Книга: Организация комплексной системы защиты информации
9.2. Состав нормативно-методического обеспечения
9.2. Состав нормативно-методического обеспечения
Состав нормативно-методического обеспечения может быть определен следующим образом: законодательная база, руководящие методические документы и информационно-справочная база. К первому компоненту относятся: законы, указы президента, постановления правительства, кодексы (гражданский, уголовный, административный), госты. Во второй компонент могут входить документы министерств и ведомств (Гостехкомиссия, ФСБ), а также документы, разработанные на предприятиях по вопросам защиты информации. В состав информационно-справочной базы входят словари, каталоги, специализированные журналы, справочники, электронные базы данных. Нормативно-методическая документация должна содержать следующие вопросы защиты информации:
— какие информационные ресурсы защищаются;
— какие программы можно использовать на служебных компьютерах;
— что происходит при обнаружении нелегальных программ или данных;
— дисциплинарные взыскания и общие указания о проведении служебных расследований;
— на кого распространяются правила;
— кто разрабатывает общие указания;
— точное описание полномочий и привилегий должностных лиц;
— кто может предоставлять полномочия и привилегии;
— порядок предоставления и лишения привилегий в области безопасности;
— полнота и порядок отчетности о нарушениях безопасности и преступной деятельности;
— особые обязанности руководства и служащих по обеспечению безопасности;
— объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют);
— дата ввода в действие и даты пересмотра;
— кто и каким образом ввел в действие эти правила.
План защиты информации может содержать следующие сведения:
— назначение ИС;
— перечень решаемых ИС задач;
— конфигурация;
— характеристики и размещение технических средств и программного обеспечения;
— перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;
— требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;
— список пользователей и их полномочий по доступу к ресурсам системы;
— цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;
— перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
— основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;
— требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;
— основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);
— цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и чем она достигается;
— перечень и классификация возможных кризисных ситуаций;
— требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов. и т. п.);
— обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;
— разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
— определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
— определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.);
— определение порядка разрешения споров в случае возникновения конфликтов.
- 9. НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ КСЗИ
- 11.2. СВОЙСТВА ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
- Выбор аппаратного обеспечения для InterBase
- Минимальный состав сервера InterBase SuperServer
- 5.4. РЕКОМЕНДАЦИИ НАЧИНАЮЩИМ ПО СОСТАВЛЕНИЮ ОПИСАНИЙ АЛГОРИТМОВ И ЭВРОРИТМОВ
- 6.7. Формирование составных целевых утверждений
- Scrum-команда: состав
- Алгоритм составления эффективных рекламных сообщений
- Функция программного обеспечения
- 2. Нормативно-правовая база, государственное регулирование и координация в области ВЯД
- Как составить психологический портрет с помощью Сети?
- Центр обеспечения безопасности