Заглавная страница Избранные статьи Случайная статья Познавательные статьи Новые добавления Обратная связь КАТЕГОРИИ: АрхеологияБиология Генетика География Информатика История Логика Маркетинг Математика Менеджмент Механика Педагогика Религия Социология Технологии Физика Философия Финансы Химия Экология ТОП 10 на сайте Приготовление дезинфицирующих растворов различной концентрацииТехника нижней прямой подачи мяча. Франко-прусская война (причины и последствия) Организация работы процедурного кабинета Смысловое и механическое запоминание, их место и роль в усвоении знаний Коммуникативные барьеры и пути их преодоления Обработка изделий медицинского назначения многократного применения Образцы текста публицистического стиля Четыре типа изменения баланса Задачи с ответами для Всероссийской олимпиады по праву Мы поможем в написании ваших работ! ЗНАЕТЕ ЛИ ВЫ?
Влияние общества на человека
Приготовление дезинфицирующих растворов различной концентрации Практические работы по географии для 6 класса Организация работы процедурного кабинета Изменения в неживой природе осенью Уборка процедурного кабинета Сольфеджио. Все правила по сольфеджио Балочные системы. Определение реакций опор и моментов защемления |
Информационная характеристика.
В технологическом процессе обработки конфиденциальной информации определены следующие компоненты: - субъекты доступа; - объекты доступа. К субъектам доступа относятся: - служащие, имеющие отношение к процессу функционирования Администрации и которые имеют возможность доступа к её ресурсам; - процедуры (процессы) обработки данных прикладного и системного ПО, а также СУБД, которые получают данные из файлов и баз данных на сервере. К объектам доступа относятся: - информационные ресурсы – отдельные файлы и массивы файлов, поля, записи и таблицы БД, документы, машинные носители информации (НЖМД, НГМД, CD-RW (CD-R) диски), доступ к которым должен регламентироваться правилами разграничения доступа; - элементы системы – средства обработки и передачи информации (технические и программные средства, средства приема, отображения, перемещения информации, машинные накопители и носители на бумажной основе), доступ к которым необходимо регламентировать.
На ПЭВМ пользователей и на сервере установлены операционные системы семейства Microsoft Windows (XP), но система управления пользователями и разграничения доступа к файловым ресурсам не является централизованной (доменная структура отсутствует). Каналы утечки информации. К возможным каналам утечки или нарушения целостности информации можно отнести: - НСД к информации, обрабатываемой на ПЭВМ и на сервере; - НСД к бумажным и машинным носителям информации; - выход из строя технических и программных средств, в т.ч. машинных носителей информации. Нарушение целостности информации возможно как путем физического разрушения носителей информации, так и путем искажения ее с помощью программных средств: - Аварии, стихийные бедствия (пожар, затопление); - Колебания в сети электропитания; - Старение магнитной поверхности носителей информации; - Ошибочное удаление информации пользователем; - Сбои прикладного программного обеспечения. Возможны следующие способы несанкционированного доступа к защищаемым ресурсам АС: - физический доступ к носителям информации (к серверу) и их резервным копиям с целью их хищения; - физический доступ к бумажным носителям информации, с целью их хищения, размножения, фотографирования;
- непосредственный (вне рамок прикладного ПО) доступ к файлам хранилища информации, таблицам БД и исполняемым модулям ПО - удаленно или локально с целью их копирования и дальнейшей установки, а также с целью их уничтожения; - применение нештатных специальных программ, обеспечивающих восстановление удаленных данных с машинных носителей информации; - передача файлов по каналам связи между сотрудниками и за пределы станции с целью предоставления НСД лицам, не имеющим допуска к данной информации в обход штатных средств защиты; - доступ в рамках прикладного ПО локально или удаленно к базам данных и файлам с использованием недокументированных возможностей и режимов работы этого ПО, разработанных и установленных в качестве модификаций, в случае, когда разработчиком ПО является сторонняя организация; - любой доступ к ПО и данным с использованием технологий взлома средств защиты с целью получения или уничтожения данных (в т.ч. компьютерные вирусы); - доступ с использованием чужого идентификатора, а также с чужого рабочего места во время отсутствия пользователя этого АРМ. Модель нарушителя В качестве возможного нарушителя рассматривается субъект, имеющий доступ к работе с программными и техническими средствами. Нарушители классифицируются по уровню возможностей, предоставляемых им всеми доступными средствами (Таблица 1).
Таблица 1.
Фактическая защищенность
Доступ служащих к ресурсам разграничивается штатными средствами ОС. Список служащих, имеющих доступ к ресурсам, документально определен. Доступ ограничивается в соответствии с должностными инструкциями. Документ, определяющий порядок конфиденциального документооборота существует и утвержден. Документально определена технология обработки информации (документ «Описание технологического процесса обработки информации»). На серверах и рабочих станциях применяются операционные системы MS Windows, что позволяет применить сертифицированные средства защиты от НСД. Но также осуществляется обработка информации в СУБД, что практически исключает применение на данных объектах сертифицированных средств защиты от НСД по причине отсутствия таких средств на рынке.
Перечень мер по защите Разработка перечня защищаемой информации - Необходимо переработать перечень сведений конфиденциального характера в плане детализации обрабатываемых данных и отнесении сведений к той или иной степени конфиденциальности. Конфиденциальность информации С целью повышения степени защищенности информации в плане соблюдения конфиденциальности необходимо: - разделить ввод и вывод информации одного грифа на уровне АРМ или пользователей с целью разделения ответственности и усиления контроля за этими этапами технологического процесса; - ограничить (в т.ч. организационно) возможности несанкционированного вывода информации пользователями на внешние носители (дискеты, лазерные накопители CD-RW, USB-Flash) и на печать; - ограничить количество или исключить использование локальных принтеров на АРМ пользователей, назначить ответственных за печать документов на сетевых принтерах; - исключить доступ пользователей к ресурсам АРМ других пользователей, как на запись, так и на чтение, т.е. возможность создания пользователями общих сетевых ресурсов на своих АРМ. Обмен информацией между пользователями осуществлять через общие ресурсы на серверах; - если один служащий относится к нескольким категориям пользователей, то при совмещении обязанностей он должен пользоваться разными идентификаторами. Например, администратор может выполнять работу пользователя, но не имеет права делать это с идентификатором администратора.
Целостность информации С целью повышения степени защищенности информации в плане соблюдения целостности необходимо: - внедрение исправлений и добавлений централизованно распространяемых ведомственных программных средств на АРМ пользователей и на сервер должно осуществляться в виде уже откомпилированных исполняемых модулей и процедур, в состав которых не должны включаться средства отладки.
Состав рабочей документации Для документального определения режимов обработки и защиты информации в состав рабочей (исполнительной) документации по защите конфиденциальной информации необходимо включить следующие документы: · «Описание технологического процесса обработки конфиденциальной информации», в котором отражен порядок проведения всех операций ТП (ввод, вывод, обработка и хранение, резервирование и восстановление, управление доступом); · «Инструкция пользователя», в которой отражены порядок его работы с информацией, права, обязанности и ответственность; · «Инструкции администраторов ОС, БД»; · «Инструкция обслуживающего персонала»; · «Журнал регистрации бумажных носителей информации», в котором учитываются все операции распечатывания документов, графы журнала заполняются исполнителями работ; · «Журнал учета резервного копирования», в котором учитываются все операции резервного копирования и восстановления информации, все графы журнала заполняют администраторы. · Перечень сведение конфиденциального характера Администрации города Миасса. Приложение №4 «Политика безопасности Администрация города Миасса
Политика 19.10.2007 г. № 1__
г. Челябинск
|
||||||||||||||||||||||||||||||||
Последнее изменение этой страницы: 2020-03-14; просмотров: 84; Нарушение авторского права страницы; Мы поможем в написании вашей работы! infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 18.225.149.136 (0.012 с.) |