Інформаційні системи в менеджменті

навчальний
Текущее время: 29-03, 00:03

Часовой пояс: UTC + 3 часа




Форум закрыт Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ 1 сообщение ] 
Автор Сообщение
 Заголовок сообщения: 123. Процедурний контроль
СообщениеДобавлено: 14-11, 21:48 
Не в сети

Зарегистрирован: 05-10, 20:42
Сообщения: 6
123. Процедурний контроль

Для визначення умов, що можуть несприятливо позначитися на роботі комп'ютерного устаткування і для вживання коригувальних заходів, необхідно постійно стежити за навколишнім середовищем, у тому числі за вологістю, температурою і якістю джерел електроживлення. Такі процедури варто реалізовувати відповідно до рекомендацій поста чальників.
Носії інформації та їхній захист. Необхідно контролювати комп'ютерні носії даних і забезпечити їхній фізичний захист. Варто визначити належні операційні процедури для захисту комп'ютерних носіїв інформації (магнітні стрічки, диски, компакт-диски), вхідних та вихідних даних і системної документації від ушкодження, викрадення і несанкціонованого доступу.
Усі процедури і рівні повноважень повинні бути чітко задокументовані. Щоб захистити конфіденційні дані від несанкціонованого розкриття або використання, необхідно визначити процедури оперування з такими даними. Повинні бути підготовлені процедури для безпечного оперування з усіма носіями вхідних і вихідних конфіденційних даних, наприклад, документів, телексів, магнітних стрічок, дисків, звітів, незаповнених чеків, рахунків та ін. З цією метою слід виконувати наступні облікові міроприємства:

> оперування з носіями вхідної і вихідної інформації і їхнє маркування,
> формальна реєстрація одержувачів даних, що мають відповідні
повноваження,
> забезпечення повноти вхідних даних,
>підтвердження одержання переданих даних (по необхідності),
> надання доступу до даних мінімальному числу осіб,
> чітке маркування всіх копій даних для одержувача, що має відповідні
повноваження,

Перевірка списків одержувачів із правом доступу до даних через регулярні проміжки часу.

Системна документація може містити конфіденційну інформацію, наприклад, опис прикладних процесів, процедур, структури даних і процесів підтвердження повноважень Для захисту системної документації від несанкціонованого доступу, необхідно застосовувати наступні засоби контролю:

> Системна документація повинна зберігатися в надійних шафах
під замком
> Список осіб із правом доступу до системної документації
повинний бути максимально обмежений, а дозвіл на п використання
повинен видаватися власником додатка
> Документацію, створювану комп'ютерами, варто зберігати
окремо від інших файлів додатків, і їй варто привласнити належний
рівень захисту доступу

Для видалення комп'ютерних носив інформації, що більше не потрібні, вимагаються надійні і перевірені процедури. Конфіденційна інформація може просочитися за межі організації і потрапити в руки осіб, що не мають відповідних прав, унаслідок недбалого видалення комп'ютерних носив даних. Для зведення такого ризику до мінімуму варто визначити чіткі процедури надійного видалення носив інформації. Пропонуються наступні рекомендації:

1)Носи даних, що містять конфіденційну інформацію, необхідно надійно видаляти, наприклад, за допомогою їхнього спалювання або здрібнювання (дроблення), чи звільнення від даних для використання іншими додатками усередині організації;
2)Електронні документи на носіях, що можуть використовуватися в подальшому мають знищуватися відповідними програмами, які рекомендовані відповідними нормативними документами для таких цілей;
3)Носії конфіденційної або таємної інформації мають бути зареєстровані в журналах обліку та мати власні ідентифікаційні номери;
4)Про кожен випадок видалення носіїв конфіденційної інформації має бути складений акт знищення даних та зроблена відповідна відмітка в журналі реєстрації носія.

Обмін даними і програмами. Обміни даними і програмами необхідно контролювати. Такі обміни варто здійснювати на основі формальних угод. Повинні бути встановлені процедури і стандарти для захисту носіїв інформації під час їхнього транспортування. Необхідно враховувати наслідки для виробничої діяльності і системи безпеки від використання електронного обміну даними і повідомленнями електронної пошти, а також вимоги до засобів управління безпекою.

Комп'ютерні носії даних можуть бути уразливі стосовно несанкціонованого доступу, використання й ушкодження під час транспортування. Для захисту комп'ютерних носіїв інформації, що транспортуються з однієї організації в іншу, пропонуються наступні засоби контролю:

> Використання надійних кур'єрів і транспорт. Узгодження
списку кур'єрів, наділених відповідними повноваженнями, з
керівництвом і реалізація процедури ідентифікації кур'єрів.
> Забезпечення належного захисту вмісту упакування від
можливого фізичного ушкодження під час транспортування
відповідно до інструкцій виробників.
> Вживання спеціальних заходів (по необхідності) для захисту
конфіденційної інформації від несанкціонованого розкриття або
модифікації.

Для зменшення ризику, якому піддаються виробничі процеси і система безпеки, зв'язана з використанням електронної пошти, варто засто¬совувати відповідні засоби контролю. Електронна пошта відрізняється від традиційних видів зв'язку швидкістю, структурою повідомлень, ступенем формальності й уразливістю стосовно перехоплення. Для зменшення ризику, якому піддаються виробничі процеси і система безпеки, пов'язаного з застосуванням електронної пошти, необхідно використовувати наступні засоби контролю:

> уразливість електронних повідомлень стосовно несанкціонованого перехоплення і модифікації;
> уразливість даних, що пересилаються по електронній пошті,
стосовно помилок, наприклад, неправильна адресація чи напрямок
> повідомлень не по призначенню, а також надійність і доступність системи в цілому;
> вплив зміни характеристик комунікаційного середовища на виробничі процеси, наприклад, вплив підвищеної швидкості передачі даних або зміни системи адресації між: організаціями й окремими особами;
> необхідність вживання захисних заходів для контролю вилученого доступу користувачів до електронної пошти.

Управління доступом користувачів. Для управління процесом надання прав доступу до інформаційних систем вимагаються формальні процедури. Ці процедури повинні містити в собі всі стадії життєвого циклу управління доступом користувачів - від початкової реєстрації нових користувачів до видалення облікових записів користувачів, що більше не мають потреби в доступі до інформаційних систем. Особливу увагу варто приділити необхідності управління процесом надання привілейованих прав доступу, що дозволяють користувачам обійти засоби системного контролю.

Усі процедури і рівні повноважень повинні бути чітко задокументовані. Щоб захистити конфіденційні дані від несанкціонованого розкриття або використання, необхідно визначити процедури оперування з такими даними. Повинні бути підготовлені процедури для безпечного оперування з усіма носіями вхідних і вихідних конфіденційних даних, наприклад, документів, телексів, магнітних стрічок, дисків, звітів, незаповнених чеків, рахунків та ін. З цією метою слід виконувати наступні облікові міроприємства:

> оперування з носіями вхідної і вихідної інформації і їхнє маркування,
> формальна реєстрація одержувачів даних, що мають відповідні
повноваження,
> забезпечення повноти вхідних даних,
>підтвердження одержання переданих даних (по необхідності),
> надання доступу до даних мінімальному числу осіб,
> чітке маркування всіх копій даних для одержувача, що має відповідні
повноваження,

Реагування на небезпечні події. Усі співробітники і підрядчики повинні бути ознайомлені з процедурою повідомлення про різні типи інцидентів (порушення безпеки, погроза, чи збій), що можуть уплинути на безпеку інформаційних ресурсів організації. Варто зобов'язати користувачів без зволікання повідомляти про усе що спостерігається чи підозрілих випадках такого роду у відповідну службу підтримки системи захисту. В організації повинна бути установлена формальна процедура накладення дисциплінарних стягнень на співробітників, що порушують режим безпеки.
Варто встановити формальну процедуру повідомлення, а також процедуру реагування на події, яка описує міри, що слід прийняти після одержання повідомлення про інцидент. Усі співробітники і підрядчики повинні бути ознайомлені з цією процедурою; вони зобов'язані повідомляти про такий рід подій у відповідну службу підтримки системи захисту.
Кінцеві користувачі інформаційних систем зобов'язані реєструвати усі випадки, коли функціонування програмного забезпечення представляється їм неправильним, тобто не відповідної специфікації. Про всі такі випадки вони повинні сповіщати про це в місцеву службу технічної підтримки інформаційних систем або безпосередньо постачальнику даних послуг.
Необхідно встановити технологічні процедури, які користувач повинний виконати у випадку підозри на різні збої у функціонуванні системи. При розробці таких процедур варто звернути особливу увагу на наступні моменти:

- записати «симптоми» і всі повідомлення, що з'являються на екрані монітора;

- припинити роботу на комп'ютері і, якщо можливо, відключити його. Негайно повідомити про інцидент у службу технічної підтримки інформаційних систем. Якщо устаткування підлягає огляду, то його необхідно від'єднати від мереж організації, перш ніж знову включити живлення. Не використовувати на інших комп'ютерах дискети, записані на цьому комп'ютері.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Форум закрыт Эта тема закрыта, вы не можете редактировать и оставлять сообщения в ней.  [ 1 сообщение ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 0


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения

Найти:
Перейти:  
cron
Powered by Forumenko © 2006–2014
Русская поддержка phpBB