Please enable JavaScript.
Coggle requires JavaScript to display documents.
4 НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - Coggle Diagram
4 НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Нормативно-правові документи середнього рівня
Управління ресурсами СУІБ
Реєстр ресурсів СУІБ.
Опис процедури поводження із інформацією з обмеженим доступом.
Безпека людських ресурсів:
Процедура управління персоналом.
Критерії прийому персоналу.
Опис процедури перевірки кандидатів на прийом на роботу
Опис процедури навчання прийнятих на роботу працівників вимогам
Опис процедури підготовки посадових інструкцій.
Опис дисциплінарного процесу щодо персоналу, який здійснив порушення безпеки.
Опис процедури звільнення персоналу з точки зору припинення відповідальності, скасування прав доступу та повернення ресурсів СУІБ.
Програма навчання персоналу.
є технічними документами, які спрямовані на опис способів реалізації заходів безпеки для захисту ресурсів СУІБ від загроз
Фізична безпека та безпека інфраструктури
Опис процедури фізичної безпеки підприємства, схема периметру фізичної безпеки.
Опис процедури та правил пропускного режиму.
Опис процедури захисту від зовнішніх та інфраструктурних загроз.
Управління комунікаціями та функціонуванням
Опис процедур захисту від зловмисного та мобільного коду.
Опис процедур резервного копіювання інформації.
Опис процедур забезпечення безпеки мережі.
Опис процедур поводження зі змінними носіями
Контроль доступу
Опис заходів безпеки щодо маршрутизації в мережі.
Опис заходів контролю доступу до операційної системи.
Опис заходів контролю доступу до програмно-технічних комплексів.
Опис процедури дистанційної роботи.
Придбання, розроблення та підтримка інформаційних систем
Опис процедур криптографічного захисту інформації.
Опис процедур управління ключової інформацією.
Опис процедури запобігання можливості витоку інформації.
Опис вимог щодо аутсорсінгового розроблення програмного забезпечення.
Управління інцидентами інформаційної безпеки
Опис процедури управління інцидентами інформаційної безпеки
Управління безперервністю бізнесу
Опис дій в разі виникнення нестандартних ситуацій.
Опис процедури тестування, підтримування та коригування планів безперервності бізнесу
Відповідність
Опис процедури моніторингу законодавства та нормативних документів з питань інформаційної безпеки.
Опис процедури внесення змін до документів.
Опис процедури захисту організаційних записів від втрати, знищення та фальсифікації.
Опис процедури перевірки програмно-технічних комплексів на відповідність впровадженим заходам безпеки.
Організація інформаційної безпеки
Зобов'язання працівників підприємства щодо збереження інформації з обмеженим доступом
Опис процедури управління санкціонуванням використання нових засобів оброблення інформації.
Опис вимог щодо угод з третіми сторонами щодо доступу
Нормативно-правові документи нижнього рівня.
Перша група - включає записи різного типу, які вимагаються стандартами
Друга група - містить інструкції (пам'ятки) з виконання тих чи інших операцій щодо інформаційної безпеки і призначена для кінцевих користувачів
Нормативні документи щодо захисту інформації з обмеженим доступом
Положення про комерційну таємницю і конфіденційну інформацію підприємства та правила їх збереження.
Інструкція про порядок підготовки, обліку, обігу, зберігання та знищення документів, справ, видань і матеріалів, що містять банківську та комерційну таємницю підприємства.
Інструкція про порядок виконання документів, що надходять у банк від правоохоронних органів, судів та інших державних установ.
Положення про забезпечення безпеки при наданні послуг за міжнародними банківськими платіжними картками.
Інструкція про порядок надання доступу користувачам до автоматизованих банківських систем.
Інструкція про проведення службових розслідувань в установах підприємства.
Розглянемо рекомендації щодо оформлення документів
Усі документи доцільно формувати у єдиному стилі.
Документи мають бути простими для розуміння та максимально короткими.
Для спрощення розуміння рекомендується використовувати блоксхеми, рисунки, таблиці.
Якщо можливо, рекомендується поєднати загальні правила для користувачів в одному документі.
Рекомендується відображати вимоги з інформаційної безпеки в посадових інструкціях.
В залежності від технології документообігу підприємства слід вибирати найбільш оптимальний варіант поширення документів в електронному або паперовому вигляді. При використанні електронних документів слід забезпечити їх цілісність протягом усього періоду використання.
Постійно переглядайте перелік документації з метою його оптимізації та зменшення обсягу конкретних документів.
Створюйте журнали для записів тільки там, де цього потребують стандарти та існуючі правила бізнесу. Якщо можливо, автоматизуйте процедуру ведення журналів.