- •Сущность и задачи комплексной системы защиты информации.
- •Принципы организации комплексной системы защиты информации.
- •Определение и нормативное закрепление состава защищаемой информации.
- •Выявления состава носителей защищаемой информации при организации ксзи.
- •Выявление и оценка источников, способов и результатов дестабилизирующего воздействия на информацию при организации ксзи.
- •Методика выявления способов воздействия на информацию
- •Выявление каналов нсд к и.
- •Определение компонентов комплексной системы защиты информации.
- •Назначение и структура технического задания на проектирование ксзи.
- •Назначение и структура технико-экономического обоснования на проектирование ксзи.
- •Изучение объекта защиты сводится к сбору и анализу следующей информации:
- •Организационное построение комплексной системы защиты информации: характеристика технического проекта.
- •Организационное построение ксзи: характеристика рабочего проекта.
- •Стадия эксплуатации
- •Кадровое обеспечение функционирования ксзи: определение кадрового состава.
- •Материально-техническое обеспечение ксзи: определение состава материально-технического обеспечения.
- •Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
- •Нормативно-методическое обеспечение ксзи: порядок разработки и внедрения документов.
- •Понятие и цели управления ксзи.
- •Сущность процессов и принципы управления ксзи.
- •Способы и стадии планирования.
- •Структура и общее содержание планов организации и функционирования ксзи.
- •Методы сбора, обработки и изучения информации для планирования ксзи.
- •Признаки чс:
- •Информационная поддержка принятых решений
- •Подготовка мероприятий по комплексной зи на случай возникновения чрезвычайных ситуаций.
- •Классификация подходов по оценке эффективности ксзи и их сравнительный анализ.
- •Характеристика оценочного подхода (на основе формирования требований к защищенности объекта) по оценке эффективности ксзи.
- •Модели оценки эффективности:
- •Метод оценки уровня безопасности и аналитические модели определения базовых и обобщенных показателей уязвимости в ксзи.
- •Методы оценки эффективности ксзи: метод оценки на основе структурных вопросников.
Нормативно-методическое обеспечение комплексной зи: состав нормативно-методических документов по обеспечению функционирования ксзи.
Нормативно-методическое обеспечение КСЗИ на предприятии представляет собой комплекс положений законодательных актов, нормативов, руководящих документов, стандартов, правил, процедур, регламентирующих производственную деятельность и взаимоотношения исполнителей с целью сведения к минимуму риска нежелательных событий – разглашения, утечки и утраты информации. Нормативная база по обеспечению информационной безопасности внутри государства (внутригосударственное право) представляет собой трехступенчатую структуру.
Отметим, что само себе понятие право означает совокупность общеобязательных правил и норм поведения, установленных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий и личностей. Поэтому НМД можно рассматривать как локальные правовые акты предприятия.
Требования, предъявляемые к нормативно-методическому обеспечению КСЗИ:
1. Соответствие разрабатываемых на предприятии нормативных документов, требованиям нормативно-правовых документов государственных органов и ведомственных институтов в части защиты информации.
2. Соответствие разрабатываемых на предприятии нормативных документов требованиям ГОСТов по защите информации.
3. Своевременное внесение изменений и дополнений в действующие на предприятии НМД при изменении нормативно-правовой базы на государственном и ведомственном уровнях.
4. Полная обеспеченность специализированных подразделений необходимыми документами для решения ими всей совокупности задач по защите информации.
5. Отражение в содержании НМД всей специфики работ по защите информации для конкретного предприятия.
Нормативно-правовые документы:
Устав (Учредительный договор)
Коллективный договор
Правила внутреннего трудового распорядка
Трудовой договор (контракт)
Договор о неразглашении (нераспространении) сведений (подписка о неразглашении)
Гражданско-правовые договора
Перечень конфиденциальных сведений
Приказы
Нормативно-организационные документы:
Положение о защите конфиденциальной информации (основные разделы документа)
Положение о службе безопасности предприятия (основные разделы документа)
Положение о подразделении охраны
Положение о подразделении защиты информации (основные разделы документа)
Положение о подразделении режима
Положение о службе защищенного документооборота
Должностные инструкции сотрудников этих служб (основные разделы документа)
Должностная инструкция специалиста (менеджера) по безопасности для небольшой фирмы
Положения о структурных подразделениях, работающих с конфиденциальной информацией
Должностные инструкции сотрудников предприятия, работающих с конфиденциальной информацией.
Нормативно-технологические документы
Инструкция о порядке формирования перечня конфиденциальных ведений
Инструкция по созданию, работе, движению и хранению конфиденциальных документов
Порядок подготовки и проведения конфиденциальных совещаний
Порядок подготовки и проведения конфиденциальных переговоров
Инструкция по защите информации в публикаторской и рекламно-выставочной деятельности
Инструкция по проверке сохранности носителей с конфиденциальной информацией
Инструкция по проверке соблюдения персоналом требований по работе с конфиденциальной информацией
Порядок проведения служебных расследований по фактам утечки конфиденциальной информации
Нормативно-методические и информационные документы (правила, требования, указания, памятки и т.п.).
Методика оценки уровня осведомленности сотрудника
Методика оценки критических расстояний распространения ЭМИ
Памятка сотруднику об основных мерах по защите информации
Специализированные НМД по внутреннему и внешнему электронному документообороту.
Порядок разработки и внедрения НМД
Работа по разработке и внедрению НМД строится на основании приказов руководителя предприятия, распоряжений начальника службы безопасности, утвержденных руководством и согласованных с подразделениями-соисполнителями планов работы по подготовке документов. Для разработки НМД могут создаваться специальные рабочие группы (комиссии).
Все разработанные НМД должны быть согласованы с руководителями структурных подразделениями, работающих с конфиденциальной информацией, и утверждены руководителем предприятия.