Создание общих требований по обеспечению ИБ

Общие требования:

· Каждый сотрудник, в соответствии с трудовым договором, обязан выполнять требования по обеспечению ИБ;

· Каждый сотрудник обязан ознакомиться под роспись со всеми приказами, распоряжениями, а также актуальной информацией, касающимися обеспечения информационной безопасности;

· Персонал ООО «СЦПО» обучается вопросам обеспечения ИБ. Периодически проверяется и оценивается уровень компетентности сотрудников в этих вопросах;

· Управление полномочиями всех пользователей ИС осуществляется на основе ролевого управления;

· Для каждой роли назначаются минимальные полномочия;

· Ни для одной роли не назначаются полномочия единоличного управления всей системой в целом;

· Доступ к информационным ресурсам не предоставляется, если нет производственной необходимости, а также, если у сотрудника сменились обязанности, или он был уволен;

· Периодически для пользователя производится контроль на соответствие его согласованных прав реальным правам;

· Пользователи осуществляют доступ к базам данных только через экранные формы пользователей;

· Доступ к информационным ресурсам ООО «СЦПО» осуществляется только после того, как он авторизуется в системе;

· Обеспечение ИБ предусмотрено на всех этапах жизненного цикла ИС;

· Все изменения, вносимые в ИС, контролируются и документируются;

· Сотрудники должны выполнять требования антивирусной безопасности применительно к внешним носителям и сети Интернет;

· Использование сети Интернет разрешается только в производственных целях;

· Подразделениям ООО «СЦПО» разрешается обмениваться информацией через Интернет, только при наличии защищенного канала передачи данных;

· Минимизируется возможность подключения внешних устройств к рабочим станциям;

2.6 Разработка инструкции по безопасности для ООО «СЦПО»

2.6.1 Описание функций администратора ИС «СЦПО»

На администратора информационной системы возлагаются следующие функции и задачи:

· Инструктаж сотрудников по общим вопросам обеспечения информационной безопасности в соответствии с требованиями по обеспечению безопасности;

· Инструктаж сотрудников по соблюдению правил антивирусной безопасности, порядку обращения с антивирусным ПО и порядку своевременного обновления антивирусных баз;

· Ознакомление сотрудников с перечнем конфиденциальной информации, которая будет доступна им в ходе выполнения функциональных обязанностей;

· Обучение сотрудников предоставлению каталогов файловой системы рабочей станции для совместного доступа с других рабочих станций;

· Обучение сотрудников работе со средствами защиты информации, используемыми в их подразделении;

· Контроль выполнения антивирусных мероприятий;

· Контроль использования сотрудниками на автоматизированных рабочих местах программного обеспечения, соответствующего лицензионному или аттестованного и принятого в эксплуатацию установленным порядком;

· Контроль выполнения сотрудниками правил хранения и использования криптографических ключей и персональных идентификаторов;

· Контроль подключения сотрудниками внешних устройств к рабочим станциям;

· Контроль проведения службой автоматизации профилактических и ремонтных работ.

· Ведение учета информационных ресурсов, доступ к которым предоставляется сотрудникам подразделения;

· Взаимодействие с администратором сервера, при необходимости разблокировать учётную запись пользователя.