Розробка ПБ

В видавництві є багато приміщень, які виконують різні обов’язки. Різноманітний персонал, який не може мати доступу до всіх або тих чи інших приміщень інформації чи інформаційного активу.

Тому я вважаю, що на місці узагальненої ПБ, досить ефективною буде мандатна політика бепеки (МПБ).Яка передбачає, що:

· всі суб'єкти й об'єкти повинні бути однозначно ідентифіковані;

· у системі визначено лінійно упорядкований набір міток секретності;

· кожному об'єкту системи надано мітку секретності, яка визначає цінність інформації, що міститься в ньому, його рівень секретності в АС;

· кожному суб'єкту системи надано мітку секретності, яка визначає рівень довіри до нього в АС, максимальне значення мітки секретності об'єктів, до яких суб'єкт має доступ; мітка секретності суб'єкта називається його рівнем доступу.

Основна мета МПБ - запобігання витоку інформації від об'єктів з високим рівнем доступу до об'єктів з низьким рівнем доступу, тобто протидія виникненню в АС інформаційних каналів згори вниз.

Тепер нам необхідно присвоїти мітки секретності кожному об’єкту та суб’єкту видавництва.

Класифікуємо мітки секретності за так:

Відсутність секретності;

Низька ступінь секретності;

Середня ступінь секретності;

Висока ступінь секретності;

Ці види будуть позначатись першими 4 літерами англійського алфавіту, відповідно:

Відсутність секретності – «А»

Низька ступінь секретності – «B»

Середня ступінь секретності – «C»

Висока ступінь секретності – «D»

В таблиці ми присвоємо мітки секретності суб’єктам

Найбільше звернути увагу при встановленні правил потрібно при розробці:

1) фізичної безпеки;

2) комп’ютерної безпеки та безпеки систем збереження даних;

3) безпеки при роботі в Інтернеті;

4) роботі з персоналом

1.) Політика фізичної безпеки видавництва визначає заходи по забезпеченню фізичного захисту організації та її співробітників. Вона включає в себе доступ суб’єктів в приміщення, фізичний доступ до об’єктів, що захищаються .

В даній ситуації буде використана дискреційна ПБ, яка проста в реалізації і буде розмежовувати доступ через введення контрольно-пропускного режиму на територію центру.

2.) Політика комп’ютерної безпеки буде вказувати норми та правила, за якими здійснюється доступ до комп’ютерів та комп’ютерної мережі видавництва. І в цьому випадку буде використана рольова політика безпеки (РПБ), оскільки в РПБ керування доступом здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувачам та їх активацію під час сеансів. Дана політика є досить зрозумілою. Вона забезпечує прості і зрозумілі правила контролю доступу, які легко застосовуються на практиці, а також досить непоганий рівень захисту.

Дана політика буде реалізовуватись через введення імені та паролю, які не повинні розголошуватись.

3.) Політика безпеки при роботі в Інтернеті визначатиме правила доступу працівників лабораторії до мережі Інтернет, доступ до електронної пошти, використання антивірусів, а також міру повноважень при роботі в Інтернеті. Цей випадок аналогічний до попереднього,а саме – політики безпеки при роботі з ПК, задіяна РПБ, за допомогою якою є імена та паролі потрібні для входу в Інтернет.

4) Політика безпеки при роботі з персоналом визначатиме правила встановлені для працівників. Їх нормування згідно законодавства України. Та розробці правил.

Основою цієї політики є загальний інструктаж, який містить основні правила.

Для дотримання правил укладається трудовий договір.

3.8 Загальний інструктаж

Після прийому на роботу працівнику проводиться інструктаж працівником служби безпеки.

1. Проводиться інструктаж з пожежної безпеки та вказують правила поведінки у кімнаті.

2. Детальніше ознайомлення з видом діяльності організації, та з видом робіт працівника. Видача персонального пароля. Поставлення завдань та цілей.

3. Здійснення постійного резервного копіювання.

4. Ознайомлення з видами заборон, що діють у кімнаті

- заборонено фотографувати, знімати на відео, скидуватина мобільний телефон інформацію видавництва;

- говорити по телефоні в робочий час;

- мати при собі носії інформації (диски, флешки);

- виносити з собою якісь документи чи техніку;

- розголошувати таємну інформацію;

- здійснювати навмисні дії, що принесуть шкоду інформаційному активу.

Регулювання дотримання усіх правил на видавництві регулюється законодавством України. Ознайомлення з Законами України «Про інформацію», «Про телекомунікації», «Про захист інформації в інформаційно-телекомунікаційних системах»

Одним з яких є Закон України «Про захист інформації в інформаційно-телекомунікаційних системах»

Стаття 11.Відповідальність за порушення законодавства про
захист інформації в системах

Особи, винні в порушенні законодавства про захист інформації
в системах, несуть відповідальність згідно із законом.

Стаття 12. Умови опрацювання інформації

Інформація, що є власністю держави повинна опрацьовуватись а АС, що має відповідний сертифікат захищеності.

В процесі сертифікації відбувається перевірка розроблених засобів захисту.

Інформація, яка є власністю інших суб’єктів розповсюджується в залежності від бажання цих суб’єктів.

Стаття 20.Забезпечення інформаційних правоволодінь

Фізичні та юридичні та юридичні особи можуть встановлювати взаємозв’язок з іншими АС.

Такі взаємозв’язки повинні виключати можливість несанкціонованого доступу до неї та оберігати державну таємницю.

5. Щороку кращого працівника нагороджується премією.

За правильне виконання роботи, та відсутності помилок, працівники мають можливість брати путівку на відпочинкову базу організації.