- •3.Ооиб как один из основных инструментов обеспечения безопасности организации.
- •5. Требования к системе би.
- •2Й вопрос. Уязвимые места в информационной безопас. Организации.
- •3Й вопрос. Основные методические рекомендации о составлении перечня сведений, составляющих служебную тайну
- •4Й вопрос. Характеристика работ по составлению перечня сведений, составляющих служебную тайну предприятия.
- •5Й вопрос. Характеристика работ по составлению предварительного перечня сведений, составляющих служебную тайну для структурных подразделений организации
- •6Й вопрос. Определение возможного ущерба, наступающего в результате несанкционированного распространения сведений, составляющих служебную тайну
- •7Й вопрос. Определение преимуществ открытого использования сведений, составляющих служебную тайну
- •8Й вопрос. Определение затрат на защиту сведений, составляющих служебную тайну
- •9Й вопрос. Принятие решения о включении сведений в окончательный вариант перечня и оформление проекта перечня
- •24.10.2011 Организационное обеспечение информационной безопасности при проведении совещаний.
- •Организация разработки внутренних документов по обеспечению информационной безопасности юридического лица
- •Введение
- •Структура внутренних документов по обеспечению информационной безопасности юридического лица
- •Характеристика документов первого уровня по обеспечению информационной безопасности юридического лица (концепция информационной безопасности)
- •Характеристика документов второго уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов третьего уровня по обеспечению информационной безопасности юридического лица
- •Характеристика документов четвертого уровня по обеспечению информационной безопасности юридического лица
- •14.11.11 Организационное обеспечение разработки частных политик безопасности
- •Политика организации рабочего места
- •Политика организации дистанционной работы
- •Политика безопасности электронного документооборота
- •Политика криптографической защиты информации
- •Политика использования программного обеспечения
- •Политика использования мобильных устройств обработки информации
- •Политика управления доступом к информационным ресурсам
- •Политика классификации информации
- •Политика управления ролями.
- •Особенности организации и обеспечения хранения скзи.
- •Основные обязанности сотрудников органов криптографической защиты
- •Основные обязанности пользователей скзи
- •Вопрос 1. Содержание процедур по обработке персональных данных. Содержание процедур по обработке персональных данных.
- •Часть 7я статьи 14. Субъект пд имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных:
- •2. Принципы защиты прав юридических лиц, ип при осуществлении государственного контроля.
- •Вопрос 1. Назначение и структура стандарта
- •Вопрос 2. Основные термины и определения
Политика криптографической защиты информации
Назначение и область действия
Настоящая политика устанавливается для организации использования СКЗИ в целях защиты конфиденциальности, аутентичности и целостности информации и поддержания информационной безопасности при обмене информацией внутри фирмы и с внешними корреспондентами.
Политика распространяется на всех работников фирмы и третьих лиц, организующих использование СКЗИ и практически использующих СКЗИ, и является обязательной для исполнения.
Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.
Основные требования.
Для криптографической защиты конфиденциальной информации фирмы используются СКЗИ, разрешенные к применению на территории РФ.
СКЗИ должны использоваться в соответствии с требованиями действующего законодательства и условиями соглашения с контрагентами.
СКЗИ могут применяться для:
Обеспечения конфиденциальности путем применения шифрования хранимой и передаваемой информации.
Обеспечение целостности и (или) аутентичности путем применения цифровых подписей.
Обеспечение невозможности отказа от совершенных действий путем применения криптографических методов получения доказательства появления или отсутствия события или действия.
Решение о применении СКЗИ в отдельных процессах деятельности фирмы принимается с учетом результатов оценки рисков, требований законодательства и условий договорных отношений с контрагентами.
К полученным или сгенерированным криптографическим ключам должны применяться меры защиты от их потери, изменения или разрушения. Закрытые ключи (ключи квалифицированно электронной подписи) должны защищаться от несанкционированного раскрытия.
Открытые ключи (ключи проверки электронной подписи) должны иметь определенный срок действия и быть сертифицированы органом, обеспечивающим требуемый уровень доверия.
При компрометации закрытых ключей или увольнении пользователя, ключи должны быть сохранены в архиве и аннулированы.
Все действия по управлению криптографическими ключами должны регистрироваться.
Процессы управления криптографическими средствами защиты осуществляются в соответствии с эксплуатационной, технической документацией и правилами пользования (установленной процедурой).
Ответственность
Ответственность за установку, настройку и администрирование СКЗИ возлагается на службу информационной безопасности и службу информационных технологий.
Ответственность за соблюдение политики криптографической защиты информации возлагается на всех сотрудников фирмы и третьих лиц, использующих СКЗИ.
Контроль выполнения и пересмотр политики возлагается на службу безопасности информации.
Провести анализ (приказ ФАПСИ 152 2004 года, ПКЗ 2005)
Политика использования программного обеспечения
Назначение и область действия
Настоящая политика устанавливается для инсталляции, настройки и администрирования программного обеспечения в целях:
Обеспечения безопасности системных файлов;
Поддержания безопасности программ и информации в прикладных системах;
Снижения рисков использования технических уязвимостей;
Обеспечение защиты прав интеллектуальной собственности;
Предотвращение нецелевого использования средств обработки информации.
Политика распространяется на всех работников фирмы и третьих лиц, использующих информационные ресурсы фирмы, и является обязательной для исполнения.
Все исключения из настоящих правил должны быть согласованы со службой информационной безопасности.
Основные требования
Во всех информационных системах фирмы разрешается использовать только лицензионное программное обеспечение в соответствии с требованиями действующего законодательства и соответствующих лицензионных соглашений.
Инсталляция, настройка и администрирование программного обеспечения осуществляются в соответствии с установленными процедурами.
Пользователям запрещается самовольно устанавливать программное обеспечение на компьютеры и другие средства обработки информации.
Пользователям запрещается использовать установленное программное обеспечение, не предназначенное для исполнения ими функциональных обязанностей, в том числе системные утилиты и программы.
Защита операционных систем и прикладного программного обеспечения от известных технических уязвимостей должна поддерживаться своевременной установкой критических обновлений безопасности
При внесении изменений в операционные системы, в том числе после установки обновлений, должна быть проведена проверка корректности работы критичных приложений.
Ответственность
Ответственность за инсталляцию, настройку и администрирование возлагается на службу информационных технологий. Ответственность за соблюдение политики возлагается на всех сотрудников фирмы и третьих лиц, использующих информационные ресурсы. Контроль выполнения и пересмотр политики возлагается на службу безопасности информации. Провести анализ