Please enable JavaScript.
Coggle requires JavaScript to display documents.
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ Ч.2 - Coggle Diagram
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ Ч.2
Нормативно-правові документи середнього рівня.
Безпека людських ресурсів:
Опис процедури навчання прийнятих на роботу працівників вимогам щодо інформаційної безпеки.
Опис процедури підготовки посадових інструкцій.
Опис процедури перевірки кандидатів на прийом на роботу (за наявності).
Опис дисциплінарного процесу щодо персоналу, який здійснив порушення безпеки.
Критерії прийому персоналу.
Опис процедури звільнення персоналу з точки зору припинення від- повідальності, скасування прав доступу та повернення ресурсів СУІБ.
Процедура управління персоналом.
Програма навчання персоналу
Фізична безпека та безпека інфраструктури:
Опис процедури захисту від зовнішніх та інфраструктурних загроз.
Опис процедур захисту обладнання від аварій засобів життєзабезпечення.
Опис процедури та правил пропускного режиму.
Опис процедури обслуговування обладнання.
Опис процедури фізичної безпеки підприємства, схема периметру фізичної безпеки.
Опис процедури санкціонування переміщення майна за межі підприємства.
Управління ресурсами СУІБ:
Опис процедури поводження із інформацією з обмеженим доступом.
Реєстр ресурсів СУІБ
Управління комунікаціями та функціонуванням:
Опис процедур забезпечення безпеки мережі.
Опис процедур поводження зі змінними носіями.
Опис процедур резервного копіювання інформації.
Опис процедур забезпечення безпеки інформації і програмного забезпечення, якими обмінюються в організації та з третіми сторонами.
Опис процедур захисту від зловмисного та мобільного коду.
Опис процедур виявлення несанкціонованої діяльності з оброблення інформації.
Опис процедур моніторингу, перегляду та внесення змін у послугах третіх сторін.
Опис процедури синхронізації часу.
Опис процедур розроблення, тестування, впровадження та експлуатації програмно-технічних комплексів/ресурсів СУІБ.
Опис процедур управління змінами у засобах оброблення інформації та телекомунікаційних мережах.
Організація інформаційної безпеки:
Зобов'язання працівників підприємства щодо збереження інформації з обмеженим доступом.
Опис процедури управління санкціонуванням використання нових засобів оброблення інформації.
Опис вимог щодо угод з третіми сторонами щодо доступу, оброблення, передавання або управління інформацією організації або засобами оброблення інформації, або щодо додавання продуктів чи послуг до засобів оброблення інформації.
Контроль доступу:
Опис заходів контролю доступу до операційної системи
Опис заходів контролю доступу до програмно-технічних комплексів.
Опис заходів безпеки щодо маршрутизації в мережі
Опис процедури дистанційної роботи.
Опис процедури захисту підключень до мережі (в тому числі зовнішніх та віддалених підключень).
Опис процедури контролю доступу до мережі та автентифікації користувача.
Опис процедури управління паролем користувача.
Опис процедури управління доступом користувачів (реєстрація, надання повноважень, перегляд та скасування доступу).
Придбання, розроблення та підтримка інформаційних систем:
Опис процедур криптографічного захисту інформації.
Опис процедур управління ключової інформацією.
Опис процедур внутрішньої безпеки під час обробки інформації в програмно-технічних комплексах (захист баз даних, цілісність даних під час передавання та зберігання тощо).
Опис процедури запобігання можливості витоку інформації.
Опис вимог щодо аутсорсінгового розроблення програмного забезпечення.
Опис процедури забезпечення цілісності програмного забезпечення та системних файлів.
Управління інцидентами інформаційної безпеки:
Опис процедури управління інцидентами інформаційної безпеки (звітування, аналіз, вжиття коригувальних дій).
Управління безперервністю бізнесу:
Опис процедури тестування, підтримування та коригування планів безперервності бізнесу.
Опис дій в разі виникнення нестандартних ситуацій.
Відповідність:
Опис процедури внесення змін до документів.
Опис процедури захисту організаційних записів від втрати, знищення та фальсифікації.
Опис процедури моніторингу законодавства та нормативних документів з питань інформаційної безпеки.
Опис процедури перевірки програмно-технічних комплексів на відповідність впровадженим заходам безпеки.
Нормативно-правові документи нижнього рівня.Документи нижнього рівня можна поділити на дві групи.
Перша група включає записи різного типу, які вимагаються стандартами. Це журнали реєстрації різних подій (наприклад реєстрації несправностей обладнання), журнали аудиту різних систем (операційної, прикладних програм, надання доступу до ресурсів мережі Інтернет тощо). Частина цих записів ведеться автоматично, і потрібно забезпечити їх збереження та захист від знищення та несанкціонованої модифікації.
Друга група документів нижнього рівня містить інструкції (пам'ятки) з виконання тих чи інших операцій щодо інформаційної безпеки і призначена для кінцевих користувачів. За правильного підходу до їх створення ці документи є ефективним інструментом зменшення ризиків, пов'язаних з людським фактором.
Нормативні документи щодо захисту інформації з обмеженим доступом:
Інструкція про проведення службових розслідувань в установах підприємства.
Інструкція щодо дій у разі компрометації криптографічних ключів в установах підприємства.
Положення про порядок підготовки, надсилання, обробки та зберігання електронних документів при використанні електронної пошти.
Інструкція зі знищення на електронних носіях документів, які містять ключові дані, конфіденційну інформацію, банківську або комерційну таємницю.
Інструкція про порядок надання доступу користувачам до автоматизованих банківських систем.
Технологічна інструкція служби фінансової безпеки.
Положення про забезпечення безпеки при наданні послуг за міжнародними банківськими платіжними картками.
Положення про технічний захист інформації у підприємства.
Інструкція про порядок виконання документів, що надходять у банк від правоохоронних органів, судів та інших державних установ.
Положення про порядок одержання доступу до локальної обчислювальної мережі та ресурсів систем електронної обробки інформації.
Інструкція про порядок підготовки, обліку, обігу, зберігання та знищення документів, справ, видань і матеріалів, що містять банківську та комерційну таємницю підприємства.
Положення про режимні приміщення підприємства.
Положення про комерційну таємницю і конфіденційну інформацію підприємства та правила їх збереження.
Відповідно до загальних вимог рекомендується прийняти таку структуру документів:
Сфера застосування (перелік сфер застосування та організаційних структур, які охоплюються документом).
Предмет документу та опис дій (принципи, які застосовуються для виконання цілей документа, розподіл обов'язків та терміни виконання завдань).
Ціль документа (цілі та очікувані результати застосування документа з точки зору інформаційної безпеки).
Ролі та відповідальності (відомості щодо ролей та відповідальності персоналу підприємства під час виконання дій, пов'язаних з принципами та сферою застосування цього документа).
Терміни та скорочення (визначення термінів та скорочень, які ви- користовуються в документі).
Перегляд документа (принципи перегляду та оновлення документа, а також ситуації, які потребують обов'язкового перегляду).
Вступ (короткий опис документа - 1-2 речення).
Перелік пов'язаних документів.
Титульний лист (назва підприємства та назва документа, а також дата його затвердження);
Історія змін.
Також варто врахувати загальноприйняті рекомендації щодо оформлення документів:
Якщо можливо, рекомендується поєднати загальні правила для користувачів в одному документі.
Рекомендується відображати вимоги з інформаційної безпеки в посадових інструкціях.
Для спрощення розуміння рекомендується використовувати блок- схеми, рисунки, таблиці.
В залежності від технології документообігу підприємства слід вибирати найбільш оптимальний варіант поширення документів в електронному або паперовому вигляді. При використанні електронних документів слід забезпечити їх цілісність протягом усього періоду використання.
Документи мають бути простими для розуміння та максимально короткими.
Постійно переглядайте перелік документації з метою його оптимізації та зменшення обсягу конкретних документів.
Усі документи доцільно формувати у єдиному стилі.
Створюйте журнали для записів тільки там, де цього потребують стандарти та існуючі правила бізнесу. Якщо можливо, автоматизуйте процедуру ведення журналів.