Образец политика информационной безопасности предприятия


Структура документов по безопасности информационных систем Основные положения стандарта ISO 17799 В этом документе перечислен список инструктивных и нормативных материалов, которые рекомендуется разработать на предприятии. Список и рекомендации основаны на рекомендациях международного стандарта безопасности ISO 17799. Данный стандарт безопасности носит комплексный характер и предназначен, прежде всего, для документирования процедур обеспечения безопасности бизнеса, что облегчает задачу управления безопасностью информационных системам. Он так же фиксирует перечень объектов информационной безопасности предприятия, а также список необходимых для ее обеспечения внутренних документов. Вид документа — положение. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется не реже 1 раза в год или при изменении состава информационных средств. Определение информационной безопасности, перечень ее составляющих Определить понятие информационной безопасности, перечислить объекты информационной безопасности предприятия. Краткое разъяснение политики безопасности, принципов ее построения и соответствия стандартам и требованиямобразец политика информационной безопасности предприятия особое значение для организации: разъяснение соответствия положений политики местному и международному законодательству требования по обучению персонала вопросам безопасности требования по обнаружению и блокированию вирусов и других вредоносных программ требования обеспечения непрерывность ведения бизнеса ответственность за нарушения политики безопасности Дополнения к должностным обязанностям руководителей - ответственность за обеспечение информационной безопасности, включая ответственнось за предоставление отчетов об инцидентах Сделать ссылку на документ, в котором разграничена ответственность по информационной безопасности между ответственными лицами. Подробный перечень документов, которые должны быть изданы вместе с политикой безопасности положения, инструкции, регламенты и т. Вид организации форума — Web-сайт внутри локальной сети предприятия. Организуется под управлением подразделения безопасности предприятия. Используется всеми сотрудниками предприятия постоянно. Вид организации форума — Web-сайт внутри локальной сети предприятия. Организуется под управлением подразделения безопасности предприятия. Используется всеми сотрудниками предприятия постоянно. Вид документа — распоряжение. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется после изменения политики безопасности или после изменения технологических участков и состава информационных ресурсов. Определение ресурсов, имеющих отношение к информационной безопасности, по каждой системе Для каждого ресурса или процесса должен быть назначен ответственный сотрудник из числа руководителей. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется после изменения политики безопасности предприятия. Соответствие новой системы существующей политике управления пользователями. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется не реже 1 раза в год, перед проведением инвентаризации. Информационные ресурсы Базы данных и файлы данных, системная документация, пользовательская образец политика информационной безопасности предприятия, учебные материалы, инструкции по эксплуатации или по поддержке, планы по поддержанию непрерывности бизнеса, мероприятия по устранению неисправностей, архивы информации или данных Программные ресурсы Приложения, операционные системы и системное программное обеспечение, средства разработки Физические ресурсы Вычислительная техника процессоры, мониторы, переносные компьютерыкоммуникационное оборудование маршрутизаторы, телефонные станции, факсы, автоответчики, модемымагнитные носители кассеты и дискиобразец политика информационной безопасности предприятия техническое оборудование источники питания, кондиционеры Вычислительные и коммуникационные сервисы, вспомогательные услуги Отопление, освещении и т. Следует обратить образец политика информационной безопасности предприятия на необходимость проведения инвентаризации имеющихся в компании нормативных инструктивных документов. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется не реже 1 раза в год. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется по необходимости. Проверка персонала при приеме на работу: проверка рекомендаций проверка данных из резюме подтверждение ученых степеней и образования идентификация личности Заключение соглашений о соблюдении режима информационной безопасности со всеми образец политика информационной безопасности предприятия Условия трудового соглашения с работником письменная формулировка их должностных обязанностей письменная формулировка прав доступа к ресурсам компании в том числе информационным соглашение о конфиденциальности специальные соглашения о перлюстрации всех видов служебной корреспонденции мониторинг сетевых данных, телефонных переговоров, факсов и т. Тренинги организуются под управлением подразделением безопасности предприятия. Периодичность проведения тренингов зависит от конкретных обстоятельств. Наиболее важно проводить тренинги для новых сотрудников, а так же при изменении состава и технологий информационных систем. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Может пересматривается и актуализируется после возникновения инцидентов, сбоев, неисправностей, а так же по необходимости. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется по необходимости. Расположение оборудования с учетом требования минимизации доступа в рабочее помещение лиц, не связанных с обслуживанием этого оборудования Расположение систем обработки и хранения информации, содержащих важные данные Должны быть расположены так, чтобы минимизировать возможность случайного или преднамеренного доступа к ним неуполномоченных лиц в процессе их обработки. Объекты, требующие специальной защиты Должны быть изолированы. Меры защиты для минимизации следующих потенциальных угроз: кража огонь взрыв дым вода пыль вибрация химические вещества побочные электромагнитные излучения и наводки Запрет на прием пищи, напитков образец политика информационной безопасности предприятия курение вблизи оборудования Регулярный осмотр и дистанционный контроль оборудования Цель — обнаружение признаков, которые могут повлечь за собой отказ системы Использование специальных средств защиты оборудования Такие как накладка на клавиатуру и др. Такие воздействия, как, например, пожар у соседей, наводнение или затопление верхнего этажа, взрыв на улице и т. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется по необходимости. Прокладка и защита силовых кабелей Силовые и телекоммуникационные образец политика информационной безопасности предприятия в информационно обрабатывающую систему должны проходить под образец политика информационной безопасности предприятия если возможно. В противном случае, им требуется адекватная альтернативная защита Защита от несанкционированного подключения Сетевые кабели должны быть защищены от несанкционированного подключения или повреждения. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется по необходимости. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется по необходимости. Хранение документов Документы на всех видах носителей и вычислительная техника, в случае если ими не пользуются, а также в нерабочее время, должны храниться в запираемом помещении Ценная информация, когда она не используется, должна храниться в защищенном месте огнеупорный сейф, выделенное помещение Обработка информации Персональные компьютеры, терминалы образец политика информационной безопасности предприятия принтеры не должны оставаться без присмотра образец политика информационной безопасности предприятия время обработки информации и должны защищаться блокираторами клавиатуры, паролями или иными методами на время отсутствия пользователя Использование копировальной техники Использование печатающих устройств Распечатки, содержащие ценную конфиденциальную информацию должны изыматься из печатающего устройства немедленно Управление коммуникациями и процессами. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется по необходимости. Предназначен для установки норм контроля изменений в операционной среде. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется образец политика информационной безопасности предприятия необходимости. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется по необходимости. Возможные ситуации Процедуры должны предусматривать все возможные ситуации, включая: сбои в информационных системах отказ в обслуживании ошибки из-за неполных или неправильных входных данных утечку информации Оперативный план восстановления системы после инцидента В дополнении к оперативному плану восстановления процедуры должны также включать: анализ и определение причин инцидента планирование и внедрение мер для предотвращения повторения если необходимо анализ и сохранение сведений об инциденте, которые можно представить в качестве доказательства улики, свидетельства и т. Вид документа — инструкция. Составляется подразделением безопасности предприятия. Пересматривается и актуализируется по необходимости. Определение критических участков Определения порядка доступа образец политика информационной безопасности предприятия критическим участкам Все критичные операции должны выполняться, как минимум, двумя сотрудниками" — это так называемый принцип "4 глаз". Вид документа — распоряжение. Составляется подразделением безопасности и подразделением информатизации предприятия. Пересматривается и актуализируется при изменении состава информационных ресурсов. Разделение ресурсов по целям использования: образец политика информационной безопасности предприятия разработка тестирование карантин непосредственное осуществление бизнес операций операционная среда Правила переноса нового программного обеспечения в операционную среду операционная среда и среда разработки должны, по возможности, располагаться на разных компьютерах, в разных доменах или директориях среда разработки и карантин должны быть надежно изолированы друг от друга средства разработки, системные редакторы и другие системные утилиты не должны образец политика информационной безопасности предприятия доступны в зоне тестирования и операционной среде с целью снижения вероятности возникновения ошибок, для входа в тестовую и рабочую системы должны использоваться разные идентификаторы и пароли, а все меню должны иметь соответствующую маркировку разработчики должны иметь доступ к операционной среде только когда это необходимо для оперативного сопровождения этих систем. Вид документа — инструкция. Составляется подразделением безопасности и подразделением информатизации предприятия. Пересматривается и актуализируется при изменении состава информационных ресурсов. Обязательность применения только лицензионного программного обеспечения и запрет использования неутвержденного программного обеспечения должны быть закреплены документально Получение программного ПО Применяемое антивирусное ПО Контроль целостности ПО Антивирусный контроль входящей информации Правила восстановления системы после вирусных атак Мониторинг всей информации, касающейся вредоносного программного обеспече ния. Вид документа — инструкция. Составляется подразделением безопасности и подразделением информатизации предприятия. Пересматривается и актуализируется при изменении состава информационных ресурсов. Хранение образец политика информационной безопасности предприятия копий Резервные копии вместе с инструкциями по восстановлению должны храниться в месте, территориально отдаленном от основной копии информации. Для особо важной информации необходимо сохранять три последних копии. Проверка надёжности носителей информации резервных копий Образец политика информационной безопасности предприятия, на которые осуществляется резервное копирование, должны регулярно проверяться на отсутствие сбоев Проверка процедур восстановления и тренинг персонала по восстановлению работоспособности системы в заданный срок. Пересматривается и актуализируется при изменении состава информационных ресурсов. Пересматривается и актуализируется по необходимости. Вид документа — инструкция. Пересматривается и актуализируется по необходимости. Ответственность персонала за осуществление сетевых и локальных операций Ответственность и установлены процедуры управления удаленным оборудованием, включая оборудование в сегментах пользователей Средства обеспечения целостности и конфиденциальности при передаче информации через сети общего пользования. Вид документа — инструкция. Пересматривается и актуализируется по необходимости. Вид документа — инструкция. Пересматривается и актуализируется по необходимости. Образец политика информационной безопасности предприятия за процесс приема-передачи Процедуры уведомления отправителя, получателя, и процедуры приема-отправки Минимальные технические стандарты для сообщений и образец политика информационной безопасности предприятия их передачи Идентификация способа доставки Ответственность за задержку и потерю данных Использование цифровой подписи объектов перед передачей критичной информации Стандартизация методов чтения и записи информации данных и программного обеспечения другие методы защиты критичных данных, такие как криптография и т. Вид документа — инструкция. Пересматривается и актуализируется по необходимости. Какой уровень конфиденциальности должны иметь покупатели и продавцы для идентификации друг друга Авторизация. Кто выпустил образец политика информационной безопасности предприятия и подписаны ли они? Как контрагенты могут это узнать? Какие требования для конфиденциальности, целостности, доказательства отправки и приема ключевых документов и отказа от контракта Ценовая информация. Какой уровень доверия может быть применен для целостности рекламного прайс листа и конфиденциальности для скидок Порядок расчетов. Как обеспечивается конфиденциальность и целостность расчетов, платежей, адресатов и подтверждение приема-отправки Подтверждение факта оплаты. Пересматривается и актуализируется по необходимости. Пересматривается и актуализируется по необходимости.

Смотрите также:



Коментарии:

  • Настройки пограничных маршрутизаторов 4.