- •3.Ооиб как один из основных инструментов обеспечения безопасности организации.
- •5. Требования к системе би.
- •2Й вопрос. Уязвимые места в информационной безопас. Организации.
- •3Й вопрос. Основные методические рекомендации о составлении перечня сведений, составляющих служебную тайну
- •4Й вопрос. Характеристика работ по составлению перечня сведений, составляющих служебную тайну предприятия.
- •5Й вопрос. Характеристика работ по составлению предварительного перечня сведений, составляющих служебную тайну для структурных подразделений организации
- •6Й вопрос. Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, составляющих служебную тайну
- •7Й вопрос. Определение преимуществ открытого использования сведений, составляющих служебную тайну
- •8Й вопрос. Определение затрат на защиту сведений, составляющих служебную тайну
- •9Й вопрос. Принятие решения о включении сведений в окончательный вариант перечня и оформление проекта перечня
- •24.10.2011 Организационное обеспечение информационной безопасности при проведении совещаний.
- •Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица
- •Введение
- •Структура внутренних документов по обеспечению информационной безопасности юридического лица
- •Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)
- •Характеристика документов второго уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов третьего уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов четвертого уровня по обеспечению информационной безопасности юридического лица
- •14.11.11 Организационное обеспечение разработки частных политик безопасности
- •Политика организации рабочего места
- •Политика организации дистанционной работы
- •Политика безопасности электронного документооборота
- •Политика криптографической защиты информации
- •Политика использования программного обеспечения
- •Политика использования мобильных устройств обработки информации
- •Политика управления доступом к информационным ресурсам
- •Политика классификации информации
- •Политика управления ролями.
- •Особенности организации и обеспечения хранения скзи.
- •Основные обязанности сотрудников органов криптографической защиты
- •Основные обязанности пользователей скзи
- •Вопрос 1. Содержание процедур по обработке персональных данных. Содержание процедур по обработке персональных данных.
- •Часть 7я статьи 14. Субъект пд имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных:
- •2. Принципы защиты прав юридических лиц, ип при осуществлении государственного контроля.
- •Вопрос 1. Назначение и структура стандарта
- •Вопрос 2. Основные термины и определения
Характеристика документов третьего уровня по обеспечению информационной безопасности юридического лица
Третий уровень - это документы, которые содержат требования к процедурам обеспечения информационной безопасности. Стандарты технологий обеспечения информационной безопасности устанавливают требования и характеристики, предназначенные для всеобщего и многократного использования, касающиеся обеспечения информационной безопасности организации. Структуру и содержание стандартов рекомендуется разрабатывать на основе ГОСТ Р 1.4-2004. При этом, на основании федерального закона о техническом регулировании,стандарты могут разрабатываться как в отношении специализированных технологий обеспечения информационной безопасности, так и в отношении технологий, реализуемых производственными информационными системами. К документам, содержащим требования информационной безопасности к процедурам, относятся, например, инструкция по обеспечению информационной безопасности (должностные инструкции), руководство по обеспечению информационной безопасности, методические указания по обеспечению информационной безопасности, документ, содержащие требования к конфигурации системы информационной безопасности. К ним предъявляются повышение требования чёткости и ясности изложения. Документы данного уровня описывают конкретные приемы и порядок действия сотрудников для решения определенных задач или конкретные ограничения. В целом, инструкции, руководства, методические указания, должны содержать следующие основные положения:
Определение субъекта или субъектов, деятельность которых регламентируется данной инструкцией или наименование деятельности, которая описывается данной инструкцией
Ресурсы, необходимые для выполнения регламентируемой деятельности
Детальное описание выполняемых операций, ограничение результатов
Обязанности субъекта в рамках выполнения регламентируемой деятельности
Права и ответственность субъекта.
Примечание. Документы, которые содержат конфигурации системы, определяют конкретные значения параметров системы, компонентов, а также способов иъ настройки, позволяющие обеспечить требуемый уровень информационной безопасности
Примечание2. Документы, которые содержат процедурные требования, могут быть утверждены лицом, ответственным за реализацию соответствующего вида деятельности по обеспечению информационной безопасности.
Характеристика документов четвертого уровня по обеспечению информационной безопасности юридического лица
Эти документы содержат записи о результатах реализации практической деятельности компании по обеспечению информационной безопасности. Наличие таких документов является документированным доказательством реализации выполнения требований документов вышестоящих уровней. Документы четвертого уровня используются при проведении внутреннего контроля и внешнего аудита. К этой группе документов относятся: Реестры и описи (опись информационных активов фирмы, перечень сведений конфиденциального характера); Регистрационные журналы, в том числе журналы регистрации документов; Протоколы (проведения испытаний); Листы ознакомлений; Обязательства; Акты; Договоры; Отчеты.
Наличие такого комплекта документов определяется набором требований, которые сформулированы на предыдущих уровнях. Документы, содержащие свидетельства о выполненной деятельности могут быть представлены как в электронной, так и в бумажной форме. Рекомендуется дублировать документы. Должно обеспечиваться архивное хранения, время которого определяется в соответствии с законодательством РФ или по требованиям вышестоящего органа. Утверждаются эти документы должностными лицами по сфере компетенции
Примерная политика безопасности электронной почты.
Назначение и область действия.
Настоящая политика устанавливает правила для организации эффективного использования электронной почты в целях поддержания безопасности информационного обмена и предотвращения нецелевого использования средств обработки информации, а также недопущения утечки конфиденциальной информации
Правила распространяются на всех работников фирмы и третьих лиц, использующих корпоративную электронную почту для выполнения своих функций и является обязательным для выполнения
Все исключения из данных правил должны быть согласованы с службой безопасности
Основные требования
ЭП должна использоваться сотрудниками только для выполнения служебных обязанностей. Использование корпоративной ЭП в личных целях запрещено
Служебная переписка долдная вестись только через копроратвный сервер ЭП. Использование внешних серверов и сервисов ЭП зарпещено
ЭП не должна использоваться для агитации или рекламы коммерческих предприятий, пропаганды религиозных или политических идей и лругих целей, не связанных с выполнением служебных обязанностей
ЭП не должна использоваться для создания оскорбительных или провокационных сообщений
ЭП не должна использоваться для передачи или получения материалов, защищенных авторским правом без разрешения правообладателя
Доступ пользователей к электронной почте ограничивается в соответствии с назначенными для них категориями доступа. Категории доступа и установленные ограничения документируются и утверждаются назначенным владельцем данного информационного ресурса.
Информация, принимаемая и передаваемая посредством электронной почты посредством ресурсов компании должна подвергаться мониторингу и анализу на предмет соответствия информационного обмена установленным ограничением
Любое сообщение электронной почты, отправленные и /или полученное с использованием корпоративной электронной почты, может быть просмотрено уполномоченными сотрудниками службы ИБ
Все входящие и исходящие сообщения должны быть проверены на наличие в них вредоносного кода
Передача КИ в незащищенном виде не допускается
При передаче по ЭП сообщений конфиденциального характера должны использоваться средства криптографической защиты информации.
Электронные сообщения от неизвестных отправителей или содержащие неизвестные вложения, должны удаляться
Все факты отправки, приема и обработки электронных сообщений, должны регистрироваться
Входящие и/или исходящие сообщения в ЭП могут быть задержаны в случае их несоответствия установленным ограничениям
Ответственность.
Ответственность за организационное обеспечение функционирования ЭП возлагается на владельца данного информационного ресурса.
Ответственность за настройку доступа к электронной почте возлагается на службу информационных технологий.
Ответственность за соблюдение правил возлагается на всех работников компании и третьих лиц, использующих корпоратвную ЭП
Контроль выполнения и пересмотр правил возлагается на службу информационной безопасности.