- •Основные угрозы безопасности информации. Антропогенные источники угроз.
- •Общее представление об организационной защите информации.
- •Основные организационные меры защиты информации (регламентация, побуждение и т.Д.).
- •Основные управленческие (организационные) мероприятия по защите информации.
- •Ограничительные меры по защите информации (регламенты и т.Д.)
- •Информационная безопасность: основные представления о риске и ущербе
- •Методология анализа рисков
- •Качественная оценка рисков
- •Количественная оценка рисков.
- •Методы экспертных оценок. Стадии экспертного опроса при анализе информационных рисков.
- •Основные проблемы при анализе рисков
- •Категорирование защищаемых информационных ресурсов
- •Система видеонаблюдения при защите информации
- •Система пожарной сигнализации объекта: общие представления
- •Организационно-технические мероприятия по защите информации
- •Основные представления о зонах безопасности при организации защиты информации
- •Подбор кадров и методы работы с персоналом для обеспечения иб объекта
- •Особенности приема сотрудников, связанных с владением конфиденциальной информацией
- •Способы обеспечения эффективной работы персонала по информационной безопасности
- •Контроль и мотивация сотрудников при организации защиты информации
- •Особенности увольнения сотрудников, владеющих конфиденциальной информацией
- •Защита информации при авариях, иных экстремальных ситуациях и в условиях чрезвычайного положения
- •Обобщенная схема анализа риска
- •Организационно-режимные процессы по планированию восстановления информационной безопасности в условиях чс
- •Мероприятия по подготовке к чс
- •Организация пропускного режима на предприятии
- •Организация внутриобъектового режима на предприятии
- •Порядок пропуска транспортных средств
- •Организация режима и охраны мобильных устройств и объектов в процессе транспортировки
- •Технологии обеспечения информационной безопасности: основные представления.
- •Организация и обеспечение конфиденциального делопроизводства
- •Последовательность работы с конфиденциальной информацией
- •Организация процесса обеспечения защиты конфиденциальной информации
- •Защита информации при проведении совещаний и переговоров
- •Защита информации на выставках
- •Защита информации при работе с посетителями
- •Основные представления о политике информационной безопасности
- •Регламенты процессов защиты информации
- •Защита персональных данных в автоматизированных системах
- •Защита персональных данных в неавтоматизированных системах
- •II. Особенности организации
- •III. Меры по обеспечению безопасности
Защита информации на выставках
Защита информации при работе с посетителями
Работа референта с посторонним посетителем состоит из следующих этапов:
подготовительный этап;
идентификация и регистрация посетителя(предназначен для согласования возможности и условий приема посетителя руководством или сотрудником фирмы.);
организация приема посетителя руководителем;
организация дальнейших действий посетителя.
Основные представления о политике информационной безопасности
политику информационной безопасности можно определить как свод формальных правил, которые необходимо соблюдать при работе с информацией для обеспечения существования и развития компании.
Цели и состав политики ИБ:
Основной целью политики ИБ является общее описание правил работы с информацией компании. Наличие сформулированных и закрепленных на бумаге правил обеспечения информационной безопасности позволит достичь:
Стабильность защиты.
Независимость защиты от личных и профессиональных качеств исполняющего персонала.
Возможность контроля как защиты так и процедур обработки информации.
Требования к политике ИБ:
Политика информационной безопасности должна описывать в своем содержании:
Цель.
Область применения.
Требования к защите.
Ответственность за нарушение.
Расшифровка специальных терминов. При необходимости.
Периодичность и учет пересмотра (изменения).
Заключение:
Политика ИБ является важным документом без которого невозможно обеспечить эффективную защиту информации. Однако политика это не самоцель, она всего лишь элемент процесса управления или менеджмента безопасности. Этот процесс также составляют подготовительный этап, этап внедрения защитных мер, этап мониторинга и этап улучшения.
Регламенты процессов защиты информации
Регламент -документ, который перечисляет и описывает по порядку этапы (шаги), которые должен предпринимать участник или группа участников для выполнения бизнес-процесса, как правило, с указанием требуемых сроков выполнения этапов (шагов).
Федеральные законы
Федеральный закон от 27 июля 2006 г. N 152-ФЗ о персональных данных
Федеральный закон от 19 декабря 2005 г. N 160-ФЗ о ратификации конвенции совета Европы о защите физических лиц при автоматизированной обработке персональных данных
Федеральный закон от 8 августа 2001 г. N 128-ФЗ о лицензировании отдельных видов деятельности
Постановления правительства
Постановление от 15 сентября 2008 г. N 687 об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации
Постановление от 17 ноября 2007 г. N 781 об утверждении положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных
Постановление от 6 июля 2008 г. N 512 об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных
Постановление от 15 августа 2006 г. N 504 о лицензировании деятельности по технической защите конфиденциальной информации
Постановление от 29 декабря 2007 г. N 957 об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами
Постановление от 16 марта 2009 г. N 228 о федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций
Указы президента
Указ президента РФ от 6 марта 1997 г. N 188 об утверждении перечня сведений конфидециального характера
Указ президента РФ от 30 мая 2005 г. N 609 об утверждении положения о персональных данных государственного гражданского служащего РФ и ведении его личного дела
"Доктрина информационной безопасности Российской Федерации" (утв. Президентом РФ 09.09.2000 N Пр-1895)
Документы ФСБ России
Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации
Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных
Документы ФСТЭК России
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных
Приказ от 13 февраля 2008 г. N 55 об утверждении порядка проведения классификации информационных систем персональных данных
Приказ от 5 февраля 2010 г. N 58 об утверждении положения о методах и способах защиты информации в информационных системах персональных данных
Документы Роскомнадзора
Приказ от 17 июля 2008 г. N 08 об утверждении образца формы уведомления об обработке персональных данных
Приказ от 1 декабря 2009 г. N 630 об утверждении административного регламента проведения проверок федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций при осуществлении федерального государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных
Приказ от 30 января 2010 г. N 18 об утверждении административного регламента федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по исполнению государственной функции ведения реестра операторов, осуществляющих обработку персональных данных
Международные документы
Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера (рус.)
Конвенция о защите частных лиц в отношении автоматизированной обработки данных личного характера (англ.)