Концепция ИБ организации (предприятия).
Модель защиты информации.
Политика БИ.
Положение о категорировании ресурсов.
План защиты от несанкционированного доступа к информации и незаконного вмешательства в процесс функционирования организации (предприятия).
Положение о подразделении защиты информации.
Инструкция о порядке действий в нештатных ситуациях.
План обеспечения непрерывной работы и восстановления.
Положение о главном администраторе безопасности информации организации (предприятия).
Положение об администраторе безопасности информации подразделения.
Положение об администраторах безопасности информации.
Инструкция по работе с ключевыми материалами.
Инструкция по организации антивирусной защиты.
Инструкция по организации парольной защиты.
Инструкция по работе с эталонным программным обеспечением.
Инструкция о резервном копировании информации.
Памятка сотрудникам.
Инструкция по внесению изменений в списки пользователей.
Инструкция по модификации технических и программных средств.
|
|
Документооборот
Концепция ИБ организации (предприятия).
Модель защиты информации.
Политика БИ.
Порядок обращения с информацией, подлежащей защите.
Инструкция о порядке действий в нештатных ситуациях.
План обеспечения непрерывной работы и восстановления.
Положение об администраторах информационной безопасности
Инструкция по работе с ключевыми материалами.
Инструкция по организации антивирусной защиты.
Инструкция по организации парольной защиты.
Инструкция о резервном копировании информации.
Памятка сотрудникам.
Заключение и сопровождение договоров
Концепция ИБ организации (предприятия).
Положение о категорировании ресурсов.
План защиты от несанкционированного доступа к информации и незаконного вмешательства в процесс функционирования организации (предприятия).
Порядок обращения с информацией, подлежащей защите.
Положение о подразделении защиты информации.
Инструкция о порядке действий в нештатных ситуациях.
Памятка сотрудникам.
Приложение
Для работы СлЗИ необходимо подготовить ряд нормативных документов:
1. Положение о СлЗИ.
2. Инструкцию по безопасности конфиденциальной информации.
3. Перечень сведений составляющих конфиденциальную информацию.
4. Инструкцию по работе с конфиденциальной информацией.
5. Должностные инструкции сотрудников СлЗИ.
6. Инструкцию по обеспечению пропускного режима в организации.
7. Памятку работнику (служащему) о сохранении конфиденциальной информации.
Для обеспечения полноценной организационной и правовой защиты информации необходимо разработать пакет документов, включающий в себя:
|
|
1. Положение о конфиденциальной информации организации.
2. Перечень документов организации, содержащих конфиденциальную информацию.
3. Инструкция по защите конфиденциальной информации в информационной системе организации.
4. Предложения по внесению изменений в Устав организации.
5. Предложения по внесению изменений в трудовой договор, контракт с руководителем и коллективный договор;
6. Соглашение о неразглашении конфиденциальной информации организации с сотрудником.
7. Обязательство сотрудника о неразглашении конфиденциальной информации организации при увольнении.
8. Предложения о внесении изменений в Правила внутреннего распорядка организации (в части регламентации мер физическо защиты информации и вопросов режима).
9. Предложения о внесении изменений в должностное (штатно) расписание организации (штат Службы защиты информации).
10. Предложения о внесении дополнений в должностные инструкции всему персоналу.
11. Ведомость ознакомления сотрудников организации с Положением о конфиденциальной информации и Инструкцией по защите конфиденциальной информации в информационной системе организации.
12. План проведения занятий с персоналом по сохранению и неразглашению конфиденциальной информации.
13. Предложения о внесении изменений в структуру интервью при приеме на работу (уточнение обязательств информационного характера с последних мест работы);
14. Предложения о внесении дополнений в стандартные договор с контрагентами.
Эти документы играют важную роль в обеспечении безопасности информации в организации.
Документационное обеспечение защиты должно начинать с внесения дополнений в Устав организации. Например:
«Организация имеет право самостоятельно устанавливать объем сведений, составляющих коммерческую и иную охраняемую законом тайну и порядок ее защиты».
«Общество имеет право в целях защиты экономического суверенитета требовать от персонала, партнеров, контрагентов и иных физических и юридических лиц, учреждений и организаций обеспечения сохранности конфиденциальных сведений организации на основании договоров, контрактов и других документов».
Для разработки всех документов, затрагивающих вопросы работы с конфиденциальной информацией необходимо в первую очередь разработать «Положение о конфиденциальной информации». Формат всех документов, регулирующих защиту конфиденциально информации, утверждается приказом руководителя. Положение же является основным документом организации, регламентирующим вопросы оборота конфиденциальной информации. Все базовые моменты, связанные с этим процессом, закладываются именно здесь.
Положение содержит основные обязанности сотрудников по обеспечению сохранности конфиденциальной информации. Для усиления этой составляющей системы защиты необходимо обязанности персонала доводить также в форме включения в должностные инструкции и дополнительно выдавать специальные памятки. Все это должно происходить строго под роспись.
Неотъемлемым приложением к Положению является Перечень документов, содержащих конфиденциальную информацию. Его наличие в организации носит принципиальный характер, так как невозможно требовать от работников неразглашения абстрактной конфиденциальной информации, как иногда указывают в обязательственных документах: «сохранять ноу-хау, деловые секреты, служебные сведения». Защищается только документированная информация, следовательно, необходимо как можно конкретнее описать все группы и виды конфиденциально документации. В качестве основы для установления контроля над доступом к информации компании берется классификация информации по уровню конфиденциальности, в зависимости от содержания и возможных последствий в случае утраты информации или злоупотреблений.