11. 6-й етап - забезпечення супроводу КСЗІ

Весь період функціонування КСЗІ забезпечується її супроводом, під час якого персоналом ІТС виконуються такі роботи щодо КСЗІ:
- керування КСЗІ згідно Плану захисту та експлуатаційної документації;
- вдосконалення та модернізації КСЗІ.

Крім того, під час супроводу КСЗІ здійснюються такі заходи:
- організаційне забезпечення працездатності ІТС;
- гарантійне та післягарантійне технічне обслуговування засобів КСЗІ;
- періодичне поновлення документів КСЗІ.

Всі заходи супроводу та модернізації КСЗІ вносяться до «Календарного плану робіт із захисту інформації в ІТС», який щорічно поновлюється.

Він складається з 4-х розділів:
- організаційні заходи;
- контрольно-профілактичні заходи;
- інженерно-технічні заходи;
- кадрові заходи.

Календарний план робіт із захисту інформації в ІТС

1. Організаційні заходи

Організаційні заходи - це комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення завдань захисту інформації шляхом регламентації діяльності персоналу і порядку функціонування КСЗІ.

Заходи

Виконавець

Регламент робіт

Термін/період

Коригування політики безпеки

Служба захисту
Адміністратори

Коригування положень ПБ Розробка додаткових інструкцій

у разі змін умов функціонування ІТС

Коригування Плану захисту

Служба захисту
Адміністратори

Розробка нових підходів до планування заходів захисту

щорічно

Планування модернізації КСЗІ

Служба захисту
Адміністратори

Розробка ТЗ на модернізацію КСЗІ згідно НД ТЗІ 3.7-001-99

згідно плану розвитку КСЗІ

Чергове категоріювання

Комісія установи

Згідно НД ТЗІ 1.6-005-2013

через 5 років після первинного

Чергова державна експертиза

Адміністрація Держспецзв’язку

Згідно вимог «Положення про державну експертизу»

через 5 років після первинної

2. Контрольно-профілактичні заходи

Контрольні заходи - це комплекс заходів контролю за виконанням персоналом ІТС вимог нормативно-правових актів України у сфері захисту інформації, розроблених в установі інструкцій і положень, а також заходів, розроблених за результатами попередніх перевірок.

Профілактичні заходи - це комплекс заходів, спрямованих на формування у користувачів мотивів поведінки, які спонукають їх на безумовне виконання у повному обсязі вимог правил проведення робіт із захисту інформації тощо, а також формування відповідного морально-етичного стану в колективі.

Заходи

Виконавець

Регламент робіт

Термін/період

Проведення занять з персоналом ІТС щодо виконання вимог політики безпеки в установі

Служба захисту

Згідно «Плану навчання в установі»

щоквартально

Формування в трудовій угоді розділу відповідальності за виконання вимог політики безпеки

Служба захисту

Згідно вимог трудового законодавства

за рішенням керівника установи

Контроль працездатності та виконання вимог політики безпеки

Системний адміністратор

Перевірка справності ОС і ПЗ ІТС

щодня

Адміністратор безпеки

Перевірка виконання вимог політики безпеки користувачами

щомісячно

Служба захисту

Перевірка виконання політики безпеки адміністраторами

щоквартально

Перевірка стану захисту інформації

Комісія установи

Згідно «Положення про захист інформації в ІТС»

щорічно

Перевірка наявності МНІ

Комісія установи

Згідно «Інструкції про організацію діловодства»

щорічно

3. Інженерно-технічні заходи

Інженерно-технічні заходи - це комплекс заходів, спрямованих на налагодження, випробування і введення в експлуатацію, супроводження і технічне обслуговування апаратних і програмних засобів захисту інформації в ІТС, інженерне обладнання споруд і приміщень, в яких розміщуються засоби ІТС.

Заходи

Виконавець

Регламент робіт

Термін/період

Супровід КСЗІ

Розробник КСЗІ

Гарантійне обслуговування

Гарантійний термін

Технічне обслуговування ІТС

Адміністратори

Згідно «Регламенту техобслуговування»

згідно термінів регламенту

Резервування баз даних і фондів

Адміністратор безпеки

Згідно «Інструкції з резервування баз даних»

щомісячно

Поновлення антивірусних баз

Адміністратор безпеки

Згідно «Інструкції з антивірусного захисту»

щодня

Перевірка МНІ і ІТС на наявність вірусів

Користувач (МНІ)

Згідно «Інструкції з антивірусного захисту»

щодня

Адміністратори (ІТС)

щотижня

Модернізація КСЗІ

Розробник КСЗІ

Заміна (додавання) окремих компонентів КСЗІ

згідно плану розвитку КСЗІ

4. Кадрові заходи

Кадрові заходи - це комплекс навчально-педагогічних заходів, спрямованих на розширення світогляду та підвищення професійної майстерності персоналу ІТС, що визначається її особливостями та технологіями захисту інформації, які використовуються в ній. 

Заходи

Виконавець

Регламент робіт

Термін/період

Вступне ознайомлення з положеннями політики безпеки інформації (під розпис)

Служба захисту

Оформлення допуску до роботи

після прийому на роботу

Адміністратор безпеки

Згідно «Інструкції користувачу»

під час їхньої реєстрації в ІТС

Інструктаж користувачів щодо дій у випадку позаштатної ситуації

Адміністратор безпеки

Згідно «Плану робіт у випадку позаштатної ситуації»

щорічно

Проведення занять з професійної підготовки персоналу ІТС

Служба захисту
Адміністратори

Згідно «Плану професійної підготовки в установі»

щотижня

Направлення на курси підвищення кваліфікації

Служба захисту 

Згідно «Плану підвищення кваліфікації в установі»

згідно термінів плану

Виконання Календарного плану забезпечується Службою захисту інформації в ІТС (далі - СЗІ), яка у процесі супроводу КСЗІ повинна виконувати такі функції:

-  організація процесу керування КСЗІ;

-  розслідування випадків порушення політики безпеки, небезпечних та непередбачених подій, здійснення аналізу причин, що призвели до них, супроводження банку даних таких подій;

-  вжиття заходів у разі виявлення спроб НСД до ресурсів ІТС, порушенні правил експлуатації засобів захисту інформації або інших дестабілізуючих факторів;

-  забезпечення контролю цілісності засобів захисту інформації  та швидке реагування на їх вихід з ладу або порушення режимів функціонування;

-  організація керування доступом до ресурсів ІТС (розподілення між користувачами необхідних реквізитів захисту інформації - паролів, привілеїв, ключів тощо);

-  супроводження та актуалізація бази даних захисту інформації (матриці доступу, класифікаційні мітки об’єктів, ідентифікатори користувачів тощо);

-  спостереження (реєстрація та аудит подій в ІТС, моніторинг подій тощо) за функціонуванням КСЗІ та її компонентів;

-  підготовка пропозицій щодо удосконалення порядку забезпечення захисту інформації в ІТС, впровадження нових технологій захисту і модернізації КСЗІ;

-  організація та проведення заходів з модернізації, тестування, оперативного відновлення функціонування КСЗІ після збоїв, відмов, аварій ІТС або КСЗІ;

-  участь в роботах з модернізації ІТС - узгодженні пропозицій з введення до складу ІТС нових компонентів, нових функціональних завдань і режимів обробки інформації, заміни засобів обробки інформації тощо;

-  забезпечення супроводження і актуалізації еталонних, архівних і резервних копій програмних компонентів КСЗІ, забезпечення їхнього зберігання і тестування...

Чтобы прочитать лекцию полностью, напишите автору

----------------------------------------------------------------------------------------------------

Книга | Автор | Статьи | Фильмы | Фото | Ссылки | Отзывы

Контакт | Студентам | Ветеранам | Астрология | Карта сайта



Рейтинг@Mail.ru Яндекс.Метрика