Please enable JavaScript.
Coggle requires JavaScript to display documents.
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ (Термінологія…
НОРМАТИВНО-ПРАВОВЕ ЗАБЕЗПЕЧЕННЯ
ІНФОРМАЦІЙНОЇ БЕЗПЕКИ
Нормативно-правове забезпечення
інформаційної безпеки повинна виконувати три основні функції
Регулювати взаємовідносини між суб'єктами інформаційної безпеки, визначати їх права, обов'язки та відповідальність
Нормативно забезпечувати дії суб'єктів інформаційної безпеки на всіх рівнях, а саме - людини, суспільства, держави
Встановлювати порядок застосування різних сил і засобів забезпечення інформаційної безпеки
Базові НД ТЗІ
НД ТЗІ 1.1-002-99 Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу
НД ТЗІ 1.1-003-99 Термінологія в галузі захисту інформації в
комп‘ютерних системах від несанкціонованого доступу
НД ТЗІ 2.5-004-99 Критерії оцінки захищеності інформації в
комп‘ютерних системах від несанкціонованого доступу
НД ТЗІ 2.5-005-99 Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу
НД ТЗІ 2.7-009-09 Методичні вказівки з оцінювання функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу
НД ТЗІ 2.7-010-09 Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу
Структура документів
Адміністративні документи
Наказ про створення спеціального керівного органу з питань
інформаційної безпеки (за необхідністю)
Положення про спеціальний керівний орган з питань інформаційної безпеки (за його наявністю)
В разі відсутності спеціального керівного органу з питань
інформаційної безпеки наказ про покладення обов'язків цього органу на існуючий керівний орган
Наказ про впровадження та функціонування СУІБ
Наказ про призначення керівника проекту впровадження та функціонування СУІБ
Положення про службу захисту інформації (підрозділ інформаційної безпеки)
Положення про службу безпеки (охорона, пропускний режим тощо)
Посадові інструкції відповідальних за впровадження та
функціонування СУІБ осіб
Організаційну структуру підприємства
Документи верхнього рівня
Цілі СУІБ
Сфера застосування СУІБ
Організаційна структура підприємства, яка охоплюється СУІБ
Політика управління інформаційною безпекою
Опис методології оцінки ризиків
Звіт щодо оцінки ризиків
Опис методології оброблення ризиків з визначенням критеріїв
прийняття залишкових ризиків
План оброблення ризиків
Положення щодо застосовності
Документи середнього рівня
Зобов'язання працівників підприємства щодо збереження інформації з обмеженим доступом
Опис процедури управління санкціонуванням використання нових засобів оброблення інформації
Опис вимог щодо угод з третіми сторонами щодо доступу,
оброблення, передавання або управління інформацією організації або засобами оброблення інформації, або щодо додавання продуктів чи послуг до засобів
оброблення інформації
Реєстр ресурсів СУІБ
Опис процедури поводження із інформацією з обмеженим доступом
Процедура управління персоналом
Критерії прийому персоналу
Опис процедури перевірки кандидатів на прийом на роботу (за наявності)
Документи нижнього рівня
Положення про комерційну таємницю і конфіденційну інформацію підприємства та правила їх збереження
Інструкція про порядок підготовки, обліку, обігу, зберігання та
знищення документів, справ, видань і матеріалів, що містять банківську та комерційну таємницю підприємства
Інструкція про порядок виконання документів, що надходять у банк від правоохоронних органів, судів та інших державних установ
Положення про забезпечення безпеки при наданні послуг за
міжнародними банківськими платіжними картками
Інструкція про порядок надання доступу користувачам до
автоматизованих банківських систем
Інструкція про проведення службових розслідувань в установах підприємства
Положення про порядок підготовки, надсилання, обробки та зберігання електронних документів при використанні електронної пошти
Інструкція щодо дій у разі компрометації криптографічних ключів в установах підприємства
Термінологія згідно НД ТЗІ 1.1-003-99
Обчислювальна система (ОС) (computer system) - сукупність програмних-апаратних засобів, призначених для обробки інформації
Автоматизована система (АС) (automated system) - організаційнотехнічна система, що реалізує інформаційну технологію і об‘єднує ОС, фізичне середовище, персонал і інформацію, яка обробляється
Комп’ютерна система (КС) (computer system, target of evaluation) - сукупність програмно-апаратних засобів, яка подана для оцінки
Політика безпеки інформації (information security policy) - сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують порядок обробки інформації
Загроза (threat) - будь-які обставини або події, що можуть бути причиною порушення політики безпеки інформації і/або нанесення збитків АС
Технічний захист інформації (ТЗІ) - діяльність, спрямована на забезпечення інженерно-технічними заходами конфіденційності, цілісності та доступності інформації
Комплекс засобів захисту (КЗЗ) (trusted computing base; TCB) — сукупність програмно-апаратних засобів, які забезпечують реалізацію політики безпеки інформації
Комплексна система захисту інформації (КСЗІ) — сукупність організаційних і інженерних заходів, програмно-апаратних засобів, які забезпечують захист інформації в АС