Изучение действующей нормативной документации объекта информатизации

Цель работы

Изучить действующую нормативную документацию объекта информатизации.

Теоретическая часть

Политика информационной безопасности – это совокупность правил, процедур, практических методов и руководящих принципов в области ИБ, используемых организацией в своей деятельности.

Прежде всего политика необходима для того, чтобы донести цели и задачи информационной безопасности компании. Необходимо понимать, что безопасник это не только инструмент для расследования фактов утечек данных, но и помощник в минимизации рисков компании, а следовательно — в повышении прибыльности компании.

Согласно отечественному стандарту ГОСТ Р ИСО/МЭК 17799-2005, политика информационной безопасности должна устанавливать ответственность руководства, а также излагать подход организации к управлению информационной безопасностью.

Политика информационной безопасности компании должна быть утверждена руководством, издана и доведена до сведения всех сотрудников в доступной и понятной форме.

В организации должно быть назначено лицо, ответственное за политику безопасности, отвечающее за её эффективную реализацию и регулярный пересмотр.

При разработке политики следует помнить о двух моментах.

Целевая аудитория политики ИБ — конечные пользователи и топ-менеджмент компании, которые не понимают сложных технических выражений, однако должны быть ознакомлены с положениями политики.

Не нужно пытаться включить в этот документ все, что можно. Здесь должны быть только цели ИБ, методы их достижения и ответственность! Никаких технических подробностей, если они требуют специфических знаний. Это все — материалы для инструкций и регламентов.

Конечный документ должен удовлетворять следующим требованиям:

лаконичность — большой объем документа отпугнет любого пользователя, ваш документ никто никогда не прочитает (а вы не раз будете употреблять фразу: «это нарушение политики информационной безопасности, с которой вас ознакомили»)

доступность простому обывателю — конечный пользователь должен понимать, ЧТО написано в политике (он никогда не прочитает и не запомнит слова и словосочетания «журналирование», «модель нарушителя», «инцидент информационной безопасности», «информационная инфраструктура», «техногенный», «антропогенный», «риск-фактор» и т.п.).

Политика ИБ должна быть документом первого уровня, ее должны расширять и дополнять другие документы (положения и инструкции), которые уже будут описывать что-то конкретное.

На втором уровне рассматриваются положения о защищаемой информации и о отделе информационной безопасности в организации.

На третьем уровне рассматриваются инструкции, процедуры, регламенты.

• Инструкция по защите информации от компьютерных вирусов
• Инструкция по использованию электронной почты
• Инструкция по организации антивирусной защиты
• Инструкция по эксплуатации компьютеров и работе в информационной сети
• Инструкция по организации парольной защиты
• Инструкция по организации безопасной работы с информационной системой и копировальным оборудованием
• Типовой регламент резервного копирования данных

Контрольные вопросы

Назовите структуру нормативных документов предприятия.

• 1 уровень:
  • Политика ИБ
• 2 уровень:
  • Положение о конфиденциальной информации
  • Положение о службе ИБ
• 3 уровень:
  • Инструкции
  • Процедуры
  • Регламенты

Какой документ по защите информации является первичным нормативным актом на предприятии?

Политика ИБ

Перечислите законы, регулирующие порядок работы с конфиденциальной информацией.

1. Федеральный закон "О защите персональных данных"
2. Федеральный закон "Об архивном деле"
3. Федеральный закон "О коммерческой тайне"
4. Закон HIPAA
5. Федеральный закон "О связи"
6. Доктрина информационной безопасности
7. Федеральный закон "Об информации, информационных технологиях и о защите информации"
8. Федеральный закон "Об электронной цифровой подписи"

Что регулирует закон об архивном деле?

Этот закон регулирует отношения в сфере организации хранения, комплектования, учета и использования документов Архивного фонда Российской Федерации и других архивных документов независимо от их форм собственности.

Что регулирует Федеральный закон "О защите персональных данных"?

Данный закон, в частности, определяет требования к информационным системам персональных данных и регламентирует необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним.

Что регулирует Федеральный закон "О коммерческой тайне"?

Этот закон регулирует отношения, связанные с отнесением информации к коммерческой тайне, передачей такой информации, охраной ее конфиденциальности.

Что регулирует Федеральный закон "О связи"?

Настоящий Федеральный закон устанавливает правовые основы деятельности в области связи на территории Российской Федерации и на находящихся под юрисдикцией Российской Федерации территориях, определяет полномочия органов государственной власти в области связи, а также права и обязанности лиц, участвующих в указанной деятельности или пользующихся услугами связи.

Nikita Krestyashin 2021