Нормативная часть концепции информационной безопасности

В рамках КИБ составляется перечень документов, который необходимо разработать в рамках концепции. Сами документы разрабатываются на уровне ПИБ, Ниже приведен примерный перечень документов для разработки в рамках КИБ и ПИБ.

Нормативные документы:

1. Положение о категорировании ресурсов АС.
2. Положение о категорировании пользователей АС.
3. Порядок обращения с информацией, подлежащей защите.
4. Правила парольной защиты.
5. Правила защиты от вирусов и злонамеренного программного обеспечения.
6. Требования по контролю за физическим доступом. ,
7. Требования по физической защите оборудования.
8. Инструкция по безопасному уничтожению информации или оборудования.
9. Инструкция по безопасности рабочего места (документов на рабочем столе на экране монитора).
10. Правила осуществления удаленного доступа.
11. Правила осуществления локального доступа.
12. Требования резервного сохранения информации.
13. Требования мониторинга и ведения диагностических лог-файлов.
14. Требование мониторинга доступа и использования систем и ведения лог-файлов.
15. Требования при обращении с носителями данных.
16. Требования по неэлектронному информационному обмену.
17. Требования при регистрации пользователей.
18. Требования по проверке прав пользователей.
19. Требования по контролю доступа в операционную систему.
20. Требование к процедуре входа в систему (log on).
21. Правила использования системных утилит
22. Правила удаленной работы мобильных пользователей.
23. Требование распределения ответственности при обеспечении безопасности.
24. Правила безопасности при выборе персонала.
25. Требования контроля оперативных изменений.
26. Требования проверки входных данных.
27. Требования по контролю программ операционной системы.
28. Требования по контролю доступа к исходным текстам программ и библиотек.
29. Требования контроля вносимых изменений.
30. Требование обеспечения непрерывности бизнеса.
31. Требования соблюдения авторского права на программное обеспечение.
32. Требования обеспечения сохранности улик (свидетельств, доказательств).
33. Требования по управлению системным аудитом.

Инструкции:

1. По приему на работу и допуску новых сотрудников к работе в информационной системе и наделения их необходимыми полномочиями по доступу к ресурсам системы.
2. По увольнению работников и лишению их прав доступа в систему.
3. По действиям различных категорий персонала, включая сотрудников отдела безопасности информации, по ликвидации последствий кризисных (аварийных или нештатных) ситуаций в случае их возникновения.
4. Действия персонала по ликвидации последствий кризисных (аварийных или нештатных) ситуаций в случае их возникновения.
5. Процедуры контроля в случае инцидентов.

Взаимосвязь документов, разрабатываемых в рамках концепции информационной безопасности, схематично представлена на рис. 3.2.

Рис. 3.2. Последовательность разработки нормативной документации в рамках КИБ и ПИБ