Структура документов по безопасности информационных систем
(Основные положения стандарта ISO 17799)

В этом документе перечислен список инструктивных и нормативных материалов, которые рекомендуется разработать на предприятии. Список и рекомендации основаны на рекомендациях международного стандарта безопасности ISO 17799. Данный стандарт безопасности носит комплексный характер и предназначен, прежде всего, для документирования процедур обеспечения безопасности бизнеса, что облегчает задачу управления безопасностью информационных системам.

Политика безопасности

Документ “Политика безопасности предприятия (банка)”

Предназначен для определения целей и принципов информационной безопасности. Он так же

фиксирует перечень объектов информационной безопасности предприятия, а также список необходимых для ее обеспечения внутренних документов.

Вид документа – положение.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется не реже 1 раза в год или при изменении состава информационных средств.

Состав документа.
Определение информационной безопасности, перечень ее составляющих

Определить понятие информационной безопасности, перечислить объекты информационной безопасности предприятия.
Краткое разъяснение политики безопасности, принципов ее построения и соответствия стандартам и требованиям , имеющим особое значение для организации:
разъяснение соответствия положений политики местному и международному законодательству
требования по обучению персонала вопросам безопасности
требования по обнаружению и блокированию вирусов и других вредоносных программ
требования обеспечения непрерывность ведения бизнеса
ответственность за нарушения политики безопасности
Дополнения к должностным обязанностям руководителей - ответственность за обеспечение информационной безопасности, включая ответственнось за предоставление отчетов об инцидентах

Сделать ссылку на документ, в котором разграничена ответственность по информационной безопасности между ответственными лицами.
Подробный перечень документов, которые должны быть изданы вместе с политикой безопасности (положения, инструкции, регламенты и т.п.)

Организационные меры по обеспечению безопасности

Организационная мера “Форум по информационной безопасности”

Форум предназначен для коллективного обсуждения проблем безопасности, проведения разъяснительных работ среди персонала в области политики информационной безопасности, получения и обсуждения новых предложений по усилению безопасности.

Вид организации форума – Web-сайт внутри локальной сети предприятия.

Организуется под управлением подразделения безопасности предприятия.

Используется всеми сотрудниками предприятия постоянно.

Разделы форума:
Обсуждение вносимых в политику безопасности изменений, принятие новой версии политики безопасности, согласование списков ответственных лиц
Отслеживание и анализ важных изменений в структуре информационных ресурсов компании на предмет выявления новых угроз
Изучение и анализ инцидентов с безопасностью
Принятие важных инициатив по усилению мер безопасности

Организационная мера “Форум по координации вопросов, связанных с внедрением средств обеспечения информационной безопасности”

Форум предназначен для обсуждения вопросов, связанных с внедрением, поддержкой, эксплуатацией средств информационной безопасности.

Вид организации форума – Web-сайт внутри локальной сети предприятия.

Организуется под управлением подразделения безопасности предприятия.

Используется всеми сотрудниками предприятия постоянно.

Разделы форума:
Выработка соглашений о разграничении ответственности за обеспечение информационной безопасности внутри организации
Выработка специальных методик и политик, связанных с информационной безопасностью: анализ рисков, классификация систем и информации по уровням безопасности
Поддержание в организации “атмосферы” информационной безопасности, в частности, регулярное информирование персонала по этим вопросам
Обеспечение обязательности учета вопросов информационной безопасности при стратегическом и оперативном планировании
Обеспечение обратной связи (оценка адекватности принимаемых мер безопасности в существующих системах) и координация внедрения средств обеспечения информационной безопасности в новые системы или сервисы
Анализ инцидентов в области информационной безопасности, выработка рекомендаций

Документ “Распределение ответственности за обеспечение безопасности”

Предназначен для определения ресурсов информационной безопасности и ответственности за доступ к ним.

Вид документа – распоряжение.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется после изменения политики безопасности или после изменения технологических участков и состава информационных ресурсов.

Состав документа.
Определение ресурсов, имеющих отношение к информационной безопасности, по каждой системе
Для каждого ресурса (или процесса) должен быть назначен ответственный сотрудник из числа руководителей. Разграничение ответственности должно быть закреплено документально

Разграничение ответственности определяется отдельным Приказом или Распоряжением по предприятию
Для каждого ресурса должен быть определен и закреплен документально список прав доступа (матрица доступа)

Документ “Процесс внедрения новой информационной системы”

Предназначен для описания процесса внедрения новой информационной системы в действующий бизнес-процесс.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется после изменения политики безопасности предприятия.

Состав документа.
Соответствие новой системы существующей политике управления пользователями.
Проверка всех внедряемых компонентов на совместимость с существующими частями системы

Управление ресурсами


Документ “Инвентаризация ресурсов”

Предназначен для определения категорий ресурсов, подлежащих инвентаризации

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется не реже 1 раза в год, перед проведением инвентаризации.

Состав документа.
Информационные ресурсы

Базы данных и файлы данных, системная документация, пользовательская документация, учебные материалы, инструкции по эксплуатации или по поддержке, планы по поддержанию непрерывности бизнеса, мероприятия по устранению неисправностей, архивы информации или данных
Программные ресурсы

Приложения, операционные системы и системное программное обеспечение, средства разработки
Физические ресурсы

Вычислительная техника (процессоры, мониторы, переносные компьютеры), коммуникационное оборудование (маршрутизаторы, телефонные станции, факсы, автоответчики, модемы), магнитные носители (кассеты и диски), другое техническое оборудование (источники питания, кондиционеры)
Вычислительные и коммуникационные сервисы, вспомогательные услуги

Отопление, освещении и т.п. Следует обратить внимание на необходимость проведения инвентаризации имеющихся в компании нормативных и инструктивных документов.

Документ “Классификация ресурсов”

Предназначен для классификации ресурсов с точки зрения безопасности

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется не реже 1 раза в год.

Состав документа.
Все ресурсы должны быть классифицированы по степени важности
Для каждого класса должны быть регламентированы следующие действия:
копирование
хранение
передача почтой, факсом, электронной почтой
передача голосом, включая мобильные телефоны, голосовую почту
уничтожение

Безопасность персонала

Документ “Безопасность при выборе персонала и работе с ним”

Предназначен для определения мер по обеспечению безопасности при выборе персонала и работе с ним.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Проверка персонала при приеме на работу:
проверка рекомендаций
проверка данных из резюме
подтверждение ученых степеней и образования
идентификация личности
Заключение соглашений о соблюдении режима информационной безопасности со всеми сотрудниками
Условия трудового соглашения с работником
письменная формулировка их должностных обязанностей
письменная формулировка прав доступа к ресурсам компании (в том числе и информационным)
соглашение о конфиденциальности
специальные соглашения о перлюстрации всех видов служебной корреспонденции (мониторинг сетевых данных, телефонных переговоров, факсов и т.д.).
Включение задачи обеспечения безопасности в служебные обязанности всех сотрудников

Организационное мероприятие “Тренинги пользователей”

Тренинг предназначен для обучения персонала и контроля их знаний в области информационной безопасности и правил эксплуатации средств информационной безопасности.

Тренинги организуются под управлением подразделением безопасности предприятия.

Периодичность проведения тренингов зависит от конкретных обстоятельств. Наиболее важно проводить тренинги для новых сотрудников, а так же при изменении состава и технологий информационных систем.

Документ “Реагирование на инциденты в области безопасности, а так же на сбои и неисправности”

Предназначен для определения порядка реагирования на инциденты в области безопасности, на сбои и неисправности информационных систем.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Может пересматривается и актуализируется после возникновения инцидентов, сбоев, неисправностей, а так же по необходимости.

Состав документа.
Отчеты об инцидентах
Отчеты о недостатках в системе безопасности
Отчеты о сбоях и неисправностях компьютерных систем
В случае обнаружения нестандартной ситуации необходимо:
записать все симптомы ее появления
компьютер должен быть изолирован и если возможно его использование приостановлено
о факте должно быть немедленно сообщено непосредственному руководителю и службе информационной безопасности, они же должны быть проинформированы о результатах анализа причин произошедшего
Изучение инцидента
Дисциплинарные меры (в российской специфике это, в зависимости от последствий: дисциплинарные, административные или даже уголовные)
Регулярное обучение персонала по вопросам безопасности


Физическая безопасность

Документ “Безопасность оборудования”

Предназначен для определения правил защиты оборудования от воздействий, угрожающих его физической безопасности.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Расположение оборудования с учетом требования минимизации доступа в рабочее помещение лиц, не связанных с обслуживанием этого оборудования
Расположение систем обработки и хранения информации, содержащих важные данные

Должны быть расположены так, чтобы минимизировать возможность случайного или преднамеренного доступа к ним неуполномоченных лиц в процессе их обработки.
Объекты, требующие специальной защиты

Должны быть изолированы.
Меры защиты для минимизации следующих потенциальных угроз:
кража
огонь
взрыв
дым
вода
пыль
вибрация
химические вещества
побочные электромагнитные излучения и наводки
Запрет на прием пищи, напитков и курение вблизи оборудования
Регулярный осмотр и дистанционный контроль оборудования

Цель – обнаружение признаков, которые могут повлечь за собой отказ системы
Использование специальных средств защиты оборудования

Такие как накладка на клавиатуру и др.,, необходимые в случае расположения оборудования в промышленных зонах
Учёт воздействий от происшествий на соседних объектах.

Такие воздействия, как, например, пожар у соседей, наводнение или затопление верхнего этажа, взрыв на улице и т.д.

Документ “Безопасность кабельной системы”

Предназначен для определения общих правил прокладки и защиты кабельных систем на предприятии.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Прокладка и защита силовых кабелей

Силовые и телекоммуникационные линии в информационно обрабатывающую систему должны проходить под землей (если возможно). В противном случае, им требуется адекватная альтернативная защита
Защита от несанкционированного подключения

Сетевые кабели должны быть защищены от несанкционированного подключения или повреждения. Этого можно достигнуть при помощи их прокладки вне общедоступных зон
Разделение силовых и коммуникационных кабелей

С целью снижения влияния электромагнитных помех, силовые кабели должны быть разделены с коммуникационными
Дополнительные меры защиты
линии связи должны быть закрыты защитными коробами, кроссовые помещения и шкафы должны надежно запираться и опечатываться; контроль целостности должен осуществляться регулярно
линии связи должны быть продублированы
применение оптического кабеля
обнаружение несанкционированных подключений к линиям связи и оповещение персонала

Документ “Безопасное уничтожение отработавшего оборудования”

Предназначен для определения правил уничтожения отработавшего оборудования.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Уничтожение ценной информации на устройствах её хранения

Устройства хранения информации, содержащие ценную информацию, при выведении из эксплуатации должны быть физически уничтожены, либо должно быть проведено гарантированное стирание с них остаточной информации
Передача оборудования другому владельцу

Все оборудование, включая носители информации, перед передачей его другому владельцу (или списанием) должно быть проверено на предмет отсутствия в нем важной информации или лицензионного программного обеспечения
Повреждённые устройства хранения информации

Дальнейшая судьба поврежденных устройств хранения, содержащих важную информацию, (уничтожение или ремонт) определяется на основе заключения экспертной комиссии

Документ “Безопасность рабочего места”

Предназначен для исключения утечки информации с рабочих мест.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Хранение документов

Документы на всех видах носителей и вычислительная техника, в случае если ими не пользуются, а также в нерабочее время, должны храниться в запираемом помещении

Ценная информация, когда она не используется, должна храниться в защищенном месте (огнеупорный сейф, выделенное помещение)
Обработка информации

Персональные компьютеры, терминалы и принтеры не должны оставаться без присмотра во время обработки информации и должны защищаться блокираторами клавиатуры, паролями или иными методами на время отсутствия пользователя
Использование копировальной техники
Использование печатающих устройств

Распечатки, содержащие ценную (конфиденциальную) информацию должны изыматься из печатающего устройства немедленно


Управление коммуникациями и процессами. Служебные инструкции и ответственность

Документ “Должностные инструкции по информационной безопасности”

Предназначен для установки прав и обязанностей, касающихся информационной безопасности, которые должны быть включены в должностные инструкции сотрудников.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.

Должностные инструкции должны включать:
Порядок обработки и обращения с информацией
Порядок взаимодействия с другими системами, разрешенные часы доступа на рабочее место (в ночное время, в выходные)
Порядок действий в нештатных ситуациях
Список лиц и способы связи с ними в нештатных ситуациях
Специальные инструкции по обращению с результатами обработки информации, в том числе конфиденциальными и ошибочно обработанными
Рестарт системы и восстановительные процедуры, необходимые в случае сбоя системы

Документ “Контроль изменений в операционной среде”

(Под операционной средой в стандарте понимается совокупность средств вычислительной техники и функционирующих на них процессов, непосредственно решающих и выполняющих бизнес задачи.)

Предназначен для установки норм контроля изменений в операционной среде.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Идентификация и запись важных изменений
Оценка потенциального последствий важных изменений
Утверждение процедуры внесения изменений
Взаимодействие со всеми заинтересованными лицами при внесении изменений
Процедуры определения ответственности и возврата в исходное состояние при неудачных попытках изменений

Документ “Процедуры реагирования в случае инцидентов”

Предназначен для определения порядка реагирования персонала предприятия на возникающие в процессе работы инциденты.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Возможные ситуации

Процедуры должны предусматривать все возможные ситуации, включая:
сбои в информационных системах
отказ в обслуживании
ошибки из-за неполных или неправильных входных данных
утечку информации
Оперативный план восстановления системы после инцидента

В дополнении к оперативному плану восстановления процедуры должны также включать:
анализ и определение причин инцидента
планирование и внедрение мер для предотвращения повторения (если необходимо)
анализ и сохранение сведений об инциденте, которые можно представить в качестве доказательства (улики, свидетельства и т.п.)
определение порядка взаимодействия между пострадавшими от инцидента и участниками процесса восстановления
обязательное информирование ответственных лиц
Сбор информации по инциденту

По каждому инциденту должно быть собрано максимальное количество информации, которой также необходимо обеспечить необходимый уровень защиты для:
последующего анализа внутренних проблем
использования собранных данных для привлечения виновных к дисциплинарной, административной или уголовной ответственности
использования при ведении переговоров о компенсациях с поставщиками аппаратного и программного обеспечения
Действия по восстановлению после обнаружения уязвимостей в системе безопасности, исправлению ошибок и ликвидации неисправностей должны быть внимательно и формально запротоколированы.

Процедура должна гарантировать что:
только персонал, прошедший процедуры идентификации и аутентификации может получать доступ к “ожившим” системам и данным
все действия по выходу из нештатной ситуации зафиксированы в виде документа для последующего использования
обо всех произведенных действиях руководство было проинформировано в установленном порядке
целостность и работоспособность системы подтверждена в минимальные сроки

Документ “Разграничение ответственности путем разделения обязанностей”

Предназначен для определения критических участков обработки и хранения информации, а так же правил доступа к ним.

Вид документа – инструкция.

Составляется подразделением безопасности предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Определение критических участков
Определения порядка доступа к критическим участкам

Все критичные операции должны выполняться, как минимум, двумя сотрудниками" – это так называемый принцип "4 глаз".
действия, которые могут подразумевать сговор (например, покупка товара и контроль закупленного товара), должны быть обязательно разделены
если есть опасность сговора, то тогда необходимо применение принципа “4 глаз”

Документ “Разделение ресурсов”

Предназначен для разделения ресурсов по целям использования.

Вид документа – распоряжение.

Составляется подразделением безопасности и подразделением информатизации предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется при изменении состава информационных ресурсов.

Состав документа.
Разделение ресурсов по целям использования:
перспективная разработка
тестирование (карантин)
непосредственное осуществление бизнес операций (операционная среда)
Правила переноса нового программного обеспечения в операционную среду
операционная среда и среда разработки должны, по возможности, располагаться на разных компьютерах, в разных доменах или директориях
среда разработки и карантин должны быть надежно изолированы друг от друга
средства разработки, системные редакторы и другие системные утилиты не должны быть доступны в зоне тестирования и операционной среде
с целью снижения вероятности возникновения ошибок, для входа в тестовую и рабочую системы должны использоваться разные идентификаторы и пароли, а все меню должны иметь соответствующую маркировку
разработчики должны иметь доступ к операционной среде только когда это необходимо для оперативного сопровождения этих систем. Для этого они получают временный доступ, удаляемый по окончании работ

Документ “Защита от вредоносного ПО (вирусов, троянских коней)”

Предназначен для определения правил и способов защиты информационных средств от вредоносного ПО.

Вид документа – инструкция.

Составляется подразделением безопасности и подразделением информатизации предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется при изменении состава информационных ресурсов.

Состав документа.
Состав программных средств.

Обязательность применения только лицензионного программного обеспечения и запрет использования неутвержденного программного обеспечения должны быть закреплены документально
Получение программного ПО
Применяемое антивирусное ПО
Контроль целостности ПО
Антивирусный контроль входящей информации
Правила восстановления системы после вирусных атак
Мониторинг всей информации, касающейся вредоносного программного обеспече
ния.

Документ “Управление внутренними ресурсами. Резервное копирование информации”

Предназначен для определения порядка резервного копирования информации.

Вид документа – инструкция.

Составляется подразделением безопасности и подразделением информатизации предприятия.

Утверждается руководителем предприятия.

Пересматривается и актуализируется при изменении состава информационных ресурсов.

Состав документа.
Хранение резервных копий

Резервные копии вместе с инструкциями по восстановлению должны храниться в месте, территориально отдаленном от основной копии информации. Для особо важной информации необходимо сохранять три последних копии.
Проверка надёжности носителей информации резервных копий

Носители, на которые осуществляется резервное копирование, должны регулярно проверяться на отсутствие сбоев
Проверка процедур восстановления и тренинг персонала по восстановлению работоспособности системы в заданный срок.

Документ “Управление внутренними ресурсами. Запись действий операторов”

Предназначен для определения перечня действий операторов, подлежащих регистрации

Вид документа – инструкция.

Составляется подразделением безопасности.

Утверждается руководителем предприятия.

Пересматривается и актуализируется при изменении состава информационных ресурсов.

Состав документа.
События для обязательной регистрации в системных журналах регистрации
Время старта и остановки системы
Системные ошибки и действия по их исправлению
Подтверждение корректного обращения с входными и выходными данными
Идентификатор оператора, совершившего действие, которое повлекло запись в журнал регистрации

Документ “Управление внутренними ресурсами. Регистрация системных сбоев”

Предназначен для определения действий при системных сбоев

Вид документа – инструкция.

Составляется подразделением безопасности.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Анализ журнала системных сбоев на предмет корректности и завершенности процесса устранения последствий сбоев
Анализ произведенных действий на предмет соответствия установленным процедурам

Документ “Управление сетью”

Предназначен для определения мероприятий по управлению сетью.

Вид документа – инструкция.

Составляется подразделением безопасности.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Ответственность персонала за осуществление сетевых и локальных операций
Ответственность и установлены процедуры управления удаленным оборудованием, включая оборудование в сегментах пользователей
Средства обеспечения целостности и конфиденциальности при передаче информации через сети общего пользования.

Документ “Безопасность носителей данных”

Предназначен для определения правил работы с носителями информации.

Вид документа – инструкция.

Составляется подразделением безопасности.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Управление съемными носителями
порядок уничтожения съёмных носителей;
порядок выноса съёмных носителей за пределы предприятия
хранение съёмных носителей
Хранение и обращение с носителями
бумажные документы
записи на кассетах
копировальная бумага
отчеты
картриджи
магнитные ленты
съемные диски или кассеты
оптические носители
листинги программ
тестовые данные
системная документация
Процедуры обращения с информацией и ее хранения
учет и маркировка всех носителей
ограничение доступа
протоколирование доступа и защита данных из спулинга (например, которые ожидают распечатки)

Документ “Безопасность при передаче информации и программного обеспечения. Соглашения о передаче”

Предназначен для определения методов передачи программного обеспечения.

Вид документа – инструкция.

Составляется подразделением безопасности.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Ответственные за процесс приема-передачи
Процедуры уведомления отправителя, получателя, и процедуры приема-отправки
Минимальные технические стандарты для сообщений и для их передачи
Идентификация способа доставки
Ответственность за задержку и потерю данных
Использование цифровой подписи объектов перед передачей критичной информации
Стандартизация методов чтения и записи информации (данных и программного обеспечения) другие методы защиты критичных данных, такие как криптография и т.п.

Документ “Безопасность при передаче информации и программного обеспечения. Безопасность электронной коммерции при обмене информацией”

Предназначен для определения методов передачи информации в среде электронной коммерции.

Вид документа – инструкция.

Составляется подразделением безопасности.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Аутентификация.

Какой уровень конфиденциальности должны иметь покупатели и продавцы для идентификации друг друга
Авторизация.

Кто выпустил прайсы и подписаны ли они? Как контрагенты могут это узнать?
Контракт и тендер.

Какие требования для конфиденциальности, целостности, доказательства отправки и приема ключевых документов и отказа от контракта
Ценовая информация.

Какой уровень доверия может быть применен для целостности рекламного прайс листа и конфиденциальности для скидок
Порядок расчетов.

Как обеспечивается конфиденциальность и целостность расчетов, платежей, адресатов и подтверждение приема-отправки
Подтверждение факта оплаты.

Какова степень проверки платежной информации посланной покупателем

Документ “Безопасность при передаче информации и программного обеспечения. Безопасность электронной почты”

Предназначен для определения методов передачи информации по электронной почте

Вид документа – инструкция.

Составляется подразделением безопасности.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Определение возможных атак на электронную почту

Вирусы, перехват, уничтожение, искажение информации
Защита вложений
Порядок допуска персонала к использованию электронной почты
Определение ответственности сотрудников за нанесение вреда компании (компрометация имиджа, разглашение коммерческой тайны) в результате использования электронной почты
Порядок использование криптографии для защиты электронных сообщений
Архивирование сообщений электронной почты, которые могут в последствии быть предъявлены в качестве доказательств в суде
Регламентация правил проверки сообщений, которые не могут быть однозначно аутентифицированы

Документ “Безопасность при передаче информации и программного обеспечения. Безопасность электронного офиса”

Предназначен для регламентации мер информационной безопасности при работе в офисе

Вид документа – инструкция.

Составляется подразделением безопасности.

Утверждается руководителем предприятия.

Пересматривается и актуализируется по необходимости.

Состав документа.
Уязвимости информации в офисной системе

Например, запись телефонных разговоров, конфиденциальность звонков, сохранение факсов, несанкционированный доступ к сообщениям электронной почты
Политика и соответствующие инструкции по совместному использованию ресурсов

Например, использование корпоративных электронных досок
Запрещение электронной обработки конфиденциальной информации

Если система не обеспечивает должный уровень безопасности
Ограничение доступа к информации, связанной с выбором персонала

Пример, персонал, работающий на засекреченные проекты
Определение категорий персонала (постоянного и временного) и бизнес-партнеров, которым разрешен доступ в систему, а также определение разрешенных точек доступа
Ограничение выбранных ресурсов для специальных категорий пользователей
Идентификация статуса пользователей
Резервное копирование информации
Планы восстановления после аварийных ситуаций


Документ “Безопасность при пеОбновлено: 11.03.2015