- •3.Ооиб как один из основных инструментов обеспечения безопасности организации.
- •5. Требования к системе би.
- •2Й вопрос. Уязвимые места в информационной безопас. Организации.
- •3Й вопрос. Основные методические рекомендации о составлении перечня сведений, составляющих служебную тайну
- •4Й вопрос. Характеристика работ по составлению перечня сведений, составляющих служебную тайну предприятия.
- •5Й вопрос. Характеристика работ по составлению предварительного перечня сведений, составляющих служебную тайну для структурных подразделений организации
- •6Й вопрос. Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, составляющих служебную тайну
- •7Й вопрос. Определение преимуществ открытого использования сведений, составляющих служебную тайну
- •8Й вопрос. Определение затрат на защиту сведений, составляющих служебную тайну
- •9Й вопрос. Принятие решения о включении сведений в окончательный вариант перечня и оформление проекта перечня
- •24.10.2011 Организационное обеспечение информационной безопасности при проведении совещаний.
- •Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица
- •Введение
- •Структура внутренних документов по обеспечению информационной безопасности юридического лица
- •Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)
- •Характеристика документов второго уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов третьего уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов четвертого уровня по обеспечению информационной безопасности юридического лица
- •14.11.11 Организационное обеспечение разработки частных политик безопасности
- •Политика организации рабочего места
- •Политика организации дистанционной работы
- •Политика безопасности электронного документооборота
- •Политика криптографической защиты информации
- •Политика использования программного обеспечения
- •Политика использования мобильных устройств обработки информации
- •Политика управления доступом к информационным ресурсам
- •Политика классификации информации
- •Политика управления ролями.
- •Особенности организации и обеспечения хранения скзи.
- •Основные обязанности сотрудников органов криптографической защиты
- •Основные обязанности пользователей скзи
- •Вопрос 1. Содержание процедур по обработке персональных данных. Содержание процедур по обработке персональных данных.
- •Часть 7я статьи 14. Субъект пд имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных:
- •2. Принципы защиты прав юридических лиц, ип при осуществлении государственного контроля.
- •Вопрос 1. Назначение и структура стандарта
- •Вопрос 2. Основные термины и определения
Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)
В названии корпоративной политики должно быть название данной организации, для которой разработана эта концепция информационной безопасности. В корпоративную политику рекомендуется включать следующие положения:
Определение информационной безопасности в терминах данной организации, области действия политики, целей, задач и принципов обеспечения информационной безопасности данной организации.
Изложение намерений руководстваорганизации по обеспечению информационной безопасности, направленного на достижение указанных целей и на реализацию принципов обеспечения информационной безопасности.
Общие сведения об активах, подлежащих защите и их классификации.
Модели угроз и нарушителей (внутренние и внешние) в соответствии с установленными в данной организации требованиями стандарта по обеспечению информационной безопасности, на противодействие которым сориентирована корпоративная политика.
Высокоуровневое изложение правил и требований в области информационной безопасности, представляющих особую важность для организации данного хозяйственного сектора экономики (обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения информационно безопасности и нормативным актам, которые действуют в рамках данного хозяйственного сектора экономики)
Требования к управлению системой информационной безопасности.
Требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения.
Санкции при нарушении политики информационной безопасности.
Последствия нарушения политики информационной безопасности.
Требования по управлению непрерывности уставной деятельности.
Определение общих ролей и обязанностей, связанных с обеспечением информационной безопасностью, включая информирование об инцидентах информационной безопасности
Перечень частных политик информационной безопасности, развивающих и детализирующих положения корпоративной политики информационной безопасности, а также указания подразделениям информационной безопасности, ответственным за их соблюдение и реализацию.
Положения по контролю реализации концепции информационной безопасности.
Ответственность за реализацию и поддержку документа.
Условия пересмотра или выпуска новой редакции
К разработке и согласованию концепции информационной безопасности целесообразно привлекать представителей следующих служб:
Руководство организации; Профильные подразделения;Служба безопасности
Характеристика документов второго уровня по обеспечению информационной безопасности юридического лица
Второй уровень составляют документы, определяющие правила и принципы, которые используются применительно к отдельным областям информационной безопасности, видам и технологиям деятельности организации данного сектора экономики. Кроме того, в состав документов второго уровня целесообразно включать планы работ по обеспечению информационной безопасности. При этом нецелесообразно повторение одинаковых правил в различных частных политиках, а включение в частную политику правила, содержащегося в другой, уже существующей политике, целесообразно осуществлять посредством необходимой ссылки. Частные политики безопасности формируются на основании принципов, требований и задач, которые определены на первом уровне. При этом в обязательном порядке учитывается детализация, уточняется и дополнительная классификация активов и угроз, определяются владельцы активов, анализируются и оцениваются риски, а также возможные последствия реализации угроз в данной области. В частные политики организации включаются следующие положения:
Цели и задачи информационной безопасности, на обеспечение которых направлена частная политика;
Область действия политики;
Определение объектов защиты, уязвимостей, угроз и оценка рисков, связанных с объектами защиты. Сведения о виде деятельности, на обеспечение информационной безопасности которых направлено действие положений политики, о совокупности информационных технологий, применяемых в рамках выполнения данного вида уставной деятельности, а также сведения об основных технологических процессах, реализуемых при помощи данных технологий
Определение субъектов, на которых распространяется данныедокументы. При этом, в качестве субъектов могут рассматриваться как структурные подразделения, так и исполнители.
Требования и правила по обеспечению информационной безопасности данного информационного сервиса.
Обязанности по обеспечению информационной безопасности в рамках области действия частной политики.
Описание функций субъектов над управляемыми объектами в рамках регламентируемых технологических процессов.
Состав ссылочных документов (к ссылочным документам относятся документы, ознакомление с которыми обязательно для правильного понимания текста политики информационной безопасности).
Положение по контролю реализации частной политики информационной безопасности.
Ответственность за реализацию и поддержку документа.
Условия пересмотра документа.
С целью контроля за состоянием информационной безопасности организации, а также оперативного реагирования на нарушения информационной безопасности, в состав документов второго уровня рекомендуется включать следующие планы:
План мероприятий на случаи возможных инцидентов информационной безопасности
План мероприятий по управлению документами, связанными с обеспечением информационной безопасности (менеджмент документов)
Планы работ по обслуживанию аппаратных средств и программных систем, используемых для обеспечения информационной безопасности
Планы мероприятий по обучению и повышению осведомленности сотрудников организации
Примечание. Этот перечень не является исчерпывающим. Главное, что в планах рекомендуется описывать перечень, порядок, объем и сроки выполнения мероприятий по реализации задач обеспечения информационной безопасности организации. В обязательном порядке в планах указываются руководители, исполнители и ответственные за выполнение мероприятий. Планы должны определять следующие позиции:
Последовательность выполнения мероприятий в рамках деятельности по обеспечению информационной безопасности.
Сроки начала и окончания запланированных мероприятий.
Физические лица или структурные подразделения, то есть субъеты, отвечающие за проведения мероприятий.
К разработке и согласованию частных политик информационной безопасности рекомендуется привлекать представителей высшего руководства организации и профильных подразделений, а также представителей служб информатизации и безопасности. Документы второго уровня могут юыть утверждены руководителем организации или руководителем подразделения, заместитель руководителя службы безопасности, или должностное лицо, в компетенцию которого входит решение таких вопросов.