2014-10-30
1357
Общая структура нормативной документации по безопасности информации в организации (на предприятии) имеет следующий вид.
1. Документы концептуального уровня. Разрабатываются совместно руководством компании, юридической службой, техническими специалистами и руководителями служб экономической и информационной безопасности. Эти документы отражают права компании по деятельности в области защиты информации, основные положения по обеспечению безопасности в компании и зависимых (дочерних) компаниях и являются базовыми. На основе документов концептуального уровня определяется политика безопасности информации, строится структура органов защиты информации, оцениваются риски и угрозы безопасности, проводится единая техническая политика. Документы этого уровня носят рамочный характер и фактически определяют перечень иных нормативных документов по информационной безопасности и их взаимосвязь.
1.1. Устав организации (предприятия).
1.2. Концепция информационной безопасности организации (предприятия).
|
|
|
1.3. Модель защиты информации в организации (на предприятии).
2. Документы общего применения. Разрабатываются службой защиты информации или иным подразделением, ответственным за обеспечение безопасности информации, и утверждаются руководством организации (предприятия). Они содержат требования к подразделениям и части сотрудников, участвующих в процессах, связанных с обработкой защищаемой информации. Также эти документы определяют общие принципы работы с защищаемой информацией в штатных и нештатных режимах.
2.1. Политика безопасности информации в организации (на предприятии).
2.2. Положение о категорировании ресурсов в организации (на предприятии).
2.3. План защиты от несанкционированного доступа к информации и незаконного вмешательства в процесс функционирования организации (предприятия).
2.4. Порядок обращения с информацией, подлежащей защите в организации (на предприятии).
2.5. Положение о подразделении защиты информации организации (предприятия).
2.6. Должностные инструкции сотрудников подразделения защиты информации организации (предприятия).
2.7. Инструкция о порядке действий сотрудников организации (предприятия) в нештатных ситуациях.
2.8. План обеспечения непрерывной работы и восстановления информации в организации (на предприятии).
3. Документы, регламентирующие работу персонала организации (предприятия) с защищаемыми носителями, разрабатываются подразделением, ответственным за защиту информации, согласуются с заинтересованными подразделениями и утверждаются лицами, ответственными за обеспечение ИБ в компании. Они содержат требования к типовым действиям персонала компании по обработке информации и должностные инструкции для лиц, чья деятельность связана с обеспечением ИБ в процессе функционирования компании.
|
|
|
3.1. Положение о главном администраторе безопасности информации Организации (предприятия) (сотрудник подразделения по защите информации, руководящий группой администраторов безопасности информации).
3.2. Положение об администраторе безопасности информации подразделения организации (предприятия) (сотрудник функционального подразделения).
3.3. Положение об администраторах безопасности информации организации (предприятия) (сотрудник подразделения безопасности информации, входящий в группу администраторов безопасности информации).
3.4. Инструкция по работе с ключевыми материалами в организации (на предприятия).
3.5. Инструкция по организации антивирусной защиты в организации (на предприятии).
3.6. Инструкция по организации парольной защиты в организации (на предприятии).
3.7. Инструкция по работе с эталонным программным обеспечением организации (предприятия).
3.8. Инструкция о резервном копировании информации в организации (на предприятии).
3.9. Памятка сотрудникам организации (предприятия).
3.10. Инструкция по внесению изменений в списки пользователей ресурсами организации (предприятия).
3.11. Инструкция по модификации технических и программных средств организации (предприятия).
