- •Календарний план
- •Реферат
- •Перелік умовних скорочень
- •Розділ 1. Огляд та аналіз нормативно-правового простору
- •1.1. Огляд законів України із забезпечення захисту інформації
- •1.2. Аналіз нормативно-методичних документів України з захисту інформації
- •Огляд та аналіз міжнародних стандартів по створенню політики інформаційної безпеки
- •Розділ 2. Нормативні посилання
- •Розділ 3. Бізнес-модель об’єкту комерційного підприємства
- •3.1. Охоронна сигналізація
- •3.2. Відеоспостереження та контроль доступу
- •3.3. Система пожежної сигналізації
- •3.4. Основні вимоги техніки безпеки
- •Розділ 4. Розробка корпоративного документа «політика інформаційної безпеки»
- •4.1. Введення
- •4.2. Політики інформаційної безпеки Компанії
- •4.3. Організація системи управління інформаційною безпекою
- •4.4. Політики інформаційної безпеки
- •4.5. Політика облікових записів
- •4.6. Політика захисту арм
- •4.7. Порядок супроводу іс Компанії
- •Висновки
- •Перелік використаних джерел
4.2. Політики інформаційної безпеки Компанії
Політики інформаційної безпеки Компанії - це сукупність норм,правил і практичних рекомендацій, на яких будується управління, захист і розподіл інформації в Управлінні.
Під політиками безпеки розуміється сукупність документованих управлінських рішень, спрямованих на захист інформації та асоційованих з нею ресурсів.
Політики інформаційної безпеки відносяться до адміністративних заходів забезпечення інформаційної безпеки та визначають стратегію Компанії в області ІБ.
Політики інформаційної безпеки (далі, ПБ) регламентують ефективну роботу засобів захисту інформації. Вони охоплюють всі особливості процесу обробки інформації, визначаючи поведінку ІС та її користувачів в різних ситуаціях. Політики інформаційної безпеки реалізуються за допомогою адміністративно-організаційних заходів, фізичних і програмно-технічних засобів і визначає архітектуру системи захисту.
Всі документально оформлені рішення, що формують Політики, повинні бути затверджені начальником Компанії.
Основні принципи забезпечення ІБ
Основними принципами забезпечення ІБ є наступні:
Постійний і всебічний аналіз інформаційного простору суспільства з метою виявлення вразливостей інформаційних активів.
Своєчасне виявлення проблем, потенціально здатних вплинути на ІБ суспільства, коректування моделей загроз і порушника.
Розробка та впровадження захисних заходів, адекватних характеру виявлених загроз, з урахуванням витрат на їх реалізацію. При цьому заходи, що вживаються для забезпечення ІБ, не повинні ускладнювати досягнення статутних цілей Компанії, а також підвищувати трудомісткість технологічних процесів обробки інформації.
Контроль ефективності прийнятих захисних заходів.
Персоніфікація та адекватний поділ ролей і відповідальності між співробітниками установи, виходячи з принципу персональної та одноосібної відповідальності за вчинені операції.
Відповідність ПБ чинному законодавству
Правову основу політік складають закони України та інші законодавчі акти, що визначають права і відповідальність громадян, співробітників і держави у сфері безпеки, а також нормативні, галузеві та відомчі документи, з питань безпеки інформації, затверджені органами державного управління різного рівня в межах їх компетенції .
Про відповідальність за реалізацію політик інформаційної безпеки
Відповідальність за розробку заходів і контроль забезпечення захисту інформації несе адміністратор інформаційної безпеки.
Відповідальність за реалізацію політік покладається:
в частині, що стосується розробки та актуалізації правил зовнішнього доступу і управління доступом, антивірусного захисту, а також доведення правил політик до співробітників Компанії - на адміністратора інформаційної безпеки;
в частині, що стосується виконання правил політікі, - на кожного співробітник а Компанії, згідно з їх посадовим і функціональними обов'язками, і інших осіб, що потрапляють під область дії теперішній ї політики.
Порядок підготовки персоналу з питань інформаційної безпеки та допуску його до роботи
Організація сповіщення співробітників Компанії в області інформаційної безпеки покладається на адміністратора інформаційної безпеки. Підписи співробітників про ознайомлення заносяться в «Журнал проведення інструктажу з інформаційної безпеки». Навчання співробітників Компанії правилам поводження з конфіденційною інформацією, проводиться шляхом:
проведення адміністратором інформаційної безпеки інструктивних занять з співробітниками, які приймаються на роботу в Компанії;
самостійного вивчення співробітниками внутрішніх нормативних документів Компанії.
Допуск персоналу до роботи з захищеними інформаційними ресурсами Компанії здійснюється тільки після його ознайомлення зі справжніми політікамі, а також після ознайомлення користувачів з «Інструкцією по роботі користувачів в АС Компанії», так само іншими інструкціями користувачів окремих інформаційних систем. Згода на дотримання правил і вимог справжніх політік підтверджується підписами співробітників в «Журналі проведення інструктажу з інформаційної безпеки».
Допуск персоналу до роботи з конфіденційною інформацією Компанії здійснюється після ознайомлення з «Інструкцією щодо поводження з носіями конфіденційної інформації ». Правила допуску до роботи з інформаційними ресурсами осіб, які не є співробітниками Компанії, визначаються на договірній основі з цими особами або з організаціями, представниками яких є ці особи.