Изучение действующей нормативной документации объекта информатизации

Лабораторная работа 6.

Опубликовано Denis Zakharov от 10 Октября 2021

Цель работы: изучить действующую нормативную документацию объекта информатизации.

Теоретическая часть

Основным документом, регламентирующим безопасность объекта информатизации, является политика информационной безопасности.

Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.

Прежде всего политика необходима для того, чтобы донести цели и задачи информационной безопасности компании. Необходимо понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно — в повышении прибыльности компании.

    Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью. В соответствии с указанным стандартом, необходимо, чтобы политика информационной безопасности предприятия как минимум включала:
  • – определение информационной безопасности, её общих целей и сферы действия, а также раскрытие значимости безопасности как инструмента, обеспечивающего возможность совместного использования информации;
  • – изложение целей и принципов информационной безопасности, сформулированных руководством;
  • – краткое изложение наиболее существенных для организации политик безопасности, принципов, правил и требований;

В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр.

При разработке политики следует помнить о двух моментах:

  • Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений , однако должны быть ознакомлены с положениями политики.
  • Не нужно пытаться включить в этот документ все, что можно. Здесь должны быть только цели ИБ, методы их достижения и ответственность!

Законы, регулирующие порядок работы с конфиденциальной информацией:

  • Федеральный закон "О защите персональных данных"
  • Федеральный закон "Об архивном деле"
  • Федеральный закон "О коммерческой тайне"
  • Health Insurance Portability and Accountability Act
  • Федеральный закон "О связи"
  • Доктрина информационной безопасности
  • Федеральный закон "Об электронной цифровой подписи"

Контрольные вопросы

Назовите структуру нормативных документов предприятия.

  • Требования законодательства;
  • Требования IT-стандартов;
  • Требования стандартов по безопасности;
  • Внутренние стандарты, политики и регламенты

Что обозначает коэффициент реализуемости угрозы?

  • Сумма коэффициентов градации вероятности возникновения угрозы и степени исходной защищенности деленной на 20

Какие угрозы являются актуальными?

  • Те угрозы, которые попадают под методику определения актуальных угроз безопасности персональных данных утвержденную властями РФ от 14.02.2008

Какой документ по защите информации является первичным нормативным актом на предприятии?

  • Политика информационной безопасности (совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.)

Перечислите законы, регулирующие порядок работы с конфиденциальной информацией.

  • Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ
  • Федеральный закон "Об архивном деле в Российской Федерации" от 22.10.2004 N 125-ФЗ
  • Федеральный закон "О коммерческой тайне" от 29.07.2004 N 98-ФЗ
  • Health Insurance Portability and Accountability Act of 1996
  • Федеральный закон "О связи" от 07.07.2003 N 126-ФЗ
  • Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ
  • Федеральный закон "Об электронной цифровой подписи" от 10.01.2002 N 1-ФЗ
  • Доктрина информационной безопасности.

Что регулирует закон об архивном деле?

  • регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов независимо от их форм собственности, а также отношения в сфере управления архивным делом в Российской Федерации в интересах граждан, общества и государства.

Что регулирует Федеральный закон "О защите персональных данных"?

  • определяет требования к информационным системам персональных данных и регламентирует необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним.

Что регулирует Федеральный закон "О коммерческой тайне"?

  • регулирует отношения, связанные с установлением, изменением и прекращением режима коммерческой тайны в отношении информации, которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам.

Что регулирует Федеральный закон "О связи"?

  • регулирует отношения, связанные с созданием и эксплуатацией всех сетей связи и сооружений связи, использованием радиочастотного спектра, оказанием услуг электросвязи и почтовой связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях.

Перечислите общий список внутренних нормативных документов, которые должны быть на любом объекте информатизации?

  • Политика информационной безопасности.
  • Положение о конф. Информации
  • Положение о службе ИБ
  • Инструкции
  • Процедуры
  • Регламенты