Документирование мероприятий по ЗИ

Разработка регламентирующей документации является важным этапом создания системы безопасности органа ГМУ, поскольку она является официальной (признаваемой законодательством РФ) нормативной основой информационной деятельности и правоотношений внутри органа ГМУ. Для организации и обеспечения эффективного функционирования комплексной системы компьютерной безопасности должны быть разработаны следующие группы организационно-распорядительных документов:

- документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в АС (план защиты информации в АС, план обеспечения непрерывной работы и восстановления информации);

- документы, определяющие ответственность взаимодействующих организаций (субъектов) при обмене электронными документами (договор об организации обмена электронными документами).

Примерный перечень документации, регламентирующей статус КС органа ГМУ, правила безопасной работы и требования безопасности для пользователей и персонала, а также формы и методы учета и контроля состоит из следующих документов.

1). Положение об информационной системе объекта. Содержит описание защищаемой системы: назначение АС, перечень решаемых АС задач, конфигурация, характеристики и размещение технических средств и программного обеспечения.

2). Положение о перечне и порядке обращения с информацией ограниченного распространения. В нем закрепляются категории информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащей защите; требования по обеспечению доступности, конфиденциальности, целостности этих категорий; список пользователей и их полномочий по доступу к ресурсам системы и т.п.

3). Положение о системе защиты информации (в ряде источников - план защиты информации). Включает в себя:

-цели защиты системы, пути обеспечения безопасности КС и циркулирующей в ней информации;

-перечень значимых угроз безопасности АС, от которых требуется защита, и наиболее вероятных каналов нанесения ущерба;

-основные требования к организации процесса функционирования АС и мерам обеспечения безопасности обрабатываемой информации;

-требования к условиям применения и определение зон ответственности установленных в системе технических средств защиты от НСД;

-основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности КС.

4). Набор должностных инструкций (памяток) для пользователей и персонала с правилами эксплуатации элементов КС и требованиями информационной безопасности.

5). Приказы руководителя организации о вводе в эксплуатацию КС и ее подсистем, о назначении ответственных за различные аспекты безопасности сотрудников.

6). Акты категорирования помещений и компьютерной техники, заключения о проведении проверочных мероприятий, предписания на эксплуатацию КС и ее элементов.

7). Подписанные сотрудниками обязательства по соблюдению правил и требований и неразглашению информации ограниченного распространения.

8). Журналы учета документов, носителей компьютерной информации, выдачи средств доступа и т.п.

9). План обеспечения бесперебойной работы и восстановления целостности КС. Должен отражать следующие вопросы:

-цель обеспечения непрерывности процесса функционирования КС, своевременность восстановления ее работоспособности и чем она достигается;

-перечень и классификация возможных кризисных ситуаций;

-требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);

-обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы.