Каталог средств ЗИ
Весь каталог

deHack.ru » Разработка системы защиты информации » Политика информационной безопасности организации

Политика информационной безопасности организации



Политика безопасности - это совокупность технических, организационных, административных, юридических, физических мер, методов, средств, правил и инструкций, четко регламентирующих все вопросы обеспечения безопасности информации.

Для того, чтобы сформировать и определить Вашу политику информационной безопасности, Вам понадобятся следующие исходные данные:

  • Необходимо определить информацию которая подлежит защите и создать перечень сведений конфиденциального характера, в соответствии с защищаемой информацией
  • Определить топологии средств автоматизации (физической и логической)
  • Необходимо описать административную структуру и категории зарегистрированных пользователей, описать технологию обработки информации и выделить потенциальных субъектов и объектов доступа
  • Определить угрозы безопасности информации и создать модель нарушителя
  • Обнаружить и описать известные угроз и уязвимости
  • Расположить угрозы по убыванию уровня уровня риска (провести анализ рисков)

Так же, необходимо описать общую характеристику и специализацию организации (наименование организации, специализация, род деятельности, решаемые задачи, характер и объем работ, расположение угроз по убыванию уровня уровня риска).

Необходимо описать организационно-штатню структуру организации (отделы и отделения организации, наименования отделов, решаемые задачи, общая технологическая схема функционирования подразделений). Так же составляется общее описание рабочего процесса,
технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполненяется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации.

Должны быть описаны так же следующие данные:

Используемые на предприятии средства вычислительной техники и программное обеспечение

  • Сведения об используемых СВТ (описание аппаратных средств, коммуникационного оборудования удаленного доступа)
  • Сведения об используемом общем ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение)
  • Сведения об используемом специальном ПО (наименование и назначение, фирма разработчик, аппаратные требования, функциональные возможности, размещение)

Организация и структура информационных потоков и их взаимодействие

  • Топология ЛВС
  • Схема коммуникационных связей
  • Структура и состав потоков данных (еречень входных информационных объектов и их источники, перечень выходных информационных объектов и их получатели, перечень внутренних информационных объектов)
  • Организация хранения данных

Общая характеристика автоматизированных систем организации

  • Расположение ЛВС
  • Технические и программные средства ЛВС (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации)
  • Технические и программные средства доступа к ЛВС из сетей общего доступа
  • Принадлежность и типы каналов связи
  • Сетевые протоколы удаленного доступа

Угрозы информационной безопасности

  • Сведения о распределении обязанностей и инструкциях по обработке и защите информации
  • Вероятные угрозы (угроза, ее вероятность и возможный ущерб)
  • Применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты)

По окончании, Вы получите документ «Политика информационной безопасности организации», который определяет:

  • Само понятие информационной безопасности и ее основных составляющих и используемых понятий
  • Цели и принципы информационной безопасности
  • Разъяснение политики безопасности, принципов, стандартов и требований к ее соблюдению (основные направления, способы и требования по обеспечению безопасности информации, выполнение правовых и договорных требований, требования к обучению персонала правилам безопасности, политику предупреждения и обнаружения вирусов, политику обеспечения бесперебойной работы организации)
  • Определение общих и конкретных обязанностей должностных лиц организации по обеспечению информационной безопасности, включая уведомления о случаях нарушения защиты
  • Перечень документов, выпускаемых в поддержку политики безопасности (положения, инструкции, регламенты и т.п.)

Для обеспечения ИТ-безопасности в организации, следует придерживаться таких правил, инструкций и требований, как:

  • Правила парольной защиты
  • Правила защиты от вирусов и злонамеренного программного обеспечения
  • Требования по контролю за физическим доступом
  • Требования по физической защите оборудования
  • Инструкция по безопасному уничтожению информации или оборудования
  • Инструкция по безопасности рабочего места (документов на рабочем столе и на экране монитора)
  • Правила осуществления локального и удаленного доступа
  • Требования резервного сохранения информации
  • Требования мониторинга
  • Требования при обращении с носителями данных
  • Требования по проверке прав пользователей
  • Правила использования системных утилит
  • Правила удаленной работы мобильных пользователей
  • Распределение ответственности при обеспечении безопасности
  • Правила контроля вносимых изменений

К инструкциям можно добавить, что это "Инструкция по приему на работу и допуску новых сотрудников к работе в АС и наделения их необходимыми полномочиями по доступу к ресурсам системы", "Инструкция по увольнению работников и лишения их прав доступа в систему" и "Инстукция по действиям различных категорий персонала, включая сотрудников отдела безопасности информации, по ликвидации последствий кризисных ситуаций, в случае их возникновения"

Только авторизованные пользователи могут оставлять комментарии - авторизация, а если Вы впервые, то нужно зарегистрироваться в системе
Вопрос специалисту
Видео
28.12.2011
Перехват информативного сигнала клавиатуры
Перехват информативного сигнала клавиатуры
28.12.2011
Лазерный съем информации
Лазерный съем информации
Все видео
Документы для скачивания
02.01.2012
Руководящий документ. Критерии оценки безопасности информационных технологий Часть 2. Функциональные требования безопасности
02.01.2012
Типовые требования ФСБ по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных
29.12.2011
Шаблон "Перечень подразделений и сотрудников допущенных к обработке ПДн"
Все документы