Конфиденциальная информация
Конфиденциальная информация
СОДЕРЖАНИЕ 1. Инструкция по организации антивирусной защиты 2. Инструкция по организации парольной защиты 3. Порядок обращения с информацией подлежащей защите 4. План обеспечения непрерывной работы и восстановления 5. Соглашение о неразглашении конфиденциальной информации Список литературы ЛАБОРАТОРНАЯ РАБОТА 4 ИНСРУКЦИЯ ПО ОРГАНИЗАЦИИ АНТИВИРУСНОЙ ЗАЩИТЫ Общие положения 1. Настоящая Политика определяет правила, которыми должны руководствоваться сотрудники при организации антивирусной защиты. 2. Целью защиты от вирусов и других вредоносных программ является предотвращение ущерба от действий, производимыми данными программами. Область применения Положения настоящей Политики распространяются на все работы, связанные с обеспечением антивирусной защиты, а так же на всех сотрудников, которым предоставлен доступ к информационным ресурсам. Правила использования средств антивирусной защиты 1. К использованию допускаются только лицензионные антивирусные средства, закупленные у поставщиков указанных средств. 2. Установка и настройка параметров средств антивирусного контроля на рабочих станциях и серверах КВС осуществляется уполномоченными сотрудниками отдела обслуживания вычислительной техники. 3. Обновление антивирусных средств должно происходить в автоматическом режиме. Допускается работа антивируса с обновлениями не старше 72 часов. 4. Антивирусный контроль всех дисков и файлов рабочих станций должен проводиться еженедельно. 5. На каждой рабочей станции и сервере в резидентном режиме должен быть запущен антивирусный монитор. 6. Обязательному антивирусному контролю подлежит любая информация, получаемая по телекоммуникационным каналам связи и на съемных носителях. 7. Устанавливаемое программное обеспечение должно быть предварительно проверено на наличие вирусов. 8. Каждый пользователь КВС должен быть осведомлен об опасности заражения вирусами и обучен работе с антивирусным ПО. Обязанности по обучению пользователей по использованию антивирусного ПО возлагаются на администратора ЛВС. Ответственность Ответственность за организацию антивирусного контроля в подразделении возлагается на руководителя подразделения. Ответственность за проведение мероприятий антивирусного контроля в подразделении возлагается на ответственного за обеспечение безопасности информации в подразделении и всех сотрудников подразделения, являющихся пользователями АС. За нарушение положений данной Политики сотрудники могут быть отстранены от доступа к ресурсам КВС и несут ответственность в соответствии с законодательством РФ. 2. ИНСТРУКЦИЯ ПО ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ Данная инструкция регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в локальной сети ФГОУ ВПО Костромской ГСХА далее ЛС, а также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями. 1. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей во всех подсистемах ЛС и контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями возлагается на сотрудников ИТЦ - администраторов средств защиты, содержащих механизмы идентификации и аутентификации (подтверждения подлинности) пользователей по значениям паролей. 2. Личные пароли должны генерироваться и распределяться централизованно либо выбираться пользователями автоматизированной системы самостоятельно с учетом следующих требований: Ё длина пароля должна быть не менее 8 символов; Ё в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.); Ё пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.); Ё при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях; Ё личный пароль пользователь не имеет права сообщать никому. 3. При наличии в случае возникновении нештатных ситуаций, форс-мажорных обстоятельств и т.п. технологической необходимости использования имен и паролей некоторых сотрудников (исполнителей) в их отсутствие, такие сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте или опечатанном пенале передавать на хранение ответственному за информационную безопасность подразделения (руководителю своего подразделения). Опечатанные конверты (пеналы) с паролями исполнителей должны храниться в сейфе. Для опечатывания конвертов (пеналов) должны применяться личные печати владельцев паролей (при их наличии у исполнителей). 4. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в 40 дней. 5. Внеплановая смена личного пароля или удаление учетной записи пользователя автоматизированной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться уполномоченными сотрудниками ИТЦ - администраторами соответствующих средств защиты немедленно после окончания последнего сеанса работы данного пользователя с системой. 6. В случае компрометации личного пароля пользователя автоматизированной системы должны быть немедленно предприняты меры в соответствии с п. 5 настоящей Инструкции. 7. Хранение сотрудником (исполнителем) значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе, либо в сейфе у ответственного за информационную безопасность или руководителя подразделения в опечатанном личной печатью пенале (возможно вместе с персональными ключевыми дискетами и идентификатором Touch Memory). 3. ПОРЯДОК ОБРАЩЕНИЯ С ИНФОРМАЦИЕЙ ПОДЛЕЖАЩЕЙ ЗАЩИТЕ Настоящий Порядок разработан с целью соблюдения надлежащих правил обращения с не содержащими государственной тайны конфиденциальными и другими защищаемыми сведениями, а также защиты прав и интересов ОРГАНИЗАЦИИ, ее клиентов и корреспондентов в случае неправомерного обращения с защищаемой информацией. ОРГАНИЗАЦИЯ, как собственник (владелец) информации, принимает меры по защите банковской тайны, персональных данных, служебной тайны, своей коммерческой тайны и другой информации в соответствии с предоставленными ему действующим законодательством правами и обязанностями. К категориям конфиденциальных относятся сведения, удовлетворяющие следующим критериям: Ё они не являются общеизвестными или общедоступными на законных основаниях; Ё монопольное обладание этими сведениями даёт ОРГАНИЗАЦИИ коммерческие преимущества, экономическую и иную выгоду и разглашение или открытое использование которых может привести к нанесению ущерба (материального, морального, физического) ОРГАНИЗАЦИИ, его клиентам или корреспондентам (коммерческая тайна); Ё в отношении которых ОРГАНИЗАЦИЯ обязана обеспечить реализацию необходимых мер защиты (банковская тайна, персональные данные, служебная тайна); Ё эти сведения не защищены действующим законодательством (авторским, патентным правом и т.п.). 3. Под банковской тайной понимаются сведения об операциях, счетах и вкладах, а также сведения о клиентах и корреспондентах Банка, подлежащие обязательной защите согласно ст. 26 Закона РФ «О банках и банковских деятельности» и ст. 857 Гражданского кодекса. Под служебной тайной понимаются сведения, не являющиеся банковской тайной, и подлежащие обязательной защите согласно «Перечня сведений ограниченного распространения в ОРГАНИЗАЦИИ», введенного Приказом № __ от __.__.__г. Под коммерческой тайной ОРГАНИЗАЦИИ понимаются сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью ОРГАНИЗАЦИИ, разглашение (передача, утечка, открытое использование) которых может привести к нанесению ущерба ОРГАНИЗАЦИИ, ее клиентам или корреспондентам. Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах частной жизни граждан, позволяющие идентифицировать их личность. 4. Перечень сведений (информационных ресурсов), составляющих банковскую тайну определяется в соответствии с Законом РФ «О банках и банковских деятельности». 5. Перечень сведений (информационных ресурсов), составляющих коммерческую тайну ОРГАНИЗАЦИИ, неправильное обращение с которыми может нанести ущерб их собственнику, владельцу или иному лицу, определяется руководством ОРГАНИЗАЦИИ на основании предоставленных действующим законодательством прав. 6. Указанные перечни оформляются в виде “Перечня информационных ресурсов, подлежащих защите” (Приложение 4 к Положению об определении требований к защите (категорировании) ресурсов). Кроме конфиденциальной информации в данный «Перечень ...» включается информация, подлежащая защите в силу того, что нарушение ее целостности (искажение, фальсификация) или доступности (уничтожение, блокирование) может привести к нанесению ощутимого ущерба ОРГАНИЗАЦИИ, ее клиентам или корреспондентам. 7. ОРГАНИЗАЦИЯ, как собственник (владелец) информации, составляющей коммерческую тайну ОРГАНИЗАЦИИ, имеет право передавать и продавать ее другим юридическим и физическим лицам в качестве товара при условии, что данная сделка не противоречит обязательствам ОРГАНИЗАЦИИ, не ущемляет права и не наносит вред самому ОРГАНИЗАЦИИ, его сотрудникам, клиентам или корреспондентам. Раскрытие юридическим или физическим лицам коммерческой тайны ОРГАНИЗАЦИИ возможно в случае привлечения их к совместной хозяйственной, финансовой и иной деятельности, требующей передачи конфиденциальных сведений, и только в том объеме, который необходим для реализации целей и задач ОРГАНИЗАЦИИ, а также при условии принятия ими на себя обязательств по неразглашению и исключению неправомерного использования полученных сведений. Право принятия решения на передачу (предоставление) конфиденциальных сведений третьим лицам предоставлено только Руководителю ОРГАНИЗАЦИИ. Конфиденциальные сведения других юридических или физических лиц, переданные ОРГАНИЗАЦИИ для выполнения работ или осуществления иной совместной деятельности, и в отношении которых ОРГАНИЗАЦИЯ взяла на себя обязательство о неразглашении и исключении неправомерного их использования, подлежат защите наравне с другими сведениями, составляющими коммерческую тайну ОРГАНИЗАЦИИ. Вся информация, предоставляемая раскрывающей стороной получающей стороне, остается исключительной собственностью раскрывающей стороны. Информация не считается коммерческой тайной, а получающая ее сторона не будет иметь никаких обязательств в отношении данной информации, если она: Ё стала известна получающей стороне в результате неправильного обращения или хранения раскрывающей стороной; Ё стала известна получающей стороне от третьих лиц; Ё независимо разработана получающей стороной, при условии, что лицо или лица, разработавшие ее, не имели доступа к конфиденциальной информации раскрывающей стороны. Передача сведений, составляющих банковскую тайну, осуществляется в строгом соответствии с действующим законодательством. 8. Каждый сотрудник ОРГАНИЗАЦИИ обязан сохранять банковскую, служебную и коммерческую тайну и соблюдать требования обращения с защищаемой информацией, ставшей ему известной (или доступной для манипулирования) в процессе работы. Свои обязательства по сохранению коммерческой тайны ОРГАНИЗАЦИИ он подтверждает при заключении трудового договора (контракта), подписывая “Соглашение (обязательство) о соблюдении требований обращения с защищаемой информацией”. Каждый сотрудник обязан знать и выполнять требования настоящего документа и принимать меры по предотвращению несанкционированной утечки (разглашения), искажения, блокирования или уничтожения используемой им в работе информации, подлежащей защите в соответствии с “Перечнем ...”. В случае отсутствия, по мнению исполнителя, в “Перечне...” тех или иных подлежащих защите сведений, он обязан в кратчайший срок через руководителя своего структурного подразделения представить в отдел технической защиты информации Управления безопасности и защиты информации ОРГАНИЗАЦИИ свои предложения о внесении в “Перечень...” необходимых дополнений (изменений) и принятия мер по защите соответствующих информационных ресурсов. 9. Ответственными за принятие необходимых организационных и технических мер безопасности и соблюдение сотрудниками ОРГАНИЗАЦИИ требований обращения с защищаемой информацией являются Управления безопасности и защиты информации ОРГАНИЗАЦИИ (отдел технической защиты информации) и руководители структурных подразделений ОРГАНИЗАЦИИ (в соответствии с закреплением ответственности подразделений в “Перечне сведений...”) 10. Порядок учета, хранения и уничтожения документов и магнитных носителей информации. В подразделениях ОРГАНИЗАЦИИ учет документов и магнитных носителей с защищаемой информацией осуществляется лицами (далее - делопроизводителями), которым поручен прием и учет несекретной документации. На документах, содержащих сведения ограниченного распространения, проставляется пометка “Для служебного пользования”. Указанная пометка и номер экземпляра проставляются в правом верхнем углу первой страницы документа. Использовать другие ограничительные пометки или грифы (“Конфиденциально”, “Банковская тайна” и т.п.) запрещается. Отнесение конкретных документов к документам «ДСП» производится исполнителем (разработчиком) и/или лицом, подписывающим (утверждающим) документ на основании “Перечня ...”. Документы с пометкой “Для служебного пользования”: Ё учитываются, как правило, отдельно от несекретной информации. При незначительном объеме таких документов разрешается вести их учет совместно с другими несекретными документами. К регистрационному номеру (индексу) документа добавляется отметка “ДСП”; Ё на последнем листе (на оборотной стороне) должно быть указано количество экземпляров, фамилия исполнителя, номер его телефона и дата печати. Отпечатанные и подписанные документы вместе с черновиками и вариантами передаются для делопроизводства. Черновики и варианты уничтожаются секретарем с отражением факта уничтожения в учетных формах. Недописанные по каким-либо причинам проекты документов уничтожаются лично исполнителем; Ё после регистрации передаются сотрудникам подразделений под расписку; Ё пересылаются сторонним организациям заказными почтовыми отправлениями, а при наличии соответствующего договора через органы фельдсвязи или спецсвязи; Ё размножаются (тиражируются) с разрешения начальника подразделения. Разрешение оформляется на последнем листе (на оборотной стороне) размножаемого документа. Учет размноженных документов осуществляется поэкземплярно; Ё хранятся в надежно запираемых и опечатываемых шкафах (ящиках, хранилищах). Требования пунктов настоящего Порядка распространяется и на съемные машинные носители информации, содержащие сведения ограниченного распространения. Используемые для записи защищаемой информации носители должны быть учтены у делопроизводителей подразделений ОРГАНИЗАЦИИ. На магнитном носителе проставляются регистрационный номер, пометка “Для служебного пользования”, дата и роспись работника, отвечающего за учет носителей. При необходимости направления документов с пометкой “Для служебного пользования” в несколько адресов составляется указатель рассылки, в котором поадресно проставляются номера экземпляров отправляемых документов. Указатель рассылки подписывается исполнителем и руководителем подразделения, готовившего документ. Исполненные документы с пометкой “Для служебного пользования” группируются в дела в соответствии с номенклатурой дел несекретного делопроизводства. На обложке дела, в которое помещены такие документы, также проставляется пометка “Для служебного пользования”. Уничтожение дел, документов, машинных носителей с пометкой “Для служебного пользования”, утративших свое практическое значение и не имеющих исторической ценности, производится по акту. В учетных формах об этом делается отметка со ссылкой на соответствующий акт. Передача документов и дел с пометкой “Для служебного пользования” от одного работника другому осуществляется с разрешения руководителя подразделения, с отметкой в соответствующих журналах учета. При смене работника, ответственного за учет документов с пометкой “Для служебного пользования”, составляется акт приема-сдачи этих документов, который утверждается начальником управления. Проверка наличия документов, магнитных носителей информации и дел с пометкой “Для служебного пользования” проводится один раз в год комиссией, назначаемой начальником управления. Результаты проверки оформляются актом. Проверка наличия документов и порядка обращения с ними при необходимости может проводиться соответствующими сотрудниками Управления безопасности и защиты информации, а также лицом, которому поручен прием и учет документации ограниченного распространения. В случае невыполнения требований настоящего документа и нанесения Банку, его клиентам и корреспондентам материального или иного ущерба, к получающей стороне (сотруднику, организации) предъявляются требования о его возмещении в соответствии с действующим законодательством. За разглашение (несанкционированную передачу третьим лицам и т.п.) сведений, содержащих персональные данные или составляющих коммерческую или банковскую тайну должностные лица (сотрудники), клиенты и корреспонденты ОРГАНИЗАЦИИ несут уголовную (ст. 183 УК РФ), гражданскую (ст. 139, 857 ГК РФ) или дисциплинарную ответственность в порядке, определяемом действующим законодательством и внутренними нормативными актами ОРГАНИЗАЦИИ. Получающая сторона несет ответственность за: Ё разглашение конфиденциальных сведений (составляющих банковскую тайну, коммерческую тайну или персональных данных) вследствие их неправильного хранения или использования; Ё не пресечение разглашения или неправомерного использования конфиденциальных сведений, после обнаружения факта разглашения. За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой ОРГАНИЗАЦИЕЙ информации, сотрудники ОРГАНИЗАЦИИ несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации. 4. ПЛАН ОБЕСПЕЧЕНИЯ НЕПРИРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ 1. ОБЩИЕ ПОЛОЖЕНИЯ1.1. Настоящий документ определяет основные меры, методы и средства сохранения (поддержания) работоспособности АС при возникновении различных кризисных ситуаций, а также способы и средства восстановления информации и процессов ее обработки в случае нарушения работоспособности АС и ее основных компонентов. Кроме того, он описывает действия различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий и минимизации наносимого ущерба. 1.2. Классификация кризисных ситуаций. Ситуация, возникающая в результате нежелательного воздействия на АС, не предотвращенного средствами защиты, называется кризисной. Кризисная ситуация может возникнуть в результате злого умысла или случайно (в результате непреднамеренных действий, аварий, стихийных бедствий и т.п.). Под умышленным нападением понимается кризисная ситуация, которая возникла в результате выполнения злоумышленниками в определенные моменты времени заранее обдуманных и спланированных действий. Под случайной (непреднамеренной) кризисной ситуацией понимается такая кризисная ситуация, которая не была результатом заранее обдуманных действий и возникновение которой явилось результатом, объективных причин случайного характера, халатности, небрежности или случайного стечения обстоятельств. По степени серьезности и размерам наносимого ущерба кризисные ситуации разделяются на следующие категории: Угрожающая - приводящая к полному выходу АС из строя и ее неспособности выполнять далее свои функции, а также к уничтожению, блокированию, неправомерной модификации или компрометации наиболее важной информации; Серьезная - приводящая к выходу из строя отдельных компонентов системы (частичной потере работоспособности), потере производительности, а также к нарушению целостности и конфиденциальности программ и данных в результате несанкционированного доступа. Ситуации, возникающие в результате нежелательных воздействий, не наносящих ощутимого ущерба, но тем не менее требующие внимания и адекватной реакции (например, зафиксированные неудачные попытки проникновения или несанкционированного доступа к ресурсам системы) к критическим не относятся. Действия в случае возникновения таких ситуаций предусмотрены Планом защиты (в обязанностях персонала отдела защиты информации). 1.3. Источники информации о возникновении кризисной ситуации: Ё пользователи, обнаружившие несоответствия Плану защиты или другие подозрительные изменения в работе или конфигурации системы или средств ее защиты в своей зоне ответственности; Ё средства защиты, обнаружившие предусмотренную планом защиты кризисную ситуацию; Ё системные журналы, в которых имеются записи, свидетельствующие о возникновении или возможности возникновения кризисной ситуации. 2. МЕРЫ ОБЕСПЕЧЕНИЯ НЕПРЕРЫВНОЙ РАБОТЫ И ВОССТАНОВЛЕНИЯ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ2.1. Непрерывность процесса функционирования АС и своевременность восстановления ее работоспособности достигается: Ё проведением специальных организационных мероприятий и разработкой организационно-распорядительных документов по вопросам обеспечения НРВ вычислительного процесса; Ё строгой регламентацией процесса обработки информации с применением ЭВМ и действий персонала системы, в том числе в кризисных ситуациях; Ё назначением и подготовкой должностных лиц, отвечающих за организацию и осуществление практических мероприятий по обеспечению НРВ информации и вычислительного процесса; Ё четким знанием и строгим соблюдением всеми должностными лицами, использующими средства вычислительной техники АС, требований руководящих документов по обеспечению НРВ; Ё применением различных способов резервирования аппаратных ресурсов, эталонного копирования программных и страхового копирования информационных ресурсов системы; Ё эффективным контролем за соблюдением требований по обеспечению НРВ должностными лицами и ответственным; Ё постоянным поддержанием необходимого уровня защищенности компонентов системы, непрерывным управлением и административной поддержкой корректного применения средств защиты; Ё проведением постоянного анализа эффективности принятых мер и применяемых способов и средств обеспечения НРВ, разработкой и реализацией предложений по их совершенствованию. 3. ОБЩИЕ ТРЕБОВАНИЯВсе пользователи, работа которых может быть нарушена в результате возникновения угрожающей или серьезной кризисной ситуации, должны немедленно оповещаться. Дальнейшие действия по устранению причин нарушения работоспособности АС, возобновлению обработки и восстановлению поврежденных (утраченных) ресурсов определяются функциональными обязанностями персонала и пользователей системы. Каждая кризисная ситуация должна анализироваться администрацией безопасности и по результатам этого анализа должны вырабатываться предложения по изменению полномочий пользователей, атрибутов доступа к ресурсам, созданию дополнительных резервов, изменению конфигурации системы или параметров настройки средств защиты и т.п. Серьезная и угрожающая кризисная ситуация могут требовать оперативной замены и ремонта вышедшего из строя оборудования, а также восстановления поврежденных программ и наборов данных из резервных копий. Оперативное восстановление программ (используя эталонные копии) и данных (используя страховые копии) в случае их уничтожения или порчи в серьезной или угрожающей кризисной ситуации обеспечивается резервным (страховым) копированием и внешним (по отношению к основным компонентам системы) хранением копий. Резервному копированию подлежат все программы и данные, обеспечивающие работоспособность системы и выполнение ею своих задач (системное и прикладное программное обеспечение, базы данных и другие наборы данных), а также архивы, журналы транзакций, системные журналы и т. д. Все программные средства, используемые в системе должны иметь эталонные (дистрибутивные) копии. Их местонахождение и сведения об ответственных за их создание, хранение и использование должны быть указаны в формулярах на каждую ПЭВМ (рабочую станцию). Там же должны быть указаны перечни наборов данных, подлежащих страховому копированию, периодичность копирования, место хранения и ответственные за создание, хранение и использование страховых копий данных. Необходимые действия персонала по созданию, хранению и использованию резервных копий программ и данных должны быть отражены в функциональных обязанностях соответствующих категорий персонала. Каждый носитель, содержащий резервную копию, должен иметь метку, содержащую данные о классе, ценности, назначении хранимой информации, ответственном за создание, хранение и использование, дату последнего копирования, место хранения и др. Дублирующие аппаратные ресурсы предназначены для обеспечения работоспособности системы в случае выхода из строя всех или отдельных аппаратных компонентов в результате угрожающей кризисной ситуации. Количество и характеристики дублирующих ресурсов должны обеспечивать выполнение основных задач системой в любой из предусмотренной планом ОНРВ кризисной ситуации. Ликвидация последствий угрожающей или серьезной кризисной ситуации подразумевает, возможно, более полное восстановление программных, аппаратных, информационных и других поврежденных компонентов системы. Для восстановления используются средства, перечисленные в Приложении 2. В случае возникновения любой кризисной ситуации должно производиться расследование причин ее возникновения, оценка причиненного ущерба, определение виновных и принятие соответствующих мер. Расследование кризисной ситуации производится группой, назначаемой руководством учреждения. Возглавляет группу администратор безопасности. Выводы группы докладываются непосредственно руководству учреждения. Если причиной угрожающей или серьезной кризисной ситуации явились недостаточно жесткие меры защиты и контроля, а ущерб превысил установленный уровень, то такая ситуация является основанием для полного пересмотра Плана защиты и Плана обеспечения непрерывной работы и восстановления. 4. ПОРЯДОК ПЕРЕСМОТРА ПЛАНА4.1. План ОНРВ подлежит полному пересмотру в следующих случаях: Ё при изменении перечня решаемых задач, конфигурации технических и программных средств АС, приводящих к изменению технологии обработки информации; Ё при изменении приоритетов в значимости угроз безопасности АС. 4.2. План ОНРВ подлежит частичному пересмотру в следующих случаях: Ё при изменении конфигурации, добавлении или удалении программных и технических средств в АС, не изменяющих технологию обработки информации; Ё при изменении конфигурации используемых программных и технических средств; Ё при изменении состава, обязанностей и полномочий пользователей системы. 4.3. Профилактический пересмотр Плана ОНРВ производится не реже 1 раза в год и имеет целью проверку достаточности определенных данным планом мер реальным условиям применения АС и существующим требованиям. 4.4. В случае частичного пересмотра могут быть добавлены, удалены или изменены различные приложения к плану с обязательным указанием данных о том, кто санкционировал, кто, когда и с какой целью внес изменения. 4.5. Вносимые в план изменения не должны противоречить другим положениям Плана ОНРВ и Плана защиты и должны быть проверены на корректность, полноту и реальную выполнимость. 4.6. Пересмотр Плана ОНРВ должен осуществляться специальной комиссией, состав которой утверждается руководством _________________. Включение представителей службы безопасности (главного администратора безопасности) в состав комиссии по пересмотру Плана ОНРВ обязательно. 5. ОТВЕТСТВЕННЫЕ ЗА РЕАЛИЗАЦИЮ ПЛАНА5.1. Ответственным за реализацию данного документа назначается ЛИСТ регистрации изменений |
Дата | Содержание вносимого изменения | Кем санкционировано изменение (каким документом) | Подпись лица, произведшего изменения | | | | | | | | | | | | |
Кризисные ситуации, предусмотренные планом обеспечения непрерывной работы и восстановления. 1. К угрожающим кризисным ситуациям относятся: Ё нарушение подачи электроэнергии в здании; Ё выход из строя файлового сервера (с потерей информации); Ё выход из строя файлового сервера (без потери информации); Ё частичная потеря информации на сервере без потери его работоспособности; Ё выход из строя локальной сети (физической среды передачи данных); 2. К серьезным кризисным ситуациям относятся: Ё выход из строя рабочей станции (с потерей информации); Ё выход из строя рабочей станции (без потери информации); Ё частичная потеря информации на рабочей станции без потери ее работоспособности; 3. К ситуациям, требующим внимания относятся: Ё несанкционированные действия, заблокированные средствами защиты и зафиксированные средствами регистрации. Средства обеспечения непрерывной работы и восстановления 1. Резервному копированию (РК) подлежит следующая информация: Ё системные программы и наборы данных - невозобновляемому (однократному, эталонному) РК; Ё прикладное программное обеспечение и наборы данных - невозобновляемому РК; Ё наборы данных, генерируемые в течение операционного дня и содержащие ценную информацию (журналы транзакций, системный журнал и т.д.) - периодическому возобновляемому РК. Резервному копированию в Системе подлежат следующие программные и информационные ресурсы (Таблица 1): Таблица1 |
Наименование нформационного ресурса | Где размещается ресурс в системе | Вид резервного копирования (период возобно-вляемого копирования) | Ответственный за резервное копирование и порядок создания резервной копии (испо-льзуемые технические средства) | Где хранится резервная копия (ответственный, его телефон) | Порядок использования резервной копии (кто, в каких случаях) | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |
Ответственность за своевременность и правильность осуществления резервного копирования и хранение копий несет (кто, какую). Резервные копии хранятся (где, в каких условиях, быстрый или удаленный доступ и т.д.). Безопасность резервных копий обеспечивается: Ё хранением резервных копий вне системы (в других помещениях, на другой территории); Ё соблюдением мер физической защиты резервных копий; Ё строгой регламентацией порядка использования резервных копий. Дублированию (резервированию) в Системе подлежат следующие технические средства (Таблица 2): Таблица 2 |
Наименование дублируемого (резер-вируемого) технического средства | Где размещается данное средство в системе | Вид резерва (групповой или индивидуальный, холодный или горячий), время готовности резерва | Ответственный за готовность резервного средства (период проверки работоспособности резервного средства) | Порядок использования (включения, настройки) резерва (для различных кризисных ситуаций) | Где хранится резервное средство (ответственный, его телефон) | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | | |
Дублирование ресурсов и резервное копирование обеспечивают восстановление основных функций системы в течение ... (конкретный срок) для кризисных ситуаций различных степеней тяжести (1 операционного дня в случае угрожающей или серьезной кризисной ситуации, без останова системы в случае обычной кризисной ситуации). Обязанности и действия персонала по обеспечению непрерывной работы и восстановлению системы Действия персонала в кризисной ситуации зависят от степени ее тяжести. 1. В случае возникновения ситуации требующей внимания администратор безопасности (под)системы должен провести ее анализ (расследование) собственными силами. О факте систематического возникновения таких ситуации и принятых мерах необходимо ставить в известность руководство подразделения. 2. В случае возникновения угрожающей или серьезной критической ситуации действия персонала включают следующие этапы: Ё немедленная реакция; Ё частичное восстановление работоспособности и возобновление обработки; Ё полное восстановление системы и возобновление обработки в полном объеме; Ё расследование причин кризисной ситуации и установление виновных. 3. Этапы включают следующие действия: 3.1. В качестве немедленной реакции: Ё обнаруживший факт возникновения кризисной ситуации оператор обязан немедленно оповестить об этом администратора безопасности; Ё администратор должен поставить в известность операторов всех смежных (под)систем о факте возникновения кризисной ситуации для их перехода на аварийный режим работы (приостановку работы); Ё вызвать ответственных системного программиста и системного инженера; Ё определить степень серьезности и масштабы кризисной ситуации, размеры и область поражения; Ё оповестить персонал взаимодействующих подсистем о характере кризисной ситуации и ориентировочном времени возобновления обработки. Ответственными за этот этап являются оператор (под)системы и администратор безопасности. 3.2. При частичном восстановлении работоспособности (минимально необходимой для возобновления работы системы в целом, возможно с потерей производительности) и возобновлении обработки: Ё отключить пораженные компоненты или переключиться на использование дублирующих ресурсов (горячего резерва); Ё если не произошло повреждения программ и данных, возобновить обработку и оповестить об этом персонал взаимодействующих (под)систем. Ё восстановить работоспособность поврежденных критичных аппаратных средств и другого оборудования, при необходимости произвести замену отказавших узлов и блоков резервными; Ё восстановить поврежденное критичное программное обеспечение, используя эталонные (страховые) копии; Ё восстановить необходимые данные, используя страховые копии; Ё проверить работоспособность поврежденной подсистемы, удостовериться в том, что последствия кризисной ситуации не оказывают воздействия на дальнейшую работу системы; Ё уведомить операторов смежных (под)систем о готовности к работе. Затем необходимо внести все изменения данных за время с момента создания последней страховой копии (за текущий период, операционный день), для чего должен осуществляться "докат" на основании информации из журналов транзакций либо все связанные с поврежденной (под)системой пользователи должны повторить действия выполненные в течение последнего периода (дня). Ответственным за этот этап является администратор безопасности (под)системы, системный программист и системный инженер. 3.3. Для полного восстановления в период неактивности системы: Ё восстановить работоспособность всех поврежденных аппаратных средств, при необходимости произвести замену отказавших узлов и блоков резервными; Ё восстановить и настроить все поврежденные программы, используя эталонные (страховые) копии; Ё восстановить все поврежденные данные, используя страховые копии и журналы транзакций; Ё настроить средства защиты подсистемы в соответствии с планом защиты; Ё о результатах восстановления уведомить администратора системы (базы данных). Ответственными за этот этап являются администратор безопасности (под)системы, системный программист и системный инженер. 3.4. Далее необходимо провести расследование причин возникновения кризисной ситуации. Для этого необходимо ответить на вопросы: Ё случайная или преднамеренная кризисная ситуация ? Ё учитывалась ли возможность ее возникновения в Плане защиты и Плане обеспечения непрерывной работы и восстановления ? Ё можно ли было ее предусмотреть ? Ё вызвана ли она слабостью средств защиты и регистрации ? Ё превысил ли ущерб от нее установленный уровень ? Ё есть ли невосполнимый ущерб и велик ли он ? Ё это первая кризисная ситуация такого рода ? Ё есть ли возможность точно определить круг подозреваемых? Ё есть ли возможность точно установить виновника ? Ё в чем причина кризисной ситуации ? Ё достаточно ли имеющегося резерва ? Ё есть ли необходимость пересмотра плана защиты ? Ё есть ли необходимость пересмотра плана обеспечения непрерывной работы и восстановления? Ответственным за расследование является администратор безопасности (под)системы. Отчет о результатах расследования и предложениях по совершенствованию системы необходимо направить администратору системы (базы данных) и руководству организации. Обязанности системного инженера по обеспечению НРВ В обязанности инженерного состава входит: Ё поддержание аппаратных средств и другого оборудования, включая резервное (дублирующее), в рабочем состоянии и их периодическая проверка; Ё восстановление функций аппаратных средств и другого оборудования в случае отказов; Ё оперативная замена дефектных узлов резервными в случае отказов; Ё подготовка и оперативное включение резервных аппаратных средств и другого оборудования в случае серьезной кризисной ситуации. 5. СОГЛАШЕНИЕ О НЕРАЗГЛАШЕНИИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ ДОГОВОР № __(о конфиденциальности и неразглашении информации) г. Москва " "_________ 200_ г. _______________, именуемое в дальнейшем “Раскрывающая сторона”, ____________, действующего на основании______, с одной стороны и ________, в лице ___________, действующего на основании_______________, именуемый в дальнейшем “Получающая сторона”, с другой стороны, а вместе и далее по тексту - Стороны, заключили настоящий договор, именуемый в дальнейшем “Договор” о нижеследующем: 1. Предмет Договора 1. Согласно Соглашению о научно-техническом сотрудничестве №________ и в рамках проведенных предварительных переговоров и консультаций, Раскрывающая сторона предполагает возможность, по мере необходимости и по своему усмотрению, передавать Получающей стороне определенную информацию, которую считает конфиденциальной или секретом фирмы и которая касается аспектов деятельности фирмы, которое является неотъемлемой частью договора. 2. К настоящему Договору, конфиденциальной информацией следует считать информацию, представленную Раскрывающей стороной Получающей стороне в письменном, электронном или ином виде и относящаяся к предмету коммерческой и иной деятельности или техническим возможностям Раскрывающей стороны, а также к изделиям, услугам, фактическим или аналитическим данным, заключениям и материалам, включая, но не ограничиваясь, заметками, документацией и переписками, которые в соответствии с действующим законодательством РФ не может быть отнесена к коммерческой или служебной тайне. 2. Обязательства сторон Стороны подтверждают понимание важности вопроса и соглашаются принять на себя следующие обязательства: 2.1. В течение 10 лет с даты заключения Договора Получающая сторона не будет разглашать никакой информации, полученной ею от Раскрывающей стороны, являющейся секретом фирмы или конфиденциальной, какому-либо другому лицу, предприятию, организации, фирме и не будет использовать эту информацию для своей собственной выгоды, за исключением цели, определенной сторонами письменно в явном виде. 2.2. Получающая сторона будет соблюдать такую же высокую степень секретности во избежание разглашения или использования этой информации, какую Получающая сторона соблюдала бы в разумной степени в отношении своей собственной конфиденциальной или являющейся секретом фирмы информации такой же степени важности. 3. Особые условия 3.1. Любая информация, либо не определенная подпунктом 1.2. настоящего Договора, но передача которой оформлена в письменном виде и отнесена обеими сторонами к Договору, считается конфиденциальной или секретом фирмы. 3.2. Информация не будет считаться конфиденциальной или секретом фирмы и Получающая сторона не будет иметь никаких обязательств в отношении данной информации, если она удовлетворяет одному из следующих пунктов: 3.2.1. Уже известна Получающей стороне. 3.2.2. Является или становится публично известной в результате неправильного, небрежного или намеренного действия Раскрывающей стороны. 3.2.3. Легально получена от третьей стороны без ограничения и без нарушения Договора. 3.2.4. Представлена третьей стороне Раскрывающей стороной без аналогичного ограничения на права третьей стороны. 3.2.5. Самостоятельно разработана Получающей стороной, при условии, что ни Получающая сторона лично, ни лица, при участии которых она была разработана не имели доступа к конфиденциальной или являющейся секретом фирмы информации. 3.2.6. Разрешена к выпуску письменным разрешением Раскрывающей стороны. 3.2.7. Раскрыта правительству по требованию правительственного органа и Получающая сторона прилагает максимальные усилия, чтобы добиться обращения с этой информацией как с конфиденциальной или являющейся секретом фирмы, либо если раскрытия требует Закон. 3.3. Получающая сторона назначает указанное ниже лицо своим Ответственным за Секретность для получения по ее поручению всей конфиденциальной или являющейся секретом фирмы информации согласно договору. Получающая сторона может сменить своего Ответственного за Секретность в 30-дневный срок после назначения. 3.4. Вся информация, выдаваемая Раскрывающей стороной Получающей стороне в какой-либо форме согласно Договору, будет и останется исключительной собственностью Раскрывающей стороны, и данные и любые их копии должны немедленно возвращаться Раскрывающей стороне по письменному требованию или уничтожаться по усмотрению Раскрывающей стороны. 3.5. Все материальные носители на которых написана конфиденциальная информация, переданные принимающей стороне в соответствии с настоящим договором, а также снятые с них копии, технические и программные средства являются собственностью Раскрывающей стороны и подлежат возврату Получающей стороной в соответствии с указаниями Раскрывающей стороны. 4. Ответственность 4.1. Получающая сторона будет ответственна за: 4.1.1. Неумышленное разглашение или использование конфиденциальной информации, если она не соблюдает столь же высокой степени осторожности, какую бы она соблюдала в разумных пределах в отношении своей собственной конфиденциальной или являющейся секретом фирмы информации аналогичной важности и, - после обнаружения неумышленного разглашения или использования этой информации, она не пытается прекратить ее неумышленное разглашение или использование. 4.1.2. Несанкционированное разглашение или использование конфиденциальной или являющейся секретом фирмы информации лицами, которые работают или работали на нее по найму, если ей не удается охранять эту информацию с такой же высокой степенью тщательности, какую бы она соблюдала в разумных пределах в отношении своей собственной конфиденциальной или являющейся секретом фирмы информации аналогичной важности. 4.2. В случае причинения убытков в результате разглашения конфиденциальной информации Получающей стороной в нарушение настоящего Договора последняя обязана возместить причиненные Получающей стороне убытки в полном объеме. 4.3. Также в случае причинения существенного ущерба Получающей стороне в результате нарушения Договора Раскрывающей стороной, последняя несет ответственность в соответствии с действующим законодательством РФ. 5. Прочие условия 5.1. Ни одна из сторон не будет разглашать факт существования Договора без предварительного согласия другой стороны. 5.2. Договор не может быть поручен или передан Получающей стороной третьей стороне в силу Закона или смены руководства. Любая попытка третьей стороны получить договор от Получающей стороны без предварительного письменного соглашения Раскрывающей стороны будет недействительной. Если третья сторона возбудит судебный иск или другое юридическое действие на предмет раскрытия какой-либо конфиденциальной информации, Получающая сторона немедленно уведомит Раскрывающую сторону и обеспечит ей помощь, какую Раскрывающая сторона потребует для предотвращения разглашения. Настоящий Договор подлежит юрисдикции и толкованию в соответствии с законами РФ. 5.3. Выигравшая сторона в любом иске или судебном разбирательстве между сторонами, вытекающим из настоящего Договора или связанных с ним, будет иметь право на возмещение в разумных пределах гонораров ее адвокатам и издержек, понесенных в связи с любым таким иском или судебным разбирательством. 5.4. В случае реорганизации Получающей стороны все права и обязанности по настоящему Договору переходят к ее правопреемнику. Кроме того лица, в силу должностных обязанностей имеющие доступ к секретной информации, но не ставшие сотрудниками правопреемника, продолжают нести обязанности по сохранению информации в секрете в соответствии с условиями настоящего Договора. 5.5. В случае ликвидации Получающей стороны обязанности по настоящему договору несет каждое лицо, которое в силу своих должностных обязанностей получало информацию, отнесенную настоящим Договором к конфиденциальной или являющейся секретом фирмы. 5.6. Все устные договоренности, закрепленные на каком-либо материальном носителе, по настоящему Договору имеют силу. Договор может быть видоизменен или дополнен в письменной форме, подписанной обеими сторонами. 5.7. Любые разногласия и споры по настоящему договору Стороны будут решать путем переговоров. В случае не достижения соглашения, спор передается на разрешение в Арбитражный суд г. Москвы. 5.8. Настоящий Договор вступает в силу с момента его подписания. 8. Юридические адреса и подписи сторон: От Раскрывающей стороны От получающей стороны В случае изменения юридического адреса, расчетного счета или обслуживающего банка стороны обязаны в 10-дневный срок уведомить об этом друг друга. Перечень сведений, которые Раскрывающая сторона считает конфиденциальной. Ё Формы, методы и средства коммерческой деятельности. Ё Бизнес-планы, бизнес технологии, бизнес-процессы и коммерческие операции. Ё Информация по маркетингу. Ё Информация, указанная в технической документации по разработкам. Ё Описание процесса изготовления изделия. Ё Схемы составных частей и компоновочные схемы. Ё Необходимые расходные материалы и фурнитура. Ё План-график выполнения работ. Ё Наличие и содержание договоров и соглашений с юридическими и физическими лицами, а также их проектов. Ё Информация по заказчикам. Ё Данные по ценам на продукцию (услуги). Ё Объёмы продаж (поставок) продукции (услуг). Ё Банковские вклады. Ё Сведения по рекламе продукции (услуг). Ё Количественный, поимённый состав и анкетные данные сотрудников, занимаемые ими должности. Ё Служебные, финансовые и товарно-транспортные документы и их копии на любых носителях. Ё Лицензионная и патентная информация, “ноу-хау”. Ё Информация по разрабатываемым проектам, используемая для разработки оборудования и проектной документации. Ё Компьютерные программы. Ё Система и средства защиты информации. Ё А также другая информация, которая может быть передана получающей стороне во время проведения испытаний на ее территории, презентаций, осуществления совместных проектов и совместной деятельности, иная информация, признаваемая конфиденциальной по законодательству Российской Федерации. СПИСОК ЛИТЕРАТУРЫ 1. Минаев В. А. Безопасность электронного бизнеса. - М.: Гелиос АРВ, 2002. 2. Рассолов М. М. Информационное право. - М.: Юристъ, 2006. 3. Горбатов А. С., Фатьянов А. А. Правовые основы защиты информации.- М.: МИФИ, 2006. 4. Барсуков В. С., Водолазкий В. В. Современные технологии безопасности. - М.: Нолидж, 2005. 5. Партыка Т. Л., Попов И. И. Информационная безопасность. - М.: ИНФРА-М, 2004.
|