Задание 1. Инструкция по работе с информсистемами и т д. раз в три месяца пересматривать и корректировать доступ к информации, порядок работы с ней, актуализировать принятую по иб документацию, постоянно проверять и изучать существующие угрозы иб
Скачать 28.76 Kb.
|
Возовикова Евгения ЭБ-92 Задание 1 Для начала нужно подготовить всю необходимую документацию, и после этого, необходима плановая организация работы по ее внедрению в повседневную работу. Для этого необходимо: ознакомить коллектив с утвержденной политикой обработки информации; знакомить с данной политикой обработки информации всех новых работников (например, проводить информационные семинары или курсы, на которых предоставлять исчерпывающие разъяснения); тщательно изучить имеющиеся бизнес-процессы ради обнаружения и минимизации рисков; активно участвовать в продвижении новых бизнес-процессов, дабы не стать безнадежно отстающим в сфере ИБ; составить подробные методические и информационные материалы, инструкции, дополняющие политику обработки информации (например, правила предоставления доступа к работе в Интернете, порядок входа в помещения с ограниченным доступом, перечень информационных каналов, по которым можно передавать конфиденциальные данные, инструкция по работе с информсистемами и т. д.); раз в три месяца пересматривать и корректировать доступ к информации, порядок работы с ней, актуализировать принятую по ИБ документацию, постоянно проверять и изучать существующие угрозы ИБ. !Оценка соответствия проходит посредством проведения комплекса мероприятий, включающих в себя описание: объекта оценки (проверяемой системы информационной безопасности Заказчика или ее части), анализ внутренней документации на предмет соответствия стандартам и требованиям контрагентов, интервьюирование сотрудников для подтверждения соблюдения требований стандартов и контрагентов, а также технический аудит, включающий в себя исследование применяемых технических решений на предмет соответствия стандартам и требованиям контрагентов. Структура политики информационной безопасности организации согласно ГОСТ Р ИСО/МЭК 27003-2021 Предисловие Введение Область применения Нормативные ссылки Термины и определения Контекст организации Понимание организации и её контекста Необходимые мероприятия Пояснение Руководство Дополнительная информация Понимание потребностей и ожидание заинтересованности сторон Необходимые мероприятия Пояснение Руководство Дополнительная информация Определение области действия системы менеджмента информационной безопасности Необходимые мероприятия Пояснение Руководство Дополнительная информация Система менеджмента информационной безопасности Необходимые мероприятия Пояснение Руководство Дополнительная информация Руководство Роль руководства Необходимые мероприятия Пояснение Руководство Дополнительная информация Политика Необходимые мероприятия Пояснение Руководство Дополнительная информация Организационные роли, обязанности и полномочия Необходимые мероприятия Пояснение Руководство Дополнительная информация Планирование Мероприятие по обработке рисков и возможностей Политика информационной безопасности Обзор Необходимые мероприятия Пояснение Руководство Дополнительная информация Пример ПУБЛИЧНОЕ АКЦИОНЕРНОЕ ОБЩЕСТВО «СБЕРБАНК РОССИИ» УТВЕРЖДЕНА Решением Наблюдательного совета ПАО Сбербанк Протокол № 23 от «18» сентября 2018 СОДЕРЖАНИЕ Общие положения Цели и задачи Информационной политики Основные принципы Информационной политики Раскрытие информации Раскрытие информации о финансовой деятельности Банка по РПБУ Раскрытие информации о финансовой деятельности Банка по МСФО Информация, раскрываемая Банком как кредитной организацией Раскрытие информации о принимаемых рисках, процедурах их оценки, процедурах управления рисками и капиталом Информация, раскрываемая Банком как эмитентом ценных бумаг Информация, раскрываемая Банком как профессиональным участником рынка ценных бумаг Предоставление информации акционерам при подготовке к общему собранию акционеров Предоставление доступа к информации по требованию акционеров и иных правомочных лиц Раскрытие информации в соответствии с требованиями иностранных регуляторов рынка ценных бумаг и иностранных бирж, на которых осуществляется обращение депозитарных расписок Раскрытие информации о системе корпоративного управления Банка Состав информации, добровольно (дополнительно) раскрываемой Банком, и способы ее раскрытия Коммуникации Лица, имеющие право раскрывать информацию от имени Банка Коммуникации с акционерами, инвесторами, аналитиками Коммуникации с сотрудниками Взаимодействие со СМИ Присутствие Банка в социальных медиа Инсайдерская информация Конфиденциальная информация Раскрытие существенной информации Ответственность за раскрытие информации Контроль за соблюдением Информационной политики ПРИЛОЖЕНИЕ 1 ПРИЛОЖЕНИЕ 2 ПРИЛОЖЕНИЕ 3 ПРИЛОЖЕНИЕ 4 Вывод: Сравнивая структуру ИБ Сбербанка с ГОСТом, можно сказать, что Сбербанк в целом приближен к требуемым стандартам. Четко расписан план раскрытия информациии коммуникации. Отличается немного размещение информации, но это не критично. Структура политики ИБ организации ПАО «Сбербанк» соответствует ГОСТу 27003-2021. |