Політика безпеки Організацією політики безпеки повинні займатись працівники СБ Політика безпеки висвітлює лише загальні та обов’язкові положення безпеки організації. Всі деталі повинні вирішуватись персоналом організації згідно з їх обов’язками, посадовими інструкціями та практичними навичками і досвідом. Відповідальним за безпеку інформації є керівник центру по дослідженню напівпровідникових матеріалів. Завдання, які стоять перед особами, що відповідають за політику безпеки Керівник центру повинен Регулярно проводити наради з персоналом, на яких варто розглядати наступні питання: Аналіз та затвердження (внесення змін при необхідності) до політики безпеки і розподіл загальних обов’язків Визначення основних загроз інформаційних ресурсів Визначення та затвердження дій, спрямованих на покращення захисту інформації Всі прийняті рішення стосовно інформаційної безпеки організації повинні узгоджуватись керівником організації Всі основні інформаційні ресурси організації повинні мати власника. Власник затверджується керівником організації. Керівник СБ Регулярно проводити наради служби безпеки, на яких варто оглядати наступні питання: Узгоджуються конкретні функції і обов’язки по забезпеченню інформаційної безпеки Узгоджуються конкретні методики і процеси захисту інформації (напр. оцінка ризиків, система класифікації методів захисту) Узгоджується і здійснюється підтримка ініціатив з захисту інформації (напр. програма навчання персоналу правилам безпеки) Забезпечується включення захисних мір в процес планування використання інформації Координуються дії по реалізації конкретних мір по забезпеченню безпеки нових систем чи сервісів. Група режиму Регулярно проводити наради з персоналом При одержанні нового ресурсу інформаційної системи необхідно призначити йому гриф таємності. Працівники, що мають доступ до конфіденційної інформації повинні підписати документи про нерозголошення таємниць. Документи про нерозголошення інформації повинні переглядатись та при необхідності змінюватись при зміні грифів таємності та класифікації інформації. Необхідно навчити працівників процедурам захисту і правильному поводженню з інформаційними ресурсами. При виникненні інцидентів в системі безпеки необхідно негайно повідомити про це службу безпеки. При помічені слабких місць в системі безпеки необхідно негайно повідомити про це службу безпеки. Всі інциденти та недоліки в системі безпеки повинні реєструватись в системному журналі. Працівники повинні строго дотримуватись режиму дня. При встановленні нових систем безпеки чи впровадженні нових правил слід ознайомити з ними всіх працівників. Дата та час входу в приміщення повинен реєструватись в системному журналі через електронні замки При звільненні працівників необхідно вилучити у них особисті ідентифікаційні картки, картки та коди доступу до приміщень. Технічне обслуговування повинен здійснювати технічний персонал служби підтримки апаратури під наглядом СБ. В разі виявлення таємної інформації на МНІ слід її видалити. В разі виявлення пошкоджень МНІ або нероботоспроможність МНІ утилізувати. Необхідно регулярно перевіряти стан систем контролю доступу до приміщень СБ цілодобово веде відеоспостереження за контрольованою територією. Системні журнали повинні ретельно переглядатись для виявлення помилок роботи системи та можливих порушень чи атак. Доступ до персональних даних мають лише працівники СБ та керівник організації. Забороняється розголошення персональних даних. Персональні дані повинні шифруватись та ретельно захищатись. Детективна група При прийомі працівників на роботу необхідно ретельно перевіряти достовірність інформації, вказаної в заявах та анкетах. Забороняється розголошувати таємну інформацію по телефону чи віч-на-віч в присутності осіб, що не мають прав доступу до неї. При прийомі на роботу працівників, їх права на доступ в приміщення організації повинні бути чітко визначені, затверджені і задокументовані. Працівникам необхідно видати персональні ідентифікаційні картки, картки та коди доступу в відповідні приміщення. Працівники повинні зберігати в таємниці свій код доступу. При втраті чи розголошенні персонального коду доступу слід негайно повідомити про це адміністратора. Встановленням, конфігуруванням, перевіркою та оновленням програмного забезпечення займається тільки адміністратор. Персональні дані повинні бути точні і відповідати даті. Служба охорони Дата та час приходу працівників на роботу та залишення контрольованої території повинен реєструватись в системному журналі на КПП. Працівники повинні завжди носити на видному місці особисті ідентифікаційні картки. При помічені в приміщенні посторонніх осіб чи осіб, що не мають прав доступу до приміщення необхідно негайно повідомити про це службу охорони з допомогою кнопки тривоги чи в усній формі по радіотелефону. Працівникам категорично забороняється виносити будь-яке майно організації за її межі. Працівникам категорично забороняється приносити будь які сторонні предмети на територію організації. Обслуговуючий персонал (прибиральниця, електрик) мають право заходити в приміщення, категорія яких вища І лише в неробочий час під контролем працівників СБ. В неробочий час всі системи сигналізації повинні бути активовані, а СБ вести ретельний контроль території. Група пожежної охорони Забороняється зберігати вогненебезпечні та легкозаймисті предмети близько біля життєвоважливих ресурсів системи (комп’ютерів, сигналізацій, систем контролю доступу і т.і.) Необхідно регулярно перевіряти стан пожежної сигналізації. Група криптозахисту Паролі повинні шифруватись. Електронна пошта повинна шифруватись. Таємна інформація повинна шифруватись. Група протидії технічним розвідкам Регулярно (раз в тиждень) проводити перевірку приміщень та території на наявність закладних пристроїв. Працівники Магнітні носії інформації та паперову документацію, коли вони не використовуються, слід зберігати в спеціальних захищених шафах. Коли комп’ютери не використовуються слід їх виключати або блокувати паролем систему. Не рідше ніж один раз в пів року слід оглядати всю апаратуру. Адміністратор При адмініструванні КС та КМ слід строго дотримуватись функцій, зазначених в документації продуктів та не виходити за їх рамки. В разі виникнення технічних проблем слід звертатись до служби технічної підтримки виробника продукту. При виникненні проблем при роботі з КС слід повідомити про це адміністратора. Працівникам забороняється особисто вирішувати проблеми, які виникли при роботі системи. Слід регулярно проводити резервне копіювання даних . Користувачі на повинні мати доступ до робочих програм конфігурування роботи системи та мережі. Конфігурування системи та мережі повинно здійснюватись при відсутності в приміщенні будь-якого персоналу (крім працівників СБ). Працівники повинні отримати персональні права доступу до КС, права на користування програмним забезпеченням, доступ до мережі та її ресурсів, які повинні відповідати вимогам, правам та обов’язкам працівників. (див. Управління доступом до КС) Працівники повинні зберігати в таємниці свій код доступу. При втраті чи розголошенні персонального коду доступу слід негайно повідомити про це адміністратора. При введенні КС на експлуатацію слід ретельно перевірити її роботоспроможність, виникнення помилок та безпеку. Політика безпеки КС повинна регулярно (раз в три місяці) переглядатись та змінюватись відповідно до змін прав та обов’язків працівників. Регулярно (раз в тиждень) проводити ретельну перевірку роботоспроможності системи для виявлення помилок та несправностей. Для захисту від комп’ютерних вірусів та програм «троянський кінь» слід використовувати антивірусні програми. Антивірусне програмне забезпечення та вірусні бази повинні регулярно (раз в два-три дні) оновлятись. Щодня (в неробочий час) проводити повну перевірку системи на наявність вірусів та програм «троянський кінь». Магнітні носії інформації, нове програмне забезпечення, вхідна електронна пошта повинні ретельно перевірятись на зараження вірусами та наявність програм «троянський кінь» перед запуском в КС. Для захисту від зовнішніх атак по мережі слід використовувати відповідне програмне забезпечення. Програмне забезпечення захисту від зовнішніх атак повинне регулярно оновлюватись, конфігуруватись в відповідності до потреб та поставлених вимог та перевірятись на наявність неполадок. Всі дії в КС повинні автоматично реєструватись в системному журналі. Коди доступу (паролі) повинні видаватись автоматично згідно наступних правил: Довжина паролю – не менше 7 символів Пароль повинен містити великі та малі літери латинського алфавіту, знаки пунктуації і цифри Кожних 15 днів паролі повинні змінюватись При звільненні працівника чи зміні його робочих повноважень паролі необхідно змінювати. Вхід користувача в систему та вихід з неї повинен реєструватись в системному журналі.