«Обязанности сотрудников по обеспечению
информационной безопасности»
Магнитогорск, 2012
Выполнила:студентка 43 группы
факультет информатикиБеляшова Анастасия
ВведениеДолжностные обязанности сотрудников в отношении
обеспечения ИБ определяются в официальной политике предприятия в области ИБ.
В документ необходимо включить информацию о должностных лицах и их обязанностях, отвечающих за проведение в жизнь политики безопасности.
Ключевой элемент политики - доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.
ВведениеКатегории сотрудников, влияющих на состояние ИБ:
Руководители подразделений ответственны за доведение положений политики безопасности до пользователей и за контакты с ними.
Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.
Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.
Обязанности сотрудников по обеспечению ИБ
Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.
Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.
Руководители подразделений обязаны:
Обязанности сотрудников по обеспечению ИБ
Организовать обучение персонала мерам безопасности.
Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.).
Заботиться, чтобы каждый ПК в подразделениях имел хозяина или системного администратора, отвечающего за безопасность и имеющего достаточную квалификацию для выполнения этой роли.
Обязанности сотрудников по обеспечению ИБ
Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.
Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.
Администраторы локальной сети обязаны:
Обязанности сотрудников по обеспечению ИБ
Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты.
Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.
Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.
Следить за новинками в области информационной безопасности, сообщать о них пользователям и руководству.
Обязанности сотрудников по обеспечению ИБ
Не злоупотреблять данными им полномочиями. Пользователи имеют право на тайну.
Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения. Оказывать помощь в обнаружении и ликвидации зловредного кода.
Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.
Выполнять все изменения сетевой аппаратно-программной конфигурации.
Обязанности сотрудников по обеспечению ИБ
Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.
Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.
Периодически осуществлять проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.
Обязанности сотрудников по обеспечению ИБ
Управлять правами доступа пользователей к обслуживаемым объектам.
Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.
Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.
Администраторы сервисов обязаны:
Обязанности сотрудников по обеспечению ИБ
Ежедневно анализировать регистрационную информацию, относящуюся к сервису.
Регулярно контролировать сервис на предмет зловредного программного обеспечения.
Периодически проверять надежность защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.
Обязанности сотрудников по обеспечению ИБ
Знать и соблюдать законы, правила, политику безопасности, процедуры безопасности.
Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.
Правильно выбирать пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.
Пользователи обязаны:
Обязанности сотрудников по обеспечению ИБ
Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.
Не использовать слабости в защите сервисов и локальной сети в целом.
Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.
Не пытаться работать от имени других пользователей. Обеспечивать резервное копирование информации с жесткого диска своего компьютера.
Обязанности сотрудников по обеспечению ИБ
Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут быть использованы.
Знать и выполнять процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.
Соблюдать правила поведения в экстренных ситуациях, последовательность действий при
ликвидации последствий аварий.
ЗАКЛЮЧЕНИЕЭффективно применять принципы разделения
обязанностей и минимизацией привилегий. Это позволит распределить обязанности и ответственность сотрудников, чтобы один человек не смог нарушить важный процесс для предприятия. А также позволит выделить пользователям только те права доступа, которые необходимы для выполнения служебных обязанностей.
Чем тщательней и детальней определить обязанности сотрудников по обеспечению информационной безопасности, тем легче будет осуществлять контроль их выполнения, и отслеживать несоответствие и нарушение действий сотрудников.
ИСПОЛЬЗУЕМЫЕ ИСТОЧНИКИ
Галатенко В. А. Основы информационной безопасности. - Бином. Лаборатория знаний, 2008. – 208 с.
Игнатьев В. А. Информационная безопасность современного коммерческого предприятия [Текст]. – Старый Оскол: ТНТ, 2005.
Политика информационной безопасности (организационно-технические и режимные меры) // [Авторский сайт к.т.н. Домарева В.В.]. URL: http://www.domarev.com.ua/book-02-1/part2/chapter8.html (дата обращения: 9.10.2012).
Спецификация Internet-сообщества "Руководство по информационной безопасности предприятия".Стандарты информационной безопасности // Интернет-Университет Информационных Технологий. URL: http://www.intuit.ru/department/security/secst/12/secst_12.html (дата обращения: 10.10.2012).
Спасибо за внимание!