27. Нормативные документы, регламентирующие деятельность персонала по защите информации
Состав и содержание основных нормативных документов:
Должностная инструкция.
Переченьсведений, составляющих КИ.
Подпискао неразглашении, договор о неразглашении, трудовой договор.
Приказыи распоряжения о допуске и доступе к КИ.
Положениео защите КИ.
Актыпроверок( исполнения персоналом мер по защите информации, поддержания работоспособности системы, нарушения в работе системы ЗИ и т.д), учебные программы и методики для персонала.
Правилаработы с посетителями предприятия.
28. Материально-техническое обеспечение ксзи
Рис___ Структура материально-технического обеспечения КСЗИ
Материально-техническое обеспечение КСЗИ включает в себя:
Недвижимость– помещения для службы защиты информации;
Оснащение рабочих мест сотрудников– мебель, ПК + оргтехника, средства связи, малоценные и быстроизнашивающиеся материалы;
Инженерно - технические средства защиты:
физические барьеры (ограждения периметра объекта, стальные двери, решетки, шкафы, сейфы, хранилища и т.п.).
выделенные помещения со специальными строительными требованиями;
Технические средства защиты объекта–
пожарная сигнализация,
охранная сигнализация,
системы контроля и управления доступом,
системы охранного видеонаблюдения и досмотровые системы.
Технические средства защиты информации:
аппаратура для поиска ТС несанкционированного съема информации;
аппаратура активной защиты информации от утечки по техническим каналам;
техника пассивной защиты информации от утечки по техническим каналам.
Программные средства защиты информации;
Криптографические средства защиты информации;
Аппаратура для ведения конкурентной разведкии контрразведывательной работы (для скрытого фото, видео и аудиоконтроля);
Следует отметить, что ИТСЗ требуют не только разовых затрат на их приобретение, монтаж, ввод в эксплуатацию, но и определенных постоянных затрат по их техническому обслуживанию.
29. Нормативно-методические документы, обеспечивающие функционирование ксзи
Нормативно-методическое обеспечение КСЗИ на предприятии представляет собой комплекс положений законодательных актов, нормативов, руководящих документов, стандартов, правил, процедур, регламентирующих производственную деятельность и взаимоотношения исполнителей с целью сведения к минимуму риска нежелательных событий – разглашения, утечки и утраты информации. Нормативная база по обеспечению информационной безопасности внутри государства (внутригосударственное право) представляет собой трехступенчатую структуру.
Отметим, что само себе понятие право означает совокупность общеобязательных правил и норм поведения, установленных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий и личностей. Поэтому НМД можно рассматривать как локальные правовые акты предприятия.
Требования, предъявляемые к нормативно-методическому обеспечению КСЗИ:
1. Соответствие разрабатываемых на предприятии нормативных документов, требованиям нормативно-правовых документов государственных органов и ведомственных институтов в части защиты информации.
2. Соответствие разрабатываемых на предприятии нормативных документов требованиям ГОСТов по защите информации.
3. Своевременное внесение изменений и дополнений в действующие на предприятии НМД при изменении нормативно-правовой базы на государственном и ведомственном уровнях.
4. Полная обеспеченность специализированных подразделений необходимыми документами для решения ими всей совокупности задач по защите информации.
5. Отражение в содержании НМД всей специфики работ по защите информации для конкретного предприятия.
Нормативно-правовые документы:
Устав (Учредительный договор)
Коллективный договор
Правила внутреннего трудового распорядка
Трудовой договор (контракт)
Договор о неразглашении (нераспространении) сведений (подписка о неразглашении)
Гражданско-правовые договора
Перечень конфиденциальных сведений
Приказы
Нормативно-организационные документы:
Положение о защите конфиденциальной информации (основные разделы документа)
Положение о службе безопасности предприятия (основные разделы документа)
Положение о подразделении охраны
Положение о подразделении защиты информации (основные разделы документа)
Положение о подразделении режима
Положение о службе защищенного документооборота
Должностные инструкции сотрудников этих служб (основные разделы документа)
Должностная инструкция специалиста (менеджера) по безопасности для небольшой фирмы
Положения о структурных подразделениях, работающих с конфиденциальной информацией
Должностные инструкции сотрудников предприятия, работающих с конфиденциальной информацией.
Нормативно-технологические документы
Инструкция о порядке формирования перечня конфиденциальных ведений
Инструкция по созданию, работе, движению и хранению конфиденциальных документов
Порядок подготовки и проведения конфиденциальных совещаний
Порядок подготовки и проведения конфиденциальных переговоров
Инструкция по защите информации в публикаторской и рекламно-выставочной деятельности
Инструкция по проверке сохранности носителей с конфиденциальной информацией
Инструкция по проверке соблюдения персоналом требований по работе с конфиденциальной информацией
Порядок проведения служебных расследований по фактам утечки конфиденциальной информации
Нормативно-методические и информационные документы (правила, требования, указания, памятки и т.п.).
Методика оценки уровня осведомленности сотрудника
Методика оценки критических расстояний распространения ЭМИ
Памятка сотруднику об основных мерах по защите информации
Специализированные НМД по внутреннему и внешнему электронному документообороту.
Порядок разработки и внедрения НМД
Работа по разработке и внедрению НМД строится на основании приказов руководителя предприятия, распоряжений начальника службы безопасности, утвержденных руководством и согласованных с подразделениями-соисполнителями планов работы по подготовке документов. Для разработки НМД могут создаваться специальные рабочие группы (комиссии).
Все разработанные НМД должны быть согласованы с руководителями структурных подразделениями, работающих с конфиденциальной информацией, и утверждены руководителем предприятия.