- •Организационно-планирующие документы по защитЕ информации, разрабатываемые в организации (на предприятии)
- •Введение
- •Вопрос 1. Анализ нормативного обеспечения информационной безопасности в рф Вопрос 1.1. Законодательный уровень и общефедеральные программы Законодательный уровень
- •Общегосударственные программы
- •Государственные стандарты
- •Вопрос 1.2. Уровень нормативных документов министерств и ведомств Документы Федеральной службы по техническому и экспортному контролю (фстэк)
- •Вопрос 1.3. Нормативные документы коммерческих организаций (предприятий)
- •2. Распределение функций по защите информации среди персонала службы защиты информации к организации (предприятия):
- •Вопрос 2. Общая структура нормативной документации по обеспечению безопасности информации в организации (на предприятия)
- •Вопрос 3. Характеристика отдельных нормативных документов по обеспечению безопасности информации в организации (на предприятии)
- •Вопрос 4. Соответствие типовых процессов и типового состава нормативной документации по обеспечению безопасности информации в организации (на предприятии)
- •Приложение
Государственные стандарты
Государственные стандарты обеспечивают единый подход к обеспечению информационной безопасности и, хотя в настоящее время (в связи с принятием закона «О техническом регулировании») носят рекомендательный характер, создают хорошую базу для разработки документов по защите информации. Сами же стандарты нормативными документами прямого действия для обеспечения процесса информационной безопасности служить не могут.
Вопрос 1.2. Уровень нормативных документов министерств и ведомств Документы Федеральной службы по техническому и экспортному контролю (фстэк)
Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения аппаратами федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, органами местного самоуправления и организациями.
В связи с этим нормативные документы ФСТЭК обладают следующими особенностями:
регламентируют в основном использование технических средств защиты информации от утечки по побочным каналам;
не регулируют вопросы, связанные с использованием средств шифрования и электронной подписи;
направлены на нормативное обеспечение деятельности специальных подразделений по защите информации в государственных организациях;
устанавливают права и обязанности ФСТЭК;
регулируют оборот средств технической защиты информации;
часто имеют характер методических указаний по разработке иных нормативных документов;
устанавливают режим лицензирования и сертификации.
Анализ документов показывает, что на их основе может быть разработана часть нормативной документации по защите информации коммерческих компаний. При этом лишь малая часть этих документов может быть использована для регулирования деятельности по защите информации в коммерческой компании, большая часть требует адаптации.
Для того чтобы провести полный анализ нормативных документов ФСТЭК, необходимо понять цели и задачи, стоящие перед этой организацией.
В результате можно говорить о том, что нормативные документы по обеспечению безопасности информации, специфичные для государственных учреждений, описывают следующие процессы:
использование сертифицированных средств защиты информации;
работу со сведениями, составляющими государственную тайну;
взаимодействие с органами государственной власти.
Прочие нормативные документы, разрабатываемые государственными организациями, не отличаются по составу от стандартного набора документов коммерческих компаний.
Вопрос 1.3. Нормативные документы коммерческих организаций (предприятий)
Нормативные документы по защите информации коммерческих организаций (предприятий) разрабатываются:
для адаптации существующих требований по защите информации и обеспечению информационной безопасности к нуждам организаций (предприятий);
восполнения пробелов в системе нормативных документов федерального и отраслевого уровня;
внедрения международных стандартов по ИБ;
реализации выбранной модели обеспечения ИБ.
Указанные нормативные документы коммерческих организаций (предприятий) должны обеспечить:
соответствие системы защиты информации законодательству Российской Федерации, государственным стандартам и нормативным документам ведомств, уполномоченных государством в качестве регулирующих деятельность в области защиты информации;
документальное определение защищаемых информационных ресурсов и порядка отнесения ресурсов к защищаемым и установление порядка доступа к ним;
организацию процесса разработки и реализации приказов, инструкций, методик и других документов по обеспечению безопасности информации в организации (предприятии) и дочерних структурах в соответствии со спецификой их деятельности;
регулирование физической защиты (режима доступа и охраны, противопожарной и технологической защиты) зданий и помещений, где установлены или хранятся средства обработки информации и/или ее носители, производятся работы с защищаемой информацией;
регламентирование вопросов защиты информации и соблюдения режима конфиденциальности при подготовке и во время ведения переговоров (деловых встреч) с отечественными и зарубежными партнерами, а также в договорах о сотрудничестве и выполнении работ в интересах организации (предприятия) с другими организациями;
установление персональной ответственности (в том числе материальной) за обеспечение безопасности информации с отражением соответствующих положений в контрактах (трудовых соглашениях) с сотрудниками, положениях о поощрениях и взысканиях.
подготовку персонала, работающего с защищаемой информацией, по вопросам информационной безопасности;
регулярный аудит (в том числе активный) существующей системы безопасности в соответствии с разработанным регламентом.
На основании вышеизложенного в рамках нормативного обеспечения коммерческих организаций (предприятий) по защите информации выделяются следующие направления:
1. Создание нормативных документов, регламентирующих деятельность самой организации (предприятия) и персонала в области безопасности информации, регулирующих отношения с государством и с коллективом сотрудников.
К таким документам относятся:
Устав организации (предприятия). В него необходимо внести дополнения «организация (предприятие) имеет право определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну, требовать от своих сотрудников обеспечения ее сохранности». «Организация (предприятие) должна обеспечивать сохранность коммерческой тайны». Внесение этих дополнений дает право администрации организации (предприятия) создавать организационные структуры по защите информации, издавать нормативно-распорядительные документы, определяющие порядок выделения сведений, составляющих коммерческую тайну, и их защиты, В данном случае в понятие защиты включаются также требования по защите в договорах по всем видам хозяйственной деятельности, по защите интересов компании перед государственными и судебными органами, распоряжающимися информацией, являющейся собственностью компании, в целях извлечения выгоды, и недопущения экономического ущерба коллективу компании и собственнику информации.
Перечень сведений, составляющих коммерческую тайну организации (предприятия). Данный перечень может быть конкретизирован до каждого должностного лица и доведен до каждого сотрудника в рамках его должностных обязательств.
Договор с сотрудниками, который должен содержать следующий пункт: «администрация обязуется обеспечить разработку и осуществление мероприятий по определению и защите информации, а сотрудники принимают на себя обязательства по соблюдению установленных в организации (на предприятии) требований по защите информации».
Правила внутреннего трудового порядка.
Порядок приема и увольнения сотрудников.