Общие принципы обеспечения информационной безопасности

6.1.1. Цель - своевременность обнаружения проблем, потенциально способных повлиять на работоспособность АС и ПТУ.

6.1.2. Оценка степени влияния выявленных проблем на работоспособность АС и ПТУ.

6.1.3. Адекватность защитных мер, (выбор защитных мер, адекватных моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и возможных потерь от выполнения угроз).

6.1.4. Эффективность защитных мер.

6.1.5. Контролируемость защитных мер, (применение только тех мер, правильность работы которых может быть проверена).

6.1.6. Обеспечение непрерывности реализации принципов безопасного функционирования.

 

Требования к системе ИБ

6.2.1. Требования к системе ИБ формируются для следующих областей:

- защиты от НСД, управления доступом и регистрацией всех действий в АС, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;

- обеспечение ИБ на стадиях жизненного цикла АС;

- использования СКЗИ;

- антивирусной защиты;

- использования ресурсов сети Интернет;

- Обеспечение доверия к персоналу.

 

6.2.2. Назначение и распределение ролей, обеспечение доверия к персоналу.

6.2.2.1. Необходимо обладать информацией о своих сотрудниках, тщательно подбирать персонал, что создает доверительную среду для деятельности ПТУ.

6.2.2.2. Должны быть определены работы, связанные с деятельностью по обеспечению ИБ. Руководство ПТУ осуществляет координацию своевременности и качества выполнения работ, связанных с обеспечением ИБ.

6.2.1.5. Все сотрудники ПТУ должны давать письменное обязательство о соблюдении конфиденциальности информации. При взаимодействии с третьими лицами требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договоры с ними.

 

6.2.3.Обеспечение ИБ на стадиях жизненного цикла АС.

ИБ АС должна обеспечиваться на всех стадиях жизненного цикла АС.

6.2.3.1. Ввод в действие, эксплуатация и сопровождение, снятие с эксплуатации АС осуществляются под контролем службы ИБ.

6.2.3.2. На стадии снятия с эксплуатации должны быть документально определены и выполняться процедуры, обеспечивающие удаление информации, несанкционированное использование которой может нанести ущерб деятельности ПТУ.

 

6.2.4. Антивирусная защита.

6.2.4.1. На всех РС пользователей должны устанавливаться лицензионные средства антивирусной защиты.

6.2.4.2. Обновления антивирусных баз производится ежедневно.

6.2.4.3. Производится постоянный антивирусный контроль программ и файлов данных на рабочих станциях пользователей.

6.2.4.4.Сотрудники службы информационной безопасности должны регулярно проводить аудит сообщений антивирусных средств.

 

6.2.5.Защита от НСД, управление доступом.

6.2.5.1. Должен быть документально определен перечень информационных ресурсов. Права доступа сотрудников к данным ресурсам должны быть документально зафиксированы.

6.2.5.2. должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации, управления доступом, контроля целостности, регистрации событий и действий. Результаты контроля процедур должны документироваться.

6.2.5.3. Работа всех пользователей АС осуществляется под уникальными учетными записями.

 

6.2.5. Использование сети Интернет.

Сеть Интернет используется ПТУ для:

- обмена электронными сообщениями, (почтовыми);

- в образовательных целях;

- ведения дистанционного обслуживания;

 

6.2.6. Использование СКЗИ.

6.2.6.1. СКЗИ должны быть сертифицированы уполномоченным государственным органом, либо реализованы на основе рекомендованных уполномоченным государственным органом алгоритмов.

6.2.6.2. СКЗИ используются АС ПТУ для:

- обмена информацией с прочими организациями;

- обмена информацией с министерством образованием России;