Please enable JavaScript.
Coggle requires JavaScript to display documents.
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - Coggle Diagram
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Нормативно-правове забезпечення інформаційної безпеки
Законність функціонування
Закони
Відомчі накази
Інструкції
Положення
Нормативно-правові акти
Про Основні засади розвитку інформаційного суспільства в Україні на 2007-2015 роки
Про інформацію
Про державну таємницю
Про Національну програму інформатизації
Про Концепцію Національної програми інформатизації
Про телекомунікації
Про захист інформації в інформаційно- телекомунікаційних системах
Стратегії кібербезпеки України
Функції
Регулювати взаємовідносини між суб'єктами інформаційної безпеки, визначати їх права, обов'язки та відповідальність
Нормативно забезпечувати дії суб'єктів інформаційної безпеки на всіх рівнях, а саме - людини, суспільства, держави
Встановлювати порядок застосування різних сил і засобів забезпечення інформаційної безпеки
Напрям розробки НД ТЗІ
Основоположні нормативні документи, що регламентують загальні питання організації та функціонування системи ТЗІ, стандартизації,
нормування, ліцензування, сертифікації, експертизи, терміни та визначення в сфері ТЗІ
Нормативні документи, що встановлюють вимоги (норми) щодо ТЗІ, регламентують порядок і методи проведення досліджень загроз для інформації, сертифікації та експертизи засобів забезпечення ТЗІ,
атестації та експертизи комплексів (систем) захисту інформації
Нормативні документи що регламентують порядок розроблення та виробництва засобів забезпечення ТЗІ, створення, впровадження та експлуатації комплексів (систем) захисту інформації, надання послуг у
сфері ТЗІ
Нормативні документи, що регламентують контрольно-інспекційну діяльність у сфері ТЗІ
Види НД ТЗІ
Основні положення
Норми
Методики
Рекомендації
Загальні технічні вимоги
Правила
Методчики
Основні напрями захисту
забезпечення і оцінка захищеності інформації в АС, що функціонують
реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується обчислювальна система АС (програмних продуктів, засобів обчислювальної техніки і т. ін.), поза конкретним середовищем експлуатації
Концепція забезпечення захисту інформації
Основні загрози інформації
Політика безпеки інформації
Комплекс засобів захисту і об’єкти комп’ютерної системи
Визначення несанкціонованого доступу
Модель порушника
Основні принципи забезпечення захисту інформації
Коли необхідно створювати КСЗІ або КЗЗ
Термінологія
Обчислювальна система (ОС) (computer system) - сукупність програмних-апаратних засобів, призначених для обробки інформації
Автоматизована система (АС) (automated system) - організаційно- технічна система, що реалізує інформаційну технологію і об‘єднує ОС, фізичне середовище, персонал і інформацію, яка обробляється
Комп’ютерна система (КС) (computer system, target of evaluation) - сукупність програмно-апаратних засобів, яка подана для оцінки
Політика безпеки інформації (information security policy) - сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок обробки інформації
Загроза (threat) - будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС
Технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації
Комплекс засобів захисту (КЗЗ) (trusted computing base; TCB) — сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації
Комплексна система захисту інформації (КСЗІ) — сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС
не можуть бути комерційною таємницею
установчі документи, документи, що дозволяють займатися підприємницькою діяльністю та її окремими видами
інформація за всіма встановленими формами державної звітності
дані, необхідні для перевірки, обчислення і сплати податків та інших обов'язкових платежів
інформація про участь посадових осіб підприємства в кооперативах, малих підприємствах, спілках, об'єднаннях та інших організаціях, що є суб'єктами підприємництва
документи про платоспроможність
інформація про забруднення навколишнього природного середовища, невиконання умов безпеки праці, реалізацію продукції, яка завдала шкоди здоров'ю, а також інші порушення законодавства України і розміри завданих при цьому збитків
інформація про забруднення навколишнього природного середовища, невиконання умов безпеки праці, реалізацію продукції, яка завдала шкоди здоров'ю, а також інші порушення законодавства України і розміри завданих при цьому збитків
Положення про організацію роботи з інформацією, що становить комерційну таємницю та є конфіденційною
права співробітників підприємства та інших осіб щодо отримання інформації з обмеженим доступом
обов'язки посадових осіб і службовців підприємства щодо роботи з грифованими документами, виробами та засобами
правила ведення конфіденційних переговорів за допомогою засобів зв'язку, спілкування з клієнтами та відвідувачами
правила оформлення доступу до інформації з обмеженим доступом
порядок розроблення, зберігання, пересилання та руху грифованих документів в установах підприємства
загальні обов'язки персоналу підприємства щодо зберігання його таємниць
порядок доступу на засідання і наради, де обговорюються питання, в яких присутня інформація з обмеженим доступом
інші питання, що регулюють правила доступу до інформації з обмеженим доступом
ISO 27001
адміністративні документи
Наказ про створення спеціального керівного органу з питань інформаційної безпеки
Положення про спеціальний керівний орган з питань інформаційної безпеки
В разі відсутності спеціального керівного органу з питань інформаційної безпеки наказ про покладення обов'язків цього органу на існуючий керівний орган
Наказ про впровадження та функціонування СУІБ
Наказ про призначення керівника проекту впровадження та фун- кціонування СУІБ
Положення про службу безпеки
документи верхнього рівня
документи середнього рівня
документи нижнього рівня
Нормативно-правові документи верхнього рівня
Документи верхнього рівня
Цілі СУІБ
Сфера застосування СУІБ
Організаційна структура підприємства, яка охоплюється СУІБ
Політика управління інформаційною безпекою
Опис методології оцінки ризиків
Звіт щодо оцінки ризиків
План оброблення ризиків
Положення щодо застосовності
можуть бути створені такі окремі документи
Перелік законодавчих, регуляторних, нормативних вимог з інформаційної безпеки
перелік відомостей, що містять інформацію з обмеженим доступом
Перелік критичних бізнес-процесів, банківських продуктів, про- грамно-технічних комплексів
Політика визначення критичних бізнес-процесів, банківських продукті
Політика надання доступу до інформації
Політика контролю доступу
Політика парольного захисту
Політика антивірусного захисту