Нормативно-методическое обеспечение функционирования КСЗИ на предприятии
На основе концепции ЗИ, ФЗ и иных документов в информационной области, с учетом специфики деятельности…. комплект ЛНА:
- перечни сведений, подлежащих защите на предприятии;
- документы, по порядку обращения сотрудников с информацией, подлежащей защите;
- положения об управлениях и отделах (разделы по ЗИ);
- документы по предотвращению НСД к информационным ресурсам и АС;
- документы, по порядку взаимодействия со сторонними организациями по, обмену информацией;
- документы, по пропускной и внутриобъектовый режим;
- документы, по порядок эксплуатации АС предприятия;
- документы, по действия должностных лиц и персонала ЧП, обеспечения восстановления;
- документы, по порядку эксплуатации ТС связи и телекоммуникации.
- планы защиты АС предприятия;
- документы, по порядку закупки ПО и ТС ЗИ;
- документы, по порядку разработки, испытания и сдачи в эксплуатацию ПО;
Инструкция по обеспечению ЗИ от НСД содержит:
- определение целей, задач защиты информации в АС и основных путей их достижения (решения);
- требования по организации и проведению работ по защите информации в АС;
- описание применяемых мер и средств защиты информации от рассматриваемых угроз, общих требований к настройкам применяемых средств защиты информации от НСД;
- распределение ответственности за реализацию "Инструкции…".
"Положение о категорировании ресурсов АС" содержит:
- цели введения классификация ресурсов (АРМ, задач, информации, каналов передачи) по категориям защищенности;
- предложение по категорий защищаемых ресурсов и критериям классификации ресурсов по категориям защищенности;
- определение мер и средств ЗИ, обязательных и рекомендуемых к применению на АРМ;
- образец формуляра ЭВМ (учет треб. категории защищ., комплектации, конфигурации);
- образец формуляра решаемых на ЭВМ АС функциональных задач.
"Порядок обращения с информацией, подлежащей защите" содержит:
- определение основных видов защищаемых сведений (информационных ресурсов);
- общие вопросы организации учета, хранения и уничтожения документов и мгнитных носителей;
- порядок передачи (предоставления) ИОД третьим лицам;
- ответственность за нарушение;
- форму типового Соглашения сотрудника о соблюдении треб. обращения с защищаемой информацией.
"План обеспечения непрерывной работы и восстановления" включает:
- общие положения (назначение документа);
- классификация возможных кризисных ситуаций и указание источников получения информации о них;
- перечень основных мер и средств обеспечения непрерывности процесса функционирования АС и восстановления;
- общие требования к подсистеме обеспечения непрерывной работы и восстановления;
- типовые формы для планирования резервирования ресурсов АС, меры и средства восстановления;
- порядок действий и обязанности персонала по восстановлению работоспособности системы.
"Положение об отделе технической защиты информации" содержит:
- общие положения, руководство отделом;
- основные задачи и функции отдела;
- права и обязанности начальника и сотрудников, ответственность;
- организационно-штатную структуру отдела.
"Обязанности администратора информационной безопасности подразделения" содержат:
- основные права и обязанности по поддержанию требуемого режима безопасности;
- ответственность за реализацию принятой политики безопасности, в пределах своей компетенции.
"Инструкция по организации антивирусной защиты" содержит: - требования к закупке, установке антивирусного ПО;
- порядок использования антивирусов;
- распределение ответственности за организацию и проведение антивирусного контроля.