Главная страница
Навигация по странице:

  • Область действия документа.

  • Нормативные ссылки.

  • Требования по защите информации в организации.

  • Безопасность оборудования вне помещений организации

  • Использование системы мониторинга

  • Политика управления доступом

  • Мониторинг (контроль) выполнения политики.

  • Ответственность за исполнение/неисполнение требований политики.

  • Политика информационной безопасности. Требования к исполнению мер по защите информации в организации. Политика безопасности. 2. Область действия документа. 2 Нормативные ссылки. 2


    Скачать 18.24 Kb.
    Название2. Область действия документа. 2 Нормативные ссылки. 2
    АнкорПолитика информационной безопасности. Требования к исполнению мер по защите информации в организации
    Дата03.06.2022
    Размер18.24 Kb.
    Формат файлаdocx
    Имя файлаПолитика безопасности.docx
    ТипДокументы
    #567842

    Содержание


    1.Цель. 2

    2.Область действия документа. 2

    3.Нормативные ссылки. 2

    4.Требования по защите информации в организации. 2

    4.1 Меры и средства контроля и управления физическим входом 2

    4.2 Безопасность оборудования вне помещений организации 3

    4.3 Использование системы мониторинга 3

    4.4 Политика управления доступом 4

    5.Мониторинг (контроль) выполнения политики. 4

    6.Ответственность за исполнение/неисполнение требований политики. 4


    1. Цель.


    Основной целью, на достижение которой направлены все положения настоящей Политики, является защита информационных ресурсов от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, её носители, процессы обработки и передачи, а также минимизация рисков ИБ.
    1. Область действия документа.


    2.1 Настоящая Политика распространяется на все бизнес-процессы Учреждения и обязательна для применения всеми сотрудниками и руководством Учреждения, а также пользователями его информационных ресурсов.

    2.2 Настоящая политика распространяется на информационные системы учреждения.

    2.3 Лица, осуществляющие разработку внутренних документов Учреждения, регламентирующих вопросы информационной безопасности, обязаны руководствоваться настоящей Политикой.
    1. Нормативные ссылки.


    Данная политика разработана в соответствии с «Концепцией информационной безопасности компании» и на основании следующих разделов нормативного документа ГОСТ Р ИСО/МЭК 27002:

    • Физическая безопасность и защита от воздействий окружающей среды;

    • Менеджмент коммуникаций и работ;

    • Политика управления доступом.
    1. Требования по защите информации в организации.

      1. Меры и средства контроля и управления физическим входом


    4.1.1 Необходимо реализовать систему контроля управления доступом. Что включает в себя, установку турникетов/арок на входе/выходе организации, а также контроль входа/выхода особых зон.

    4.1.2 Присвоить всем сотрудникам ключ-карту, предоставляющую доступ, согласно его полномочиям.

    4.1.3 Необходимо производить фиксацию даты и времени входа/выхода каждого сотрудника и посетителя.
      1. Безопасность оборудования вне помещений организации


    4.2.1 Сотрудникам не следует оставлять без присмотра оборудования и носители информации, взятые из помещения организации. А также перевозить портативные компьютеры в ручной клади и по возможности маскировать.

    4.2.2 При работе вне рабочего места следует не использовать незащищенные сети, использовать запираемые шкафы для хранения.
      1. Использование системы мониторинга


    4.3.1 Необходимо создать процедуры для проведения мониторинга использования средств обработки информации и регулярно анализировать результаты деятельности, связанной с мониторингом.

    4.3.2 Мониторинг авторизированного доступа должен содержать в себе:

    1. идентификаторы пользователей;

    2. дату и время основных событий;

    3. типы событий;

    4. файлы, к которым был осуществлен доступ;

    5. используемые программы/утилиты.

    4.3.3 Мониторинг всех привилегированных действий, таких как:

    1. использование привилегированных учетных записей, например, супервизора, привилегированного пользователя, администратора;

    2. запуск и остановка системы;

    3. подсоединение/отсоединение устройства ввода/вывода;

    4.3.4 Отслеживать изменения или попытки изменить параметры настройки системы безопасности и мер и средств контроля и управления.

      1. Политика управления доступом


    4.4.1 Необходимо выдавать уровень доступа сотрудникам, согласно их должности.

    4.4.2 При смене должности, увольнения и т.п. необходимо изъять ключ-карту, изменить уровень доступа профиля, согласно его новой должности или удалить уровень доступа профиля, если сотрудник был уволен.
    1. Мониторинг (контроль) выполнения политики.


    Общий контроль состояния ИБ Учреждения осуществляется Директором.

    Текущий контроль соблюдения настоящей Политики осуществляет отдел ИС СМТ. Контроль осуществляется путем проведения мониторинга и менеджмента инцидентов ИБ Учреждения, по результатам оценки ИБ, а также в рамках иных контрольных мероприятий.

    Отдел ИС СМТ ежегодно пересматривает положения настоящей политики. Изменения и дополнения вносятся по инициативе отдела ИС СМТ или Директора и утверждаются Директором.

    Порядок пересмотра документов второго и третьего уровней определяется в данных документах.

    Все изменения, внесённые в настоящую Политику ИБ должны учитываться в листе «История изменений».
    1. Ответственность за исполнение/неисполнение требований политики.


    Директор Учреждения определяет приоритетные направления деятельности в области обеспечения ИБ, меры по реализации настоящей Политики, утверждает списки объектов и сведений, подлежащих защите, а также осуществляет общее руководство обеспечением ИБ Учреждения.

    Ответственность за поддержание положений настоящей Политики в актуальном состоянии, создание, внедрение, координацию и внесение изменений в процессы СУИБ Учреждения лежит на руководстве отдела ИС СМТ.

    Все руководители несут прямую ответственность за реализацию Политики и её соблюдение персоналом в соответствующих подразделениях.


    написать администратору сайта