- •Оглавление
- •Введение
- •1. Понятие и сущность информационной безопасности
- •1.1 Основные понятия информационной безопасности
- •1.2. Виды и состав угроз информационной безопасности
- •Угрозы промышленного шпионажа и основные способы его ведения
- •1.4. Направления обеспечения информационной безопасности
- •2. Основные виды защищаемой информации
- •2.1. Особенности защищаемой информации
- •2.2. Виды защищаемой информации
- •2.3. Разработка перечня сведений ограниченного доступа на предприятии
- •3. Правовые основы информационной безопасности
- •Система правовой защиты информации
- •3.2. Ответственность за нарушение законодательства в информационной сфере
- •3.3. Отечественные и зарубежные стандарты в области информационной безопасности
- •4. Техническая защита информации
- •4.1. Технические средства защиты информации
- •4.2. Программные средства защиты информации
- •4.3. Программно-технические средства защиты информации
- •5. Физическая защита информации
- •6. Криптографическая защита информации
- •7. Организационная защита информации
- •7.1. Организационные мероприятия по защите информации
- •7.2. Организация подразделения по защите информации
- •7.3. Организация охраны и режима
- •7.4. Организация работы с персоналом в системе информационной безопасности
- •7.5. Организация конфиденциального делопроизводства
- •7.6. Аналитическая работа по выявлению каналов утраты информации
- •7.7. Комплексное управление системой защиты информации
- •7.8. Нормативно-методическое обеспечение защиты информации
- •Заключение
- •Методические указания по выполнению контрольной работы
- •Список литературы
7.8. Нормативно-методическое обеспечение защиты информации
Нормативно-методическое обеспечение защиты информации предназначено для регламентации процессов обеспечения безопасности информации предприятия, в том числе при работе персонала с конфиденциальными сведениями, документами, делами и базами данных.
Оно включаете себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы противодействия пассивным и активным угрозам ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц.
Нормативно-методическое обеспечение базируется на тех обязательных положениях, которые должны содержаться в учредительных и иных основополагающих документах организации и определять правовой статус ее информационной безопасности. Указанные положения позволяют на законных основаниях вести речь о сохранении коммерческой тайны, выделять ценную информацию, составляющую собственность организации и выполнять действия по ее защите.
Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих защиту ценной документированной информации, являются: положение о службе безопасности, положение о службе конфиденциальной документации, должностные инструкции работников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и др.
Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию отражают избранную технологию системы защиты информации. Можно выделить основные регламентирующие документы, имеющие значение для любого предприятия и необходимые при использовании любой системы защиты информации или отдельных элементов такой системы.
Прежде всего, следует назвать Перечень конфиденциальных сведений предприятия и Классифицированный перечень документов, подлежащих защите.
Инструкция по обеспечению безопасности конфиденциальной информации, отражающая:
обязанности сотрудников при работе с конфиденциальной информацией;
порядок доступа работников к конфиденциальным документам и базам данных, оформление доступа;
обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала;
порядок сохранения коммерческой при проведении совещаний, заседаний и переговоров;
требования к помещениям для работы с конфиденциальной информацией;
порядок охраны территории, здания, помещений, транспортных средств и персонала;
пропускной режим помещений, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов;
порядок приема, учета и контроля деятельности посетителей;
требования к защите информации в рекламной и выставочной работе, публикациях, при интервьюировании и собеседованиях;
организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств оргтехники;
ответственность работников за разглашение конфиденциальной информации и утрату ценных документов.
Положение по защите персональных данных на предприятии (в организации), включающее:
перечень и категорию персональных данных, обрабатываемых в информационных системах предприятия;
режим обработки персональных данных;
перечень и характер угроз информационным системам персональных данных;
состав методов и средств защиты персональных данных, обрабатываемых в информационных системах предприятия.
Инструкции по обработке, хранению и движению конфиденциальных документов предназначена для организации работы сотрудников службы конфиденциальной документации, менеджера (референта) по безопасности, управляющего делами, секретаря-референта первого руководителя.
Информационные документы (правила, требования, указания, методики, памятки и т. п.), детализирующие процессы защиты информации, носящие обязательный характер и устанавливающие порядок работы с конфиденциальной информацией и документами отдельных категорий работников, или всех работников в конкретных типовых ситуациях. При необходимости они могут составляться по каждому отдельному работнику.
Правила работы менеджера по безопасности (администратора информационной безопасности) с конфиденциальными документами и базами данных должны отражать:
порядок приема и отправки конфиденциальных документов;
порядок учета (регистрации) поступивших документов;
организацию доступа исполнителей к конфиденциальным документам;
распределение документов по руководителям и исполнителям, ознакомление с документами исполнителей и передачу документов на исполнение;
формирование и ведение справочно-информационного банка данных по конфиденциальным документам;
контроль исполнения документов;
учет и изготовление документов на пишущих устройствах;
оформление и ведение номенклатуры дел;
формирование и хранение (текущее и архивное) дел;
порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя;
защиту информации при ведении телефонных переговоров и передаче информации по факсимильной связи;
защиту информации при работе с ПЭВМ;
построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техники в рабочее и нерабочее время;
ответственность за нарушение правил работы с конфиденциальной документацией и базами данных.
Информационные документы регламентируют требования по единообразному выполнению персоналом определенных видов типовых действий. К таким документам можно отнести, например, Правила обеспечения безопасности и защиты конфиденциальной информации в экстремальных ситуациях, содержащие:
классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите конфиденциальной информации, информации и документов;
порядок (при необходимости — план) эвакуации и охраны документов, дел и баз данных;
порядок (при необходимости — план) эвакуации и оказания помощи персоналу;
порядок охраны имущества, оборудования и технических средств защиты информации;
порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т. п.);
порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций.