Please enable JavaScript.
Coggle requires JavaScript to display documents.
НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ КСЗИ (Значение нормативно…
НОРМАТИВНО-МЕТОДИЧЕСКОЕ ОБЕСПЕЧЕНИЕ КСЗИ
Значение нормативно-методического обеспечения
Нормативно-методическое обеспечение КСЗИ
комплекс положений законодательных актов
нормативов
методик
правил
Нормативные документы, определяющие порядок защиты, должны удовлетворять следующим требованиям
соответствовать структуре, целям и задачам предприятия
описывать общую программу обеспечения безопасности, включая вопросы эксплуатации и усовершенствования
перечислять возможные угрозы информации и каналы ее утечки, результаты оценки опасностей и рекомендуемые защитные меры
определять ответственных за внедрение и эксплуатацию всех средств защиты
определять права и обязанности пользователей, причем таким способом, чтобы этот документ можно было использовать в суде при нарушении правил безопасности
Оценка угроз, информационные ресурсы и обеспечение их безопасности
определение важности информации; пока не определена значимость информации, не следует ожидать проявлений должного отношения к ней
значение секретности; как пользователи хотели бы защищать секретность информации? Нужна ли она им вообще?
принадлежность информации; об информации обязан заботиться тот, кому она принадлежит
Состав нормативно-методического обеспечения
Нормативно-методическая документация должна содержать следующие вопросы защиты информации
точное описание полномочий и привилегий должностных лиц
кто может предоставлять полномочия и привилегии
кто разрабатывает общие указания
порядок предоставления и лишения привилегий в области безопасности
на кого распространяются правила
полнота и порядок отчетности о нарушениях безопасности и преступной деятельности
дисциплинарные взыскания и общие указания о проведении служебных расследований
особые обязанности руководства и служащих по обеспечению безопасности
что происходит при обнаружении нелегальных программ или данных
объяснение важности правил (пользователи, осознающие необходимость соблюдения правил, точнее их выполняют)
какие программы можно использовать на служебных компьютерах
дата ввода в действие и даты пересмотра
какие информационные ресурсы защищаются
кто и каким образом ввел в действие эти правила
План защиты информации может содержать следующие сведения
основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации
требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД
перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба
основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС)
цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации
цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и чем она достигается
список пользователей и их полномочий по доступу к ресурсам системы
перечень и классификация возможных кризисных ситуаций
требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации
требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов. и т. п.)
перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС
обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы
характеристики и размещение технических средств и программного обеспечения
разграничение ответственности субъектов, участвующих в процессах обмена электронными документами
конфигурация
определение порядка разрешения споров в случае возникновения конфликтов
перечень решаемых ИС задач
определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов
назначение ИС
определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т. п.)
Порядок разработки и внедрения документов
Не подлежат отнесению к государственной тайне и засекречиванию сведения
о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствия, а также о стихийных бедствиях и их официальных прогнозах и последствиях
о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям
о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности
о фактах нарушения прав и свобод человека и гражданина
о размерах золотого запаса и государственных валютных резервах РФ
о состоянии здоровья высших должностных лиц РФ
о фактах нарушения законности органами государственной власти и их должностными лицами
Полномочиями по отнесению сведений к государственной тайне
Палата Федерального собрания
Президент Российской Федерации
Правительство РФ
Органы государственной власти РФ, органы государственной власти субъектов РФ и органы местного самоуправления во взаимодействии с органами защиты государственной тайны, расположенными в пределах соответствующих территорий
Органы судебной власти
Основаниями для рассекречивания сведений
изменение объективных обстоятельств, вследствие которых дальнейшая защита сведений, составляющих государственную тайну, является нецелесообразной
взятие на себя Российской Федерацией международных обязательств по открытому обмену сведениями, составляющими в РФ государственную тайну