Политика криптографической защиты информации

date image 2014-02-09
views image 2382
Поделись с друзьями: 
11121314151617

Основные требования.

Политика безопасности электронного документооборота

Назначение и область действия.

Настоящая политика устанавливается для создания, обработки, хранения и передачи электронных документов в целях:

Обеспечения защиты информации от неавторизованного раскрытия или неправильного использования.

Поддержание информационной безопасности при обмене информацией внутри фирмы и с внешними сторонами.

Политика распространяется на всех работников фирмы и третьих лиц, принимающих участие в документообороте организации, и является обязательной для исполнения.

Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.

Электронные документы должны быть представлены в формате, позволяющем указывать дополнительные идентифицирующие атрибуты, в том числе:

Автора;

дату создания;

дату последнего изменения;

права доступа и т.д.

При хранении электронных документов в файловых архивах корпоративной сети, доступ к ним должен быть разграничен и предоставляться только пользователям, имеющим соответствующие права.

При хранении электронных документов локально на компьютере пользователя ил на сменных носителях должны быть приняты соответствующие меры по защите документов от несанкционированного доступа, утери, копирования или повреждения.

При передаче электронных документов, содержащих информацию ограниченного доступа, по незащищенным каналам, или на сменных носителях, в том числе за пределы фирмы, должны применяться средства криптографической защиты информации.

Выведенный на бумажный лоток принтера электронный документ, содержащий информацию ограниченного распространения, должен незамедлительно изыматься из лотка принтера общего пользования для его защиты от неавторизованного прочтения.

Ответственность

Ответственность за установку, настройку и администрирование средств организации документооборота на рабочем месте пользователя возлагается на службу информационных технологий.

Ответственность за соблюдение правил возлагается на всех сотрудников фирмы и третьих лиц, принимающих участие в электронном документообороте организации.

Контроль выполнения и пересмотр политики возлагается на службу безопасности информации. Провести анализ

Назначение и область действия

Настоящая политика устанавливается для организации использования СКЗИ в целях защиты конфиденциальности, аутентичности и целостности информации и поддержания информационной безопасности при обмене информацией внутри фирмы и с внешними корреспондентами.

Политика распространяется на всех работников фирмы и третьих лиц, организующих использование СКЗИ и практически использующих СКЗИ, и является обязательной для исполнения.

Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.

Основные требования.

Для криптографической защиты конфиденциальной информации фирмы используются СКЗИ, разрешенные к применению на территории РФ.

СКЗИ должны использоваться в соответствии с требованиями действующего законодательства и условиями соглашения с контрагентами.

СКЗИ могут применяться для:

Обеспечения конфиденциальности путем применения шифрования хранимой и передаваемой информации.

Обеспечение целостности и (или) аутентичности путем применения цифровых подписей.

Обеспечение невозможности отказа от совершенных действий путем применения криптографических методов получения доказательства появления или отсутствия события или действия.

Решение о применении СКЗИ в отдельных процессах деятельности фирмы принимается с учетом результатов оценки рисков, требований законодательства и условий договорных отношений с контрагентами.

К полученным или сгенерированным криптографическим ключам должны применяться меры защиты от их потери, изменения или разрушения. Закрытые ключи (ключи квалифицированно электронной подписи) должны защищаться от несанкционированного раскрытия.

Открытые ключи (ключи проверки электронной подписи) должны иметь определенный срок действия и быть сертифицированы органом, обеспечивающим требуемый уровень доверия.

При компрометации закрытых ключей или увольнении пользователя, ключи должны быть сохранены в архиве и аннулированы.

Все действия по управлению криптографическими ключами должны регистрироваться.

Процессы управления криптографическими средствами защиты осуществляются в соответствии с эксплуатационной, технической документацией и правилами пользования (установленной процедурой).

Ответственность

Ответственность за установку, настройку и администрирование СКЗИ возлагается на службу информационной безопасности и службу информационных технологий.

Ответственность за соблюдение политики криптографической защиты информации возлагается на всех сотрудников фирмы и третьих лиц, использующих СКЗИ.

Контроль выполнения и пересмотр политики возлагается на службу безопасности информации.

Провести анализ (приказ ФАПСИ 152 2004 года, ПКЗ 2005)

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

11121314151617

double arrow
Сейчас читают про:
article image
Признаки и понятия правового государства. Понятие, признаки и пути формирования правового государства
article image
Соотношение системы права и системы законодательства
article image
Правосознание: понятие, структура, виды
article image
Суд и судебный процесс в Законах Хаммурапи
article image
Охрана редких и вымирающих видов
article image
Ремонт посудомоечных машин своими руками
article image
Самый сильный аргумент, почему эволюция человека не могла быть

И то, что мы называем счастьем, и то, что называем несчастьем, одинаково полезно нам, если мы смотрим на то и на другое, как на испытание. © Лев Толстой ==> читать все изречения...
like icon 6196
like icon 6116
Понравился сайт? Поделись им с друзьями: