Please enable JavaScript.

Coggle requires JavaScript to display documents.

Нормативно-правові документи - Coggle Diagram

Нормативно-правові документи

Нормативно-правові документи середнього рівня

документи

організація інформаційної безпеки

Зобов'язання працівників підприємства щодо збереження інформації з обмеженим доступом.

Опис процедури управління санкціонуванням використання нових засобів оброблення інформації.

Опис вимог щодо угод з третіми сторонами щодо доступу, оброблення, передавання або управління інформацією організації або засобами оброблення інформації, або щодо додавання продуктів чи послуг до засобів оброблення інформації.

Управління ресурсами СУІБ

Реєстр ресурсів СУІБ.

Опис процедури поводження із інформацією з обмеженим доступом

Безпека людських ресурсів

Процедура управління персоналом.

Критерії прийому персоналу.

Опис процедури перевірки кандидатів на прийом на роботу (за наявності).

Опис процедури навчання прийнятих на роботу працівників вимогам щодо інформаційної безпеки.

Опис процедури підготовки посадових інструкцій

Опис    дисциплінарного    процесу    щодо    персоналу,    який    здійснив порушення безпеки.

Опис процедури звільнення персоналу з точки зору припинення від- повідальності, скасування прав доступу та повернення ресурсів СУІБ.

Програма навчання персоналу

Фізична безпека та безпека інфраструктури

Опис процедури фізичної безпеки підприємства, схема периметру фізичної безпеки.

Опис процедури та правил пропускного режиму.

Опис процедури захисту від зовнішніх та інфраструктурних загроз.

Опис    процедури    захисту    обладнання    від    аварій    засобів життєзабезпечення.

Опис процедури обслуговування обладнання.

Опис    процедури    санкціонування    переміщення    майна    за    межі підприємства

Управління комунікаціями та функціонуванням

Опис процедур управління змінами у засобах оброблення інформації та телекомунікаційних мережах.

Опис    процедур    розроблення,    тестування,    впровадження    та експлуатації програмно-технічних комплексів/ресурсів СУІБ.

Опис процедур моніторингу, перегляду та внесення змін у послугах третіх сторін.

Опис процедур захисту від зловмисного та мобільного коду.

Опис процедур резервного копіювання інформації.

Опис процедур забезпечення безпеки мережі.

Опис процедур поводження зі змінними носіями.

Опис    процедур    забезпечення    безпеки    інформації    і    програмного забезпечення, якими обмінюються в організації та з третіми сторонами.

Опис процедур виявлення несанкціонованої діяльності з оброблення інформації.

Опис процедури синхронізації часу

Контроль доступу

Опис    процедури    управління    доступом    користувачів    (реєстрація, надання повноважень, перегляд та скасування доступу).

Опис процедури управління паролем користувача.

Опис процедури контролю доступу до мережі та автентифікації користувача.

Опис    процедури    захисту    підключень    до    мережі    (в    тому    числі зовнішніх та віддалених підключень).

Опис заходів безпеки щодо маршрутизації в мережі.

Опис заходів контролю доступу до операційної системи.

Опис заходів контролю доступу до програмно-технічних комплексів.

Опис процедури дистанційної роботи

Придбання, розроблення та підтримка інформаційних систем

Опис процедур внутрішньої безпеки під час обробки інформації в програмно-технічних комплексах (захист баз даних, цілісність даних під час передавання та зберігання тощо).

Опис процедур криптографічного захисту інформації.

Опис процедур управління ключової інформацією.

Опис процедури забезпечення цілісності програмного забезпечення та системних файлів.

Опис процедури запобігання можливості витоку інформації.

Опис    вимог    щодо    аутсорсінгового    розроблення    програмного забезпечення

Управління інцидентами інформаційної безпеки

Опис    процедури    управління    інцидентами    інформаційної    безпеки (звітування, аналіз, вжиття коригувальних дій).

Управління безперервністю бізнесу

Опис дій в разі виникнення нестандартних ситуацій.

Опис процедури тестування, підтримування та коригування планів безперервності бізнесу

Відповідність

Опис    процедури    моніторингу    законодавства    та    нормативних документів з питань інформаційної безпеки.

Опис процедури внесення змін до документів.

Опис процедури захисту організаційних записів від втрати, знищення та фальсифікації.

Опис процедури перевірки програмно-технічних комплексів на відповідність впровадженим заходам безпеки

Нормативно-правові документи нижнього рівня.

Нормативні документи щодо захисту інформації з обмеженим доступом

Положення про комерційну таємницю і конфіденційну інформацію підприємства та правила їх збереження.

Інструкція про порядок підготовки, обліку, обігу, зберігання та знищення документів, справ, видань і матеріалів, що містять банківську та комерційну таємницю підприємства.

Інструкція про порядок виконання документів, що надходять у банк від правоохоронних органів, судів та інших державних установ.

Положення про забезпечення безпеки при наданні послуг за міжнародними банківськими платіжними картками.

Інструкція про порядок надання доступу користувачам до автоматизованих банківських систем.

Інструкція про проведення службових розслідувань в установах підприємства.

Положення про порядок підготовки, надсилання, обробки та зберігання електронних документів при використанні електронної пошти.

Інструкція щодо дій у разі компрометації криптографічних ключів в установах підприємства.

Інструкція зі знищення на електронних носіях документів, які містять ключові дані, конфіденційну інформацію, банківську або комерційну таємницю.

Положення про технічний захист інформації у підприємства.

Технологічна інструкція служби фінансової безпеки.

Положення про порядок одержання доступу до локальної обчислювальної мережі та ресурсів систем електронної обробки інформації.

Положення про режимні приміщення підприємства

Рекомендації щодо оформлення

Структура документів

Титульний лист (назва підприємства та назва документа, а також дата його затвердження);

Вступ (короткий опис документа - 1-2 речення).

Терміни та скорочення (визначення термінів та скорочень, які ви- користовуються в документі).

Ціль документа (цілі та очікувані результати застосування документа з точки зору інформаційної безпеки).

Сфера застосування (перелік сфер застосування та організаційних структур, які охоплюються документом).

Предмет документу та опис дій (принципи, які застосовуються для виконання цілей документа, розподіл обов'язків та терміни виконання завдань).

Ролі та відповідальності (відомості щодо ролей та відповідальності персоналу підприємства під час виконання дій, пов'язаних з принципами та сферою застосування цього документа).

Перегляд документа (принципи перегляду та оновлення документа, а також ситуації, які потребують обов'язкового перегляду).

Перелік пов'язаних документів.

загальноприйняті рекомендації

Усі документи доцільно формувати у єдиному стилі.

простота для розуміння та максимально коротко.

рекомендується використовувати блок- схеми, рисунки, таблиці.

рекомендується поєднати загальні правила для користувачів в одному документі.

Рекомендується    відображати    вимоги    з    інформаційної    безпеки    в посадових інструкціях.

слід вибирати     найбільш оптимальний варіант    поширення документів     в електронному або паперовому вигляді.

Постійно переглядайте перелік документації з метою його оптимізації та зменшення обсягу конкретних документів.

Створюйте журнали для записів тільки там, де цього потребують стандарти та існуючі правила бізнесу. Якщо можливо, автоматизуйте процедуру ведення журналів.