СОДЕРЖАНИЕ
1. Инструкция по организации антивирусной защиты
2. Инструкция по организации парольной защиты
3. Порядок обращения с информацией подлежащейзащите
4. План обеспечения непрерывной работы ивосстановления
5. Соглашение о неразглашении конфиденциальнойинформации
Список литературы
ЛАБОРАТОРНАЯРАБОТА 4
ИНСРУКЦИЯПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ
Общиеположения
1. НастоящаяПолитика определяет правила, которыми должны руководствоваться сотрудники приорганизации антивирусной защиты.
2. Цельюзащиты от вирусов и других вредоносных программ является предотвращение ущербаот действий, производимыми данными программами.
Областьприменения
Положениянастоящей Политики распространяются на все работы, связанные с обеспечением антивируснойзащиты, а так же на всех сотрудников, которым предоставлен доступ к информационнымресурсам.
Правилаиспользования средств антивирусной защиты
1. Киспользованию допускаются только лицензионные антивирусные средства,закупленные у поставщиков указанных средств.
2. Установкаи настройка параметров средств антивирусного контроля на рабочих станциях исерверах КВС осуществляется уполномоченными сотрудниками отдела обслуживаниявычислительной техники.
3. Обновлениеантивирусных средств должно происходить в автоматическом режиме. Допускаетсяработа антивируса с обновлениями не старше 72 часов.
4. Антивирусныйконтроль всех дисков и файлов рабочих станций должен проводиться еженедельно.
5. На каждойрабочей станции и сервере в резидентном режиме должен быть запущен антивирусныймонитор.
6. Обязательномуантивирусному контролю подлежит любая информация, получаемая по телекоммуникационнымканалам связи и на съемных носителях.
7. Устанавливаемоепрограммное обеспечение должно быть предварительно проверено на наличиевирусов.
8. Каждыйпользователь КВС должен быть осведомлен об опасности заражения вирусами иобучен работе с антивирусным ПО. Обязанности по обучению пользователей поиспользованию антивирусного ПО возлагаются на администратора ЛВС.
Ответственность
Ответственностьза организацию антивирусного контроля в подразделении возлагается наруководителя подразделения. Ответственность за проведение мероприятийантивирусного контроля в подразделении возлагается на ответственного заобеспечение безопасности информации в подразделении и всех сотрудниковподразделения, являющихся пользователями АС. За нарушение положений даннойПолитики сотрудники могут быть отстранены от доступа к ресурсам КВС и несутответственность в соответствии с законодательством РФ.
2. ИНСТРУКЦИЯПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ
Даннаяинструкция регламентирует организационно-техническое обеспечение процессовгенерации, смены и прекращения действия паролей (удаления учетных записейпользователей) в локальной сети ФГОУ ВПО Костромской ГСХА далее ЛС, а такжеконтроль за действиями пользователей и обслуживающего персонала системы приработе с паролями.
1. Организационноеи техническое обеспечение процессов генерации, использования, смены ипрекращения действия паролей во всех подсистемах ЛС и контроль за действиямиисполнителей и обслуживающего персонала системы при работе с паролямивозлагается на сотрудников ИТЦ — администраторов средств защиты, содержащихмеханизмы идентификации и аутентификации (подтверждения подлинности)пользователей по значениям паролей.
2. Личныепароли должны генерироваться и распределяться централизованно либо выбиратьсяпользователями автоматизированной системы самостоятельно с учетом следующихтребований:
¨ длинапароля должна быть не менее 8 символов;
¨ вчисле символов пароля обязательно должны присутствовать буквы в верхнем инижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.);
¨ парольне должен включать в себя легко вычисляемые сочетания символов (имена, фамилии,наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER ит.п.);
¨ присмене пароля новое значение должно отличаться от предыдущего не менее чем в 6позициях;
¨ личныйпароль пользователь не имеет права сообщать никому.
3. Приналичии в случае возникновении нештатных ситуаций, форс-мажорных обстоятельстви т.п. технологической необходимости использования имен и паролей некоторыхсотрудников (исполнителей) в их отсутствие, такие сотрудники обязаны сразу жепосле смены своих паролей их новые значения (вместе с именами соответствующихучетных записей) в запечатанном конверте или опечатанном пенале передавать нахранение ответственному за информационную безопасность подразделения(руководителю своего подразделения). Опечатанные конверты (пеналы) с паролямиисполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов)должны применяться личные печати владельцев паролей (при их наличии уисполнителей).
4. Полнаяплановая смена паролей пользователей должна проводиться регулярно, не режеодного раза в 40 дней.
5. Внеплановаясмена личного пароля или удаление учетной записи пользователяавтоматизированной системы в случае прекращения его полномочий (увольнение,переход на другую работу и т.п.) должна производиться уполномоченнымисотрудниками ИТЦ – администраторами соответствующих средств защиты немедленнопосле окончания последнего сеанса работы данного пользователя с системой.
6. Вслучае компрометации личного пароля пользователя автоматизированной системыдолжны быть немедленно предприняты меры в соответствии с п. 5 настоящейИнструкции.
7. Хранениесотрудником (исполнителем) значений своих паролей на бумажном носителе допускаетсятолько в личном, опечатанном владельцем пароля сейфе, либо в сейфе уответственного за информационную безопасность или руководителя подразделения вопечатанном личной печатью пенале (возможно вместе с персональными ключевымидискетами и идентификатором Touch Memory).
3. ПОРЯДОКОБРАЩЕНИЯ С ИНФОРМАЦИЕЙ ПОДЛЕЖАЩЕЙ ЗАЩИТЕ
НастоящийПорядок разработан с целью соблюдения надлежащих правил обращения с несодержащими государственной тайны конфиденциальными и другими защищаемымисведениями, а также защиты прав и интересов ОРГАНИЗАЦИИ, ее клиентов икорреспондентов в случае неправомерного обращения с защищаемой информацией.
ОРГАНИЗАЦИЯ,как собственник (владелец) информации, принимает меры по защите банковскойтайны, персональных данных, служебной тайны, своей коммерческой тайны и другойинформации в соответствии с предоставленными ему действующим законодательствомправами и обязанностями.
К категориямконфиденциальных относятся сведения, удовлетворяющие следующим критериям:
¨ онине являются общеизвестными или общедоступными на законных основаниях;
¨ монопольноеобладание этими сведениями даёт ОРГАНИЗАЦИИ коммерческие преимущества,экономическую и иную выгоду и разглашение или открытое использование которыхможет привести к нанесению ущерба (материального, морального, физического)ОРГАНИЗАЦИИ, его клиентам или корреспондентам (коммерческая тайна);
¨ вотношении которых ОРГАНИЗАЦИЯ обязана обеспечить реализацию необходимых мерзащиты (банковская тайна, персональные данные, служебная тайна);
¨ этисведения не защищены действующим законодательством (авторским, патентным правоми т.п.).
3. Подбанковской тайной понимаются сведения об операциях, счетах и вкладах, а такжесведения о клиентах и корреспондентах Банка, подлежащие обязательной защитесогласно ст. 26 Закона РФ «О банках и банковских деятельности» и ст. 857Гражданского кодекса.
Под служебнойтайной понимаются сведения, не являющиеся банковской тайной, и подлежащиеобязательной защите согласно «Перечня сведений ограниченного распространения вОРГАНИЗАЦИИ», введенного Приказом № __ от __.__.__г.
Подкоммерческой тайной ОРГАНИЗАЦИИ понимаются сведения, связанные с производством,технологией, управлением, финансами и другой деятельностью ОРГАНИЗАЦИИ,разглашение (передача, утечка, открытое использование) которых может привести кнанесению ущерба ОРГАНИЗАЦИИ, ее клиентам или корреспондентам.
Подперсональными данными понимаются сведения о фактах, событиях и обстоятельствахчастной жизни граждан, позволяющие идентифицировать их личность.
4. Переченьсведений (информационных ресурсов), составляющих банковскую тайну определяетсяв соответствии с Законом РФ «О банках и банковских деятельности».
5. Переченьсведений (информационных ресурсов), составляющих коммерческую тайнуОРГАНИЗАЦИИ, неправильное обращение с которыми может нанести ущерб ихсобственнику, владельцу или иному лицу, определяется руководством ОРГАНИЗАЦИИна основании предоставленных действующим законодательством прав.
6. Указанныеперечни оформляются в виде “Перечня информационных ресурсов, подлежащих защите”(Приложение 4 к Положению об определении требований к защите (категорировании)ресурсов).
Кромеконфиденциальной информации в данный «Перечень ...» включается информация,подлежащая защите в силу того, что нарушение ее целостности (искажение, фальсификация)или доступности (уничтожение, блокирование) может привести к нанесениюощутимого ущерба ОРГАНИЗАЦИИ, ее клиентам или корреспондентам.
7.ОРГАНИЗАЦИЯ, как собственник (владелец) информации, составляющей коммерческуютайну ОРГАНИЗАЦИИ, имеет право передавать и продавать ее другим юридическим ифизическим лицам в качестве товара при условии, что данная сделка непротиворечит обязательствам ОРГАНИЗАЦИИ, не ущемляет права и не наносит вредсамому ОРГАНИЗАЦИИ, его сотрудникам, клиентам или корреспондентам.
Раскрытиеюридическим или физическим лицам коммерческой тайны ОРГАНИЗАЦИИ возможно вслучае привлечения их к совместной хозяйственной, финансовой и инойдеятельности, требующей передачи конфиденциальных сведений, и только в томобъеме, который необходим для реализации целей и задач ОРГАНИЗАЦИИ, а также приусловии принятия ими на себя обязательств по неразглашению и исключениюнеправомерного использования полученных сведений.
Правопринятия решения на передачу (предоставление) конфиденциальных сведений третьимлицам предоставлено только Руководителю ОРГАНИЗАЦИИ.
Конфиденциальныесведения других юридических или физических лиц, переданные ОРГАНИЗАЦИИ длявыполнения работ или осуществления иной совместной деятельности, и в отношениикоторых ОРГАНИЗАЦИЯ взяла на себя обязательство о неразглашении и исключениинеправомерного их использования, подлежат защите наравне с другими сведениями,составляющими коммерческую тайну ОРГАНИЗАЦИИ.
Всяинформация, предоставляемая раскрывающей стороной получающей стороне, остаетсяисключительной собственностью раскрывающей стороны.
Информация несчитается коммерческой тайной, а получающая ее сторона не будет иметь никакихобязательств в отношении данной информации, если она:
¨ сталаизвестна получающей стороне в результате неправильного обращения или храненияраскрывающей стороной;
¨ сталаизвестна получающей стороне от третьих лиц;
¨ независиморазработана получающей стороной, при условии, что лицо или лица, разработавшиеее, не имели доступа к конфиденциальной информации раскрывающей стороны.
Передачасведений, составляющих банковскую тайну, осуществляется в строгом соответствии сдействующим законодательством.
8. Каждыйсотрудник ОРГАНИЗАЦИИ обязан сохранять банковскую, служебную и коммерческуютайну и соблюдать требования обращения с защищаемой информацией, ставшей емуизвестной (или доступной для манипулирования) в процессе работы. Своиобязательства по сохранению коммерческой тайны ОРГАНИЗАЦИИ он подтверждает призаключении трудового договора (контракта), подписывая “Соглашение(обязательство) о соблюдении требований обращения с защищаемой информацией”.
Каждыйсотрудник обязан знать и выполнять требования настоящего документа и приниматьмеры по предотвращению несанкционированной утечки (разглашения), искажения,блокирования или уничтожения используемой им в работе информации, подлежащейзащите в соответствии с “Перечнем ...”.
В случаеотсутствия, по мнению исполнителя, в “Перечне...” тех или иных подлежащихзащите сведений, он обязан в кратчайший срок через руководителя своегоструктурного подразделения представить в отдел технической защиты информацииУправления безопасности и защиты информации ОРГАНИЗАЦИИ свои предложения овнесении в “Перечень...” необходимых дополнений (изменений) и принятия мер позащите соответствующих информационных ресурсов.
9.Ответственными за принятие необходимых организационных и технических мербезопасности и соблюдение сотрудниками ОРГАНИЗАЦИИ требований обращения сзащищаемой информацией являются Управления безопасности и защиты информацииОРГАНИЗАЦИИ (отдел технической защиты информации) и руководители структурныхподразделений ОРГАНИЗАЦИИ (в соответствии с закреплением ответственностиподразделений в “Перечне сведений...”)
10. Порядокучета, хранения и уничтожения документов и магнитных носителей информации.
Вподразделениях ОРГАНИЗАЦИИ учет документов и магнитных носителей с защищаемойинформацией осуществляется лицами (далее — делопроизводителями), которымпоручен прием и учет несекретной документации.
Надокументах, содержащих сведения ограниченного распространения, проставляется пометка“Для служебного пользования”. Указанная пометка и номер экземплярапроставляются в правом верхнем углу первой страницы документа. Использоватьдругие ограничительные пометки или грифы (“Конфиденциально”, “Банковская тайна”и т.п.) запрещается.
Отнесениеконкретных документов к документам «ДСП» производится исполнителем(разработчиком) и/или лицом, подписывающим (утверждающим) документ на основании“Перечня ...”.
Документы спометкой “Для служебного пользования”:
¨ учитываются,как правило, отдельно от несекретной информации. При незначительном объеметаких документов разрешается вести их учет совместно с другими несекретнымидокументами. К регистрационному номеру (индексу) документа добавляется отметка“ДСП”;
¨ напоследнем листе (на оборотной стороне) должно быть указано количествоэкземпляров, фамилия исполнителя, номер его телефона и дата печати.Отпечатанные и подписанные документы вместе с черновиками и вариантамипередаются для делопроизводства. Черновики и варианты уничтожаются секретарем сотражением факта уничтожения в учетных формах. Недописанные по каким-либопричинам проекты документов уничтожаются лично исполнителем;
¨ послерегистрации передаются сотрудникам подразделений под расписку;
¨ пересылаютсясторонним организациям заказными почтовыми отправлениями, а при наличиисоответствующего договора через органы фельдсвязи или спецсвязи;
¨ размножаются(тиражируются) с разрешения начальника подразделения. Разрешение оформляется напоследнем листе (на оборотной стороне) размножаемого документа. Учетразмноженных документов осуществляется поэкземплярно;
¨ хранятсяв надежно запираемых и опечатываемых шкафах (ящиках, хранилищах).
Требованияпунктов настоящего Порядка распространяется и на съемные машинные носителиинформации, содержащие сведения ограниченного распространения. Используемые длязаписи защищаемой информации носители должны быть учтены у делопроизводителейподразделений ОРГАНИЗАЦИИ. На магнитном носителе проставляются регистрационный номер,пометка “Для служебного пользования”, дата и роспись работника, отвечающего заучет носителей.
Принеобходимости направления документов с пометкой “Для служебного пользования” внесколько адресов составляется указатель рассылки, в котором поадресно проставляютсяномера экземпляров отправляемых документов. Указатель рассылки подписываетсяисполнителем и руководителем подразделения, готовившего документ.
Исполненныедокументы с пометкой “Для служебного пользования” группируются в дела всоответствии с номенклатурой дел несекретного делопроизводства. На обложкедела, в которое помещены такие документы, также проставляется пометка “Дляслужебного пользования”.
Уничтожениедел, документов, машинных носителей с пометкой “Для служебного пользования”,утративших свое практическое значение и не имеющих исторической ценности,производится по акту. В учетных формах об этом делается отметка со ссылкой насоответствующий акт.
Передачадокументов и дел с пометкой “Для служебного пользования” от одного работникадругому осуществляется с разрешения руководителя подразделения, с отметкой всоответствующих журналах учета.
При сменеработника, ответственного за учет документов с пометкой “Для служебногопользования”, составляется акт приема-сдачи этих документов, который утверждаетсяначальником управления.
Проверканаличия документов, магнитных носителей информации и дел с пометкой “Дляслужебного пользования” проводится один раз в год комиссией, назначаемойначальником управления. Результаты проверки оформляются актом. Проверка наличиядокументов и порядка обращения с ними при необходимости может проводитьсясоответствующими сотрудниками Управления безопасности и защиты информации, атакже лицом, которому поручен прием и учет документации ограниченногораспространения.
В случаеневыполнения требований настоящего документа и нанесения Банку, его клиентам икорреспондентам материального или иного ущерба, к получающей стороне(сотруднику, организации) предъявляются требования о его возмещении всоответствии с действующим законодательством.
Заразглашение (несанкционированную передачу третьим лицам и т.п.) сведений,содержащих персональные данные или составляющих коммерческую или банковскуютайну должностные лица (сотрудники), клиенты и корреспонденты ОРГАНИЗАЦИИ несутуголовную (ст. 183 УК РФ), гражданскую (ст. 139, 857 ГК РФ) или дисциплинарнуюответственность в порядке, определяемом действующим законодательством ивнутренними нормативными актами ОРГАНИЗАЦИИ.
Получающаясторона несет ответственность за:
¨ разглашениеконфиденциальных сведений (составляющих банковскую тайну, коммерческую тайнуили персональных данных) вследствие их неправильного хранения илииспользования;
¨ непресечение разглашения или неправомерного использования конфиденциальныхсведений, после обнаружения факта разглашения.
Занеправомерный доступ к компьютерной информации, создание, использование илираспространение вредоносных программ, а также нарушение правил эксплуатацииЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированнойсистемы обработки информации), уничтожение, блокирование или модификациязащищаемой ОРГАНИЗАЦИЕЙ информации, сотрудники ОРГАНИЗАЦИИ несутответственность в соответствии со статьями 272, 273 и 274 Уголовного кодексаРоссийской Федерации.
4. ПЛАНОБЕСПЕЧЕНИЯ НЕПРИРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящий документ определяет основные меры, методы исредства сохранения (поддержания) работоспособности АС при возникновенииразличных кризисных ситуаций, а также способы и средства восстановления информациии процессов ее обработки в случае нарушения работоспособности АС и ее основныхкомпонентов. Кроме того, он описывает действия различных категорий персоналасистемы в кризисных ситуациях по ликвидации их последствий и минимизациинаносимого ущерба.
1.2. Классификация кризисных ситуаций. Ситуация, возникающая врезультате нежелательного воздействия на АС, не предотвращенного средствамизащиты, называется кризисной. Кризисная ситуация может возникнуть в результатезлого умысла или случайно (в результате непреднамеренных действий, аварий,стихийных бедствий и т.п.).
Под умышленным нападением понимается кризисная ситуация, котораявозникла в результате выполнения злоумышленниками в определенные моментывремени заранее обдуманных и спланированных действий.
Под случайной (непреднамеренной) кризисной ситуацией понимаетсятакая кризисная ситуация, которая не была результатом заранее обдуманныхдействий и возникновение которой явилось результатом, объективных причинслучайного характера, халатности, небрежности или случайного стеченияобстоятельств.
По степени серьезности и размерам наносимого ущерба кризисныеситуации разделяются на следующие категории:
Угрожающая — приводящая к полному выходу АС из строя и еенеспособности выполнять далее свои функции, а также к уничтожению,блокированию, неправомерной модификации или компрометации наиболее важнойинформации;
Серьезная — приводящая к выходу из строя отдельных компонентовсистемы (частичной потере работоспособности), потере производительности, атакже к нарушению целостности и конфиденциальности программ и данных врезультате несанкционированного доступа.
Ситуации, возникающие в результате нежелательных воздействий, ненаносящих ощутимого ущерба, но тем не менее требующие внимания и адекватнойреакции (например, зафиксированные неудачные попытки проникновения илинесанкционированного доступа к ресурсам системы) к критическим не относятся.Действия в случае возникновения таких ситуаций предусмотрены Планом защиты (вобязанностях персонала отдела защиты информации).
1.3. Источники информации о возникновении кризисной ситуации:
¨ пользователи, обнаружившие несоответствия Плану защиты или другиеподозрительные изменения в работе или конфигурации системы или средств еезащиты в своей зоне ответственности;
¨ средства защиты, обнаружившие предусмотренную планом защитыкризисную ситуацию;
¨ системные журналы, в которых имеются записи, свидетельствующие овозникновении или возможности возникновения кризисной ситуации. 2. МЕРЫ ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯАВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
2.1. Непрерывность процесса функционирования АС и своевременностьвосстановления ее работоспособности достигается:
¨ проведением специальных организационных мероприятий и разработкойорганизационно-распорядительных документов по вопросам обеспечения НРВвычислительного процесса;
¨ строгой регламентацией процесса обработки информации с применениемЭВМ и действий персонала системы, в том числе в кризисных ситуациях;
¨ назначением и подготовкой должностных лиц, отвечающих заорганизацию и осуществление практических мероприятий по обеспечению НРВинформации и вычислительного процесса;
¨ четким знанием и строгим соблюдением всеми должностными лицами,использующими средства вычислительной техники АС, требований руководящихдокументов по обеспечению НРВ;
¨ применением различных способов резервирования аппаратных ресурсов,эталонного копирования программных и страхового копирования информационныхресурсов системы;
¨ эффективным контролем за соблюдением требований по обеспечению НРВдолжностными лицами и ответственным;
¨ постоянным поддержанием необходимого уровня защищенностикомпонентов системы, непрерывным управлением и административной поддержкойкорректного применения средств защиты;
¨ проведением постоянного анализа эффективности принятых мер иприменяемых способов и средств обеспечения НРВ, разработкой и реализациейпредложений по их совершенствованию. 3. ОБЩИЕ ТРЕБОВАНИЯ
Все пользователи, работа которых может быть нарушена в результатевозникновения угрожающей или серьезной кризисной ситуации, должны немедленнооповещаться. Дальнейшие действия по устранению причин нарушенияработоспособности АС, возобновлению обработки и восстановлению поврежденных(утраченных) ресурсов определяются функциональными обязанностями персонала ипользователей системы.
Каждая кризисная ситуация должна анализироваться администрациейбезопасности и по результатам этого анализа должны вырабатываться предложенияпо изменению полномочий пользователей, атрибутов доступа к ресурсам, созданиюдополнительных резервов, изменению конфигурации системы или параметровнастройки средств защиты и т.п.
Серьезная и угрожающая кризисная ситуация могут требоватьоперативной замены и ремонта вышедшего из строя оборудования, а такжевосстановления поврежденных программ и наборов данных из резервных копий.
Оперативное восстановление программ (используя эталонные копии) иданных (используя страховые копии) в случае их уничтожения или порчи всерьезной или угрожающей кризисной ситуации обеспечивается резервным(страховым) копированием и внешним (по отношению к основным компонентамсистемы) хранением копий.
Резервному копированию подлежат все программы и данные,обеспечивающие работоспособность системы и выполнение ею своих задач (системноеи прикладное программное обеспечение, базы данных и другие наборы данных), атакже архивы, журналы транзакций, системные журналы и т. д.
Все программные средства, используемые в системе должны иметьэталонные (дистрибутивные) копии. Их местонахождение и сведения об ответственныхза их создание, хранение и использование должны быть указаны в формулярах накаждую ПЭВМ (рабочую станцию). Там же должны быть указаны перечни наборовданных, подлежащих страховому копированию, периодичность копирования, местохранения и ответственные за создание, хранение и использование страховых копийданных.
Необходимые действия персонала по созданию, хранению ииспользованию резервных копий программ и данных должны быть отражены вфункциональных обязанностях соответствующих категорий персонала.
Каждый носитель, содержащий резервную копию, должен иметь метку,содержащую данные о классе, ценности, назначении хранимой информации,ответственном за создание, хранение и использование, дату последнегокопирования, место хранения и др.
Дублирующие аппаратные ресурсы предназначены для обеспеченияработоспособности системы в случае выхода из строя всех или отдельныхаппаратных компонентов в результате угрожающей кризисной ситуации. Количество ихарактеристики дублирующих ресурсов должны обеспечивать выполнение основныхзадач системой в любой из предусмотренной планом ОНРВ кризисной ситуации.
Ликвидация последствий угрожающей или серьезной кризисной ситуацииподразумевает, возможно, более полное восстановление программных, аппаратных,информационных и других поврежденных компонентов системы. Для восстановленияиспользуются средства, перечисленные в Приложении 2.
В случае возникновения любой кризисной ситуации должнопроизводиться расследование причин ее возникновения, оценка причиненногоущерба, определение виновных и принятие соответствующих мер.
Расследование кризисной ситуации производится группой, назначаемойруководством учреждения. Возглавляет группу администратор безопасности. Выводыгруппы докладываются непосредственно руководству учреждения.
Если причиной угрожающей или серьезной кризисной ситуации явилисьнедостаточно жесткие меры защиты и контроля, а ущерб превысил установленныйуровень, то такая ситуация является основанием для полного пересмотра Планазащиты и Плана обеспечения непрерывной работы и восстановления. 4. ПОРЯДОК ПЕРЕСМОТРА ПЛАНА
4.1. План ОНРВ подлежит полному пересмотру в следующих случаях:
¨ при изменении перечня решаемых задач, конфигурации технических ипрограммных средств АС, приводящих к изменению технологии обработки информации;
¨ при изменении приоритетов в значимости угроз безопасности АС.
4.2. План ОНРВ подлежит частичному пересмотру в следующих случаях:
¨ при изменении конфигурации, добавлении или удалении программных итехнических средств в АС, не изменяющих технологию обработки информации;
¨ при изменении конфигурации используемых программных и техническихсредств;
¨ при изменении состава, обязанностей и полномочий пользователейсистемы.
4.3. Профилактический пересмотр Плана ОНРВ производится не реже 1раза в год и имеет целью проверку достаточности определенных данным планом мерреальным условиям применения АС и существующим требованиям.
4.4. В случае частичного пересмотра могут быть добавлены, удаленыили изменены различные приложения к плану с обязательным указанием данных отом, кто санкционировал, кто, когда и с какой целью внес изменения.
4.5. Вносимые в план изменения не должны противоречить другимположениям Плана ОНРВ и Плана защиты и должны быть проверены на корректность,полноту и реальную выполнимость.
4.6. Пересмотр Плана ОНРВ должен осуществляться специальнойкомиссией, состав которой утверждается руководством _________________.
Включение представителей службы безопасности (главногоадминистратора безопасности) в состав комиссии по пересмотру Плана ОНРВобязательно. 5. ОТВЕТСТВЕННЫЕ ЗА РЕАЛИЗАЦИЮ ПЛАНА
5.1. Ответственным за реализацию данного документа назначается
ЛИСТ регистрации измененийДата Содержание вносимого изменения Кем санкционировано изменение (каким документом) Подпись лица, произведшего изменения
Кризисные ситуации, предусмотренные планом обеспечения непрерывнойработы и восстановления.
1. К угрожающим кризисным ситуациям относятся:
¨ нарушение подачи электроэнергии в здании;
¨ выход из строя файлового сервера (с потерей информации);
¨ выход из строя файлового сервера (без потери информации);
¨ частичная потеря информации на сервере без потери егоработоспособности;
¨ выход из строя локальной сети (физической среды передачи данных);
2. К серьезным кризисным ситуациям относятся:
¨ выход из строя рабочей станции (с потерей информации);
¨ выход из строя рабочей станции (без потери информации);
¨ частичная потеря информации на рабочей станции без потери ееработоспособности;
3. К ситуациям, требующим внимания относятся:
¨ несанкционированные действия, заблокированные средствами защиты изафиксированные средствами регистрации.
Средства обеспечения непрерывной работы и восстановления
1. Резервному копированию (РК) подлежит следующая информация:
¨ системные программы и наборы данных — невозобновляемому(однократному, эталонному) РК;
¨ прикладное программное обеспечение и наборы данных — невозобновляемому РК;
¨ наборы данных, генерируемые в течение операционного дня исодержащие ценную информацию (журналы транзакций, системный журнал и т.д.) — периодическому возобновляемому РК.
Резервному копированию в Системе подлежат следующие программные иинформационные ресурсы (Таблица 1):
Таблица1Наименование нформационного ресурса Где размещается ресурс в системе Вид резервного копирования (период возобно-вляемого копирования) Ответственный за резервное копирование и порядок создания резервной копии (испо-льзуемые технические средства)
Где хранится
резервная копия (ответственный, его телефон) Порядок использования резервной копии (кто, в каких случаях)
Ответственность за своевременность и правильность осуществлениярезервного копирования и хранение копий несет (кто, какую).
Резервные копии хранятся (где, в каких условиях, быстрый или удаленныйдоступ и т.д.).
Безопасность резервных копий обеспечивается:
¨ хранением резервных копий вне системы (в других помещениях, надругой территории);
¨ соблюдением мер физической защиты резервных копий;
¨ строгой регламентацией порядка использования резервных копий.
Дублированию (резервированию) в Системе подлежат следующиетехнические средства (Таблица 2):
Таблица 2Наименование дублируемого (резер-вируемого) технического средства Где размещается данное средство в системе Вид резерва (групповой или индивидуальный, холодный или горячий), время готовности резерва Ответственный за готовность резервного средства (период проверки работоспособности резервного средства) Порядок использования (включения, настройки) резерва (для различных кризисных ситуаций) Где хранится резервное средство (ответственный, его телефон)
Дублирование ресурсов и резервное копирование обеспечиваютвосстановление основных функций системы в течение… (конкретный срок) длякризисных ситуаций различных степеней тяжести (1 операционного дня в случаеугрожающей или серьезной кризисной ситуации, без останова системы в случаеобычной кризисной ситуации).
Обязанности и действия персонала по обеспечению непрерывной работыи восстановлению системы
Действия персонала в кризисной ситуации зависят от степени еетяжести.
1. В случае возникновения ситуации требующей внимания администраторбезопасности (под)системы должен провести ее анализ (расследование)собственными силами. О факте систематического возникновения таких ситуации ипринятых мерах необходимо ставить в известность руководство подразделения.
2. В случае возникновения угрожающей или серьезной критическойситуации действия персонала включают следующие этапы:
¨ немедленная реакция;
¨ частичное восстановление работоспособности и возобновлениеобработки;
¨ полное восстановление системы и возобновление обработки в полномобъеме;
¨ расследование причин кризисной ситуации и установление виновных.
3. Этапы включают следующие действия:
3.1. В качестве немедленной реакции:
¨ обнаруживший факт возникновения кризисной ситуации оператор обязаннемедленно оповестить об этом администратора безопасности;
¨ администратор должен поставить в известность операторов всехсмежных (под)систем о факте возникновения кризисной ситуации для их перехода нааварийный режим работы (приостановку работы);
¨ вызвать ответственных системного программиста и системногоинженера;
¨ определить степень серьезности и масштабы кризисной ситуации,размеры и область поражения;
¨ оповестить персонал взаимодействующих подсистем о характерекризисной ситуации и ориентировочном времени возобновления обработки.
Ответственными за этот этап являются оператор (под)системы иадминистратор безопасности.
3.2. При частичном восстановлении работоспособности (минимальнонеобходимой для возобновления работы системы в целом, возможно с потерейпроизводительности) и возобновлении обработки:
¨ отключить пораженные компоненты или переключиться на использованиедублирующих ресурсов (горячего резерва);
¨ если не произошло повреждения программ и данных, возобновитьобработку и оповестить об этом персонал взаимодействующих (под)систем.
¨ восстановить работоспособность поврежденных критичных аппаратныхсредств и другого оборудования, при необходимости произвести замену отказавшихузлов и блоков резервными;
¨ восстановить поврежденное критичное программное обеспечение,используя эталонные (страховые) копии;
¨ восстановить необходимые данные, используя страховые копии;
¨ проверить работоспособность поврежденной подсистемы,удостовериться в том, что последствия кризисной ситуации не оказываютвоздействия на дальнейшую работу системы;
¨ уведомить операторов смежных (под)систем о готовности к работе.
Затем необходимо внести все изменения данных за время с моментасоздания последней страховой копии (за текущий период, операционный день), длячего должен осуществляться «докат» на основании информации изжурналов транзакций либо все связанные с поврежденной (под)системойпользователи должны повторить действия выполненные в течение последнего периода(дня).
Ответственным за этот этап является администратор безопасности(под)системы, системный программист и системный инженер.
3.3. Для полного восстановления в период неактивности системы:
¨ восстановить работоспособность всех поврежденных аппаратныхсредств, при необходимости произвести замену отказавших узлов и блоковрезервными;
¨ восстановить и настроить все поврежденные программы, используяэталонные (страховые) копии;
¨ восстановить все поврежденные данные, используя страховые копии ижурналы транзакций;
¨ настроить средства защиты подсистемы в соответствии с планомзащиты;
¨ о результатах восстановления уведомить администратора системы(базы данных).
Ответственными за этот этап являются администратор безопасности(под)системы, системный программист и системный инженер.
3.4. Далее необходимо провести расследование причин возникновениякризисной ситуации. Для этого необходимо ответить на вопросы:
¨ случайная или преднамеренная кризисная ситуация?
¨ учитывалась ли возможность ее возникновения в Плане защиты и Планеобеспечения непрерывной работы и восстановления?
¨ можно ли было ее предусмотреть?
¨ вызвана ли она слабостью средств защиты и регистрации?
¨ превысил ли ущерб от нее установленный уровень?
¨ есть ли невосполнимый ущерб и велик ли он?
¨ это первая кризисная ситуация такого рода?
¨ есть ли возможность точно определить круг подозреваемых?
¨ есть ли возможность точно установить виновника?
¨ в чем причина кризисной ситуации?
¨ достаточно ли имеющегося резерва ?
¨ есть ли необходимость пересмотра плана защиты?
¨ есть ли необходимость пересмотра плана обеспечения непрерывнойработы и восстановления?
Ответственным за расследование является администратор безопасности(под)системы. Отчет о результатах расследования и предложениях посовершенствованию системы необходимо направить администратору системы (базыданных) и руководству организации.
Обязанности системного инженера по обеспечению НРВ
В обязанности инженерного состава входит:
¨ поддержание аппаратных средств и другого оборудования, включаярезервное (дублирующее), в рабочем состоянии и их периодическая проверка;
¨ восстановление функций аппаратных средств и другого оборудования вслучае отказов;
¨ оперативная замена дефектных узлов резервными в случае отказов;
¨ подготовка и оперативное включение резервных аппаратных средств идругого оборудования в случае серьезной кризисной ситуации.
5. СОГЛАШЕНИЕО НЕРАЗГЛАШЕНИИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИДОГОВОР № __
(оконфиденциальности и неразглашении информации)
г.Москва " "_________ 200_ г. _______________, именуемое в дальнейшем“Раскрывающая сторона”, ____________, действующего на основании______, с однойстороны и ________, в лице ___________, действующего на основании_______________,именуемый в дальнейшем “Получающая сторона”, с другой стороны, а вместе и далеепо тексту — Стороны, заключили настоящий договор, именуемый в дальнейшем“Договор” о нижеследующем:
1. Предмет Договора
1. СогласноСоглашению о научно-техническом сотрудничестве №________ и в рамках проведенныхпредварительных переговоров и консультаций, Раскрывающая сторона предполагаетвозможность, по мере необходимости и по своему усмотрению, передаватьПолучающей стороне определенную информацию, которую считает конфиденциальнойили секретом фирмы и которая касается аспектов деятельности фирмы, котороеявляется неотъемлемой частью договора.
2. Кнастоящему Договору, конфиденциальной информацией следует считать информацию,представленную Раскрывающей стороной Получающей стороне в письменном,электронном или ином виде и относящаяся к предмету коммерческой и инойдеятельности или техническим возможностям Раскрывающей стороны, а также кизделиям, услугам, фактическим или аналитическим данным, заключениям и материалам,включая, но не ограничиваясь, заметками, документацией и переписками, которые всоответствии с действующим законодательством РФ не может быть отнесена ккоммерческой или служебной тайне.
2. Обязательства сторон
Стороныподтверждают понимание важности вопроса и соглашаются принять на себя следующиеобязательства:
2.1.В течение 10 лет с даты заключения Договора Получающая сторона не будетразглашать никакой информации, полученной ею от Раскрывающей стороны,являющейся секретом фирмы или конфиденциальной, какому-либо другому лицу,предприятию, организации, фирме и не будет использовать эту информацию длясвоей собственной выгоды, за исключением цели, определенной сторонами письменнов явном виде.
2.2.Получающая сторона будет соблюдать такую же высокую степень секретности воизбежание разглашения или использования этой информации, какую Получающаясторона соблюдала бы в разумной степени в отношении своей собственнойконфиденциальной или являющейся секретом фирмы информации такой же степениважности.
3. Особые условия
3.1.Любая информация, либо не определенная подпунктом 1.2. настоящего Договора, нопередача которой оформлена в письменном виде и отнесена обеими сторонами кДоговору, считается конфиденциальной или секретом фирмы.
3.2.Информация не будет считаться конфиденциальной или секретом фирмы и Получающаясторона не будет иметь никаких обязательств в отношении данной информации, еслиона удовлетворяет одному из следующих пунктов:
3.2.1.Уже известна Получающей стороне.
3.2.2.Является или становится публично известной в результате неправильного,небрежного или намеренного действия Раскрывающей стороны.
3.2.3.Легально получена от третьей стороны без ограничения и без нарушения Договора.
3.2.4.Представлена третьей стороне Раскрывающей стороной без аналогичного ограниченияна права третьей стороны.
3.2.5.Самостоятельно разработана Получающей стороной, при условии, что ни Получающаясторона лично, ни лица, при участии которых она была разработана не имелидоступа к конфиденциальной или являющейся секретом фирмы информации.
3.2.6.Разрешена к выпуску письменным разрешением Раскрывающей стороны.
3.2.7.Раскрыта правительству по требованию правительственного органа и Получающаясторона прилагает максимальные усилия, чтобы добиться обращения с этой информациейкак с конфиденциальной или являющейся секретом фирмы, либо если раскрытиятребует Закон.
3.3.Получающая сторона назначает указанное ниже лицо своим Ответственным заСекретность для получения по ее поручению всей конфиденциальной или являющейсясекретом фирмы информации согласно договору. Получающая сторона может сменитьсвоего Ответственного за Секретность в 30-дневный срок после назначения.
3.4.Вся информация, выдаваемая Раскрывающей стороной Получающей стороне вкакой-либо форме согласно Договору, будет и останется исключительнойсобственностью Раскрывающей стороны, и данные и любые их копии должнынемедленно возвращаться Раскрывающей стороне по письменному требованию илиуничтожаться по усмотрению Раскрывающей стороны.
3.5.Все материальные носители на которых написана конфиденциальная информация,переданные принимающей стороне в соответствии с настоящим договором, а такжеснятые с них копии, технические и программные средства являются собственностьюРаскрывающей стороны и подлежат возврату Получающей стороной в соответствии суказаниями Раскрывающей стороны.
4. Ответственность
4.1.Получающая сторона будет ответственна за:
4.1.1.Неумышленное разглашение или использование конфиденциальной информации, еслиона не соблюдает столь же высокой степени осторожности, какую бы она соблюдалав разумных пределах в отношении своей собственной конфиденциальной илиявляющейся секретом фирмы информации аналогичной важности и, — послеобнаружения неумышленного разглашения или использования этой информации, она непытается прекратить ее неумышленное разглашение или использование.
4.1.2.Несанкционированное разглашение или использование конфиденциальной илиявляющейся секретом фирмы информации лицами, которые работают или работали нанее по найму, если ей не удается охранять эту информацию с такой же высокойстепенью тщательности, какую бы она соблюдала в разумных пределах в отношениисвоей собственной конфиденциальной или являющейся секретом фирмы информациианалогичной важности.
4.2.В случае причинения убытков в результате разглашения конфиденциальнойинформации Получающей стороной в нарушение настоящего Договора последняяобязана возместить причиненные Получающей стороне убытки в полном объеме.
4.3.Также в случае причинения существенного ущерба Получающей стороне в результатенарушения Договора Раскрывающей стороной, последняя несет ответственность всоответствии с действующим законодательством РФ.
5. Прочие условия
5.1.Ни одна из сторон не будет разглашать факт существования Договора безпредварительного согласия другой стороны.
5.2.Договор не может быть поручен или передан Получающей стороной третьей стороне всилу Закона или смены руководства. Любая попытка третьей стороны получитьдоговор от Получающей стороны без предварительного письменного соглашения Раскрывающейстороны будет недействительной. Если третья сторона возбудит судебный иск илидругое юридическое действие на предмет раскрытия какой-либо конфиденциальнойинформации, Получающая сторона немедленно уведомит Раскрывающую сторону иобеспечит ей помощь, какую Раскрывающая сторона потребует для предотвращенияразглашения.
НастоящийДоговор подлежит юрисдикции и толкованию в соответствии с законами РФ.
5.3.Выигравшая сторона в любом иске или судебном разбирательстве между сторонами,вытекающим из настоящего Договора или связанных с ним, будет иметь право навозмещение в разумных пределах гонораров ее адвокатам и издержек, понесенных всвязи с любым таким иском или судебным разбирательством.
5.4.В случае реорганизации Получающей стороны все права и обязанности по настоящемуДоговору переходят к ее правопреемнику. Кроме того лица, в силу должностныхобязанностей имеющие доступ к секретной информации, но не ставшие сотрудникамиправопреемника, продолжают нести обязанности по сохранению информации в секретев соответствии с условиями настоящего Договора.
5.5.В случае ликвидации Получающей стороны обязанности по настоящему договору несеткаждое лицо, которое в силу своих должностных обязанностей получало информацию,отнесенную настоящим Договором к конфиденциальной или являющейся секретомфирмы.
5.6.Все устные договоренности, закрепленные на каком-либо материальном носителе, понастоящему Договору имеют силу. Договор может быть видоизменен или дополнен вписьменной форме, подписанной обеими сторонами.
5.7.Любые разногласия и споры по настоящему договору Стороны будут решать путемпереговоров. В случае не достижения соглашения, спор передается на разрешение вАрбитражный суд г. Москвы.
5.8.Настоящий Договор вступает в силу с момента его подписания.
8.Юридические адреса и подписи сторон:
ОтРаскрывающей стороны От получающей стороны
Вслучае изменения юридического адреса, расчетного счета или обслуживающего банкастороны обязаны в 10-дневный срок уведомить об этом друг друга.
Перечень сведений, которые Раскрывающая сторона считаетконфиденциальной.
¨ Формы,методы и средства коммерческой деятельности.
¨ Бизнес-планы,бизнес технологии, бизнес-процессы и коммерческие операции.
¨ Информацияпо маркетингу.
¨ Информация,указанная в технической документации по разработкам.
¨ Описаниепроцесса изготовления изделия.
¨ Схемысоставных частей и компоновочные схемы.
¨ Необходимыерасходные материалы и фурнитура.
¨ План–графиквыполнения работ.
¨ Наличиеи содержание договоров и соглашений с юридическими и физическими лицами, атакже их проектов.
¨ Информацияпо заказчикам.
¨ Данныепо ценам на продукцию (услуги).
¨ Объёмыпродаж (поставок) продукции (услуг).
¨ Банковскиевклады.
¨ Сведенияпо рекламе продукции (услуг).
¨ Количественный,поимённый состав и анкетные данные сотрудников, занимаемые ими должности.
¨ Служебные,финансовые и товарно-транспортные документы и их копии на любых носителях.
¨ Лицензионнаяи патентная информация, “ноу-хау”.
¨ Информацияпо разрабатываемым проектам, используемая для разработки оборудования ипроектной документации.
¨ Компьютерныепрограммы.
¨ Системаи средства защиты информации.
¨ Атакже другая информация, которая может быть передана получающей стороне вовремя проведения испытаний на ее территории, презентаций, осуществлениясовместных проектов и совместной деятельности, иная информация, признаваемаяконфиденциальной по законодательству Российской Федерации.
СПИСОКЛИТЕРАТУРЫ
1. МинаевВ. А. Безопасность электронного бизнеса. — М.: Гелиос АРВ, 2002.
2. РассоловМ. М. Информационное право. — М.: Юристъ, 2006.
3. ГорбатовА. С., Фатьянов А. А. Правовые основы защиты информации.- М.: МИФИ, 2006.
4. БарсуковВ. С., Водолазкий В. В. Современные технологии безопасности. — М.: Нолидж, 2005.
5. ПартыкаТ. Л., Попов И. И. Информационная безопасность. — М.: ИНФРА-М, 2004.