Техническая часть концепции информационной безопасности
Техническая часть концепции
Главная » Защита информации компании » Разработка концепции ИБ » Модель обеспечения ИБ » Техническая часть концепции

Техническая часть концепции информационной безопасности

Требования к системам и средствам


В данном разделе необходимо сформулировать требования к средствам защиты информации, которые будут использоваться в компании. К таким системам и средствам относятся:

  1. межсетевые экраны;
  2. системы контроля;
  3. системы построения VPN;
  4. системы обнаружения атак;
  5. системы анализа защищенности (сканеры безопасности);
  6. обманные системы.

Требования к поставщикам

Данный раздел полностью разрабатывается в рамках нормативной части концепции (собственно КИБ) и не затрагивает ПИБ. В нем формулируются требования к поставщикам систем и средств защиты информации.

В данный раздел рекомендуется включать требования:

  1. к наличию (отсутствию) лицензии от государственных организаций, специализирующихся в области защиты информации;
  2. к наличию (отсутствию) сертификатов на продукцию;
  3. к аудиту системы информационной безопасности;
  4. к аттестации системы информационной безопасности;
  5. к поддержке конкретных стандартов;
  6. к совместимости с имеющимися решениями;
  7. к форме собственности поставщика;
  8. к финансовой ответственности поставщика или производителя. Конкретные требования формируются на основе общей политики работы с поставщиками и субподрядчиками компании.

Требования к эксплуатации

Данный раздел разрабатывается на уровне КИБ. На уровне ПИБ требования к эксплуатации определяются инструкциями по эксплуатации конкретных систем и средств защиты информации.

В разделе излагаются следующие вопросы:


1.  Общие положения:

  • область регламентации (какие средства, для защиты какой информации и т.д.);
  • требования к ознакомлению персонала с инструкциями по эксплуатации;
  • ссылки на документы, регламентирующие вопросы эксплуатации.

2.  Порядок обращения со средствами защиты:

  • требования к эксплуатации;
  • требования к квалификации персонала;
  • порядок установки средств защиты информации;
  • порядок контроля целостности ПО и оборудования;
  • порядок действий при обнаружении фактов нарушения целостности ПО или оборудования;
  • порядок сдачи системы защиты или средств защиты в эксплуатацию;
  • порядок технического обслуживания систем и средств защиты информации.

3.  Требования к помещениям:

  • уровень защиты, обеспечиваемый в помещении;
  • контроль доступа в помещения;
  • рекомендации по выбору помещения;
  • рекомендации по защите помещений от пожара, затопления и т.д.;
  • требования к сигнализации;
  • требования к защите от утечки информации по побочным каналам, 4.

Порядок доступа в помещения, где расположены системы и средства защиты информации

  • права для сотрудников по доступу,
  • правила проведения в помещении работ
  • правила уборки и иного обслуживания помещений;
  • правила действия в чрезвычайных ситуациях;
  • правила проверки помещений.

Баннер
Поиск информации на сайте Пожалуйста, перейдите к форме, введите запрос и нажмите «Найти!»
К форме поиска