Please enable JavaScript.
Coggle requires JavaScript to display documents.
Лекція 4 Нормативно-правові документи середнього рівня - Coggle Diagram
Лекція 4
Нормативно-правові документи середнього рівня
Організація інформаційної безпеки
Опис процедури управління санкціонуванням використання нових засобів оброблення інформації
Опис вимог щодо угод з третіми сторонами щодо доступу, оброблення, передавання або управління інформацією організації або засобами оброблення інформації, або щодо додавання продуктів чи послуг до засобів оброблення інформації
Зобов'язання працівників підприємства щодо збереження інформації з обмеженим доступом
Управління ресурсами СУІБ
Реєстр ресурсів СУІБ
Опис процедури поводження із інформацією з обмеженим доступом
Опис процедури навчання прийнятих на роботу працівників вимогам щодо інформаційної безпеки
Опис процедури підготовки посадових інструкцій
Опис процедури перевірки кандидатів на прийом на роботу
Опис дисциплінарного процесу щодо персоналу, який здійснив порушення безпеки
Критерії прийому персоналу
Опис процедури звільнення персоналу з точки зору припинення від- повідальності, скасування прав доступу та повернення ресурсів СУІБ
Процедура управління персоналом
Програма навчання персон
Безпека людських ресурсів
Опис процедури перевірки кандидатів на прийом на роботу (за наявності)
Опис процедури навчання прийнятих на роботу працівників вимогам щодо інформаційної безпек
Критерії прийому персоналу
Опис процедури підготовки посадових інструкцій
Процедура управління персоналом
Опис дисциплінарного процесу щодо персоналу, який здійснив порушення безпеки
Опис процедури звільнення персоналу з точки зору припинення від- повідальності, скасування прав доступу та повернення ресурсів СУІБ
Програма навчання персоналу
Фізична безпека та безпека інфраструктури
Опис процедури захисту обладнання від аварій засобів життєзабезпечення
Опис процедури обслуговування обладнання
Опис процедури захисту від зовнішніх та інфраструктурних загроз
Опис процедури санкціонування переміщення майна за межі підприємства
Опис процедури та правил пропускного режиму
Опис процедури фізичної безпеки підприємства, схема периметру фізичної безпеки
Управління комунікаціями та функціонуванням
Опис процедур розроблення, тестування, впровадження та експлуатації програмно-технічних комплексів/ресурсів СУІБ
Опис процедур моніторингу, перегляду та внесення змін у послугах третіх сторін
Опис процедур управління змінами у засобах оброблення інформації та телекомунікаційних мережах
Опис процедур захисту від зловмисного та мобільного коду
Опис процедур поводження зі змінними носіями
Опис процедур резервного копіювання інформації
Опис процедур забезпечення безпеки інформації і програмного забезпечення, якими обмінюються в організації та з третіми сторонами
Опис процедур забезпечення безпеки мережі
Опис процедур виявлення несанкціонованої діяльності з оброблення інформації.
Опис процедури синхронізації часу
Контроль доступу
Опис процедури управління доступом користувачів (реєстрація, надання повноважень, перегляд та скасування доступу)
Опис процедури управління паролем користувача
Опис процедури контролю доступу до мережі та автентифікації користувача.
Опис заходів безпеки щодо маршрутизації в мережі
Опис заходів контролю доступу до операційної системи
Опис заходів контролю доступу до програмно-технічних комплексів
Опис процедури дистанційної роботи
Придбання, розроблення та підтримка інформаційних систем
Опис процедур криптографічного захисту інформації
Опис процедур управління ключової інформацією
Опис процедур внутрішньої безпеки під час обробки інформації в програмно-технічних комплексах (захист баз даних, цілісність даних під час передавання та зберігання тощо).
Опис процедури забезпечення цілісності програмного забезпечення та системних файлів
Опис процедури запобігання можливості витоку інформації
Опис вимог щодо аутсорсінгового розроблення програмного забезпечення
Управління інцидентами інформаційної безпеки
Опис процедури управління інцидентами інформаційної безпеки (звітування, аналіз, вжиття коригувальних дій)
Управління безперервністю бізнесу
Опис процедури тестування, підтримування та коригування планів безперервності бізнесу
Опис дій в разі виникнення нестандартних ситуацій
Відповідність
Опис процедури захисту організаційних записів від втрати, знищення та фальсифікації
Опис процедури перевірки програмно-технічних комплексів на відповідність впровадженим заходам безпеки
Опис процедури внесення змін до документів
Опис процедури моніторингу законодавства та нормативних документів з питань інформаційної безпеки
Нормативно-правові документи нижнього рівня
Документи нижнього рівня можна поділити на дві групи
Перша група включає записи різного типу, які вимагаються стандартами
Друга група документів нижнього рівня містить інструкції (пам'ятки) з виконання тих чи інших операцій щодо інформаційної безпеки і призначена для кінцевих користувачів
Нормативні документи щодо захисту інформації з обмеженим доступом
Положення про комерційну таємницю і конфіденційну інформацію підприємства та правила їх збереження
Інструкція про порядок підготовки, обліку, обігу, зберігання та знищення документів, справ, видань і матеріалів, що містять банківську та комерційну таємницю підприємства
Інструкція про порядок виконання документів, що надходять у банк від правоохоронних органів, судів та інших державних установ
Положення про забезпечення безпеки при наданні послуг за міжнародними банківськими платіжними картками
Інструкція про порядок надання доступу користувачам до автоматизованих банківських систем
Інструкція про проведення службових розслідувань в установах підприємства
Положення про порядок підготовки, надсилання, обробки та зберігання електронних документів при використанні електронної пошти
Інструкція щодо дій у разі компрометації криптографічних ключів в установах підприємства
Інструкція зі знищення на електронних носіях документів, які містять ключові дані, конфіденційну інформацію, банківську або комерційну таємницю
Положення про технічний захист інформації у підприємства.
Технологічна інструкція служби фінансової безпеки
Положення про порядок одержання доступу до локальної обчислювальної мережі та ресурсів систем електронної обробки інформації
Положення про режимні приміщення підприємства
Відповідно до загальних вимог рекомендується прийняти таку структуру документів
Титульний лист (назва підприємства та назва документа, а також дата його затвердження);
Вступ (короткий опис документа - 1-2 речення)
Історія змін
Терміни та скорочення (визначення термінів та скорочень, які ви- користовуються в документі).
Усі документи доцільно формувати у єдиному стилі
Ціль документа (цілі та очікувані результати застосування документа з точки зору інформаційної безпеки).
Якщо можливо, рекомендується поєднати загальні правила для користувачів в одному документі
Документи мають бути простими для розуміння та максимально короткими
Сфера застосування (перелік сфер застосування та організаційних структур, які охоплюються документом).
Рекомендується відображати вимоги з інформаційної безпеки в посадових інструкціях
Предмет документу та опис дій (принципи, які застосовуються для виконання цілей документа, розподіл обов'язків та терміни виконання завдань).
Для спрощення розуміння рекомендується використовувати блок- схеми, рисунки, таблиці
Ролі та відповідальності (відомості щодо ролей та відповідальності персоналу підприємства під час виконання дій, пов'язаних з принципами та сферою застосування цього документа)
В залежності від технології документообігу підприємства слід вибирати найбільш оптимальний варіант поширення документів в електронному або паперовому вигляді. При використанні електронних документів слід забезпечити їх цілісність протягом усього періоду використання
Перегляд документа (принципи перегляду та оновлення документа, а також ситуації, які потребують обов'язкового перегляду)
Перелік пов'язаних документів
Постійно переглядайте перелік документації з метою його оптимізації та зменшення обсягу конкретних документів
Створюйте журнали для записів тільки там, де цього потребують стандарти та існуючі правила бізнесу. Якщо можливо, автоматизуйте процедуру ведення журналів