обязанности сотрудников по оиб

«Обязанности сотрудников по обеспечению

информационной безопасности»

Магнитогорск, 2012

Выполнила:студентка 43 группы

факультет информатикиБеляшова Анастасия

ВведениеДолжностные обязанности сотрудников в отношении

обеспечения ИБ определяются в официальной политике предприятия в области ИБ.

В документ необходимо включить информацию о должностных лицах и их обязанностях, отвечающих за проведение в жизнь политики безопасности.

Ключевой элемент политики - доведение до каждого сотрудника его обязанностей по поддержанию режима безопасности.

ВведениеКатегории сотрудников, влияющих на состояние ИБ:

Руководители подразделений ответственны за доведение положений политики безопасности до пользователей и за контакты с ними.

Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.

Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.

Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты безопасности, ставить в известность руководство обо всех подозрительных ситуациях.

Обязанности сотрудников по обеспечению ИБ

Постоянно держать в поле зрения вопросы безопасности. Следить за тем, чтобы то же делали их подчиненные.

Проводить анализ рисков, выявляя активы, требующие защиты, и уязвимые места систем, оценивая размер возможного ущерба от нарушения режима безопасности и выбирая эффективные средства защиты.

Руководители подразделений обязаны:


Организовать обучение персонала мерам безопасности.

Информировать администраторов локальной сети и администраторов сервисов об изменении статуса каждого из подчиненных (переход на другую работу, увольнение и т.п.).

Заботиться, чтобы каждый ПК в подразделениях имел хозяина или системного администратора, отвечающего за безопасность и имеющего достаточную квалификацию для выполнения этой роли.


Информировать руководство об эффективности существующей политики безопасности и о технических мерах, которые могут улучшить защиту.

Обеспечить защиту оборудования локальной сети, в том числе интерфейсов с другими сетями.

Администраторы локальной сети обязаны:


Оперативно и эффективно реагировать на события, таящие угрозу. Информировать администраторов сервисов о попытках нарушения защиты.

Использовать проверенные средства аудита и обнаружения подозрительных ситуаций.

Ежедневно анализировать регистрационную информацию, относящуюся к сети в целом и к файловым серверам в особенности.

Следить за новинками в области информационной безопасности, сообщать о них пользователям и руководству.


Не злоупотреблять данными им полномочиями. Пользователи имеют право на тайну.

Разработать процедуры и подготовить инструкции для защиты локальной сети от зловредного программного обеспечения. Оказывать помощь в обнаружении и ликвидации зловредного кода.

Регулярно выполнять резервное копирование информации, хранящейся на файловых серверах.

Выполнять все изменения сетевой аппаратно-программной конфигурации.


Гарантировать обязательность процедуры идентификации и аутентификации для доступа к сетевым ресурсам.

Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

Периодически осуществлять проверку надежности защиты локальной сети. Не допускать получения привилегий неавторизованными пользователями.


Управлять правами доступа пользователей к обслуживаемым объектам.

Регулярно выполнять резервное копирование информации, обрабатываемой сервисом.

Выделять пользователям входные имена и начальные пароли только после заполнения регистрационных форм.

Администраторы сервисов обязаны:


Ежедневно анализировать регистрационную информацию, относящуюся к сервису.

Регулярно контролировать сервис на предмет зловредного программного обеспечения.

Периодически проверять надежность защиты сервиса. Не допускать получения привилегий неавторизованными пользователями.


Знать и соблюдать законы, правила, политику безопасности, процедуры безопасности.

Использовать доступные защитные механизмы для обеспечения конфиденциальности и целостности своей информации.

Правильно выбирать пароли, регулярно менять их. Не записывать пароли на бумаге, не сообщать их другим лицам.

Пользователи обязаны:


Информировать администраторов или руководство о нарушениях безопасности и иных подозрительных ситуациях.

Не использовать слабости в защите сервисов и локальной сети в целом.

Не совершать неавторизованной работы с данными, не создавать помех другим пользователям.

Не пытаться работать от имени других пользователей. Обеспечивать резервное копирование информации с жесткого диска своего компьютера.


Знать принципы работы зловредного программного обеспечения, пути его проникновения и распространения, слабости, которые при этом могут быть использованы.

Знать и выполнять процедуры для предупреждения проникновения зловредного кода, для его обнаружения и уничтожения.

Соблюдать правила поведения в экстренных ситуациях, последовательность действий при

ликвидации последствий аварий.

ЗАКЛЮЧЕНИЕЭффективно применять принципы разделения

обязанностей и минимизацией привилегий. Это позволит распределить обязанности и ответственность сотрудников, чтобы один человек не смог нарушить важный процесс для предприятия. А также позволит выделить пользователям только те права доступа, которые необходимы для выполнения служебных обязанностей.

Чем тщательней и детальней определить обязанности сотрудников по обеспечению информационной безопасности, тем легче будет осуществлять контроль их выполнения, и отслеживать несоответствие и нарушение действий сотрудников.

ИСПОЛЬЗУЕМЫЕ ИСТОЧНИКИ

Галатенко В. А. Основы информационной безопасности. - Бином. Лаборатория знаний, 2008. – 208 с.

Игнатьев В. А. Информационная безопасность современного коммерческого предприятия [Текст]. – Старый Оскол: ТНТ, 2005.

Политика информационной безопасности (организационно-технические и режимные меры) // [Авторский сайт к.т.н. Домарева В.В.]. URL: http://www.domarev.com.ua/book-02-1/part2/chapter8.html (дата обращения: 9.10.2012).

Спецификация Internet-сообщества "Руководство по информационной безопасности предприятия".Стандарты информационной безопасности // Интернет-Университет Информационных Технологий. URL: http://www.intuit.ru/department/security/secst/12/secst_12.html (дата обращения: 10.10.2012).

http://www.domarev.com.ua/book-02-1/part2/chapter8.html

















Спасибо за внимание!

Technology

обязанности сотрудников по оиб