Please enable JavaScript.
Coggle requires JavaScript to display documents.
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ - Coggle Diagram
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Нормативно-правові документи верхнього рівня
Опис методології оцінки ризиків
Звіт щодо оцінки ризиків
Політика управління інформаційною безпекою
План оброблення ризиків
Цілі СУІБ
Положення щодо застосовності
Опис методології оброблення ризиків з визначенням критеріїв прийняття залишкових ризиків
Організаційна структура підприємства, яка охоплюється СУІБ
Сфера застосування СУІБ
Термінологія
Політика безпеки інформації (information security policy) - сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок обробки інформації.
Загроза (threat) - будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС.
Комп’ютерна система (КС) (computer system, target of evaluation) - сукупність програмно-апаратних засобів, яка подана для оцінки.
Автоматизована система (АС) (automated system) - організаційно- технічна система, що реалізує інформаційну технологію і об‘єднує ОС, фізичне середовище, персонал і інформацію, яка обробляється
Технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації
Обчислювальна система (ОС) (computer system) - сукупність програмних-апаратних засобів, призначених для обробки інформації
Комплекс засобів захисту (КЗЗ) (trusted computing base; TCB) — сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації
Комплексна система захисту інформації (КСЗІ) — сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС
Нормативно-правові документи середнього рівня.
Організація інформаційної безпеки
Зобов'язання працівників підприємства щодо збереження інформації з обмеженим доступом
Опис вимог щодо угод з третіми сторонами щодо доступу, оброблення, передавання або управління інформацією
Опис процедури управління санкціонуванням використання нових засобів оброблення інформації
Управління ресурсами СУІБ
Опис процедури поводження із інформацією з обмеженим доступом
Реєстр ресурсів СУІБ
Безпека людських ресурсів
Процедура управління персоналом
Критерії прийому персоналу
Опис процедури навчання прийнятих на роботу
Опис процедури підготовки посадових інструкцій
Опис процедури звільнення персоналу
Опис процедури захисту від зовнішніх та інфраструктурних загроз
Контроль доступу
Опис процедури управління паролем
Опис процедури контролю доступу
Опис процедури управління доступом
Опис процедури захисту підключень
Управління комунікаціями та функціонуванням
Опис процедур розроблення
Опис процедур моніторингу
Опис процедур управління
Опис процедур захисту
Розроблення та підтримка інформаційних систем:
Опис процедур внутрішньої безпеки
Опис процедур криптографічного захисту інформації
Опис процедур управління ключової інформацією
Управління безперервністю бізнесу
Опис процедури тестування
Опис дій в разі виникнення нестандартних ситуацій
Відповідність
Опис процедури внесення змін до документів
Опис процедури захисту організаційних записів від втрати
Опис процедури моніторингу законодавства
Опис процедури перевірки програмно-технічних комплексів
Нормативно-правові документи нижнього рівня
Нормативні документи щодо захисту інформації з обмеженим доступом
Інструкція про порядок виконання
Положення про забезпечення безпеки
Інструкція про порядок підготовки
Інструкція про порядок надання доступу
Положення про комерційну таємницю
Інструкція про проведення службових розслідувань
Технологічна інструкція служби фінансової безпеки
Інструкція щодо дій у разі компрометації
Структура документів
Сфера застосування
Ціль документа
Терміни та скорочення
Предмет документу та опис дій
Вступ
Ролі та відповідальності
Перелік пов'язаних документів
Перегляд документа
Титульний лист
Історія змін