовірність реалізації - середня.

Втрати внаслідок реалізації - дуже високі.

Ефективний рівень - високий.

Ц.1.2. Порушення цілісності персональної інформації, що зберігається в централізованій базі даних, сторонніми особами внаслідок отримання фізичного доступу до обладнання (навмисне чи внаслідок необережного поводження з обладнанням або системами, що забезпечують його функціонування).

Імовірність реалізації - низька.

Втрати внаслідок реалізації - високі.

Ефективний рівень - середній.

Ц.1.3. Порушення цілісності персональної інформації, що зберігається в централізованій базі даних, внаслідок навмисних дій авторизованого користувача будь-якого рівня в межах його повноважень.

Імовірність реалізації - середня.

Втрати внаслідок реалізації - дуже високий.

Ефективний рівень - високий.

Ц.1.4. Порушення цілісності персональної інформації, що зберігається в централізованій базі даних, внаслідок ненавмисних (помилкових) дій авторизованого користувача будь-якого рівня.

Імовірність реалізації - середня.

Втрати внаслідок реалізації - середні.

Ефективний рівень - середній.

Ц.1.5. Порушення цілісності персональної інформації, що зберігається в централізованій базі даних, внаслідок ураження комп'ютерним вірусом.

Імовірність реалізації - низька.

Втрати внаслідок реалізації - середні.

Ефективний рівень - середній.

Ц.1.6. Порушення цілісності персональної інформації при передачі її по каналах зв'язку внаслідок навмисних дій сторонніх осіб (спроби підміни та нав'язування хибної інформації) або інших причин (збоїв телекомунікаційного обладнання тощо).

Імовірність реалізації - низька.

Втрати внаслідок реалізації - високі.

Ефективний рівень - середній.

2.2 Загрози цілісності технологічної інформації

Ц.2.1. Порушення цілісності технологічної інформації (журнали реєстрації подій) сторонніми особами або авторизованими користувачами із застосуванням відомих вразливостей програмно-технічних засобів ІТС або перехоплених атрибутів доступу уповноваженого персоналу з адміністративними правами. Як мета реалізації даної загрози розглядається приховування несанкціонованих дій в системі в рамках реалізації інших загроз, спрямованих на порушення цілісності або конфіденційності персональної інформації.

Імовірність реалізації - низька.

Втрати внаслідок реалізації - високі.

Ефективний рівень - середній.

Ц.2.2. Порушення цілісності технологічної інформації (конфігураційні файли та файли програмного забезпечення, що виконуються) сторонніми особами або авторизованими користувачами із застосуванням відомих вразливостей програмно-технічних засобів ІТС або перехоплених атрибутів доступу уповноваженого персоналу з адміністративними правами. Як мета реалізації даної загрози розглядається створення умов для подальшого несанкціонованого доступу до інших компонентів ІТС в рамках реалізації загроз К.1.1 - К.1.4, Ц.3.1 для сторонніх осіб або Ц.1.3, для авторизованих користувачів.

Імовірність реалізації - низька.

Втрати внаслідок реалізації - середні.

Ефективний рівень - середній.

Ц.2.3. Порушення цілісності технологічної інформації (конфігураційні файли та файли програмного забезпечення, що виконуються) внаслідок ураження системи комп'ютерним вірусом.

Імовірність реалізації - низька.

Втрати внаслідок реалізації - середні.

Ефективний рівень - середній.

3. Загрози доступності інформації

3.1 Загрози доступності персональної інформації

Д.1.1. Втрата доступності персональної інформації, що зберігається в ЦБД, внаслідок виходу з ладу комутаційного, серверного обладнання або підсистем забезпечення (найбільш імовірним вважається вихід із ладу системи електроживлення).

Імовірність реалізації - висока.

Втрати внаслідок реалізації - низькі.

Ефективний рівень - середній.

Д.1.2. Втрата доступності персональної інформації внаслідок ураження системи комп'ютерним вірусом (перевантаження каналів зв'язку віддалених користувачів інтенсивним трафіком, що генерується вірусами типу «хробак» при розповсюдженні, повному використанні дискового простору або процесорного часу на уражених деякими типами вірусів серверах, що призводить до неможливості обробки запитів клієнтів та виникненні відмов у обслуговуванні).

Імовірність реалізації - середня.

Втрати внаслідок реалізації - низькі.

Ефективний рівень - середній.

У зазначеному переліку загроз розглядаються тільки загрози із середнім та високим ефективним рівнем (загрози з низьким ефективним рівнем не беруться до уваги при розробці системи). Захист від загроз з ефективним рівнем, визначеним як «високий», повинен забезпечуватися можливостями не менш ніж двох різних програмних або програмно-технічних засобів чи сукупністю організаційних та технічних заходів.

У рамках захисту від зазначених загроз КЗЗ також повинен забезпечити виконання певних вимог із забезпеченням спостережності та контрольованості технологічних процесів в ІТС.

Щодо дій користувачів стосовно персональної інформації повинні реєструватися такі події:

Н.1.1. КЗЗ повинен дозволяти однозначно ідентифікувати користувача, що сформував запит на будь-яку транзакцію, пов'язану зі зміною персональної інформації в БД (створення, модифікація, знищення) та відстежити історію таких транзакцій.

Н.2.2. Виявлення дій користувачів, що виходять за межі їх посадових обов'язків та можуть бути розцінені як спроби несанкціонованого доступу до інформації (систематичні спроби виконання операцій над персональною інформацією, що не дозволені даному користувачу, тощо).

Щодо дій користувачів та адміністраторів стосовно технологічної інформації повинні реєструватися такі події:

Н.2.1. Отримання користувачем категорій 1-2 (рівнів РР, ОВР) доступу до системи (вхід/вихід).

Н.2.2. Невдалі спроби отримання доступу до будь-якого компонента системи внаслідок непроходження користувачем або адміністратором автентифікації.

Н.2.3. Зміни конфігураційних настроювань компонентів системи (серверів та мережного обладнання).

Н.2.4. Перевищення встановлених адміністратором порогів використання системних ресурсів обладнання (процесорного часу, дискового простору).

Н.2.5. Виявлення несанкціонованих дій користувачів системи, що можуть бути розцінені як спроба реалізації відомих вразливостей програмних засобів системи (та блокування їх в реальному часі) шляхом пошуку відомих сигнатур атак у мережному трафіку.

Н.2.6. Виявлення дій користувачів, що виходять за межі їх посадових обов'язків та можуть бути розцінені як спроби несанкціонованого доступу до інформації (спроби сканування портів мережного обладнання чи серверів, спроби отримати адміністративний доступ до обладнання з використанням протоколів віддаленого керування тощо).

Потенційні загрози інформації наведені в Таб. 2

Таблиця 2

№ п/п	Потенційні загрози інформації	Наслідки (порушення властивостей)
		К	Ц	Д	С
1.	Загрози об'єктивної природи
1.1.	Стихійні явища (пожежа, аварії)		+	+
1.2.	Збої та відмови системи електроживлення		+	+
1.3.	Збої та відмови обчислювальної техніки		+	+
1.4.	Збої, відмови та пошкодження носіїв інформації		+	+
1.5.	Збої та відмови програмного забезпечення		+	+
2.	Загрози суб'єктивної природи
2.1	Помилки
2.1.1	Помилки користувачів (випадкові помилки; впровадження і використання програм що не є необхідними для виконання користувачем своїх службових обов'язків; запуск програм, здатних викликати необернені зміни в системі)	+	+	+
2.1.2	Помилки адміністраторів (неправильна настройка та адміністрування системи захисту, операційної системи; неправомірне відключення засобів захисту).	+	+	+
2.1.4	Недбале зберігання та облік: документів, носіїв інформації, даних	+	+	+	+
2.2	Несанкціоноване перехоплення інформації	+	+	+	+
2.2.1	Несанкціоноване підключення до технічних засобів	+
2.2.2	Читання даних, що виводяться на екран, роздруковуються, читання залишених без догляду документів	+
2.3	Порушення нормальних режимів роботи		+	+	+
2.3.1	Ураження програмного забезпечення комп'ютерними вірусами	+	+	+	+
2.3.2	Втрата засобів розмежування доступу (паролів) (розголошення), магнітних носіїв інформації та резервних копій	+	+	+	+
2.3.3	Несанкціоноване внесення змін до технічних засобів, в програмне забезпечення, в компоненти інформаційного забезпечення, тощо		+	+	+
2.3.4	Використання недозволеного ПЗ або модифікація компонент програмного та інформаційного забезпечення		+	+	+
2.3.5	Пошкодження носіїв інформації			+
2.4	Зовнішні загрози	+	+	+	+
2.4.1	Несанкціоноване перехоплення інформації за рахунок витоку інформації за рахунок побічного електромагнітного випромінювання та наводок	+
2.4.2	Несанкціонований перегляд інформації за рахунок візуально-оптичного каналу	+

Де: К - конфіденційність; Ц - цілісність; Д - доступність; С - спостережність.

6. Модель загроз для інформації, яка планується до циркуляції в АСі класу 2

Нижче мною запропоновано варіанти моделі загроз. В цій моделі визначені властивості захищеності інформаційних об'єктів, які можуть бути порушеними - конфіденційність (к), цілісність (ц), доступність (д) та якісна оцінка ймовірності здійснення загроз та рівнів збитків (шкоди) по кожному з видів порушень.

Методика розроблення такої моделі полягає в тому, що в один із стовпчиків таблиці заноситься перелік видів загроз. Надалі для кожної із можливих загроз шляхом їх аналізу необхідно визначити:

1. Ймовірність виникнення таких загроз. Як перший крок визначення такої ймовірності можна використати її якісні оцінки. В таблиці можуть бути наведені якісні оцінки їх ймовірності ? неприпустимо висока, дуже висока, висока, значна, середня, низька, знехтувано низька (стовпчик 3);

2. На порушення яких функціональних властивостей захищеності інформації (стовпчик 4) вона спрямована (порушення конфіденційності ? к, цілісності ? ц, доступності ? д);

3. Можливий (такий, що очікується) рівень шкоди (стовпчик 5). Приклад цієї оцінки наведено також за якісною шкалою (відсутня, низька, середня, висока, неприпустимо висока). Наявність таких оцінок, навіть за якісною шкалою, дозволяє обґрунтувати необхідність забезпечення засобами захисту кожної з властивостей захищеності інформації;

4. Механізми реалізації (можливі шляхи здійснення) загроз (стовпчик 6).

Потенційні загрози інформації об'єкта інформаційної діяльності наведені в таб. 3.

Таблиця 3.

Модель загроз
№	Вид загроз	Ймовір-ність	Що пору-шує	Рівень шкоди	Механізм реалізації
Моніторинг (розвідка) мережі
1	Розвідка, аналіз трафіка	Висока	к, ц, д	відсутня	Перехоплення інформації, що пересилаються у незашифрованому виді в широкомовному середовищі передачі даних, відсутність виділеного каналу зв'язку між об'єктами.
Несанкціонований доступ до інформаційних ресурсів із РОМ
1	Підміна (імітація) довіреного об'єкта або суб'єкта з підробленням мережних адрес тих об'єктів, що атакують	Висока	к, ц, д	середній	Фальсифікація (підроблення мережних адрес ІР-адреси, повторне відтворення повідомлень при відсутності віртуального каналу, недостатні ідентифікації та автентифікації при наявності віртуального каналу
2	Зміна маршрутизації	Непри-пустимо висока	к, ц, д	низький	Зміна параметрів маршрутизації і змісту інформації, що передається, внаслідок відсутності контролю за маршрутом повідомлень чи відсутності фільтрації пакетів з невірною адресою
3	Селекція потоку інформації й збереження її	висока	к, ц, д	високий	Використанням недоліків алгоритмів віддаленого пошуку шляхом впровадження в розподілену обчислювальну систему хибних об'єктів (атаки типу “людина в середині”).
4	Подолання систем адміністрування доступом до робочих станцій, локальних мереж та захищеного інформаційного об'єкту, заснованих на атрибутах робочих станцій чи засобів управління доступом та маршрутизації (маскування) відповідних мереж (файрволів, проксі - серверів, маршрутизаторів та т.п.).	Висока	к, ц, д	високий	Використання недоліків систем ідентифікації та автентифікації, заснованих на атрибутах користувача (ідентифікатори, паролі, біометричні дані та т. ін.). Недостатні ідентифікації та автентифікації об'єктів , зокрема адреси відправника
Специфічні загрози інформаційним об'єктам
1	Подолання криптографічної захищеності інформаційних об'єктів, що перехоплені	Низька	к	високий	Використання витоків технічними каналами, вилучення із мережі та специфічних вірусних атак шляхом впровадження програм-шпигунів (spyware) із розкриттям ключових наборів
2	Подолання криптографічної захищеності інформаційних об'єктів робочих станцій	Низька	к	високий	Несанкціонований доступ до інформаційних об'єктів із використанням недоліків систем ідентифікації та автентифікації, заснованих на атрибутах користувача (ідентифікатори, паролі, біометричні дані та т. ін.) із розкриттям ключових наборів
3	Модифікація переданих даних, даних чи програмного коду, що зберігаються в елементах обчислювальних систем.	висока	ц, д	високий	Модифікація чи підміна інформаційних об'єктів (програмних кодів) чи їх частин шляхом впровадження руйнуючих програмних засобів чи зміни логіки роботи програмного файлу із використанням спеціальних типів вірусних атак, спроможних здійснити те чи інше порушення цілісності. Викривлення певної кількості символів інформаційного об'єкту із використанням спеціальних впливів на інформацію технічними каналами в локальній мережі чи в елементах розподіленої мережі
4	Блокування сервісу чи перевантаження запитами системи управління доступом (відмова в обслуговуванні)	висока	д	висо-кий	Використання атак типу “спрямований шторм” (Syn Flood), передачі на об'єкт, що атакується, не коректних, спеціально підібраних запитів. Використання анонімних (чи із модифікованими адресами) запитів на обслуговування типу електронної пошти (spam) чи вірусних атак спеціального типу

Наявність такої інформації дозволяє побудувати більш предметну загальну модель системи захисту; оцінити значення залишкового ризику, як функцію захищеності по кожній із функціональних властивостей захищеності; визначити структуру системи захисту та її основні компоненти.

7. Модель порушника

За порушників на об'єктах інформаційної діяльності розглядаються суб'єкти , внаслідок навмисних або випадкових дій котрих, і (або) випадкові події, внаслідок настання яких можливі реалізації загроз для інформації.

Модель порушника - абстрактний формалізований або неформалізований опис дій порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час та місце дії і т.ін. По відношенню до АС порушники можуть бути внутрішніми (з числа співробітників, користувачів системи) або зовнішніми (сторонні особи або будь-які особи, що знаходяться за межами контрольованої зони).

Модель порушника повинна визначати:

- можливу мету порушника та її градацію за ступенями небезпечності для АС;

- категорії осіб, з числа яких може бути порушник.;

- припущення про кваліфікацію порушника;

- припущення про характер його дій.

Метою порушника можуть бути:

- отримання необхідної інформації у потрібному обсязі та асортименті;

- мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми намірами (інтересами, планами);

- нанесення збитків шляхом знищення матеріальних та інформаційних цінностей.

Порушники класифікуються за рівнем можливостей, що надаються їм всіма доступними засобами. (Таблиця 4).

Таблиця 4.

Р	Можливості порушника по технологічному процесу	Потенційна група порушників	Можливий результат НСД
11	Ні	Службовці, які не мають доступу до інформації, але мають доступ в приміщення (обслуговуючій персонал, відвідувачі)	Перегляд на екрані монітора і розкрадання паперових і машинних носіїв.
2	Запуск задач (програм) з фіксованого набору, що реалізують заздалегідь передбачені функції з обробки інформації.	Більшість користувачів АС, які мають безпосередній доступ до приміщень, з повноваженнями, обмеженими на рівні системи захисту інформації (СЗІ).	Доступ користувача до інформації іншого користувача в його відсутність, в т.ч. через мережу, перегляд інформації на моніторі (недотримання організаційних вимог). Перегляд і розкрадання паперових носіїв.
3	Управління функціонуванням АС, тобто вплив на базове програмне забезпечення ОС і СУБД, на склад і конфігурацію обладнання АС. Робота із зовнішніми носіями.	Адміністратори АС, наділені необмеженими повноваженнями стосовно управління ресурсами.	Доступ адміністратора АС до інформації інших користувачів і до засобів СЗІ, ненавмисне руйнування інформації (недотримання організаційних вимог)
4 4	Весь обсяг можливостей осіб, які здійснюють ремонт технічних засобів АС.	Обслуговуючий персонал АС. Фахівці сторонніх організацій, які здійснюють постачання і монтаж обладнання для АС.	Доступ обслуговуючого персоналу АС до ПК з інформацією інших користувачів, руйнування інформації, установка закладних пристроїв (недотримання організаційних вимог при ремонті АС).

Начальник відділу ТЗІ

Видавництва «Книгоман» Т.М.Хохуля

4. Розробка політики безпеки інформації в АС

ЗАТВЕРДЖУЮ

Директор Видавництва «Книгоман»

_________________І.І.Кірик

“ ____ ” ________ 2013 року

ПОЛІТИКА БЕЗПЕКИ ІНФОРМАЦІЇ

яка циркулює в автоматизованій системі класу 2 Видавництва «Книгоман»

1. Загальні положення

1.1. Визначення політики безпеки

Під політикою безпеки інформації слід розуміти сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, що регламентують порядок обробки інформації і спрямовані на захист інформації від можливих загроз.

Політика інформаційної безпеки, є обов'язковою для дотримання всіма співробітниками Видавництва «Книгоман», які є користувачами АС.

1.2. Цілі політики безпеки

Основними цілями політики безпеки є гарантування:

штатного функціонування АС;

доступу до інформаційних об'єктів та ресурсів АС у відповідності до правил розмежування доступу;

спостереженості дій користувачів усіх категорій, які мають доступ до АС;

захисту даних у кожному компоненті АС;

достатності та ненадмірності захисту інформації у відповідності з вимогами законодавства;

забезпеченності користувачів усіх категорій відповідними організаційно-розпорядчими документами, щодо захисту інформації;

забезпеченності планами підтримки безперебійної роботи АС та планами її відновлення;

достатності впроваджених заходів та засобів для проведення службових розслідувань в разі виявлення порушення політики безпеки АС.

1.3. Загальні вимоги політики безпеки

Інформація, яка обробляється в АС, не підлягає неконтрольованому та несанкціонованому ознайомленню, розмноженню, розповсюдженню, копіюванню, відновленню, а також неконтрольованій та несанкціонованій модифікації.

В основу політики безпеки АС покладений адміністративний принцип розмежування доступу, який реалізується відповідно до принципу мінімуму повноважень, згідно з яким право доступу може бути надане користувачеві лише за фактом службової необхідності. Наявність службової необхідності визначається посадовими обов'язками користувачів.

З метою забезпечення необхідного режиму доступу до інформації повинен бути визначений відповідальний підрозділ - служба захисту інформації, якому надаються повноваження щодо організації та впровадження прийнятої політики безпеки в АС.

Всі працівники Видавництва «Книгоман», які беруть участь в обробці інформації в АС, повинні бути зареєстровані як користувачі в системних журналах АС.

Керування правами доступу користувачів до захищених об'єктів та параметрами КЗЗ у складі АС повинен здійснювати спеціально уповноважений працівник - адміністратор безпеки АС.

Надання доступу до інформації АС повинно здійснюватися тільки за умови достовірного розпізнавання ідентифікаційних параметрів користувачів АС. Процедура розпізнавання та надання повноважень здійснюється як організаційними заходами, так і з використанням програмно-апаратних засобів розмежування доступу.

Машинні носії інформації повинні мати відповідні ідентифікаційні реквізити.

Спроби порушення встановленого порядку доступу до інформації повинні блокуватись.

1.4. Реалізація політики безпеки комплексною системою захисту інформації

Реалізація політики безпеки здійснюється за допомогою комплексної системи захисту інформації АС - взаємопов'язаній сукупності організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.

КСЗІ АС забезпечує реалізацію вимог із захисту інформації, які визначені у Технічному завданні на створення КСЗІ в АС а саме щодо:

цілісності та доступності функціональної та технологічної інформації АС;

конфіденційності, цілісності та доступності технологічної інформації КСЗІ.

КСЗІ АС розглядається як сукупність взаємопов'язаних нормативно-правовових та організаційних заходів і інженерно-технічних засобів щодо захисту інформації від НСД.

1.4.1. Нормативно-правові заходи захисту інформації

Комплекс нормативно-правових заходів захисту інформації АС:

створення системи документів нормативно-правового забезпечення робіт з захисту інформації в АС;

впровадження заходів з забезпечення безпеки інформації в АС, виконання правових та договірних вимог з захисту інформації, визначення відповідальності посадових осіб, організаційної структури, комплектування і розподілу обов'язків співробітників служби захисту інформації в АС;

доведення до персоналу і користувачів АС основних положень політики безпеки інформації, їхнього навчання і підвищення кваліфікації з питань безпеки інформації;

запровадження системи контролю за своєчасністю, ефективністю і повнотою реалізації в АС рішень з захисту інформації, дотриманням персоналом і користувачами положень політики безпеки.

1.4.2. Організаційні заходи захисту інформації

Комплекс організаційних заходів захисту інформації в АС включає:

застосування режимних заходів на ОІД;

забезпечення фізичного захисту обладнання АС, носіїв інформації, інших ресурсів;

організацію проведення обстеження середовищ функціонування АС;

виконання робіт з захисту інформації та взаємодії з цих питань з іншими суб'єктами системи ТЗІ в Україні;

регламентацію доступу користувачів і персоналу до ресурсів АС;

здійснення профілактичних заходів щодо попередження ненавмисного порушення політики безпеки, зокрема попередження появи вірусів та ін.

1.4.3. Інженерно-технічні засоби захисту інформації

Комплекс інженерно-технічних засобів захисту інформації - сукупність програмно-апаратних засобів захисту призначено для:

розмежування доступу користувачів до інформації та інших ресурсів АС;

блокування несанкціонованих дій з інформацією та іншими ресурсами АС, локалізації цих дій по відношенню до ресурсів та ліквідації їх наслідків;

забезпечення контролю та захисту потоків інформації, яка обробляється в АС;

забезпечення спостереженості за діями користувачів та персоналу АС, реєстрації, збору, зберігання, обробки даних про події, які мають відношення до безпеки інформації, сповіщення адміністратора безпеки про такі події;

підтримання цілісності критичних ресурсів системи захисту, середовища виконання прикладних програм та інформації в ПТК;

забезпечення контролю за цілісністю об'єктів, що підлягають захисту;

організації обліку, зберігання та обігу матеріальних носіїв інформації;

забезпечення управління засобами КСЗІ та контролю за її функціонуванням.

2. Основні організаційні заходи

2.1 Організаційні заходи щодо керування доступом

Організаційні заходи щодо керування доступом повинні передбачати:

* визначення порядку доступу користувачів у захищене приміщення, до технічних засобів, носіїв інформації, програмного та інформаційного забезпечення;

* визначення порядку внесення/вилучення даних щодо атрибутів доступу користувача до АС установи банку.

2.2 Організаційні заходи щодо реєстрації та обліку МНІ та документів

Організаційні заходи щодо реєстрації та обліку повинні передбачати визначення порядку:

* обліку, використання і зберігання машинних носіїв інформації (МНІ);

* організації зберігання, використання і знищення документів і носіїв, що містять інформацію з обмеженим доступом, відповідно до вимог нормативних документів.

2.3 Організаційні заходи щодо забезпечення цілісності інформації

Організаційні заходи щодо забезпечення цілісності інформації повинні передбачати:

* резервне копіювання на МНІ еталонних копій операційних систем і функціональних програм;

* облік, видачу, використання і зберігання МНІ, що містять еталонні і резервні копії операційних систем і функціональних програм;

* контроль цілісності системного програмного забезпечення;

* контроль цілісності КЗЗ АС Видавництва «Книгоман».

2.4 Організаційні заходи щодо антивірусного захисту інформації

Організаційні заходи антивірусного захисту інформації в АС Видавництва «Книгоман» повинні передбачати:

* використання ліцензійного антивірусного програмного забезпечення на всіх ПК, що входять до складу АС філіалу;

* організацію постійного та своєчасного оновлення антивірусних баз.

2.5 Резервне копіювання, архівування та відновлення інформації

Для забезпечення відновлюваності інформації у випадку збоїв системи або помилок користувачів в АС повинно здійснюватися періодичне резервне копіювання.

Резервному копіюванню підлягає:

* ІзОД, яка зберігається у файлах користувачів;

* ІзОД, яка зберігається у БД;

* настройки ОС, БД та КЗЗ;

* журнали реєстрації.

Експлуатаційні та організаційно - розпорядчі документи повинні визначати порядок та періодичність резервного копіювання, архівування та відновлення інформації, місце збереження резервних копій та відповідальних посадових осіб.

3. Розмежування інформаційних потоків

КЗЗ повинен здійснювати розмежування доступу на підставі атрибутів доступу користувачів і захищених об'єктів. Розмежування доступу здійснюється на рівні надання (встановлення заборони) користувачеві прав читати або модифікувати об'єкт.

КЗЗ повинен надавати можливість адміністратору системи та адміністратору безпеки (відповідно до своїх повноважень) для кожного захищеного об'єкта визначити конкретних користувачів (групи користувачів), які мають право читати або модифікувати об'єкт.

КЗЗ повинен здійснювати розмежування доступу до слабозв'язаних об'єктів на підставі імені користувача (групи користувачів) і захищеного об'єкта та прав доступу.

КЗЗ повинен здійснювати розмежування доступу до сильнозв'язаних об'єктів на підставі імені користувача та його ролі.

Розмежування доступу до ресурсів серверу управління базами даних повинно здійснюватися за допомогою надання адміністратором БД користувачеві певної ролі.

Запити на зміну прав доступу (надання прав доступу, внесення користувача до певної групи або надання певної ролі) повинні оброблятися КЗЗ тільки в тому випадку, якщо вони надходять від адміністратора системи, адміністратора безпеки, адміністратора баз даних (СКБД).

Обслуговуючий персонал має право створювати, модифікувати, вилучати, друкувати та копіювати на МНІ файли з текстовими документи, за які вони відповідають, а також працювати із файлами з документами, що створюються спільно з іншими користувачами, відповідно до наданих прав.

Обслуговуючий персонал має право читати та модифікувати інформацію, що міститься у БД в залежності від програмного комплекса, із яким він працює та прикладної ролі, яку він виконує у цьому комплексі.

Обслуговуючий персонал має право на перегляд та запуск загальносистемного та спеціального програмного забезпечення (право на запуск певного ПК надається відповідно до його функціональних обов'язків).

Обслуговуючий персонал не повинен виконувати настройки конфігураціїї КЗЗ, загальносистемного та програмного забезпечення, СКБД, змінювати їх склад та структуру, коригувати права доступу, тобто виконувати функції будь-кого з Адміністраторів.

Адміністратори мають право працювати (створювати, модифікувати, вилучати, друкувати та копіювати на МНІ) з електронними документами, за які вони відповідають, а також працювати із файлами з документами, що створюються спільно з іншими користувачами, відповідно до наданих прав.

Також адміністратор БД має право працювати з програмними комплексами, що входять до складу спеціального програмного забезпечення (право на запуск певного ПК надається відповідно до його функціональних обов'язків).

4. Вимоги до правил адміністрування КЗЗ і реєстрації дій користувачів

Щодо реєстрації дій користувачів КЗЗ повинен забезпечити реалізацію наступних функцій:

1) реєстрацію наступних подій, що мають відношення до безпеки:

* реєстрація користувача в системі (вхід/вихід до/з системи);

* зміна паролю користувачем ;

* зміна прав та повноважень доступу до файлів та ресурсів;

* створення, доступ та знищення файлів;

* запуск програм, які мають доступ до ІзОД.

Обов'язковими параметрами реєстрації мають бути:

* дата, час, та назва події;

* ідентифікатор суб'єкта, що ініціював подію.

2) можливість вибіркового перегляду журналу подій, що повинні реєструватися;

3) зберігання та захист журналів реєстрації від несанкціонованої модифікації.

Реєстрація дій користувача, пов'язаних з виводом інформації на друк за допомогою принтера, введення інформації за допомогою сканера та копіювання інформації на з'ємні машинні носії повинна фіксуватися в паперовому “Журналі обліку роботи користувачів банку”.

5. Середовище АС

5.1 Вимоги до заземлення

1. Усі металеві конструкції в приміщенні повинні бути заземлені;

2. Система заземлення не повинна мати вихід за межі контрольованої території;

3. Опір кіл заземлення від засобів філії до вузлів системи заземлення не повинен перевищувати 4 Ом.

5.2 Вимоги до електроживлення

1. Електроживлення АС філії повинне здійснюватися від трансформаторної підстанції низької напруги, розміщеної у межах контрольованої території. У випадку знаходження трансформаторної підстанції за межами контрольованої території електроживлення повинно здійснюватися через розділовий трансформатор.

2. Мережа електроживлення АС філії повинна бути відділена від мережі освітлення та побутової мережі і забезпечувати безперебійну експлуатацію та працездатність АС.

3. Електроживлення повинно здійснюватися через протизавадні мережеві фільтри.

5.3 Вимоги до захисту інформації від витоку візуально-оптичним каналом

Для захисту інформації від витоку візуально-оптичним каналом вікна приміщень, де розташована АС філії, повинні бути обладнані жалюзями або шторами.

6. Фізичне середовище АС

До компонентів фізичного середовища АС відносяться:

територія, будівля та приміщення, де знаходяться компоненти АС;

місця зберігання змінних, паперових та інших носіїв інформації;

охорона території, будівлі, приміщень та режими доступу до цих компонентів;

системи життєзабезпечення (електроживлення, заземлення, пожежної та охоронної сигналізації), комунікацій і зв'язку (телефон, факс);

проектна та експлуатаційна документація на компоненти фізичного середовища.

6.1. Територія фізичного середовища

Територія, яка знаходиться під цілодобовою охороною.

6.2. Будівля, де розгорнута АС

Доступ працівників Видавництва «Книгоман» в будівлю здійснюється за перепустками. Доступ сторонніх осіб в будівлю контролюється черговим відповідного підрозділу і здійснюється за узгодженням керівника Видавництва «Книгоман». Співробітники, які приймають в будинку сторонніх осіб, зустрічають їх при вході і супроводжують на вихід після завершення візиту.

6.3. Приміщення де знаходяться компоненти АС

Приміщенню, в якому розміщуються компоненти АС, категорія об'єкта інформаційної діяльності не надана, у зв'язку з тим, що в ньому не передбачається обробка інформації, яка становить державну таємницю (у відповідності до вимог “Тимчасового положення про категоріювання об'єктів” ДСТСЗІ від 10.07.95 за № 35).

Приміщення контролюються охороною. Доступ до приміщення, де знаходиться АС, здійснюється посадовими особами, які мають на це право за характером своєї діяльності. Всі співробітники отримують доступ лише в ті приміщення, які дозволені їм політикою безпеки.

Приміщення у позаслужбовий час опечатуються металевими печатками посадових осіб, що в них працюють.

6.4. Місця зберігання носіїв інформації

Місця та порядок зберігання змінних носіїв інформації здійснюється згідно відповідних інструкцій.

6.5. Системи життєзабезпечення, комунікацій та зв'язку

Системи життєзабезпечення: система електроживлення, система заземлення, система пожежної та охоронної сигналізації повинна відповідати вимогам із захисту інформації.

6.6. Документація на компоненти фізичного середовища

Проектна та експлуатаційна документація на компоненти фізичного середовища зберігається у спеціально відведеному місці. Відповідальність за її збереження несе призначена для цього посадова особа структурного підрозділу видавництва «Книгоман».

Начальник відділу ТЗІ

Видавництва «Книгоман» Хохулі Т.М.

5. Складання плану захисту інформації в АС

ЗАТВЕРДЖУЮ

Директор Видавництва «Книгоман»

_________________І.І.Кірик

“ ____ ” ________ 2013 року

АВТОМАТИЗОВАНА СИСТЕМА ВІДДІЛУ ТЕХНІЧНОГО ЗАХИСТУ ІНФОРМАЦІЇ ВИДАВНИЦТВА «Книгоман» (шифр - «АСВТЗІ»)

КОМПЛЕКСНА СИСТЕМА ЗАХИСТУ ІНФОРМАЦІЇ

(шифр - КСЗІ «АСВТЗІ»)

ПЛАН ЗАХИСТУ ІНФОРМАЦІЇ

Київ - 2013

1. Завдання захисту інформації в АСВТЗІ

1.1 Загальні положення

План захисту інформації в АСВТЗІ (далі - План захисту), визначає політику Видавництва «Книгоман» в сфері захисту інформації в АСВТЗІ та організацію захисту інформації на всіх етапах її життєвого циклу. Він розробляється на підставі проведеного аналізу технології обробки інформації, аналізу ризиків, сформульованої політики безпеки інформації, визначає і документально закріплює об'єкти захисту інформації в АСВТЗІ, основні завдання захисту, загальні правила обробки інформації в АСВТЗІ, мету побудови та функціонування КСЗІ, заходи із захисту інформації. План захисту фіксує на певний момент часу склад АСВТЗІ, перелік оброблюваних відомостей, технологію обробки інформації, склад комплексу засобів захисту інформації, склад необхідної документації відповідно вимог НД ТЗІ 1.4-001-2000. План захисту повинен регулярно переглядатися та при необхідності змінюватися.

АСВТЗІ призначено для автоматизації процесів обробки інформації з обмеженим доступом.

1.2 Основні завдання захисту інформації

Основними завданнями захисту інформації в АСВТЗІ є:

забезпечення визначених політикою безпеки властивостей інформації (цілісності, доступності, конфіденційності) під час експлуатації АСВТЗІ та його керованості;

своєчасне виявлення та знешкодження загроз для ресурсів АСВТЗІ з врахуванням її архітектури, причин та умов, які спричиняють або можуть привести до порушення її функціонування та розвитку;

створення механізму та умов оперативного реагування на загрози для безпеки інформації, інші прояви негативних тенденцій у функціонуванні АСВТЗІ;

керування засобами захисту інформації, керування доступом користувачів до ресурсів АСВТЗІ, контроль за їхньою роботою з боку СЗІ, оперативне сповіщення про спроби НСД;

реєстрація, збір, зберігання, обробка даних про всі події в системі, які мають відношення до безпеки інформації;

створення умов для максимально можливої локалізації джерел загроз, що виникають внаслідок неправомірних дій фізичних та юридичних осіб, впливу зовнішнього середовища та інших чинників негативного впливу на безпеку функціонування АСВТЗІ.

1.3 Об'єкти захисту

Виходячи з рекомендацій НД ТЗІ 1.4-001-2000, об'єктами захисту АСВТЗІ є:

відомості, віднесені до інформації з обмеженим доступом, обробка яких здійснюється в АСВТЗІ і які можуть знаходитись на паперових, магнітних та інших носіях;

інформаційні масиви та бази даних, програмне забезпечення, інші інформаційні ресурси;

обладнання АСВТЗІ та інші матеріальні ресурси, включаючи технічні засоби та системи, що не задіяні в обробці інформації, але знаходяться у контрольованій зоні, носії інформації, процеси і технології її обробки;

засоби та системи фізичної охорони матеріальних та інформаційних ресурсів, організаційні заходи захисту;

користувачі (персонал) АСВТЗІ та власники інформації.

1.4 Шляхи забезпечення безпеки інформації

Забезпечення безпеки інформації в АСВТЗІ досягається:

організацією та впровадженням системи допуску посадових осіб (користувачів) до роботи з інформацією;

організацією обліку, зберігання, обігу інформації та її носіїв;

здійсненням контролю за забезпеченням захисту інформації, яка обробляється в АСВТЗІ, та за збереженням носіїв інформації;

використанням програмно-технічних засобів комплексної системи захисту інформації.

2. Класифікація інформації, що обробляється в АСВТЗІ

2.1 Склад інформації в АСВТЗІ

АСВТЗІ призначена для роботи з інформацією з обмеженим доступом, яка представлена у вигляді текстових документів, електронних таблиць.

До інформації АСВТЗІ відносяться також загальне, функціональне та спеціальне програмне забезпечення АСВТЗІ та дані захисту.

2.2 Класифікація інформації за режимом доступу та правовим режимом

За режимом доступу інформація, що обробляється в АСВТЗІ, поділяється на відкриту інформацію та інформацію з обмеженим доступом.

Інформація з обмеженим доступом, яка обробляється в АСВТЗІ, є власністю Видавництва «Книгоман», і за своїм правовим режимом поділяється на такі категорії:

конфіденційна інформація;

цілком конфіденційна інформація.

В АСВТЗІ до інформації з обмеженим доступом відноситься інформація, яка включена до „Переліку відомостей, що відносяться до конфіденційної інформації Видавництва «Книгоман».

В АСВТЗІ до відкритої інформації відносяться всі види програмного забезпечення та інформація, яка не визначена відповідними документами як конфіденційна.

2.3 Класифікація інформації за типом представлення в АСВТЗІ

У таблиці 2.3.1 для кожної з визначених у п. 2.2 категорій інформації вказано тип її логічного та фізичного представлення.

Таблиця 2.3.1

№ пп	Інформація	Логічне представлення	Фізичне представлення	Місце зберігання
Відкрита інформація
1	Загальне, функціональне та спеціальне програмне забезпечення	Програмний засіб	Файл	Жорсткий диск комп'ютера
2	Програмні засоби захисту	Програмний засіб	Файл	Жорсткий диск комп'ютера
3	Дистрибутиви ПЗ, у тому числі ПЗ захисту	Дистрибутив	Файл	CD-ROM, Жорсткий диск комп'ютера
4	Документи, які містять відкриту інформацію	Текстовий документ, електронна таблиця	Файл	Жорсткий диск комп'ютера або змінні диски
Конфіденційна інформація
5	Документи, яким встановлений гриф “конфіденційно”, „цілком конфіденційно”	Текстовий документ, електронна таблиця	Файл	Жорсткий диск комп'ютера, гнучкі магнітні диски (дискети)
6	Дані захисту	Таблиця БД захисту, журнал захисту, параметр конфігурації системи	Файл, параметр системного реєстру	Жорсткий диск комп'ютера
7	Резервні копії даних захисту	Таблиця БД захисту, текстовий документ, журнал захисту	Файл	гнучкі магнітні диски (дискети)

3. Опис компонентів АСВТЗІ та технології оброки інформації

3.1 Компоненти АСВТЗІ

До компонентів АСВТЗІ відносяться такі:

технічне забезпечення (ПЕОМ та технічні засоби захисту);

програмне забезпечення;

дані;

користувачі АСВТЗІ та технічний персонал.

3.1.1 Технічне забезпечення

АСВТЗІ побудовано на базі одного автономного комп'ютера.

Склад технічних засобів АСВТЗІ наведено в Паспорті формулярі АСВТЗІ.

3.1.2 Програмне забезпечення

Програмне забезпечення АСВТЗІ поділяється на загальне, функціональне та спеціальне.

Перелік програмного забезпечення наведено в Паспорті формулярі АСВТЗІ

3.1.3 Дані

За місцем зберігання дані АСВТЗІ поділяються на два види: дані на магнітних та інших носіях та дані на паперових носіях.

3.1.3.1 Дані на магнітних та інших носіях

Серед даних, що зберігаються на магнітних та інших носіях, розрізняють дані постійного та тимчасового зберігання.

3.1.3.2 Дані на паперових носіях

До даних, що зберігаються на паперових носіях, відносяться:

друковані документи;

документація на АСВТЗІ:

Технічне завдання;

Інструкція користувача АС 1;

Інструкція з адміністрування системи;

технічна документація на систему захисту інформації ЛОЗА-1;

Паспорт-формуляр на АСВТЗІ;

облікові картки користувачів АСВТЗІ;

Положення про службу захисту інформації;

План захисту інформації;

Інструкція щодо забезпечення режимних заходів під час обробки конфіденційної інформації в АСВТЗІ.

3.1.4 Користувачі АСВТЗІ та технічний персонал

Відповідно до рівня повноважень щодо доступу до секретної інформації, характеру робіт, які виконуються в процесі функціонування АСВТЗІ, для користувачів АСВТЗІ визначаються такі ролі:

звичайний користувач;

адміністратор безпеки;

адміністратор документів;

системний адміністратор.

Облікова картка користувача містить такі реквізити:

ім'я користувача в АСВТЗІ;

прізвище та ініціали, підрозділ і посада користувача;

рівень допуску (найвищий гриф секретності інформації, з якою дозволено працювати користувачеві);

роль користувача в системі (або декілька ролей у випадку суміщення адміністративних ролей);

Для кожного користувача, що буде працювати в АСВТЗІ, заповнюється одна або декілька облікових карток - у залежності від ролей, які він виконує в системі. Кожна облікова картка відповідає обліковому запису користувача в базі даних захисту. Роль звичайного користувача не суміщається в одному обліковому записі з жодною з адміністративних ролей, адміністративні ролі можна суміщати між собою. Тому в разі виконання однією особою функцій адміністратора(ів) та звичайного користувача, заповнюються щонайменше дві облікові картки (одна картка для ролі „звичайний користувач” та хоча б одна картка для адміністративних ролей) з різними іменами для реєстрації в системі.

Технічний персонал АСВТЗІ забезпечує роботоздатність технічних засобів АСВТЗІ та обслуговування приміщень, де встановлені ці засоби.

3.1.5 Активні та пасивні об'єкти АСВТЗІ та їхня взаємодія

Активними об'єктами в технологічному процесі обробки інформації в АСВТЗІ є користувачі АСВТЗІ, персонал, а також програмні засоби.

До пасивних об'єктів АСВТЗІ, які беруть участь у технологічному процесі обробки інформації, відносяться: дані, програмні засоби та технічні засоби.

Таким чином, програмні засоби можуть бути як активними, так і пасивними об'єктами. Активними вони є, коли представляють користувача, пасивними, коли користувач звертається до них.

Активні та пасивні об'єкти, з якими взаємодіє активний об'єкт, представлені в таблиці 3.1.5.1. Оскільки програмні засоби, як активні об'єкти, не мають своїх атрибутів доступу, у цій таблиці вони розглядаються тільки як пасивні об'єкти.

Таблиця 3.1.5.1.

№ пп	Активний об'єкт (суб'єкт)	Пасивні об'єкти
1	Адміністратор безпеки	1 Технічні засоби: комп'ютер; 2 Програмні засоби: загальне, функціональне та спеціальне ПЗ; 3 Дані: дані захисту, резервні копії, облікові картки користувачів, проектні та експлуатаційні документи на АСВТЗІ
2	Системний адміністратор	1 Технічні засоби: комп'ютер; 2 Програмні засоби: загальне та функціональне ПЗ, програмні засоби захисту; 3 Дані: дані захисту, резервні копії системних даних, дистрибутиви ПЗ, експлуатаційні документи на АСВТЗІ
3	Адміністратор документів	1 Технічні засоби: комп'ютер; 2 Програмні засоби: загальне, функціональне та спеціальне ПЗ; 3 Дані: текстові документи та електронні таблиці, експлуатаційні документи на АСВТЗІ
4	Звичайний користувач	1 Технічні засоби: комп'ютер; 2 Програмні засоби: загальне, функціональне та спеціальне ПЗ; 3 Дані: текстові документи та електронні таблиці, експлуатаційні документи на АСВТЗІ
5	Технічний персонал	1 Технічні засоби: комп'ютер; 2 Програмні засоби: загальне та функціональне ПЗ; 3 Дані: експлуатаційна документація на технічні засоби

3.2 Технологія обробки інформації

3.2.1 Організація роботи з інформацією обмеженого доступу

Звичайні користувачі працюють у системі з документами, які містять інформацію з обмеженим доступом.

Інформація з обмеженим доступом зберігається на жорсткому магнітному диску АСВТЗІ та на змінних носіях інформації (дискети, флеш накопичувачі).

Змінні носії інформації з ІзОД зберігаються в спеціальному відділі у металевому сейфі та доступ до них регламентується розпорядчими документами Видавництва «Книгоман».

Друк та експорт інформації з обмеженим доступом відбувається відповідно розпорядчих документів Видавництва «Книгоман».

3.2.2 Технологія роботи з документами

Документи зберігаються в базах документів, для яких встановлюється адміністративне керування доступом. Керування доступом до документів здійснюють адміністратори документів.

Безпосередньо з усіма документами працюють звичайні користувачі. Для забезпечення можливості керування доступом адміністраторам документів надається можливість читання документів, а також може надаватись можливість роботи з документами.

Нові документи створюються користувачами вручну або імпортуються з іншого носія. Документи також можуть бути експортовані на інший носій.

4. Організаційні заходи захисту

4.1 Загальні підходи до забезпечення політики безпеки

Для забезпечення захисту інформації з обмеженим доступом в АСВТЗІ та належного функціонування комплексної системи захисту інформації створюється служба захисту інформації.

Склад та функції служби захисту інформації в АСВТЗІ визначаються відповідно до документа “Положення про службу захисту інформації”.

Повноваження користувачів встановлюються керівництвом Видавництва «Книгоман» та узгоджуються з спеціальним відділом. Облік користувачів АСВТЗІ здійснюється за допомогою облікових карток, на підставі яких адміністратор безпеки вводить, змінює або видаляє інформацію про користувача АСВТЗІ. Облікові картки заповнюються та зберігаються в спеціальному відділі.

Питання організації навчання користувачів, які допускаються до роботи на АСВТЗІ, з питань захисту інформації під час її обробки за допомогою АСВТЗІ, включаються до Календарного плану основних заходів з технічного захисту інформації в Видавництві «Книгоман».

Навчання повинно бути направлено на засвоєння всіма категоріями користувачів вимог нормативних актів з питань захисту інформації та охорони державної таємниці.

Усі користувачі повинні знати вимоги основних документів щодо захисту інформації, вимоги розпорядчих документів Видавництва «Книгоман», які регламентують порядок проведення робіт з ІзОД за допомогою АСВТЗІ.

Доведення до користувачів вимог діючих нормативних та організаційно-розпорядчих документів щодо захисту інформації в АСВТЗІ здійснюється начальником спеціального відділу.

До обробки інформації на АСВТЗІ допускаються лише особи, яки успішно здали відповідні заліки та включені до затвердженого списку осіб, які допущені до обробки інформації за допомогою АСВТЗІ.

Виконання робіт в АСВТЗІ дозволяється працівникам, які включені до списку користувачів АСВТЗІ.

Начальник спеціального відділу забезпечує виконання вимог нормативних документів щодо забезпечення режимних заходів під час роботи з ІзОД, а саме:

облік друкованих документів;

облік змінних носіїв інформації (дискет, флеш накопичувачів);

облік технічних засобів, що пройшли спецдослідження;

ведення облікових карток користувачів у частині, що його стосується.

Основні функції щодо забезпечення захисту інформації в АСВТЗІ покладаються на службу захисту інформації в АСВТЗІ до складу якої входить начальник служби, системний адміністратор та адміністратор безпеки. На службу захисту інформації в АСВТЗІ відповідно адміністративних ролей в АСВТЗІ покладаються наступні основні функції:

Адміністратор безпеки:

ведення облікових карток користувачів;

ведення бази даних захисту;

настройка системи;

зміна, у разі необхідності, власника баз документів;

спостереження за роботою системи;

архівація баз документів;

архівація даних захисту;

настройка апаратного забезпечення;

створення баз документів;

керування доступом до документів.

Системний адміністратор:

супроводження програмного забезпечення, у тому числі програмного забезпечення КЗЗ;

супроводження апаратного забезпечення (разом із технічним персоналом).

Усі дії, які прямо чи опосередковано можуть вплинути на захищеність інформації (зміни дозволів на доступ до файлів та папок, очищення журналів операційної системи, зміни настройок BIOS Setup тощо), адміністратори АСВТЗІ виконують з дозволу начальника служби захисту інформації в АСВТЗІ.

Контроль за дотриманням персоналом та користувачами АСВТЗІ положень політики безпеки покладається на відповідального за ТЗІ та службу захисту інформації в АСВТЗІ.