- •3.Ооиб как один из основных инструментов обеспечения безопасности организации.
- •5. Требования к системе би.
- •2Й вопрос. Уязвимые места в информационной безопас. Организации.
- •3Й вопрос. Основные методические рекомендации о составлении перечня сведений, составляющих служебную тайну
- •4Й вопрос. Характеристика работ по составлению перечня сведений, составляющих служебную тайну предприятия.
- •5Й вопрос. Характеристика работ по составлению предварительного перечня сведений, составляющих служебную тайну для структурных подразделений организации
- •6Й вопрос. Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, составляющих служебную тайну
- •7Й вопрос. Определение преимуществ открытого использования сведений, составляющих служебную тайну
- •8Й вопрос. Определение затрат на защиту сведений, составляющих служебную тайну
- •9Й вопрос. Принятие решения о включении сведений в окончательный вариант перечня и оформление проекта перечня
- •24.10.2011 Организационное обеспечение информационной безопасности при проведении совещаний.
- •Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица
- •Введение
- •Структура внутренних документов по обеспечению информационной безопасности юридического лица
- •Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)
- •Характеристика документов второго уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов третьего уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов четвертого уровня по обеспечению информационной безопасности юридического лица
- •14.11.11 Организационное обеспечение разработки частных политик безопасности
- •Политика организации рабочего места
- •Политика организации дистанционной работы
- •Политика безопасности электронного документооборота
- •Политика криптографической защиты информации
- •Политика использования программного обеспечения
- •Политика использования мобильных устройств обработки информации
- •Политика управления доступом к информационным ресурсам
- •Политика классификации информации
- •Политика управления ролями.
- •Особенности организации и обеспечения хранения скзи.
- •Основные обязанности сотрудников органов криптографической защиты
- •Основные обязанности пользователей скзи
- •Вопрос 1. Содержание процедур по обработке персональных данных. Содержание процедур по обработке персональных данных.
- •Часть 7я статьи 14. Субъект пд имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных:
- •2. Принципы защиты прав юридических лиц, ип при осуществлении государственного контроля.
- •Вопрос 1. Назначение и структура стандарта
- •Вопрос 2. Основные термины и определения
Политика управления доступом к информационным ресурсам
Назначение и область действия
Настоящая политика устанавливается для:
Управления доступом к информационным ресурсам в целях контроля доступа к информации;
Предотвращения неавторизованного доступа;
Обеспечения авторизованного доступа к информационным ресурсам, операционным системам и информации в системах приложений.
Политика распространяется на всех работников фирмы и третьих лиц, использующие информационные ресурсы, и является обязательной для исполнения.
Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.
Основные требования
Доступ сотрудника к информационным ресурсам должен быть санкционирован руководителем и владельцем соответствующих информационных ресурсов.
Управление доступом осуществляется в соответствии с установленными процедурами.
Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам осуществляется в процессе аудита информационной безопасности в соответствии с политикой аудита информационной безопасностии установленными процедурами.
Каждому пользователю информационных ресурсов присваивается уникальный идентификатор (имя пользователя). Предоставление доступа осуществляется на основе аутентификации.
В качестве методов аутентификации могут быть использованы пароли, физические носители кода, биометрические параметры и другие носители.
Пароль для первоначального входа в систему или физический носитель должен быть представлен пользователю способом, исключающим возможность его компрометации.
Для смены пароля пользователя в процессе работы должны использоваться интерактивные процедуры, обеспечивающие достаточное количество паролей.
Доступ пользователя к операционной системе должен контролироваться безопасным процессом регистрации.
Пользователь обязан регулярно менять свой пароль доступа к информационным ресурсам.
Передача пользователем своего пароля другому лицу запрещена.
При увольнении или смене места работы сотрудника или пользователя-контрагента, права его доступа к информационным ресурсам и средствам информации должны быть аннулированы или скорректированы.
Ответственность.
Ответственность за предоставление прав доступа к информационным ресурсамвозлагается на владельца информационного ресурса.
Ответственность за администрирование прав доступа к информационным ресурсам возлагается на службу информационных технологий.
Ответственность за соблюдение политики безопасности возлагается на всех сотрудников фирмы и третьих лиц, использующих информационные ресурсы.
Контроль выполнения и пересмотр политики возлагается на службу безопасности информации.
Провести анализ
Политика классификации информации
Назначение и область действия
Настоящая политика устанавливается для классификации информации в целях обеспечения адекватной защиты информационных ресурсов фирмы.
Политика распространяется на владельцев информационных ресурсов, а также на всех сотрудников фирмы и третьих лиц, использующих информационные ресурсы организации, и является обязательной для исполнения.
Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.
Основные требования
Для обеспечения адекватного потребностям бизнеса фирмы уровня защиты информационных ресурсов содержащаяся в них информация классифицируется в соответствии со степенью ее важности для фирмы.
Информация классифицируется по категориям:
Повышенные требования к обеспечению конфиденциальности, целостности и доступности.
Минимально достаточные требования.
Требования по защите не предъявляются.
К информации первой категории относятся:
Персональные данные;
Коммерческая тайна;
Другая информация, в отношении которой требования к обеспечению конфиденциальности, целостности и доступности, установлены действующим законодательством, условиями соглашений с контрагентами или решениями владельца такой информации.
К информации второй категории относится внутренняя информация, являющаяся собственностью фирмы и не отнесенная к первой и третьей категории, включая любые служебные документы.
К информации третьей категории относится общедоступная информация и информация, предназначенная для публикации.
Информационные ресурсы, содержащие классифицированную информацию, снабжаются соответствующей маркировкой.
Конфиденциальная информация не подлежит передаче по открытым каналам передачи данных и в открытой переписке, в личных и деловых переговорах по открытым каналам связи и средствах массовой информации.
Использование персональных данных в деятельности фирмы проводится только с согласия их владельца. Порядок использования определяется соответствующими внутренними документами фирмы.
Присвоенная информация классификационной категории подвергается периодическому пересмотру.
Ответственность.
Ответственность за проведение классификации информации возлагается а ее владельца.
Ответственность за соблюдение политики безопасности возлагается на всех сотрудников фирмы и третьих лиц, использующих информационные ресурсы.
Контроль выполнения и пересмотр политики возлагается на службу безопасности информации.
Провести анализ