- •12. Технологическое и организационное построение ксзи
- •12.1 Общее содержание работ по организации ксзи
- •Раздел 1. Характеристика предприятия, как объекта защиты.
- •Раздел 2. Цели ксзи формулируются в Концепции исходя из изложенных нами выше, применительно к специфике деятельности предприятия.
- •Раздел 3. Типовые задачи ксзи:
- •Раздел 4. Принципы создания и функционирования ксзи (типовые):
- •Раздел 5. Классификация опасных воздействующих факторов и угроз информационной инфраструктуре предприятия, в том числе:
- •Раздел 6. Организация защиты информации на предприятии:
- •12.2 Характеристика основных стадий создания ксзи Организационное направление работ по созданию ксзи
- •Техническое направление работ по созданию ксзи
- •12.3 Назначение и структура технического задания (общие требования к содержанию)
- •12.4 Предпроектное обследование, технический проект, рабочий проект. Апробация и ввод в эксплуатацию
- •13 Кадровое обеспечение функционирования комплексной системы защиты информации
- •13.1 Специфика персонала предприятия как объекта защиты
- •13.2 Распределение функций по защите информации
- •13.2.1 Функции руководства предприятия
- •13.2.2 Функции службы защиты информации
- •13.2.3 Функции специальных комиссий
- •13.2.4 Обязанности пользователей защищаемой информации
- •13.3 Обеспечение взаимодействия между субъектами, защищающими и использующими информацию ограниченного доступа
- •13.4 Подбор и обучение персонала
- •14. Материально-техническое и нормативно-методическое обеспечение комплексной системы защиты информации
- •14.1 Значение материально-технического обеспечения функционирования ксзи, его состав
- •Перечень вопросов зи, требующих документационного закрепления
- •15. Назначение, структура и содержание управления ксзи
- •15.1 Понятие, сущность и цели управления ксзи
- •15.2 Принципы управления ксзи
- •15.3 Структура процессов управления
- •15.4 Основные процессы, функции и задачи управления ксзи
- •15.5. Основные стили управления
- •15.6. Структура и содержание общей технологии управления ксзи
- •16. Принципы и методы планирования функционирования ксзи
- •16.1 Понятие и задачи планирования функционирования ксзи
- •16.2 Способы и стадии планирования
- •16.3 Факторы, влияющие на выбор способов планирования
- •16.4 Основы подготовки и принятия решений при планировании
- •16.5 Методы сбора, обработки и изучения информации, необходимой для планирования
- •16.6 Организация выполнения планов
Перечень вопросов зи, требующих документационного закрепления
На основе концепции защиты информации (концепции безопасности предприятия), законодательства и иных нормативных документов в информационной области, с учетом уставных положений и специфики деятельности предприятия определяется и разрабатывается комплект внутренних нормативных и методических документов, как правило, включающий:
перечни сведений, подлежащих защите на предприятии;
документы, регламентирующие порядок обращения сотрудников предприятия с информацией, подлежащей защите;
положения об управлениях и отделах (разделы по ЗИ);
документы по предотвращению несанкционированного доступа к информационным ресурсам и АС;
документы, регламентирующие порядок взаимодействия предприятия со сторонними организациями по вопросам, связанным с обменом информацией;
документы, регламентирующие пропускной и внутриобъектовый режим;
документы, регламентирующие порядок эксплуатации автоматизированных систем предприятия;
документы, регламентирующие действия должностных лиц и персонала предприятия в условиях чрезвычайных ситуаций, обеспечения бесперебойной работы и восстановления;
планы защиты автоматизированных систем предприятия;
документы, регламентирующие порядок разработки, испытания и сдачи в эксплуатацию программных средств;
документы, регламентирующие порядок закупки программных и аппаратных средств (в т.ч. средств защиты информации);
документы, регламентирующие порядок эксплуатации технических средств связи и телекоммуникации.
Инструкция по обеспечению защиты информации от несанкционированного доступа содержит:
определение целей, задач защиты информации в АС и основных путей их достижения (решения);
требования по организации и проведению работ по защите информации в АС,
описание применяемых мер и средств защиты информации от рассматриваемых угроз, общих требований к настройкам применяемых средств защиты информации от НСД;
распределение ответственности за реализацию "Инструкции…" между должностными лицами и структурными подразделениями организации.
"Положение о категорировании ресурсов АС" содержит:
формулировку целей введения классификации ресурсов (АРМ, задач, информации, каналов передачи) по степеням (категориям) защищенности;
предложения по числу и названиям категорий защищаемых ресурсов и критериям классификации ресурсов по требуемым степеням защищенности (категориям);
определение мер и средств защиты информации, обязательных и рекомендуемых к применению на АРМ различных категорий;
образец формуляра ЭВМ (для учета требуемой степени защищенности (категории), комплектации, конфигурации и перечня решаемых на ЭВМ задач);
образец формуляра решаемых на ЭВМ АС функциональных задач (для учета их характеристик, категорий пользователей задач и их прав доступа к информационным ресурсам данных задач).
"Порядок обращения с информацией, подлежащей защите" содержит:
определение основных видов защищаемых сведений (информационных ресурсов);
общие вопросы организации учета, хранения и уничтожения документов и магнитных носителей ИОД;
порядок передачи (предоставления) ИОД третьим лицам;
определение ответственности за нарушение установленных правил обращения с защищаемой информацией;
форму типового Соглашения (обязательства) сотрудника организации о соблюдении требований обращения с защищаемой информацией.
"План обеспечения непрерывной работы и восстановления" включает:
общие положения (назначение документа);
классификацию возможных (значимых) кризисных ситуаций и указание источников получения информации о возникновении кризисной ситуации;
перечень основных мер и средств обеспечения непрерывности процесса функционирования АС и своевременности восстановления ее работоспособности;
общие требования к подсистеме обеспечения непрерывной работы и восстановления;
типовые формы для планирования резервирования ресурсов подсистем АС и определения конкретных мер и средств обеспечения их непрерывной работы и восстановления;
порядок действий и обязанности персонала по обеспечению непрерывной работы и восстановлению работоспособности системы.
"Положение об отделе технической защиты информации" содержит:
общие положения, руководство отделом;
основные задачи и функции отдела;
права и обязанности начальника и сотрудников отдела, ответственность;
организационно-штатную структуру отдела.
"Обязанности администратора информационной безопасности подразделения" содержат:
основные права и обязанности по поддержанию требуемого режима безопасности;
ответственность за реализацию принятой политики безопасности, в пределах своей компетенции.
"Памятка пользователю АС предприятия" определяет общие обязанности сотрудников подразделений при работе со средствами АС и ответственность за нарушение установленных порядков.
"Инструкция по внесению изменений в списки пользователей" определяет процедуру регистрации, предоставления или изменения прав доступа пользователей к ресурсам АС.
"Инструкция по модификации технических и программных средств" регламентирует взаимодействие подразделений предприятия по обеспечению безопасности информации при проведении модификаций программного обеспечения и технического обслуживания средств вычислительной техники;
"Инструкция по организации парольной защиты" регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе предприятия, также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.
"Инструкция по организации антивирусной защиты" содержит:
требования к закупке, установке антивирусного программного обеспечения;
порядок использования средств антивирусной защиты, регламенты проведения проверок и действия персонала при обнаружении вирусов;
распределение ответственности за организацию и проведение антивирусного контроля.
Перечень внутренних организационно-распорядительных документов для объекта ВТ:
техническое задание на СЗИ объекта информатизации.
технический паспорт объекта вычислительной техники.
схема размещения основных и вспомогательных средств и систем, устройств защиты и схема прокладки систем электропитания и заземления объекта информатизации в помещении.
схема контролируемой зоны предприятия.
инструкция по защите сведений, отнесенных к государственной тайне, при обработке на средствах ВТ;
приказ «Об организации обработки информации, содержащей ГТ, на объекте ВТ»;
перечень лиц, которым разрешен доступ к обработке информации на АРМ»;
инструкция пользователя СВТ;
положение об администраторе безопасности;
положение о пропускном и внутриобъектовом режиме;
руководство по защите информации.
технологическая схема обработки ИОД на АРМ.
перечень задач, выполняемых на АРМ.
паспорта задач, выполняемых на АРМ.
акт категорирования объекта ВТ.
заключение и предписание на эксплуатацию ПЭВМ по результатам проведения спецпроверки.
протокол специальных исследований АРМ на базе ПЭВМ.
заключение по результатам оценки защищенности объекта ВТ.
предписание на эксплуатацию объекта ВТ.
документы, подтверждающие освоение учебных программ должностными лицами и специалистами по ЗИ.