Документы по информационной безопасности

Описание страницы: документы по информационной безопасности - 2020 ujl от профессионалов для людей.

Готовые документы по по защите информации и персональных данных

Выложенные здесь документы по информационной безопасности и защите персональных данных разработаны самостоятельно, с учетом имеющейся нормативной базы в стране. Документы использовались на строительно-монтажном предприятии, имеющем удаленные филиалы. Размещены они в таком порядке, в котором,на наш взгляд, их следует принимать и исполнять. Вы можете скачать документы сразу одним файлом или только требуемые документы.

1. Полный пакет документов по защите информации — 44 документа MS Word 2010 12 Mb -> СКАЧАТЬ

2. Защита персональных данных — 18 документов MS Word 2010 0,5 Mb) -> СКАЧАТЬ

3. Защита информации + защита персональных данных — 62 документа MS Word 2010 12,5 Mb -> СКАЧАТЬ

4. Защита коммерческой тайны — 2 документа MS Word 2010 0,05 Mb -> СКАЧАТЬ

1. Концепция информационной безопасности организации, инструкции ответственных лиц.

— концепция информационной безопасности организации -> СКАЧАТЬ
— должностная инструкция администратора безопасности -> СКАЧАТЬ
— должностная инструкция администратора ЛВС -> СКАЧАТЬ
— должностная инструкция администратора баз данных -> СКАЧАТЬ
— приказ об утверждении концепции информационной безопасности и назначании лиц, ответственных за защиту информации -> СКАЧАТЬ

2. Перечень информационных ресурсов организации.

— перечень информационных ресурсов организации (образец) -> СКАЧАТЬ

3. Перечень защищаемых помещений.

— приказ о защищаемых помещениях и помещених с ограниченным доступом -> СКАЧАТЬ
— приложение 1 — перечень защищаемых помещений и помещений с ограниченным лоступом (образец) -> СКАЧАТЬ
— приложение 2 — список сотрудников, имеющих доступ в помещения с ограниченным доступом (образец) -> СКАЧАТЬ
— технический паспорт защищаемого помещения -> СКАЧАТЬ

4. Планы мероприятий и планы работ по защите информации.

— план действий по обеспечению информационной безопасности -> СКАЧАТЬ
— план работ по защите информации -> СКАЧАТЬ

5. Порядок разграничения прав доступа к информационным ресурсам.

— порядок доступа к информационным, программным и аппаратным ресурсам -> СКАЧАТЬ
— приказ о порядке доступа к информационным ресурсам и утверждении их перечня -> СКАЧАТЬ

6. Положение об использовании программного обеспечения.

— положение об использовании программного обеспечения -> СКАЧАТЬ
— приказ об использовании программного обеспечения -> СКАЧАТЬ

7. Положение об использовании сети Internet и электронной почты.

— положение об использовании сети Интернет и электронной почты -> СКАЧАТЬ
— приложение 1 — список адресов электронной почты сотрудников -> СКАЧАТЬ
— приказ об использовании сети интернет и электронной почты -> СКАЧАТЬ

8. Положение о парольной защите.

— положение по организации парольной защиты -> СКАЧАТЬ
— приказ по организации парольной защиты -> СКАЧАТЬ

9. Положение о резервном копировании.

— положение о резерном копировании -> СКАЧАТЬ
— приказ о резервном копировании -> СКАЧАТЬ

10. Положение об антивирусном контроле.

— положение об антивирусном контроле -> СКАЧАТЬ
— приказ об антивирусном контроле -> СКАЧАТЬ

11. Положение об использовании съемных носителях информации.

— положение об использовании мобильных устройств и носителей информации -> СКАЧАТЬ

12. План обеспечения непрерывной работы и восстановления работоспособности.

— план обеспечения непрерывности работы и восстановления автоматизированной системы -> СКАЧАТЬ
— приказ об введение в действие плана -> СКАЧАТЬ

13. Регламент реагирования на инциденты информационной безопасности.

— регламент реагирования на инциденты информационной безопасности -> СКАЧАТЬ

14. Памятка сотруднику по информационной безопасности.

— памятка по информационной безопасности -> СКАЧАТЬ

15. Сертификаты ФСБ, ФСТЭК, лицензии.

— сертификаты ФСБ, ФСТЭК, лицензии на программные и аппаратные средства защиты информации -> СКАЧАТЬ

16. Нормативно-справочная информация.

— руководящие документы Гостехкомиссии, ГОСТы, ISO, федеральные законы по защите информации -> СКАЧАТЬ

17. Образцы документов.

а) для начальников структурных подразделений:
— заявка на предоставление доступа к информационным ресурсам -> СКАЧАТЬ
— служебная записка на изменение состава информационных ресурсов -> СКАЧАТЬ
— перечень информационных ресурсов организации -> СКАЧАТЬ
— заявка на предоставление работнику мобильного устройства или носителя информации -> СКАЧАТЬ
— перечень программного обеспечения, разрешенного для использования -> СКАЧАТЬ
б) для администратора информационной безопасности:
— журнал регистрации и учета заявок на предоставление доступа к информационным ресурсам -> СКАЧАТЬ
— журнал инструктажа пользователей с правилами доступа к ресурсам -> СКАЧАТЬ
— паспорт автоматизированного рабочего места -> СКАЧАТЬ
— перечень данных¸ подлежащих резервному копированию и хранению -> СКАЧАТЬ
— расписание резервного копирования -> СКАЧАТЬ
— список работников, имеющих право работы с мобильными устройствами вне территории -> СКАЧАТЬ
— картотека Инциденты информационной безопасности -> СКАЧАТЬ

18. Приказ о проведении работ по защите информации.

— финальный приказ, конкретизирующий дальнейшие действия должностных лиц -> СКАЧАТЬ

Защита персональных данных

1. Политика в области защиты персональных данных.

— политика организации в области обработки и защиты персональных данных -> СКАЧАТЬ

2. Перечень песональных данных.

— перечень персональных данных -> СКАЧАТЬ

3. Список информационных систем, в которых циркулируют персональные данные.

— список автоматизированных систем с персональными данными -> СКАЧАТЬ
— список неавтоматизированных систем -> СКАЧАТЬ
— персональные данные в медпункте -> СКАЧАТЬ

4. Положение об обработке персональных данных.

— положение об обработке персональных данных -> СКАЧАТЬ
— приложение 7 — список должностных лиц, осуществляющих обработку персональных данных -> СКАЧАТЬ
— приложение 8 — журнал учета допуска к обработке персональных данных -> СКАЧАТЬ

5. Модель угроз и модель нарушителя.

— модель угроз и нарушителя безопасности персональных данных -> СКАЧАТЬ

6. Инструкция об обработке персональных данных без использования средств автоматизации.

Читайте так же:  Задержка выдачи трудовой книжки

— инструкция об обработке персональных данных без использования средств автоматизации -> СКАЧАТЬ

7. Приказы по персональным данным.

— приказ об утверждении нормативных актов по защите персональных данных -> СКАЧАТЬ
— приказ о порядке исполнения нормативных актов по вопросам обработки персональных данных -> СКАЧАТЬ

8. Прочие документы.

— что необходимо для реализации учета обрабатываемых персональных данных и их защиты -> СКАЧАТЬ
— журнал учета допуска работников к обработке персональных данных -> СКАЧАТЬ
— лист ознакомления с документами по защите персональных данных -> СКАЧАТЬ
— информационное письмо в Роскомнадзор о внесении изменений в сведения в реестре операторов, осуществляющих обработку персональных данных -> СКАЧАТЬ
— регламент проведения проверок органами Роскомнадзора -> СКАЧАТЬ
— регламент проведения проверок ФСБ РФ в области защиты персональных данных -> СКАЧАТЬ

Документы по информационной безопасности

В данном разделе приводятся образцы документов по информационной безопасности которые необходимо иметь на предприятии. Наличие этих документов и проведение различных мероприятий, согласно этой документации поможет Вам избежать неприятностей при проверках различными инстанциями контролирующими сферу информационной безопасности. Ниже привожу перечень документов, разрабатываемых для обеспечения безопасности обработки персональных данных, которые вы можете использовать как образцы и переделать под свои нужды. СКАЧАТЬ АРХИВ .

Внимание! В данном архиве представлен не весь перечень документов (не включены приказы по предприятию, которые разрабатываются совместно с кадровой службой).

Полный перечень документации которую необходимо иметь на предприятии представлен ниже:

План мероприятий по организации защиты персональных данных;

Положение о (защите) персональных данных предприятия;

Приказ о введении в действие «Положения о персональных данных»;

Приказ о назначении лиц, ответственных за обеспечение безопасности ПДн;

Доработанные должностные инструкции всех лиц, ответственных за обеспечение безопасности ПДн;

Приказ о создании комиссии по классификации ИСПДн;

Акт классификации ИСПДн на предприятии;

Модель угроз безопасности ИСПДн;

Модель нарушителя ИСПДн;

Приказ об определении мест хранения материальных носителей ПДн, обрабатываемых без использования средств автоматизации;

Приказ об определении мест хранения материальных носителей ПДн, обрабатываемых с использованием средств автоматизации;

Приказ о создании комиссии по уничтожению ПДн и материальных носителей ПДн;

Журнал учета материальных носителей ПДн, обрабатываемых с использованием средств автоматизации;

Акт уничтожения (обезличивания) ПДн субъекта;

Акт уничтожения материального носителя ПДн;

Приказ о допуске работников (ответственных исполнителей) к обработке ПДн на предприятии;

Доработанные должностные инструкции всех работников, допускаемых к обработке ПДн;

Приказ о создании комиссии по проведению проверок состояния защиты (контролю защищенности) ИСПДн;

Инструкция по проведению проверок состояния защиты ИСПДн;

План внутренних проверок состояния защиты ИСПДн на текущий год;

Инструкция администратора информационной безопасности ИСПДн;

Инструкция администратора ИСПДн;

Инструкция по антивирусной защите ИСПДн;

Инструкция по резервному копированию и восстановлению баз данных ИСПДн;

Инструкция по модификации программного обеспечения и технических средств ИСПДн;

Порядок парольной защиты ИСПДн;

Инструкция администратора информационной безопасности по внесению изменению в списки уполномоченных пользователей ИСПДн;

Инструкция пользователю по действиям в нештатных ситуациях;

Положение об использовании сети Интернет на предприятии;

Инструкция по обработке ПДн посетителей;

Журнал учета посетителей предприятия;

Журнал учета письменных запросов субъектов к ПДн;

Журнал учета средств криптографической защиты, используемых на предприятии;

Приказ о вводе в промышленную эксплуатацию системы защиты ИСПДн;

Защита информации – теория и практика

Информация — сведения (сообщения, данные) независимо от формы их представления. (Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»)

Защита информации — это деятельность, которая направлена на предотвращение утечки защищаемых данных, непреднамеренных и несанкционированных воздействий на защищаемые данные.

Выложенные здесь материалы помогут понять теоретические и экономические основы деятельности по защите информации, изучить организационные и технические аспекты защиты информации, научиться контролировать состояние защиты информации.

Готовые документы
по защите информации и персональных данных

Нормативная база
ФЗ, Указы Президента, Правительство, ФСТЭК, ФСБ и др.

Библиотека
книги по защите личных данных, безопасности информации

Материалы
для реферата, доклада, презентации, выступления

Отдельные разделы посвящены вопросам защиты информации в органах государственной власти и государственных информационных системах (ГИС), а также защите информации в информационных системах персональных данных (ИСПДН).

Помимо теории представлены также практические примеры защиты информации, как с помощью штатных средств операционных систем, так и специальными программными и аппаратными средствами.

Если же нет времени или желания на изучение вопросов защиты информации, а результат нужно дать здесь и сейчас, можно загрузить готовые распорядительные документы, как отдельными файлами, так и полными комплектами.

Документы, разрабатываемые при создании автоматизированной системы‎

Данный раздел содержит документы, разрабатываемые при создании автоматизированной системы.

1. Документы, представляемые организацией–заявителем (Приложение 8, пункт 2.3 СТР):

1.3. Справка УФСБ об отсутствии (наличии) в 1000 метровой зоне представительств иностранных государств (США, Великобритания, Франция), обладающих правом экстерриториальности.

2. Документы, разрабатываемые по завершению спецпроверки технических средств иностранного производства:

2.1. Акты и (или) заключения о спецпроверке технических средств иностранного производства.

3. Документы, разрабатываемые по завершению стендовых (лабораторных) специсследований объектов вычислительной техники (Пункты 5.24 и 1.13 СТР):

3.1. Предписание на эксплуатацию средств вычислительной техники с приложением аттестация_ас:протокол_исследований|протоколов стендовых специсследований.

4. Документы, разрабатываемые по завершению объектовых специсследований объекта вычислительной техники (п.5.24, 1.13, 5.4.3, 1.4 СТР):

4.4. Акт сдачи СЗИ в эксплуатацию.

5. Документы, разрабатываемые при аттестационных испытаниях автоматизированной системы:

5.3. Заключение по результатам аттестационных испытаний с приложением протоколов аттестационных испытаний.

6. Документы, разрабатываемые на этапе контроля состояния и эффективности защиты информации (п. 1.17, 3.23, приложение 6 п.3.9):

Нормативно-методическое обеспечение защиты информации

Нормативно-методическое обеспечение защиты информации предназначено для регламентации про­цессов обеспечения безопасности информации предприятия, в том числе при работе персонала с конфиденциальными сведениями, до­кументами, делами и базами данных.

Оно включаете себя ряд обязательных организационных, ин­структивных и информационных документов, устанавливающих принципы, требования и способы противодействия пассивным и активным угрозам ценной информации, которые могут возник­нуть по вине персонала, конкурентов, злоумышленников и дру­гих лиц.

Читайте так же:  Административная ответственность арбитражного управляющего

Нормативно-методическое обеспечение базируется на тех обя­зательных положениях, которые должны содержаться в учреди­тельных и иных основополагающих документах организации и опреде­лять правовой статус ее информационной безопасности. Указан­ные положения позволяют на законных основаниях вести речь о сохранении коммерческой тайны, выделять ценную информацию, составляющую собственность организации и выполнять дей­ствия по ее защите.

Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих за­щиту ценной документированной информации, являются: положение о службе безопасности, положение о службе конфи­денциальной документации, должностные инструкции работников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и др.

Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию от­ражают избранную технологию системы защиты инфор­мации. Можно выделить основные регламентирующие докумен­ты, имеющие значение для любого предприятия и необходимые при ис­пользовании любой системы защиты информации или отдельных элементов такой системы.

Прежде всего, следует назвать Перечень конфиденциальных сведений предприятия и Классифицированный перечень документов, подлежащих защите.

Ин­струкция по обеспечению безопасности конфиденциальной инфор­мации, отражающая:

— обязанности сотрудников при работе с конфиденциальной информацией;

— порядок доступа работников к конфиденциальным документам и базам данных, оформление доступа;

— обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала;

— порядок сохранения коммерческой при проведении совещаний, заседаний и переговоров;

— требования к помещениям для работы с конфиденциальной информацией;

— порядок охраны территории, здания, помещений, транспортных средств и персонала;

— пропускной режим помещений, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов;

— порядок приема, учета и контроля деятельности посетителей;

— требования к защите информации в рекламной и выставочной работе, публикациях, при интервьюировании и собеседованиях;

— организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств оргтехники;

— ответственность работников за разглашение конфиденциальной информации и утрату ценных документов.

Положение по защите персональных данных на предприятии (в организации),включающее:

— перечень и категорию персональных данных, обрабатываемых в информационных системах предприятия;

— режим обработки персональных данных;

— перечень и характер угроз информационным системам персональных данных;

— состав методов и средств защиты персональных данных, обрабатываемых в информационных системах предприятия.

Инструкции по обработке, хра­нению и движению конфиденциальных документов предназначена для организации работы сотрудников службы конфиденциальной документации, менеджера (референта) по безопасности, управляющего делами, секретаря-референта первого руководителя.

Информационные доку­менты(правила, требования, указания, методики, памятки и т. п.), детализирующие процессы защиты информации, носящие обязательный характер и устанавливающие порядок работы с кон­фиденциальной информацией и документами отдельных катего­рий работников, или всех работников в конкретных типо­вых ситуациях. При необходимости они могут составляться по каж­дому отдельному работнику.

Правила работы менеджера по безопасности (администратора информационной безопасности) с конфиденциальными документами и базами данныхдолжны отражать:

Видео (кликните для воспроизведения).

— порядок приема и отправки конфиденциальных документов;

— порядок учета (регистрации) поступивших документов;

— организацию доступа исполнителей к конфиденциальным документам;

— распределение документов по руководителям и исполните­лям, ознакомление с документами исполнителей и передачу документов на исполнение;

— формирование и ведение справочно-информационного банка данных по конфиденциальным документам;

— контроль исполнения документов;

— учет и изготовление документов на пишущих устройствах;

— оформление и ведение номенклатуры дел;

— формирование и хранение (текущее и архивное) дел;

— порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя;

— защиту информации при ведении телефонных переговоров и передаче информации по факсимильной связи;

— защиту информации при работе с ПЭВМ;

— построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техники в рабочее и нерабочее время;

— ответственность за нарушение правил работы с конфиденциальной документацией и базами данных.

Информационные документы регламентируют требования по единообразному выполнению персоналом определенных видов ти­повых действий. К таким документам можно отнести, например, Правила обеспечения безопасности и защиты конфиденци­альной информации в экстремальных ситуациях,содержащие:

— классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите конфиденциальной информации, информации и документов;

— порядок (при необходимости — план) эвакуации и охраны документов, дел и баз данных;

— порядок (при необходимости — план) эвакуации и оказания помощи персоналу;

— порядок охраны имущества, оборудования и технических средств защиты информации;

— порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т. п.);

— порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций.

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Сдача сессии и защита диплома — страшная бессонница, которая потом кажется страшным сном. 8825 —

| 7173 — или читать все.

185.189.13.12 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Отключите adBlock!
и обновите страницу (F5)

очень нужно

Нормативные документы по безопасности АСУ ТП, АСУ ПиТП, КСИИ, КВО, КИИ

В силуPнекоторой непоследовательности в принятии нормативно-правовых документов в области (информационной) безопасности промышленных систем автоматизации и управления (а равно и КСИИ, КВО, АСУ ТП, АСУ ПиТП, КИИ — одних только аббревиатур сколько!), по факту, несмотря на обилие указов, приказов и даже законов, стройной системы пока не получается.

Тем не менее, собрав воедино все законодательные требования и рекомендации для конкретного случая определённую картину всё же получить можно. С этой целью постарался собратьPмаксимально полную подборку нормативно-правовых документов по этой тематике вместе со ссылками (где это возможно) на тексты документов в справочно-правовых системах и на сайтах госорганов, а также ссылками на файлы в формате PDF для удобства скачивания. Все документы разбиты на несколько групп (ФЗ, указы Президента и т.д.) и отсортированы по дате их принятия (самые свежие — последние в списках).

Читайте так же:  Памятка сотруднику дпс

Федеральные законы

  • Федеральный закон от 21.11.1995 170-ФЗ Об использовании атомной энергии
    PDFГарантКодексКонсультант+Pravo.gov.ru
  • Федеральный закон от 21.07.1997 116-ФЗ О промышленной безопасности опасных производственных объектов
    PDFГарантКодексКонсультант+Pravo.gov.ru
  • Федеральный закон от 21.07.1997 117-ФЗ О безопасности гидротехнических сооружений
    PDFГарантКодексКонсультант+Pravo.gov.ru
  • Федеральный закон от 09.02.2007 г. 16-ФЗ О транспортной безопасности
    PDFГарантКодексКонсультант+Pravo.gov.ru
  • Федеральный закон от 21.07.2011 г. 256-ФЗ О безопасности объектов топливно-энергетического комплекса
    PDFГарантКодексКонсультант+Pravo.gov.ru
  • Федеральный закон от 21.07.2011 г. 257-ФЗ О внесении изменений в отдельные законодательные акты Российской Федерации в части обеспечения безопасности объектов топливно-энергетического комплекса
    PDFГарантКодексКонсультант+Pravo.gov.ru
  • Федеральный закон от 03.12.2011 г. 382-ФЗ [О государственной информационной системе топливно-энергетического комплекса
    PDFГарантКодексКонсультант+Pravo.gov.ru
  • ПРОЕКТPФедерального закона О безопасности критической информационной инфраструктуры Российской Федерации (подготовлен ФСБ России)
    PDFКонсультант+

Указы Президента РФ

  • Указ Президента РФ от 12.05.2009 537 О Стратегии национальной безопасности Российской Федерации до 2020 года
    PDFГарантКодексКонсультант+Pravo.gov.ru
  • Основы государственной политики в области обеспечения безопасности населения Российской Федерации и защищенности критически важных и потенциально опасных объектов от угроз природного, техногенного характера и террористических актов на период до 2020 года (утв. Президентом РФ 15.11.2011, Пр-3400)
    PDFГарантКодексКонсультант+
  • Указ Президента РФ от 15.01.2013 31с О создании государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации (ГосСОПКА)
    PDFГарантКодексКонсультант+Pravo.gov.ru
  • Основы государственной политики Российской Федерации в области международной информационной безопасности на период до 2020 года (утв. Президентом РФ 24.07.2013, Пр-1753)
    PDFГарантКонсультант+Scrf.gov.ru

Документы Правительства РФ

Документы Совета Федерации и Совета Безопасности

  • Система признаков критически важных объектов и критериев отнесения функционирующих в их составе информационно-телекоммуникационных систем к числу защищаемых от деструктивных информационных воздействий (утв. Совет Безопасности 08.11.2005)
    Не опубликовано
  • Основные направления государственной политики в области обеспечения безопасности автоматизированных систем управления производственными и технологическими процессами критически важных объектов инфраструктуры Российской Федерации (утв.PПрезидентом РФ 03.02.2012, 803)
    PDFГарантКонсультант+Scrf.gov.ru

Документы ФСТЭК

Министерство энергетики

  • Приказ Министерства энергетики РФ от 13.12.2011 587 Об утверждении перечня работ, непосредственно связанных с обеспечением безопасности объектов топливно-энергетического комплекса
    PDFГарантКодексКонсультант+
  • Приказ Министерства энергетики РФ от 10.02.2012P48 Об утверждении методических рекомендаций по включению объектов топливно-энергетического комплекса в перечень объектов, подлежащих категорированию
    PDFГарантКонсультант+
  • Методические рекомендации по анализу уязвимости производственно-технологического процесса и выявлению критических элементов объекта, оценке социально-экономических последствий совершения на объекте террористического акта, антитеррористической защищенности объекта при проведении категорирования и составления паспорта безопасности объекта топливно-энергетического комплекса (утв. Минэнерго 10.10.2012)
    Для служебного пользования

ГОСТы

  • ГОСТ РО 0043-001-2010 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Термины и определения
  • Для служебного пользования
  • ГОСТ РО 0043-002-2012 Защита информации. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры. Система документов (утв. приказомPРосстандарта 1-СТ РО от 17.04.2012)
    Для служебного пользования
  • ГОСТ РО 0043-003-2012 Защита информации. Аттестация объектов информатизации. Общие положения
    Для служебного пользования
  • ГОСТ РО 0043-004-2013 Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний
    Для служебного пользования

Пакет документов по информационной безопасности

При разработке Политики Информационной безопасности и других документов для обеспечения кибербезопасности на предприятии, мы исходим из необходимости установления защиты системы от внешних и внутренних атак и гибкости, важной для понимания документов работниками.

Исходя из этих требований, мы можем подготовить индивидуальный пакет документов, ключевыми из которых являются:

  • Политика Информационной безопасности
    Набор требований, правил, ограничений и рекомендаций, регламентирующих порядок информационной деятельности в организации.

Фактически, такая политика представляет собой Конституцию с Информационной безопасности, которую должен знать и выполнять каждый работник компании.

  • Политика конфиденциальности и защиты персональных данных
    Этот документ регулирует порядок допуска работников к конфиденциальной информации и информации, содержащей персональные данные.

Поможет наладить работу с документами, содержащими информацию с ограниченным доступом и четко объяснит Вашим работникам, почему нельзя разглашать конфиденциальную информацию и какими последствиями это чревато.

  • Политика реагирования на киберинциденты
    Содержит алгоритм действий ответственных лиц и рядовых работников в случае осуществления кибератаки или иного киберинцидента в компании.

[1]

Политика реагирования — это руководство, которое содержит порядок действий в случае возникновения киберинциденту, главная задача которого — мгновенное реагирование на критическую ситуацию, которое позволит спасти как можно большее количество данных, сохранить систему в максимально рабочем состоянии и собрать информацию для будущего расследования специализированными правоохранительными органами.

  • Положение о внутренних процессах работы с персональными данными
    Регулирует порядок хранения, обработки и уничтожения персональных данных работников, клиентов и третьих лиц в разрезе конкретных обязанностей работников в компании.

Задачей этого внутреннего положения является автоматизация процесса работы сотрудников с персональными данными и регламентация их прав и обязанностей.

  • Положение о шифровании данных и ведения парольной политики
    Содержит требования составления паролей и алгоритмы шифрования данных, используемых компанией.

Данное Положение привнесет в жизнь компании высокие стандарты безопасности и порядок работы с алгоритмом шифрования.

В зависимости от специфики деятельности клиента, дополнительно разрабатываются документы направлены на улучшение работы отдельных отделов компании.

Среди дополнительных документов популярными являются:

  • Положение о порядке работы с платежными системами
    Набор требований к работникам по использованию платежных систем и систем расчетов с учетом требований информационной безопасности.
  • Политика в отношении обучения по информационной безопасности
    Содержит порядок проведения обучения по информационной безопасности с использованием собственных и приглашенных лекторов и требования до необходимого уровня знаний для каждой категории работников компании;
  • Положение о службе информационной безопасности.
    Содержит информацию о структуре, регулирует порядок работы, подчинения и ответственность работников службы информационной безопасности.

Будем рады помочь вам в организации кибербезопасности в вашей IТ компании и адаптировать все разработанные документы под Ваш кейс.

Нормативные документы в области информационной безопасности.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся:

Акты федерального законодательства:

Международные договоры РФ;

Законы федерального уровня (включая федеральные конституционные законы, кодексы);

Указы Президента РФ;

Постановления правительства РФ;

Нормативные правовые акты федеральных министерств и ведомств;

Читайте так же:  Регистрация наименования юридического лица

Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

Подробнее списки и содержание указанных нормативных документов в области информационной безопасности обсуждаются в разделе Информационное право.

К нормативно-методическим документам можно отнести

Методические документы государственных органов России:

Доктрина информационной безопасности РФ;

Руководящие документы ФСТЭК (Гостехкомиссии России);

Стандарты информационной безопасности, из которых выделяют:

Государственные (национальные) стандарты РФ;

Рекомендации по стандартизации;

Органы (подразделения), обеспечивающие информационную безопасность.

В зависимости от приложения деятельности в области защиты информации (в рамках государственных органов власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

Государственные органы РФ, контролирующие деятельность в области защиты информации:

Комитет Государственной думы по безопасности;

Совет безопасности России;

Федеральная служба по техническому и экспортному контролю (ФСТЭК России);

Федеральная служба безопасности Российской Федерации (ФСБ России);

Федеральная служба охраны Российской Федерации (ФСО России);

Служба внешней разведки Российской Федерации (СВР России);

Министерство обороны Российской Федерации (Минобороны России);

Министерство внутренних дел Российской Федерации (МВД России);

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

Службы, организующие защиту информации на уровне предприятия

Служба экономической безопасности;

Служба безопасности персонала(Режимный отдел);

Служба информационной безопасности.

Организационно-технические и режимные меры и методы.

Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы.

Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) [5] — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:

Защита объектов информационной системы;

Защита процессов, процедур и программ обработки информации;

Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.);

Подавление побочных электромагнитных излучений;

Управление системой защиты.

При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:

Определение информационных и технических ресурсов, подлежащих защите;

Выявление полного множества потенциально возможных угроз и каналов утечки информации;

Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

Определение требований к системе защиты;

Осуществление выбора средств защиты информации и их характеристик;

Внедрение и организация использования выбранных мер, способов и средств защиты;

Осуществление контроля целостности и управление системой защиты.

Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.

Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.

Согласно ГОСТ Р ИСО/МЭК 17799—2005 [2] , на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».

К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты, Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.

В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.

Документы по информационной безопасности

Основная цель проекта SecurityPolicy.ru — создание сообществом специалистов комплектов типовых документов по информационной безопасности, которыми могут воспользоваться все желающие без ограничений, а также подборка шаблонов документов по информационной безопасности, законодательных и нормативных актов.

Сайт работает по технологии wiki, то есть любой желающий может улучшить документ — скорректировать или дополнить его.

Регистрируйтесь и принимайте участие в создании документов по информационной безопасности. Делитесь опытом, размещайте свои документы 1) , вносите правки в существующие документы, оставляйте комментарии, помогайте переводить документы с иностранных языков.

Структура и содержание сайта

Для наглядности и удобства работы сайт поделен на разделы, которые содержат категории, включающие в себя близкие по тематике документы. Добавление, редактирование и обсуждение документов приветствуется.

Изменения в документы по информационной безопасности

Наша фирма занимается обслуживанием серверов. Каждый наш специалист по обслуживанию имеет удаленный доступ к нескольким серверам разных клиентов.
Недавно получилось так, что файлы (Word-документы) одного клиента попали на сервер другого клиента. Наш специалист их просто скопировал туда как на временное хранилище, а удалить потом оттуда забыл.
И получается, что теоретически возможна такая ситуация, что таким же образом документы нашей фирмы могут попасть на сервер клиента.
Чтобы этого избежать мы решили прописать в документы по информационной безопасности пункт о том, что копировать данные клиентов на ресурсы других клиентов не допускается.

Что именно нужно внести в документы? В какие документы? На какие нормативные акты можно сделать ссылки?

Структура внутренних документов по обеспечению информационной безопасности юридического лица

Введение

Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица

Цель – изучить вопросы, касающиеся документационной поддержки информационной безопасности юридического лица

Организационное обеспечение автоматизированной системы – совокупность документов, устанавливающих организационную структуру, права и обязанности пользователей и эксплуатационного персонала автоматизированной системы в условиях функционирования, проверки и обеспечения работоспособности автоматизированных систем.

Читайте так же:  Договор займа с директором ооо

В современных условиях адекватный потребностям бизнеса уровень информационной безопасности может быть обеспечен только на основе комплексного подхода, предполагающего планомерное использование правовых, организационных, технических и других мер обеспечения информационной безопасности на единой концептуальной и методической основе.

Деятельность юридического лица любой формы собственности по обеспечению своей информационной безопасности осуществляется на основании следующих документов:

Действующие законодательные акты и нормативные документы РФ по обеспечению информационной безопасности;

Нормативные акты вышестоящего органа по отношению к данной организации;

Внутренние документы организации любой формы собственности по обеспечению информационной безопасности.

Для обеспечения согласованности, целенаправленности, планомерности деятельности по обеспечению информационной безопасности, вся работа в этом направлении должна быть документирована. Документы по обеспечению информационной безопасности позволяют определить и довести до каждого сотрудника организации все правила и требования по обеспечению информационной безопасности, которыми должен руководствоваться сотрудник, вне зависимости от занимаемой должности, в процессе повседневной деятельности. Также документы определяют порядок контроля за выполнением требований. Поэтому, в состав внутренних документов организации рекомендуется включать следующие виды документов, организованных в виде иерархической структуры.

Концепция информационной безопасности организации. Это документ, который содержит положения корпоративной политики информационной безопасности организации;

Политики информационной безопасности организации. Это документы, содержащие положения частных методик, которые детализируют положения применительно к одной или нескольким областям информационной безопасности к видам и технологиям уставной деятельности юридического лица;

Стандарты информационной безопасности организации. Это документы, которые содержат положения информационной безопасности, применяемые к процедурам (порядку выполнения действий или операций), обеспечивающие информационную безопасность;

СВД. Это документы, содержащие свидетельства выполненной деятельности (СВД). Эти документы отражают достигнутые результаты по обеспечению информационной безопасности.

Исходя из данной структуры, естественно сформулировать следующие рекомендации:

Обязательность. Эти документы должны носить не рекомендательный, а обязательный характер;

Адекватность. Документы должны отражать реальные требования и условия ведения уставной деятельности, включая угрозы и риски информационной безопасности;

Выполнимость и контролируемость. Должны быть включены такие положения, которые выполнимы и которые можно проконтролировать.

Примечание. В состав внутренних документов также целесообразно включать специальный документ под названием «классификатор», который содержит перечень и назначение всех документов организации по обеспечению ее информационной безопасности на всех этапах жизненного цикла. Такой классификатор полезен при осуществлении менеджмента документов организации в рамках корпоративной системы. Наличие сориентированного классификатора (разбитого по разделам) позволит обеспечить повышение степени осведомленности сотрудников организации по вопросам информационной безопасности, а также позволит обеспечить качественный аудит информационной безопасности в данной организации.

Примечание №2. При наличии у организации сети филиалов, в каждом из них рекомендуется иметь единый для данной корпоративной системы утвержденный комплект документов приведенной выше структуры. В случае возникновения необходимости учета специфики обязательно разрабатываются собственные документы филиала.

Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)

В названии корпоративной политики должно быть название данной организации, для которой разработана эта концепция информационной безопасности. В корпоративную политику рекомендуется включать следующие положения:

Определение информационной безопасности в терминах данной организации, области действия политики, целей, задач и принципов обеспечения информационной безопасности данной организации.

Изложение намерений руководстваорганизации по обеспечению информационной безопасности, направленного на достижение указанных целей и на реализацию принципов обеспечения информационной безопасности.

Общие сведения об активах, подлежащих защите и их классификации.

Модели угроз и нарушителей (внутренние и внешние) в соответствии с установленными в данной организации требованиями стандарта по обеспечению информационной безопасности, на противодействие которым сориентирована корпоративная политика.

Высокоуровневое изложение правил и требований в области информационной безопасности, представляющих особую важность для организации данного хозяйственного сектора экономики (обеспечение соответствия законодательным актам, нормативным документам РФ в области обеспечения информационно безопасности и нормативным актам, которые действуют в рамках данного хозяйственного сектора экономики)

Требования к управлению системой информационной безопасности.

Требования по предотвращению и обнаружению компьютерных вирусов и другого вредоносного программного обеспечения.

Санкции при нарушении политики информационной безопасности.

Последствия нарушения политики информационной безопасности.

Требования по управлению непрерывности уставной деятельности.

Определение общих ролей и обязанностей, связанных с обеспечением информационной безопасностью, включая информирование об инцидентах информационной безопасности

Перечень частных политик информационной безопасности, развивающих и детализирующих положения корпоративной политики информационной безопасности, а также указания подразделениям информационной безопасности, ответственным за их соблюдение и реализацию.

Положения по контролю реализации концепции информационной безопасности.

Ответственность за реализацию и поддержку документа.

[2]

Условия пересмотра или выпуска новой редакции

К разработке и согласованию концепции информационной безопасности целесообразно привлекать представителей следующих служб:

Руководство организации; Профильные подразделения;Служба безопасности

Не нашли то, что искали? Воспользуйтесь поиском:

Лучшие изречения: Только сон приблежает студента к концу лекции. А чужой храп его отдаляет. 8863 —

| 7557 — или читать все.

185.189.13.12 © studopedia.ru Не является автором материалов, которые размещены. Но предоставляет возможность бесплатного использования. Есть нарушение авторского права? Напишите нам | Обратная связь.

Видео (кликните для воспроизведения).

Отключите adBlock!
и обновите страницу (F5)

очень нужно

Источники


  1. Будяну В. А., Мытарев С. А., Сумская Е. Г. Правоведение за 24 часа; Феникс — Москва, 2009. — 288 c.

  2. Васильева, Вера Как судили Алексея Пичугина. Судебный репортаж / Вера Васильева. — М.: Human Rights Publishers, 2013. — 621 c.

  3. Мурадьян, Э. М. Ходатайства, заявления и жалобы (обращения в суд) / Э.М. Мурадьян. — М.: Юридический центр Пресс, 2015. — 446 c.
  4. Воробьев, А. В. Теория адвокатуры / А.В. Воробьев, А.В. Поляков, Ю.В. Тихонравов. — М.: Грантъ, 2015. — 496 c.
  5. Миронов Иван Суд присяжных. Стратегия и тактика судебных войн; Книжный мир — М., 2015. — 672 c.
Документы по информационной безопасности
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here