2014-10-30
1337
Устав организации (предприятия). Данный документ содержит:
1. Положения о правах организации (предприятия) по деятельности в области защиты информации.
2. Положения о целях деятельности по защите информации в организации (на предприятии).
3. Положение об обязанностях сотрудников организации (предприятия) по соблюдению режима конфиденциальности в организации (на предприятии).
Концепция информационной безопасности организации (предприятия). Эффективная реализация, сопровождение и развитие комплекса мер защиты возможны только при условии наличия формализованного системного подхода к обеспечению безопасности информации. Именно для решения такой задачи предназначена Концепция информационной безопасности (КИБ). Основная цель Концепции состоит в формировании интегрированной системы взглядов на цели, задачи, основные принципы и направления деятельности в области обеспечения информационной безопасности с учётом действующего законодательства Российской Федерации, а также международных стандартов. КИБ — это основополагающий документ, содержащий ключевые положения по защите информации, принципы и стратегические решения в области ИБ. Формирование концепции (или политики) ИБ имеет принципиальное значение, так как на этом этапе закладывается фундамент системы обеспечения ИБ.
|
|
|
КИБ представляет собой систематизированное изложение целей и задач защиты, организационных, технологических и процедурных аспектов обеспечения безопасности информации компании.
Концепция охватывает вопросы обеспечения ИБ организации (предприятия) на всех этапах ее деятельности и содержит:
общую характеристику объекта защиты (описание состава, функций и существующей технологии обработки данных);
формулировку целей создания системы защиты, основных задач обеспечения ИБ и путей достижения целей (решения задач);
перечень типичных угроз ИБ и возможных путей их реализации, неформальную модель вероятных нарушителей;
основные принципы и подходы к построению системы обеспечения ИБ, меры, методы и средства достижения целей защиты.
Модель защиты информации в организации (на предприятии). Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа. Иными словами, это абстрактное описание поведения целого класса систем без рассмотрения конкретных деталей их реализации. Таким образом, модель защиты информации является полезным инструментарием при разработке определенных политик. То есть разработка модели защиты информации методологически является составной частью процесса разработки политики безопасности информации в организации (на предприятии).
|
|
|
Политика безопасности информации в организации (на предприятии). Под политикой безопасности информации понимается совокупность документированных управленческих решений, направленных на защиту информационных ресурсов компании, что позволяет обеспечить эффективное управление и поддержку политики в области безопасности информации со стороны руководства организации (предприятия).
С другой стороны, политику безопасности информации следует рассматривать как набор законов, правил, практических рекомендаций и практического опыта, определяющих управленческие и проектные решения в области безопасности информации. На ее основе строится управление, защита и распределение в системе информации, подлежащей защите. Она должна охватывать все особенности процесса обработки информации, определяя ведение его во всех бизнес-процессах организации (предприятия) в различных ситуациях.
Положение о категорировании ресурсов в организации (на предприятии). Данный документ является основой для определения объектов, подлежащих защите, и определяет приоритеты в обеспечении защиты этих объектов. Положение содержит:
формулировку целей введения классификации ресурсов (оборудование связи, базы данных, АРМ, задачи, информация, каналы передачи и т.д.), используемых организацией (предприятием) по степеням (категориям) защищенности; предложения по числу и названиям категорий защищаемых ресурсов и критериям классификации ресурсов по требуемым степеням защищенности (категориям);
определение мер и средств защиты информации, обязательных и рекомендуемых к применению для ресурсов различных категорий;
общие положения, специальные термины и определения, встречающиеся в документе;
образец формуляра ресурса (для учета требуемой степени защищенности (категории), комплектации, конфигурации и перечня задач, в обеспечении которых участвует категорируемый ресурс);
образец формуляра функциональных задач (для учета их характеристик, категорий пользователей задач и их прав доступа к информационным ресурсам данных задач).
План защиты от несанкционированного доступа к информации и незаконного вмешательства в процесс функционирования организации (предприятия). Данный документ детализирует концепцию безопасности информации в части, касающейся:
определения целей, задач защиты информации и основных путей их достижения (решения);
требований поорганизации и проведению работ позащите информации в организации (на предприятии);
описания применяемых мер и средств защиты информации от рассматриваемых угроз, общих требований к настройкам применяемых средств защиты информации от НСД;
распределения ответственности за реализацию мероприятий по защите информации между должностными лицами и структурными подразделениями организации (предприятия).
Положение о порядке обращения с информацией, подлежащей защите в организации (на предприятии). Настоящий документ содержит:
определение основных видов защищаемых (конфиденциальных) сведений (информационных ресурсов);
общие вопросы организации учета, хранения и уничтожения документов и магнитных и иных носителей конфиденциальной информации;
порядок передачи (предоставления) конфиденциальных сведений третьим лицам;
определение ответственности за нарушение установленных правил обращения с защищаемой информацией;
форму типового Соглашения (обязательства) сотрудника организации (предприятия) о соблюдении требований обращения с защищаемой информацией.
Положение о подразделении защиты информации организации (предприятия). Настоящий документ содержит: общие положения по руководству подразделением; основные задачи и функции подразделения; права, обязанности и ответственность подразделения; организационно-штатную структуру подразделения.
|
|
|
Должностные инструкции сотрудников подразделения службы защиты информации организации (предприятия). Данные документы содержат: общие положения по руководителя службы и его подчиненных; основные задачи и функции; права, обязанности и ответственность.
Инструкция о порядке действий сотрудников организации (предприятия) в нештатных ситуациях. Документ определяет общие положения, общий порядок действий при возникновении нештатных ситуаций, особенности действий при возникновении наиболее распространённых нештатных ситуаций, меры профилактики против возникновения нештатных ситуаций.
План обеспечения непрерывной работы и восстановления информации в организации (на предприятии). Документ содержит:
классификацию возможных (значимых) кризисных ситуаций и указание источников получения информации о возникновении кризисной ситуации;
перечень основных мер и средств обеспечения непрерывности процесса функционирования и своевременности восстановления его работоспособности;
общие требования к подсистеме обеспечения непрерывной работы и восстановления;
типовые формы для планирования резервирования ресурсов подсистем и определения конкретных мер и средств обеспечения их непрерывной работы и восстановления;
порядок действий и обязанности персонала по обеспечению непрерывной работы и восстановления работоспособности системы.
Положение о главном администраторе безопасности информации организации (предприятия). Положение об администраторе безопасности информации подразделения организации (предприятия). Положение об администраторах безопасности информации организации (предприятия).
Настоящие документы содержат:
общие положения, основные задачи и функции администраторов безопасности информации;
основные права и обязанности администраторов по поддержанию требуемого режима безопасности информации;
|
|
|
ответственность администраторов за реализацию принятой политики безопасности информации в пределах своей компетенции.
Таким образом, данные документы являются фактически должностными инструкциями для администраторов безопасности информации организации (предприятия).
Инструкция по работе с ключевыми материалами организации (предприятия). Документ определяет правила работы для всех сотрудников организации (предприятия) и содержит правила создания, использования, хранения и уничтожения ключевой информации (ключей шифрования, подписи, доступа и т.д.) для систем и средств, в которых нормы работы с ключевой информацией не определены производителем или иным нормативным документом.
Инструкция по организации антивирусной защиты в организации (на предприятии). Документ содержит общие положения, сведения об установке и обновлении антивирусных средств, порядке проведения антивирусного контроля, действиях сотрудников при обнаружении компьютерного вируса, ответственности при организации антивирусной защиты.
Инструкция по организации парольной защиты в организации (на предприятии). Документ содержит правила формирования личного пароля, информацию о порядке смены личных паролей, вводе пароля, хранении пароля, действиях в случае утери и компрометации пароля, ответственности при организации парольной защиты.
Инструкция по работе с эталонным программным обеспечением организации (предприятии). Документ устанавливает порядок получения ПО от разработчика, проверки целостности эталонного ПО, хранения эталонного ПО, установки ПО, обновления ПО.
Инструкция о резервном копировании информации в организации (на предприятии). Документ определяет периодичность резервного копирования данных, порядок резервного копирования данных, восстановления ПО и данных после сбоя.
Памятка сотрудникам организации (предприятия). Документ определяет общие обязанности сотрудников подразделений при работе со средствами и системами защиты информации и ответственность за нарушение установленных порядков. Документ содержит перечень нормативной документации по обеспечению безопасности информации, действующей в организации (на предприятии).
Инструкция по внесению изменений в списки пользователей организации (предприятия). Документ определяет процедуру регистрации, предоставления или изменения прав доступа пользователей к ресурсам
Инструкция по модификации технических и программных средств организации (предприятия). Документ регламентирует взаимодействие подразделений организации (предприятия) для обеспечения безопасности информации при проведении модификаций программного обеспечения и технического обслуживания средств вычислительной техники.
