Loe raamatut: «Организация и технология защиты конфиденциальной информации в информационных системах. Методическое пособие для студентов»

Font:

Составитель Андрей Александрович Обласов

ISBN 978-5-0051-1070-1

Создано в интеллектуальной издательской системе Ridero

Введение

Бурное развитие информационных технологий  привело к возникновению большого количества информационных баз, содержащих различные данные о физических и юридических лицах. Сбор, обработка, использование, хранение этих данных осуществляются,  в финансовой и налоговой сферах, в сфере пенсионного, социального и медицинского страхования, в оперативно-розыскной деятельности, в трудовой и других областях общественной жизни.

Персональные данные являются неотъемлемой частью информационных ресурсов всех уровней от федерального до муниципальных образований. Интенсивно формируется институт персональных данных как важная составляющая информационного права России.

Основой регулирования правоотношений в сфере персональных данных являются положения ст. 24 Конституции РФ, которые устанавливают, что без согласия лица не допускаются сбор, хранение, использование и распространение информации о его частной жизни.

Конституционной обязанностью органов государственной власти и органов местного самоуправления, их должностных лиц является обеспечение возможности каждому ознакомиться с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом. Среди соответствующих международно-правовых норм следует отметить ст. 8 Конвенции по защите прав человека и основных свобод, допускающую необходимое в демократическом обществе вмешательство в частную жизнь лица только в интересах национальной безопасности и общественного порядка, экономического благосостояния страны, в целях предотвращения беспорядков или преступлений, для охраны здоровья или нравственности или защиты прав и свобод других лиц (такое вмешательство предусмотрено законом).

Впервые персональные данные как вид документированной информации ограниченного доступа были определены в Федеральном законе от 20.02.1995 N 24-ФЗ «Об информации, информатизации и защите информации» (в наст. время-в ред. от 10.01.2003;). К таким данным относятся сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность. Как информация ограниченного доступа, персональные данные относятся к категории конфиденциальных сведений.

Перечень сведений конфиденциального характера

Перечень сведений конфиденциального характера определен указом президента РФ от 06.03.97 №188 «Об утверждении перечня сведений конфиденциального характера». Данный перечень приведен ниже.

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ «О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства» и другими нормативными правовыми актами Российской Федерации.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Перечень сведений составляющих конфиденциальную информацию для образовательного учреждения

Перечень сведений, составляющих конфиденциальную информацию [Наименование образовательного учреждения] (далее – Организация) разработан в соответствии:

– с Федеральным законом от 27 июля 2006 №149-ФЗ «Об информации, информационных технологиях и защите информации»;

– с Федеральным законом от 27 июля 2006 №152-ФЗ «О персональных данных»;

– с Федеральным законом от 29 июля 2004 г. №98-ФЗ «О коммерческой тайне»;

– с Указом Президента РФ от 6 марта 1997 года №188 «Об утверждении перечня сведений конфиденциального характера»;

– с Инструкцией о порядке обращения со служебной информацией ограниченного распространения в Министерстве образования и науки Российской Федерации, утвержденной Приказом Министерства образования и науки Российской Федерации от 30 декабря 2010 г. №2233;

– с Уставом СФУ.

Сведения, относящиеся к конфиденциальной информации СФУ, приведены в разделах 1—4 настоящего перечня.

1 Персональные данные граждан

1.1 Фамилия, имя, отчество (в том числе прежние фамилия, имя или отчество в случае их изменения, когда, где и по какой причине изменяли).

1.2 Фотография.

1.3 Число, месяц, год рождения.

1.4 Место рождения.

1.5 Информация о гражданстве (в том числе прежние гражданства, иные гражданства).

1.6 Сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании).

1.7 Сведения о зачислении, переводе и отчислении обучающихся.

1.8 Сведения о профессиональной переподготовке и (или) повышении квалификации.

1.9 Сведения об ученой степени, ученом звании.

1.10 Информация о владении иностранными языками, степень владения.

1.11 Сведения из заключения медицинского учреждения о наличии (отсутствии) заболевания.

1.12 Сведения о прохождении службы (работы), в том числе: личный номер (при наличии), дата, основания поступления на службу (работу) и назначения на должность, дата, основания назначения, перевода, перемещения на иную должность, наименование замещаемых должностей с указанием структурных подразделений, размера денежного содержания, денежного довольствия, заработной платы, результатов аттестации на соответствие замещаемой должности, а также сведения о прежних местах службы (работы).

1.13 Информация, содержащаяся в трудовом договоре, дополнительных соглашениях к трудовому договору.

1.14 Сведения об участии в конференциях, фестивалях, конкурсах, соревнованиях и т.п., о достигнутых в их ходе результатах.

1.15 Информация о государственных наградах, иных наградах и знаках отличия (кем и когда награжден).

1.16 Информация об отпусках.

1.17 Сведения о доходах, расходах, об имуществе и обязательствах имущественного характера.

1.18 Сведения о социальных льготах, о назначении и получении стипендий, премий и других выплат.

1.19 Серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи.

1.20 Место жительства (адрес регистрации, фактического проживания) и адреса прежних мест жительства.

1.21 Номер телефона (либо иной вид связи).

1.22 Реквизиты страхового свидетельства обязательного пенсионного страхования.

1.23 Идентификационный номер налогоплательщика.

1.24 Реквизиты полиса обязательного медицинского страхования.

1.25 Семейное положение, состав семьи и сведения о близких родственниках (в том числе бывших).

1.26 Информация, содержащаяся в свидетельствах о государственной регистрации актов гражданского состояния.

1.27 Сведения о воинском учете и информация, содержащаяся в документах воинского учета.

1.28 Персональные данные, содержащиеся в выписке из домовой книги, копиях финансового лицевого счета.

1.29 Сведения о пребывании за границей.

1.30 Информация о наличии (отсутствии) судимости.

1.31 Номер расчетного счета.

1.32 Номер банковской карты.

1.33 Иные персональные данные, необходимые для достижения целей их обработки.

1.34 Номер визы, миграционной карты, КПП, дата пересечения границы РФ (для иностранных граждан).

1.35 Сроки пребывания на территории РФ и в СФУ (для иностранных граждан).

2 Служебная информация ограниченного распространения

2.1 Сведения о перспективных методах управления университетом.

2.2 Сведения о ведении и содержании переговоров, целях и содержании совещаний органов управления.

2.3 Сведения, содержащиеся в документах по организации воинского учета и мобилизационной работы.

2.4 План гражданской обороны университета.

2.5 Схемы размещения инфраструктуры жизнеобеспечения (энергоснабжения, водоснабжения, канализации, теплоснабжения, телефонной связи и др.).

2.6 Содержание переписки, телефонных переговоров, почтовых отправлений, телеграфных, электронных и иных сообщений.

2.7 Организация и состояние системы безопасности жизнедеятельности, в том числе системы защиты информации.

2.8 Организация и состояние охраны и пропускного режима.

2.9 Размещение защищаемых помещений (в которых хранится, циркулирует и обрабатывается конфиденциальная и другая ценная информация со средствами ее хранения, обработки и передачи), организация доступа в них.

2.10 Организация, схемы размещения, возможности и состояние системы охраны техническими средствами, в том числе системы видеонаблюдения, номера электронных ключей.

2.11 Организация, возможности и состояние оперативной связи обеспечения и безопасности жизнедеятельности.

2.12 Организация взаимодействия с правоохранительными и другими государственными органами при проведении совместных мероприятий.

2.13 Сведения, составляющие материалы служебных расследований, проверок, дознания, следствия, судопроизводства

2.14 Проектная, техническая, эксплуатационная документация на автоматизированные системы (АС), вычислительные сети (ВС), средств связи, в которых обрабатывается и циркулирует конфиденциальная информация.

2.15 Схемы размещения технических средств обработки конфиденциальной информации, коммуникационных линий.

2.16 Сведения о специфических и уникальных программных продуктах.

2.17 Ключи шифрования и электронно-цифровые подписи средств криптографической защиты информации, места и порядок их хранения и выдачи.

2.18 Порядок использования, возможности и состояние систем (средств) криптографической и технической защиты информации, документация на них.

2.19 Организация и состояние систем администрирования, управления доступом в АС и ВС.

2.20 Порядок и места размещения информационных ресурсов, содержащих конфиденциальную информацию университета.

2.21 Организация и состояние системы парольной защиты (значение, порядок генерации, использования, смены и прекращения действия паролей) в АС, ВС и других средств вычислительной техники.

2.22 Организация резервирования конфиденциальной информации, места хранения резервных копий конфиденциальной, ценной и другой важной информации.

2.23 Программное обеспечение базового оборудования средств связи.

2.24 База данных абонентских номеров телефонной связи.

3 Информация, составляющая коммерческую тайну

3.1 Сведения о коммерческих замыслах и планах (расширении или свертывании работ в целом и по отдельным направлениям).

3.2 Содержание и условия коммерческих контрактов, договоров, соглашений и платежей.

3.3 Сведения о целях, задачах, тактике и результатах переговоров с деловыми партнерами.

3.4 Сведения, составляющие секреты производства (ноу-хау).

3.5 Сведения, составляющие коммерческую тайну партнеров, переданные на доверительной основе.

3.6 Содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности.

3.7 Сведения об инвестициях.

3.8 Сведения, содержащие выводы и рекомендации по рыночной стратегии и тактике.

3.9 Сведения о фактическом состоянии расчетов по обязательствам.

3.10 Сведения об отдельных финансовых операциях университета и о доходах по этим операциям.

3.11 Сведения о внешнеэкономических, валютных и кредитных отношениях с конкретными иностранными и российскими предприятиями, фирмами и организациями.

3.12 Сведения о встречах и переговорах с деловыми партнерами университета.

3.13 Сведения об особых условиях отношений с иностранными научными и иными организациями.

3.14 Сведения о времени выхода на рынок, выбор посредника для ведения коммерческих переговоров и тактике их ведения.

3.15 Сведения о целях, задачах, программах, новейших по тематике и перспективных научно-технических работ и исследований.

3.16 Научно-техническая, технологическая, конструкторская и проектная документация.

3.17 Современные методы решения новых научных и научно-технических задач.

3.18 Новые высокоэффективные технические решения, не защищенные патентным правом, обеспечивающие значительное улучшение основных технико-экономических характеристик устройств и систем.

3.19 Современные методы проектирования и испытания современных и перспективных устройств и систем.

3.20 Информация о новых разработках программного и компьютерного обеспечения.

3.21 Экспериментальные и расчетные результаты, получение которых связано с большими финансовыми, материальными или временными издержками.

3.22 Информация о рентабельности научно-исследовательских работ университета.

3.23 Информация о себестоимости и контрактных ценах научных разработок, товаров, услуг, условиях кредитования и платежа.

3.24 Информация о конъюнктуре рынка научно-технических исследований и разработок, сведения о научно-исследовательских работах, выполняемых университетом по государственным и муниципальным контрактам, хозяйственным договорам, инновационным проектам и т.д.).

3.25 Информация об экспертизе научных трудов (публикаций).

3.26 Сведения о сущности изобретения, полезной модели, промышленного образца до официальной их регистрации.

3.27 Современные и эффективные технологии и методики обучения.

3.28 Результаты дипломных проектов, учебно-исследовательских работ студентов и аспирантов, имеющих практическую ценность.

3.29 Содержание современных учебных планов и программ, учебно-методических разработок по новым дисциплинам до их официального опубликования.

3.30 Сведения о конъюнктуре рынка подготовки специалистов.

3.31 Сведения о контрактах с иностранными гражданами.

4 Сведения, содержащиеся в документах государственных органов, органов местного самоуправления, других организаций и учреждений с грифом «Для служебного пользования», «Коммерческая тайна», «Конфиденциальная информация».

Ниже приведем пример инструкции по обеспечению информационной безопасности на автоматизированных рабочих местах для образовательного учреждения.

ИНСТРУКЦИЯ «О МЕРАХ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В [Наименование образовательного учреждения].

1 ОБЩИЕ ПОЛОЖЕНИЯ

Инструкция устанавливает порядок организации и правила обеспечения информационной безопасности в [Наименование образовательного учреждения] (далее по тексту – Организация), распределение функций и ответственности за обеспечение информационной безопасности между подразделениями и сотрудниками, требования по информационной безопасности к используемым средствам информатизации.

Действие Инструкции распространяется на области деятельности Организации, в которых для работы с информацией применяются различного рода технические средства.

Основные термины и определения:

администратор сети – сотрудник отдела информационных технологий, отвечающий за поддержание работоспособности локальной вычислительной сети и разграничение доступа к информационным ресурсам этой сети;

безопасность информации – состояние информации, информационных ресурсов и информационных систем, при котором с требуемой вероятностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), копирования, блокирования информации и т.п.;

доступ к информации – комплекс организационно-технических мероприятий, позволяющих сотруднику получить возможность ознакомления с информацией, в том числе с помощью технических средств, в соответствии с предоставленными ему для этого правами;

защита информации – комплекс организационно-технических мероприятий, направленных на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию;

защита информации от непреднамеренного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок её пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;

защита информации от несанкционированного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к её искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации;

защита информации от несанкционированного доступа – деятельность, направленная на предотвращение получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами и собственником (Организация) прав или правил доступа к защищаемой информации;

– информация – сведения о лицах, предметах, событиях, явлениях и процессах (независимо от формы их представления), используемые в целях принятия решений;

– информация Организации – информация, принадлежащая Организации, то есть:

(а) созданная Организацией (его сотрудниками) в процессе его деятельности;

(б) приобретенная Организацией на законных основаниях;

(в) переданная Организацией его партнерами (клиентами) при установлении сотрудничества на правах совместного владения;

(г) полученная в результате целенаправленного сбора информации подразделениями Организацией;

информационная безопасность – состояние защищённости информационной среды, обеспечивающее минимизацию ущерба, вызванного возможной утечкой защищаемой информации, а также несанкционированных и непреднамеренных воздействий;

информационная система – организационно-упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием вычислительной техники;

информационная сфера (среда) – совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений;

конфиденциальная информация – документированная информация, включенная в Перечень сведений, составляющих коммерческую тайну предприятия, доступ к которой ограничивается в соответствии с законодательством Российской Федерации;

нарушение информационной безопасности – факт несанкционированного или непреднамеренного действия (операции) над информационной сферой, приводящий к нежелательным для предприятия последствиям;

несанкционированный доступ – нарушение регламентированного доступа к объекту защиты;

обработка информации – совокупность операций сбора, накопления, ввода, вывода, приёма, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения, осуществляемых над информацией;

объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения и объекты, предназначенные для конфиденциальных переговоров;

система защиты информации – совокупность органов и/или исполнителей, используемой ими техники защиты информации, а также объектов защиты, организованная и функционирующая по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами в области защиты информации;

средства связи – технические средства, используемые для формирования, обработки, передачи или приёма сообщений электросвязи либо почтовых отправлений;

техническая защита информации – защита (не криптографическими методами) информации, содержащей сведения, составляющие государственную или коммерческую тайну, от её утечки по техническим каналам, от несанкционированного доступа к ней, от специальных воздействий на информацию в целях её уничтожения, искажения и блокирования, и противодействие техническим средствам разведки;

угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированным и/или непреднамеренным воздействиям на неё;

утечка информации – неконтролируемое распространение защищаемой информации в результате её разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками;

шифрование – способ защиты информации, заключающийся в криптографическом преобразовании информации по специальному алгоритму для получения шифротекста и позволяющий предотвратить ее несанкционированное использование;

цифровая подпись – дополнительные данные или криптографическое преобразование какого-либо блока данных, позволяющие получателю блока данных убедиться в подлинности отправителя и целостности блока данных и защитить его от искажения с помощью, например, средств получателя.

Формы нарушения информационной безопасности:

а) пассивные

– получение информации нарушителем для использования в своих целях;

– анализ характеристик информации без доступа к самой информации;

б) активные

– изменение информации;

– внесение ложной информации

– нарушение (разрушение) информации;

– нарушение работоспособности системы обработки информации.

Принципы информационной безопасности:

– системный подход, предусматривающий комплексное решение проблемы информационной безопасности;

– ответственность всех сотрудников ХХХХ;

– непрерывность мер информационной безопасности;

– документальность любого действия в информационной системе для установления в последующем причины, авторства и самого факта совершения действия;

– компетентность в осуществлении мер информационной безопасности.

 
2. СИСТЕМА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
 

2.1. Состав системы

Общее руководство системой информационной безопасности и принятие всех решений по вопросам ее функционирования осуществляет Директор по безопасности ХХХХ.

Исполнительные органы системы:

– разрабатывает руководящие документы;

– разрабатывает методические документы;

– подготавливает для Члена Правления – Директора по безопасности и защите информации и принятия Правлением ХХХХ решения по вопросам информационной безопасности;

– Управление по защите информации Дирекции по безопасности;

– структурные подразделения ХХХХ;

– администратор локальной вычислительной сети ХХХХ.

Организационные средства:

– настоящая Инструкция;

– отдельные руководящие документы на время их действия;

– указания Правления ХХХХ;

– инструкции по эксплуатации средств информатизации в части информационной безопасности;

– протоколы информационных обследований;

– обязательства о неразглашении сведений, составляющих коммерческую тайну – ХХХХ;

– журналы учета, установленные настоящей Инструкцией.

Технические средства:

– средства защиты от несанкционированного доступа к персональным компьютерам, программному обеспечению, сетям и информации;

– криптографические средства защиты компьютерной информации;

– средства защиты некомпьютерной информации.

2.2. Функции исполнительных органов

2.2.1. Управление по защите информации

Управление по защите информации является основным методическим, координирующим и контрольным органом по вопросам информационной безопасности и исполняет эти функции в соответствии с Положением о Дирекции по безопасности и защите информации. В рамках этих функций Управление по защите информации:

– разрабатывает и проводит в жизнь концепцию обеспечения информационной безопасности ХХХХ;

– разрабатывает руководящие документы;

– разрабатывает методические документы;

– подготавливает для Члена Правления – Директора по безопасности и защите информации и принятия Правлением ХХХХ решения по вопросам информационной безопасности;

– организует и осуществляет взаимодействие с другими подразделениями ХХХХ, его дочерними зависимыми обществами (далее по тексту – ДЗО) и филиалов;

– взаимодействует с государственными органами и сторонними организациями;

– организует и совместно с подразделениями ХХХХ проводит первичное и контрольные информационные обследования;

– совместно с Управлением информационных систем и технологий и заинтересованными подразделениями разрабатывает требования и решения по защите информации для вновь принимаемых в эксплуатацию систем и средств информатизации;

– заказывает и закупает специальные средства защиты информации, контролирует и сопровождает их эксплуатацию после внедрения;

– контролирует эффективность принимаемых мер по обеспечению информационной безопасности, проводит общую оценку ее состояния;

– проводит плановые и внезапные проверки состояния информационной безопасности в подразделениях;

– консультирует и обучает сотрудников по вопросам информационной безопасности.

2.2.2. Руководители подразделений

ХХХХ Руководители структурных подразделений ХХХХ несут персональную ответственность за организацию системы информационной безопасности в подчиненном подразделении и решают следующие задачи:

– осуществляют руководство работой по обеспечению информационной безопасности в подразделении;

– организуют проведение первичного и контрольных информационных обследований подразделения, совместно с начальником Управления по защите информации утверждают Актами результаты информационных обследований;

– после согласования с Членом Правления – Директором по безопасности принимают решение о предоставлении прав доступа к информации подразделения сотрудникам подчиненного подразделения и передают эти решения администратору сети для реализации;

– ходатайствуют перед руководителями других подразделений о предоставлении прав доступа к информации этих подразделений сотрудникам подчиненного подразделения;

– совместно с Управлением по защите информации и Управлением информационных систем и технологий участвует в разработке решений по защите информации для вновь принимаемых в эксплуатацию в подразделении объектов информатизации;

– готовят и направляют в Управление по защите информации заявки на установку специальных средств защиты информации, обучение сотрудников по вопросам информационной безопасности;

– взаимодействуют с Управлением по защите информации по вопросам организации информационной безопасности.

2.2.3. Сотрудники подразделений

ХХХХ Сотрудники подразделений несут ответственность за соблюдение информационной безопасности на закрепленных участках работы. Сотрудники подразделений:

– выполняют индивидуальные процедуры получения доступа к объектам информатизации и защищаемой информации;

– эксплуатируют пользовательские средства защиты информации, установленные на рабочих местах (если такие имеются);

– контролируют состояние информационной безопасности на своих рабочих местах.

2.2.4. Администратор сети

Функции администратора сети возлагаются на штатного сотрудника Управления информационных систем и технологий, в обязанности которого входит администрирование локальной вычислительной сети ХХХХ. По вопросам обеспечения безопасности информации администратор сети подчиняется начальнику Управления по защите информации. Администратор сети:

– составляет и ведет информационную схему сети;

– проводит совместно с сотрудниками Управления по защите информации первичное и контрольные информационные обследования сети, подписывает протоколы и частные Акты обследований;

– эксплуатирует централизованные средства защиты информации в сети (если такие есть);

– контролирует выполнение пользователями сети требований информационной безопасности и правильность эксплуатации пользовательских средств защиты информации (если такие есть), принимает меры к устранению недостатков и письменно сообщает о замеченных недостатках начальнику Управления по защите информации;

– выполняет технологические операции по предоставлению прав доступа к ресурсам сети пользователям, которым эти права предоставлены решениями руководителей подразделений, согласованными с Управлением по защите информации;

– взаимодействует с Управлением по защите информации по всем перечисленным вопросам.

2.3. Информационное обследование

Информационное обследование включает в себя первичное обследование, проводящееся однократно при создании системы информационной безопасности, и контрольные обследования, проводящиеся по мере необходимости актуализации сведений об информационной системе.

Первичное информационное обследование имеет целью составление полной информационной схемы и категорирование информации, объектов информатизации, помещений и сотрудников подразделений ХХХХ.

Обследование состоит в полной проверке всех имеющихся рабочих мест на наличие на них информации, средств информатизации, программных продуктов и составления комплекта документов, содержащих спецификацию этих средств с точки зрения информационной безопасности и закрепляющих их текущее состояние.

Обследование проводится отдельно по подразделениям, а также в локальной вычислительной сети.

Мероприятия обследования подразделения организует руководитель подразделения, а непосредственно проводят сотрудники Управления по защите информации, администратор сети и, при необходимости, сотрудники подразделения. Результатом обследования подразделения являются документы:

1) Информационная схема подразделения (исполняется руководителем подразделения) в составе:

– инвентарный план размещения средств информатизации и средств защиты информации подразделения с указанием их технических характеристик;

– перечень программных продуктов, установленных на каждом из средств информатизации или доступных с этого средства в сети и информации, обрабатываемой этими программными продуктами;

– список сотрудников подразделения с указанием закрепленных за ними средств информатизации и выделенных для них прав доступа;

2) Протоколы категорирования:

Vanusepiirang:
12+
Ilmumiskuupäev Litres'is:
08 juuli 2020
Objętość:
177 lk 13 illustratsiooni
ISBN:
9785005110701
Allalaadimise formaat: