Цель работы: изучить действующую нормативную документацию объекта информатизации.
Теоретическая часть
Основным документом, регламентирующим безопасность объекта информатизации, является политика информационной безопасности.
Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.
Прежде всего политика необходима для того, чтобы донести цели и задачи информационной безопасности компании. Необходимо понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно — в повышении прибыльности компании.
-
Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005,
политика информационной безопасности должна устанавливать
ответственность руководства, а также излагать подход организации к
управлению информационной безопасностью. В соответствии с указанным
стандартом, необходимо, чтобы политика информационной безопасности
предприятия как минимум включала:
- – определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
- – изложение целей и принципов информационной безопасности, сформулированных руководством;
- – краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований;
В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр.
При разработке политики следует помнить о двух моментах:
- Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений , однако должны быть ознакомлены с положениями политики.
- Не нужно пытаться включить в этот документ все, что можно. Здесь должны быть только цели ИБ, методы их достижения и ответственность!
Законы, регулирующие порядок работы с конфиденциальной информацией:
- Федеральный закон "О защите персональных данных"
- Федеральный закон "Об архивном деле"
- Федеральный закон "О коммерческой тайне"
- Health Insurance Portability and Accountability Act
- Федеральный закон "О связи"
- Доктрина информационной безопасности
- Федеральный закон "Об электронной цифровой подписи"
Контрольные вопросы
Назовите структуру нормативных документов предприятия.
- Требования законодательства;
- Требования IT-стандартов;
- Требования стандартов по безопасности;
- Внутренние стандарты, политики и регламенты
Что обозначает коэффициент реализуемости угрозы?
- Сумма коэффициентов градации вероятности возникновения угрозы и степени исходной защищенности деленной на 20
Какие угрозы являются актуальными?
- Те угрозы, которые попадают под методику определения актуальных угроз безопасности персональных данных утвержденную властями РФ от 14.02.2008
Какой документ по защите информации является первичным нормативным актом на предприятии?
- Политика информационной безопасности (совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.)
Перечислите законы, регулирующие порядок работы с конфиденциальной информацией.
- Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ
- Федеральный закон "Об архивном деле в Российской Федерации" от 22.10.2004 N 125-ФЗ
- Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ
- Health Insurance Portability and Accountability Act of 1996
- Федеральный закон "О связи" от 07.07.2003 N 126-ФЗ
- Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ
- Федеральный закон "Об электронной цифровой подписи" от 10.01.2002 N 1-ФЗ
- Доктрина информационной безопасности.
Что регулирует закон об архивном деле?
- регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов независимо от их форм собственности, а также отношения в сфере управления архивным делом в Российской Федерации в интересах граждан, общества и государства.
Что регулирует Федеральный закон "О защите персональных данных"?
- определяет требования к информационным системам персональных данных и регламентирует необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним.
Что регулирует Федеральный закон "О коммерческой тайне"?
- регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.
Что регулирует Федеральный закон "О связи"?
- регулирует отношения, связанные с созданием и эксплуатацией всех сетей связи и сооружений связи, использованием радиочастотного спектра, оказанием услуг электросвязи и почтовой связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях.
Перечислите общий список внутренних нормативных документов, которые должны быть на любом объекте информатизации?
- Политика информационной безопасности.
- Положение о конф. Информации
- Положение о службе ИБ
- Инструкции
- Процедуры
- Регламенты