Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Литература / Доки по КСЗИ

.doc
Скачиваний:
46
Добавлен:
16.04.2013
Размер:
44.03 Кб
Скачать

Организационно-распорядительные документы по вопросам обеспечения информационной безопасности

1. Перечень документов

Описываемые организационно-распорядительные документы регулируют вопросы обеспечения информационной безопасности в Организациях практически любого масштаба, профиля деятельности и форм собственности.

В состав пакета могут входить следующие организационно-распорядительные документы:

  • "Концепция обеспечения информационной безопасности в АС";

  • "План защиты подсистем АС" (включая концептуальные вопросы);

  • "Положение о категорировании ресурсов АС";

  • "Порядок обращения с информацией, подлежащей защите";

  • "План обеспечения непрерывной работы и восстановления";

  • "Положение об отделе технической защиты информации";

  • "Обязанности главного администратора информационной безопасности Организации";

  • "Обязанности администратора информационной безопасности" (ответственного за обеспечение информационной безопасности в подразделении);

  • "Памятка пользователю АС" (общие обязанности по обеспечению информационной безопасности);

  • "Инструкция по внесению изменений в списки пользователей и наделению их полномочиями доступа к ресурсам АС";

  • "Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств АС";

  • "Инструкция по организации парольной защиты";

  • "Инструкция по организации антивирусной защиты";

2. Краткое описание документов

"Концепция обеспечения информационной безопасности в АС" содержит:

  • общую характеристику объекта защиты (описание состава, функций и существующей технологии обработки данных в типовой АС);

  • формулировку целей создания системы защиты, основных задач обеспечения информационной безопасности и путей достижения целей (решения задач);

  • перечень типичных угроз информационной безопасности и возможных путей их реализации, неформальная модель вероятных нарушителей;

  • основные принципы и подходы к построению системы обеспечения информационной безопасности, меры, методы и средства достижения целей защиты.

"План защиты" от несанкционированного доступа к информации и незаконного вмешательства в процесс функционирования АС содержит:

  • определение целей, задач защиты информации в АС и основных путей их достижения (решения);

  • требования по организации и проведению работ по защите информации в АС,

  • описание применяемых мер и средств защиты информации от рассматриваемых угроз, общих требований к настройкам применяемых средств защиты информации от НСД;

  • распределение ответственности за реализацию "Плана защиты АС" между должностными лицами и структурными подразделениями организации.

"Положение о категорировании ресурсов АС" содержит:

  • формулировку целей введения классификации ресурсов (АРМ, задач, информации, каналов передачи) по степеням (категориям) защищенности;

  • предложения по числу и названиям категорий защищаемых ресурсов и критериям классификации ресурсов по требуемым степеням защищенности (категориям);

  • определение мер и средств защиты информации, обязательных и рекомендуемых к применению на АРМ различных категорий;

  • общие положения, специальные термины и определения, встречающиеся в документе

  • образец формуляра ЭВМ (для учета требуемой степени защищенности (категории), комплектации, конфигурации и перечня решаемых на ЭВМ задач);

  • образец формуляра решаемых на ЭВМ АС функциональных задач (для учета их характеристик, категорий пользователей задач и их прав доступа к информационным ресурсам данных задач).

"Порядок обращения с информацией, подлежащей защите" содержит:

  • определение основных видов защищаемых (конфиденциальных) сведений (информационных ресурсов);

  • общие вопросы организации учета, хранения и уничтожения документов и магнитных носителей конфиденциальной информации;

  • порядок передачи (предоставления) конфиденциальных сведений третьим лицам;

  • определение ответственности за нарушение установленных правил обращения с защищаемой информацией;

  • форму типового Соглашения (обязательства) сотрудника организации о соблюдении требований обращения с защищаемой информацией.

"План обеспечения непрерывной работы и восстановления" включает:

  • общие положения (назначение документа);

  • классификацию возможных (значимых) кризисных ситуаций и указание источников получения информации о возникновении кризисной ситуации;

  • перечень основных мер и средств обеспечения непрерывности процесса функционирования АС и своевременности восстановления ее работоспособности;

  • общие требования к подсистеме обеспечения непрерывной работы и восстановления;

  • типовые формы для планирования резервирования ресурсов подсистем АС и определения конкретных мер и средств обеспечения их непрерывной работы и восстановления;

  • порядок действий и обязанности персонала по обеспечению непрерывной работы и восстановлению работоспособности системы.

"Положение об отделе технической защиты информации" содержит:

  • общие положения, руководство отделом;

  • основные задачи и функции отдела;

  • права и обязанности начальника и сотрудников отдела, ответственность;

  • типовую организационно-штатную структуру отдела.

"Обязанности главного администратора информационной безопасности Организации" "Обязанности администратора информационной безопасности подразделения" содержат:

  • основные права и обязанности по поддержанию требуемого режима безопасности;

  • ответственность за реализацию принятой политики безопасности, в пределах своей компетенции.

"Памятка пользователю АС Организации"

  • определяет общие обязанности сотрудников подразделений при работе со средствами АС и ответственность за нарушение установленных порядков.

"Инструкция по внесению изменений в списки пользователей"

  • определяет процедуру регистрации, предоставления или изменения прав доступа пользователей к ресурсам АС.

"Инструкция по модификации технических и программных средств"

  • регламентирует взаимодействие подразделений Организации по обеспечению безопасности информации при проведении модификаций программного обеспечения и технического обслуживания средств вычислительной техники;

"Инструкция по организации парольной защиты"

  • регламентирует организационно-техническое обеспечение процессов генерации, смены и прекращения действия паролей (удаления учетных записей пользователей) в автоматизированной системе Организации, также контроль за действиями пользователей и обслуживающего персонала системы при работе с паролями.

"Инструкция по организации антивирусной защиты" содержит:

  • требования к закупке, установке антивирусного программного обеспечения;

  • порядок использования средств антивирусной защиты, регламенты проведения проверок и действия персонала при обнаружении вирусов;

  • распределение ответственности за организацию и проведение антивирусного контроля.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.

Соседние файлы в папке Литература