Этап: Разработка организационных документов регламентирующих общие требования по защите информации в организации.
Этап: Разработка организационных документов регламентирующих общие требования по защите информации в организации. - раздел Социология, ТЕМА 1. ИНФОРМАТИЗАЦИИ И ЕЁ ЗНАЧЕНИЕ ДЛЯ ОБЩЕСТВА Вполне Возможно, Что На Момент Проведения Работ По Защите Информации В Органи...
Вполне возможно, что на момент проведения работ по защите информации в организации уже приняты определенные меры по защите информации, например, установлено антивирусное программное обеспечение на рабочие станции и сервера, регламентирован доступ на территорию организации, организована физическая охрана территории (помещений) и т.д.
Все эти меры Вы сможете учитывать на следующих этапах построения системы защиты информации, только если принятие этих мер строго регламентировано организационными документами, требования которых распространяются в целом на организацию.
Например, если доступ на территорию организации осуществляется через пост вневедомственной охраны с проходом через турникет и фиксацией времени входа-выхода сотрудников, пропуск посетителей осуществляется по пропускам при предъявлении документа, удостоверяющего личность, и т.п., но это не регламетировано никаким документом, с которым под роспись ознакомлены ответственные должностные лица, и не определены мероприятия по контролю соблюдения установленных требований, то говорить о том, что приняты организационные меры, направленные на физическую защиту объекта, мы не можем.
На этом этапе работ нам необходимо:
1. Выявить и упорядочить (при наличии) документы, регламентирующие вопросы, касающиеся защиты информации.
2. С учетом анализа, проведенного на первом этапе, внести корректировки и дополнения (возможно ужесточение требований в соответствии с наличием в организации информации ограниченного распространения).
3. Разработать недостающие документы.
Итак, какими все-таки документами регламентируются общие требования по защите информации в организации? В этом вопросе все сугубо индивидуально и зависит от множества факторов. Приведем основные.
Положение о пропускном режиме.
Приказ о назначении ответственного за защиту информации и распределении обязанностей.
Инструкция о работе в сети интернет и использовании электронной почты организации.
Инструкция системного администратора.
Инструкция по антивирусному контролю.
Инструкция по парольной защите.
Инструкция пользователя.
План обеспечения непрерывной работы и восстановления работоспособности подсистемы.
Порядок обращения с информацией, подлежащей защите.
Концепция обеспечения безопасности информации в автоматизированной системе организации.
При разработке документов необходимо помнить: защите подлежит вся информация, циркулирующая в организации, только подход должен быть дифференцированным. Если к информации ограниченного распространения предъявляется, как одно из основных требований, конфиденциальность, то к информации, не подлежащей защите в соответствии с требованиями федерального законодательства, должны предъявляться требования защиты от уничтожения, модифицирования, блокирования и иных неправомерных действий, которые могут нанести ущерб организации.
Вопрос дифференцированного подхода к защите информации подробно расмотрен на 3 этапе - Проведение категорирования и классификации информационных ресурсов.
3 этап: Проведение категорирования и классификации информационных ресурсов.
Алгоритм
На третьем этапе мы непосредственно переходим к категорированию ресурсов. С целью создания нормативно-методической основы для дифференцированного подхода к защите ресурсов и типизации принимаемых организационных мер в организации разрабатывается Положение об определении требований по защите (о категорировании) ресурсов автоматизированной системы организации. (Далее - Положение)
В разделе Положения 2.1. Категории конфиденциальности защищаемой информации, информация, циркулирующая в организации, раделена на 3 категории:
«СТРОГО КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, являющаяся конфиденциальной в соответствии с требованиями действующего законодательства (коммерческая и банковская тайны, персональные данные и т.д.), а также информация, ограничения, на распространение которой введены решениями руководства ОРГАНИЗАЦИИ, разглашение которой может привести к тяжким финансово-экономическим последствиям для Организации вплоть до банкротства (нанесению тяжкого ущерба жизненно важным интересам его клиентов, корреспондентов, партнеров или сотрудников);
«КОНФИДЕНЦИАЛЬНАЯ» - к данной категории относится информация, не отнесенная к категории «СТРОГО КОНФИДЕНЦИАЛЬНАЯ», ограничения на распространение которой вводятся решением руководства Организации в соответствии с предоставленными ему как собственнику (уполномоченному собственником лицу) информации действующим законодательством правами, разглашение которой может привести к значительным убыткам и потере конкурентоспособности ОРГАНИЗАЦИИ (нанесению ощутимого ущерба интересам его клиентов, корреспондентов, партнеров или сотрудников);
«ОТКРЫТАЯ» - к данной категории относится информация, обеспечения конфиденциальности (введения ограничений на распространение) которой не требуется.
Переходя к классификации, необходимо отметить, что классификация информационных систем персональных данных стоит особняком и регламентирована Приказом ФСТЭК России, ФСБ России, Мининформсвязи России от 13 февраля 2008 г. N 55/86/20 Об утверждении Порядка проведения классификации информационных систем персональных данных" и определяется с учетом модели угроз. В свою очередь порядок составления модели угроз указан в Методике определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных и основывается на Базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных. Также при использовании средств криптографической защиты на основании Методических рекомендаций по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации (утв. ФСБ РФ 21 февраля 2008 г. N 149/54-144) составляется Модель нарушителя.
Классификация информации ограниченого распространения, не содержащей персональных данных, производится на основании РД "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" (утв. решением Государственной технической комиссии при Президенте РФ от 30 марта 1992 г.)
XIX век называли веком производства XX век веком управления а XXI век по... Современное материальное производство и другие сферы деятельности нуждаются в информационном обслуживании переработке...
Значение информатизации общества и основные её последствия
Переход к информационному обществу совпал с острой фазой информационного кризиса - наиболее болезненной, мешающей дальнейшему развитию цивилизации проблемы. Общество столкнулось с п
Государственное регулирование в сфере информатизации
Целями государства в сфере информатизации являются информационное обеспечение деятельности органов государства; информационное обеспечение внешних по отношению к государственным орг
Понятие информационно-правовых норм, их структура и виды
Механизм правового регулирования в сфере информации представляет собой совокупность правовых средств, которые воздействуют на общественные отношения, организуют их в соответствии с
Информационные правоотношения и их элементы
С реализацией информационно-правовых норм связано возникновение информационных правоотношений. Они являются одним из видов правовых отношений, т. е. общественных отношений в информа
Информационное законодательство
За минувшее десятилетие в России было принято значительное число нормативных актов, в том числе федеральных законов, указов Президента и постановлений Правительства Российской Федер
Понятие информация и её правового режима
Информация может являться объектом публичных, гражданских и иных правовых отношений. Информация может свободно использоваться любым лицом и передаваться одним лицом другому лицу, если федеральными
Режим свободного доступа
К режиму свободного доступа относятся режим исключительных прав, режим информации, отнесённой к общественному достоянию, и режим массовой информации.
Режим исключит
Режим ограниченного доступа
Понятие и общая характеристика ограниченного доступа к информации. Правовая модель закрытия каких-либо сведений от доступа к ним третьих лиц строится на применении для этих целей е
Профессиональная принадлежность.
2. Конфиденциальная информация добровольно доверяется лицу, исполняющему соответствующие профессиональные обязанности, по выбору владельца этой информации.
3
Правовое регулирование распространения информации
В соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» обладателем информацииможет быть гражданин (физическое лицо), юридическое лиц
Право на доступ к информации
Важнейшая составляющая права на информацию - право на доступ к информационным ресурсам. Говоря о доступе к информации, следует отметить, что интересы личности в информационной сфер
С доступом к персональным данным и их обработкой
Одним из важнейших направлений защиты прав личности в информационной сфере является регулирование отношений в сфере персональных данных — любой информации, относящейся к определенному или определяе
ПРАВОЫЕ ОСНОВЫ ПРИМЕНЕНИЯ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ
5.1 Понятие информатизации и ее правовые основы.Средством перехода современного общества к информационному является информатизация.Под информатизацией согласно Фед
Понятие информационной системы
В настоящее время происходит бурное развитие информатизации. Ее можно определить как внедрение информационных систем, базирующихся на использовании современных средств вычислительной техники и науч
Объектом правового воздействия при внедрении информационных
системстановятся три различные группы общественных отношений, связанных с автоматизацией. В первую группу входят общественные отношения, связанные с созданием информационных систем
И эксплуатации информационных систем
Структуру правового регулированиясоздания и эксплуатации информационных систем можно представить в следующем виде:
- нормативно-правовая база, определяющая создание и эксп
Информационных систем
Эффективность использования информационных систем во многом зависит от четкой правовой регламентации информационного процесса. Под информационным процессомпонимаются конкретные опе
Информационных систем
В ряду правовых проблем создания и использования информационных систем важное место занимает проблема правового положения пользователей и персонала этих систем. К пользователяминфо
Особенности правового регулирования в сети Интернет
Интернет - объединение юридически и коммерчески самостоятельных узлов и сетей, пользующихся общим сетевым протоколом связи и форматом адреса. При полной самостоятел
И правовые основы их использования
В соответствии с Федеральным законом «Об информации, информационных технологиях и о защите информации» информационно-телекоммуникационная сеть- это технологическая система, предназ
Понятие связи и ее структура
Использование информационно-телекоммуникационных сетей осуществляется с соблюдением требований законодательства Российской Федерации в области связи. В связи с этим представляется необходимым детал
В области связи
Государственное регулирование деятельности в области связи осуществляется Президентом РФ, Правительством РФ, а также в пределах компетенции федеральными органами исполнительной власти. Федеральными
Механизмы обеспечения функционирования сети Интернет
Исследование механизмов саморегулирования и самоуправления в Интернете — нетипичная для правового курса тема, поскольку преимущественно в ней рассматриваются не законодательные нормы, а иные механи
Системы защиты информации
12 февраля 2013г. приказом ФСТЭК России №17 утверждены требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах
Система защиты информации на предприятии
Практически в любой организации, учреждении или на предприятии существуют компьютеры, как правило, объединённые в сеть, на которых обрабатывается какая-либо информация. Специалист п
Новости и инфо для студентов