- •Фаградян Эдуард 1гр.1 курс юристы Политика информационной безопасности
- •1. Общие положения.
- •2. Формирование Перечня сведений, составляющих коммерческую тайну Организации.
- •3. Анализ угроз информационной безопасности Организации и модель действия нарушителя.
- •3. Модель действия нарушителя информационной безопасности.
- •4. Требования к системе защиты информации.
- •6. Подбор персонала и ответственность за нарушение режима информационной безопасности.
- •7. Доступ сотрудников Организации к сведениям, составляющим Коммерческую тайну.
- •8. Работа с документами, содержащими Коммерческую тайну.
- •9. Правила размещения элементов компьютерной сети.
- •10. Обеспечение режима информационной безопасности при работе с ресурсами Интернет и электронной почтой.
- •11. Обеспечение режима информационной безопасности на рабочих станциях.
- •12. Применение парольной защиты.
- •13. Антивирусная безопасность.
- •14. Резервное копирование.
- •15. Обеспечение режима конфиденциальности при проведении совещаний.
4. Требования к системе защиты информации.
Основной задачей системы информационной безопасности Организации является управление информационными рисками и минимизация их для всех видов потенциальных угроз.
Система защиты информации в Организации строится на следующих принципах:
Непрерывность во времени;
Комплексность;
Целенаправленность;
Универсальность и надежность;
Плановость мероприятий по защите информации;
Адекватность уровню важности защищаемых ресурсов;
Все структурные подразделения организации принимают участие в процессе защиты информации в сфере своей деятельности и в рамках своей компетенции;
Комплексный контроль функционирования системы защиты информации.
Система защиты информации Организации должна обеспечивать:
Персональный допуск сотрудников Организации к работе с конфиденциальной информацией в рамках необходимых для выполнения своих служебных обязанностей;
Управление информационными потоками;
Возможность аутентификации и идентификации сотрудников Организации, обращающихся к защищаемой информации;
Регулярное создание страховых копий критичных информационных ресурсов Организации;
Регулярное осуществление контроля целостности программного обеспечения;
Регулярное проведение мероприятий по борьбе с компьютерными вирусами и другими вредоносными программами;
Безопасное подключение корпоративной сети Организации к Интернет;
Возможность контроля над действиями сотрудников Организации в корпоративной сети;
Объекты информационной системы Организации, подлежащие защите.
Объектами информационной защиты являются носители конфиденциальных сведений, вошедших в Перечень, технологические процессы и оборудование, связанные с обработкой таких сведений.
К защищаемым объектам относятся:
Документы на бумажных носителях, содержащие сведения, вошедшие в Перечень;
Съемные машинные носители информации, на которых в электронном виде хранятся сведения, вошедшие в Перечень;
Рабочие станции и сервера Организации;
Сетевое оборудование (маршрутизаторы, коммутаторы);
Программно-аппаратные средства защиты информации (межсетевые экраны, средства шифрования);
Каналы связи, по которым передаются в электронном виде сведения, вошедшие в Перечень.
6. Подбор персонала и ответственность за нарушение режима информационной безопасности.
Подбор кандидатов и прием на работу в Компанию осуществляется на конкурсной основе. Организация подбора и проведение конкурсов на вакантные должности находится в компетенции менеджера по персоналу.
Кандидаты на работу в Компанию проходят собеседование в Службе безопасности.
При приеме на работу работник подписывает обязательство о неразглашении коммерческой тайны и проходит инструктаж по информационной безопасности у системного администратора.
В письменном трудовом договоре с сотрудником и его должностных обязанностях должны указываться его обязанности по соблюдению режима информационной безопасности.
Руководители структурных подразделений Организации несут персональную ответственность за соблюдение режима информационной безопасности сотрудниками своих подразделений.
Сотрудник несет ответственность за разглашение коммерческой тайны во время трудовых отношений и в течении двух лет после их прекращения в порядке, установленном законодательством.
Разглашение сведений ограниченного распространения и нарушение режима информационной безопасности является чрезвычайным происшествием. По всем фактам проводится служебное расследование комиссией, назначаемой приказом Генерального директора.
Задачи служебного расследования:
выяснение обстоятельств разглашения коммерческой тайны или потери носителей таких сведений;
выявление виновных в разглашении сведений составляющих коммерческую тайну Организации;
выявление причин и условий, при которых стало возможно разглашение сведений ограниченного распространения или потеря носителей таких сведений;
принятие действенных мер по недопущению подобных происшествий;
Служебное расследование проводиться в минимально короткий срок.
Одновременно с работой комиссии должны проводиться мероприятия по локализации нежелательных последствий из-за разглашения сведений составляющих коммерческую тайну.
Результаты работы комиссии письменно докладываются Генеральному директору Организации.