ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЛЕКЦИЯ
Учебные вопросы: 2 1. Особенности ведомственного нормативного регулирования обеспечения информационной безопасности 2. Особенности корпоративного нормативного регулирования обеспечения информационной безопасности Литература: 1. Международный стандарт ИСО/МЭК 27001. Первое издание 2005 -10 - 15. Информационные технологии. Методы защиты. Системы менеджмента защиты информации. 2. ГОСТ Р ИСО/МЭК 15408 -2002. Методы и средства обеспечения безопасности критерии оценки безопасности информационных технологий (КОБИТ). Части 1, 3 -5. 3. ГОСТ Р ИСО/МЭК 17799 -2005. Информационная технология. Практические правила управления информационной безопасностью. 4. «Концепция информационной безопасности ФНС России» : Пр. ФНС России от 13. 01. 2012 № ММВ-7 -4/6; 5. «Об утверждении квалификационных требований к профессиональным знаниям и навыкам, необходимым для исполнения должностных обязанностей федеральными государственными гражданскими служащими Минфина РФ» : Пр. Минфина России от 25. 06. 2012 г. № 88 н). 6. «Об утверждении Типовой инструкции по делопроизводству в ФОИВ» : Пр. Федеральной архивной службы России от 27. 11. 2000 г. № 68.
3 1. ОСОБЕННОСТИ ВЕДОМСТВЕННОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
СУЩНОСТЬ ВЕДОМСТВЕННОГО ПРАВОВОГО АКТА 4 «Ведомство» - федеральный орган исполнительной власти (ФОИВ), структура которого утверждается Президентом РФ, а также иные органы и организации (ЦБ РФ, ПФ РФ и др. ), правовые акты которых по своему статусу, целевой направленности, порядку регистрации и опубликования аналогичны актам ФОИВ Подготовка и выпуск правовых актов ФОИВ регулируются следующими нормативными документами: 1. «Об утверждении Правил подготовки нормативных правовых актов ФОИВ и их государственной регистрации» : Пост. Правительства РФ от 13. 08. 1997 г. № 1009. 2. «О внесении изменений и дополнений в постановление Правительства РФ от 13 августа 1997 г. № 1009» : Пост. Правительства РФ от 11. 02. 1999 г. № 154. 3. «Об утверждении разъяснений о применении правил подготовки нормативных правовых актов ФОИВ и их государственной регистрации» : Пр. Министерства юстиции РФ от 14. 07. 1999 г. № 217. 4. «Об утверждении разъяснений о применении правил подготовки нормативных правовых актов ФОИВ и их государственной регистрации» : Пр. Министерства юстиции РФ от 17. 04. 1998 г. № 42. 5. «Об утверждении Типовой инструкции по делопроизводству в ФОИВ» : Пр. Федеральной архивной службы России от 27. 11. 2000 г. № 68. 6. Распоряжение Правительства РФ от 31. 10. 2000 г. № 1547 -р. 7. «Об утверждении Правил подготовки ведомственных нормативных актов» : Пост. Правительства РФ от 23. 07. 1993 г. № 722.
ГОСРЕГИСТРАЦИЯ ВЕДОМСТВЕННЫХ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ 5 Нормативные правовые акты, издаваемые ФОИВ Постановления Приказы и распоряжения Правила и инструкции Указания Положение принимается в том случае, если в нем устанавливаются системно связанные Приказами и распоряжениями между собой правила по вопросам, отнесен(постановлениями) оформляются ным к компетенции ФОИВ. решения нормативного характера, В правилах устанавливаются нормы и а также по оперативным, требования, обязательные для выполнения. организационным, кадровым и другим В инструкции излагается порядок осуществопросам внутренней работы ФОИВ вления какой-либо деятельности или порядок применения положений законодательных и иных нормативных актов Структурные подразделения и территориальные органы ФОИВ не вправе издавать нормативные правовые акты Государственная регистрация нормативных правовых актов осуществляется Министерством юстиции РФ и включает в себя: юридическую экспертизу соответствия этого акта законодательству РФ; принятие решения о необходимости государственной регистрации данного акта; присвоение регистрационного номера; занесение в Государственный реестр нормативных правовых актов ФОИВ. Государственной регистрации подлежат нормативные правовые акты: а) содержащие правовые нормы, затрагивающие: гражданские, политические, социально-экономические и иные права, свободы и обязанности граждан РФ, иностранных граждан и лиц без гражданства; гарантии их осуществления, закрепленные в законодательных актах РФ; а также механизм реализации прав, свобод и обязанностей; б) устанавливающие правовой статус организаций типовые, примерные положения (уставы) об органах (например, территориальных) и организациях, подведомственных соответствующим ФОИВ, выполняющих в соответствии с законодательством отдельные наиболее важные государственные функции; в) имеющие межведомственный характер, то есть содержащие правовые нормы, обязательные для других ФОИВ и (или) организаций, не входящих в систему ФОИВ, утвердившего акт
6 «ОБ УТВЕРЖДЕНИИ КВАЛИФИКАЦИОННЫХ ТРЕБОВАНИЙ К ПРОФЕССИОНАЛЬНЫМ ЗНАНИЯМ И НАВЫКАМ, НЕОБХОДИМЫМ ДЛЯ ИСПОЛНЕНИЯ ДОЛЖНОСТНЫХ ОБЯЗАННОСТЕЙ ФЕДЕРАЛЬНЫМИ ГОСУДАРСТВЕННЫМИ ГРАЖДАНСКИМИ СЛУЖАЩИМИ МИНФИНА РФ» (Пр. Минфина России от 25. 06. 2012 г. № 88 на) …Приложение 1. Квалификационные требования к профессиональным знаниям и навыкам, необходимым для исполнения должностных обязанностей федеральными государственными гражданскими служащими. . . …Категории "руководители" высшей и главной групп должностей, "помощники (советники)" высшей группы должностей, "специалисты" , "обеспечивающие специалисты" главной, а также старшей и младшей групп должностей Профессиональные знания: … порядка работы со служебной и секретной информацией; … правовых аспектов в области информационно-коммуникационных технологий; программных документов и приоритетов государственной политики в области информационно -коммуникационных технологий; аппаратного и программного обеспечения; возможностей и особенностей применения современных информационно-коммуникационных технологий в Минфине РФ, включая использование возможностей межведомственного документооборота; общих вопросов в области обеспечения информационной безопасности. . . Профессиональные навыки: … стратегического планирования и управления групповой деятельностью с учетом возможностей и особенностей применения современных информационно-коммуникационных технологий в Минфине РФ, работы с внутренними и периферийными устройствами компьютера, работы с информационнотелекоммуникационными сетями, в том числе сетью Интернет, работы в операционной системе, управления электронной почтой, работы в текстовом редакторе, работы с электронными таблицами, работы с базами данных, работы с системами управления проектами
7 «ОБ УТВЕРЖДЕНИИ КВАЛИФИКАЦИОННЫХ ТРЕБОВАНИЙ К ПРОФЕССИОНАЛЬНЫМ ЗНАНИЯМ И НАВЫКАМ, НЕОБХОДИМЫМ ДЛЯ ИСПОЛНЕНИЯ ДОЛЖНОСТНЫХ ОБЯЗАННОСТЕЙ ФЕДЕРАЛЬНЫМИ ГОСУДАРСТВЕННЫМИ ГРАЖДАНСКИМИ СЛУЖАЩИМИ МИНФИНА РФ» (Пр. Минфина России от 25. 06. 2012 г. № 88 на) …Приложение 2. Квалификационные требования к профессиональным знаниям и навыкам, в области информационно-коммуникационных технологий, необходимым для исполнения должностных обязанностей федеральными государственными гражданскими служащими. . . Категория "руководители" высшей группы должностей, курирующие вопросы внедрения информационно-коммуникационных технологий в деятельность МФ РФ, а также "помощники (советники)" высшей группы должностей, "специалисты" главной, ведущей и старшей групп должностей, "обеспечивающие специалисты" ведущей, старшей и младшей групп должностей, в чьи должностные обязанности входят функции по созданию, развитию и администрированию информационных систем… Профессиональные знания: систем взаимодействия с гражданами и организациями; учетных систем, обеспечивающих поддержку выполнения Министерством финансов Российской Федерации основных задач и функций; систем межведомственного взаимодействия; систем управления государственными информационными ресурсами; информационно-аналитических систем, обеспечивающих сбор, обработку, хранение и анализ данных; систем управления электронными архивами; систем информационной безопасности; систем управления эксплуатацией. Профессиональные навыки: работы с информационно-аналитическими системами, обеспечивающими сбор, обработку, хранение и анализ данных, с системами взаимодействия с гражданами и организациями, с системами межведомственного взаимодействия, с системами управления государственными информационными ресурсами, с системами управления электронными архивами, с системами информационной безопасности, с системами управления эксплуатацией
ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ 8 5. 5. 1. Любая целенаправленная деятельность (бизнес) порождает риски, сущность которых - естественная неопределенность будущего. Это - объективная реальность, и понизить эти риски можно лишь до уровня неопределенности сущностей, характеризующих природу бизнеса. Оставшаяся часть риска, определяемого факторами среды деятельности организации БС РФ, на которые организация не в силах влиять, должна быть неизбежно принята. При этом степень необходимой защищенности информационной сферы организации определяется анализом и оценкой рисков ИБ, которые должны быть согласованы с рисками основной (бизнес) деятельности организации БС РФ. 5. 2. Деятельность организации БС РФ осуществляется через реализацию трех групп высокоуровневых процессов: основные процессы (процессы основной деятельности), вспомогательные процессы (процессы по видам обеспечения), процессы менеджмента (управления) организацией. Процессы по обеспечению ИБ организации БС РФ составляют один из видов вспомогательных процессов, реализующих поддержку (обеспечение) процессов основной деятельности организации в целях достижения ею максимально возможного результата. 5. 3. В основе исходной концептуальной схемы информационной безопасности организаций БС РФ лежит противоборство собственника и злоумышленника за контроль над информационными активами. Однако другие, незлоумышленные, действия также лежат в сфере данного стандарта. В случае если злоумышленник устанавливает контроль над информационными активами, как самой организации БС РФ, так и клиентам, которые доверили ей свои собственные активы, может быть нанесен ущерб. 5. 4. Наибольшими возможностями для нанесения ущерба организации БС РФ обладает ее собственный персонал. В этом случае содержанием деятельности злоумышленника является нецелевое использование предоставленного контроля над информационными активами, а также сокрытие следов своей деятельности. Внешний злоумышленник скорее да, чем нет, может иметь сообщника(ов) внутри организации. 5. 5. Собственник практически никогда не знает о готовящемся нападении, оно всегда бывает неожиданным. Нападения, как правило, носят локальный и конкретный по месту, цели и времени характер. 5. 6. Злоумышленник изучает объект нападения, как правило, не только теоретически, никак не проявляя себя, но и практически, путем эксперимента, подбора «отмычек» к системе менеджмента ИБ (СМИБ) организации. Таким образом, он отрабатывает наиболее эффективный метод нападения. Поэтому собственник должен постоянно стремиться к выявлению следов такой активности. В том числе и для этой цели собственник создает уполномоченный орган - свою службу ИБ (подразделения (лица) в организации, ответственные за обеспечение ИБ).
ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ 9 5. 7. Сложно и ресурсоемко, а значит, малоэффективно искать следы такой активности и по факту настраивать СМИБ. Поэтому главный инструмент собственника - основанный на опыте прогноз (составление модели угроз и модели нарушителя), а также работа с персоналом организации по повышению его бдительности в возможных критических условиях, готовности и способности к адекватным действиям в условиях потенциальной злоумышленной активности. Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ в организации БС РФ при минимальных ресурсных затратах. 5. 8. Наиболее правильный и эффективный способ добиться минимизации рисков нарушения ИБ для собственника - разработать на основе точного прогноза, базирующегося в том числе и на анализе и оценке рисков ИБ, политику ИБ организации и в соответствии с ней реализовать, эксплуатировать и совершенствовать СМИБ организации. 5. 9. Политика ИБ организаций БС РФ разрабатывается на основе принципов обеспечения ИБ, моделей угроз и нарушителей, идентификации активов, подлежащих защите, оценки рисков с учетом особенностей бизнеса и технологий, а также интересов конкретного собственника. Собственник должен знать, что он должен защищать, и уметь выделять (идентифицировать) наиболее важный для его бизнеса информационный актив (ресурс). При этом собственник принимает решение относительно принятия конкретного риска или же внедрения мер контроля и процедур по обработке существующих рисков. При принятии решений о внедрении защитных мер (мер контроля) для противодействия идентифицированным угрозам (рискам) собственник должен учитывать, что тем самым он увеличивает сложность своей системы управления ИБ, а повышение сложности управления ИБ порождает новые уязвимости. Поэтому при выборе решения о внедрении защитных мер для обработки существующих рисков, а не принятия или переноса рисков должны учитываться вопросы эксплуатации защитных мер и их влияния на структуру рисков организации. 5. 10. Далеко не каждый собственник располагает потенциалом для составления точного прогноза (модели угроз и модели нарушителя). Такой прогноз может и должен составляться с учетом опыта ведущих специалистов банковской системы, а также с учетом международного опыта в этой сфере. Аналогично должны разрабатываться и основные требования ИБ организаций БС РФ. При разработке моделей угроз и моделей нарушителя необходимо учитывать, что по сложившейся уже практике существующая сложность современных банковских технологий приводит к их меньшей привлекательности для злоумышленника, чем персонал и система управления безопасностью организации. Поэтому все точки в банковских технологических процессах, где осуществляется взаимодействие персонала со средствами и системами автоматизации, должны тщательно контролироваться
ИСХОДНАЯ КОНЦЕПТУАЛЬНАЯ СХЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БС РФ 10 5. 11. Соблюдение политики ИБ в значительной степени является элементом корпоративной этики, поэтому на уровень ИБ в организации серьезное влияние оказывают отношения как в коллективе, так и между коллективом и собственником или менеджментом организации, представляющим интересы собственника. Поэтому этими отношениями необходимо управлять. Понимая, что наиболее критичным элементом безопасности организации является ее персонал, собственник должен всемерно поощрять решение проблемы ИБ. 5. 12. Любые защитные меры в силу ряда объективных причин со временем имеют тенденцию к ослаблению своей эффективности, в результате чего общий уровень ИБ может снижаться. Это неминуемо ведет к возрастанию рисков нарушения ИБ. Для того чтобы этого не допустить, необходимо определить процессы, обеспечивающие контроль (мониторинг и аудит ИБ организаций БС РФ), а также оценку эффективности СМИБ организаций БС РФ ( «процессный подход» ), что должно стать основой для дальнейшего планирования ИБ. Указанные процессы должны реализовываться в рамках циклической модели менеджмента ИБ: «планирование - реализация - проверка - совершенствование - планирование» , отвечающей принципам и моделям корпоративного менеджмента в организациях, включая менеджмент в банковском деле. При этом эффективность и результативность обеспечения ИБ, включая соответствующие процессы ИБ, должны оцениваться с позиции пользы в достижении целей деятельности. 5. 13. Обеспечение ИБ организаций БС РФ основывается на «процессном подходе» для установления, реализации, эксплуатации, мониторинга, обслуживания и повышения эффективности СМИБ. Любое действие, использующее ресурсы и управляемое для обеспечения преобразования неких входных ресурсов, информации и иных сущностей в выходы, определяется как “процесс”. Выход одного процесса может быть входом для другого процесса. Представление деятельностей по обеспечению ИБ в виде системы процессов в пределах организации вместе с идентификацией, взаимодействиями и их координацией и управлением определяется как “процессный подход”. Данный подход требует, чтобы персонал организации, клиенты, пользователи, контрагенты и иные заинтересованные стороны придавали особое значение: а) пониманию требований информационной безопасности бизнеса и потребности устанавливать политику и цели для информационной безопасности; б) реализации и надлежащей эксплуатации средств управления ИБ (защитных мер) в контексте управления общим риском деятельности (бизнеса) организации; в) мониторингу и анализу работы и эффективности СМИБ; г) непрерывному усовершенствованию СМИБ на основе объективного измерения.
НОРМАТИВНЫЕ АКТЫ ФНС РОССИИ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 11 «Концепция информационной безопасности ФНС России» утв. приказом ФНС России от 13. 01. 2012 № ММВ-7 -4/6; «Концепция построения системы управления информационной безопасностью Федеральной налоговой службы» , утв. приказом ФНС России от 10. 06. 2008 № ВЕ-4 -6/24 дсп; «Руководство по организации ИБ на объектах информатизации Федеральной налоговой службы» , утв. приказом ФНС России от 23. 10. 2007 № ММ-4 -27/29 дсп. Требования по специфике организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации: «Техническая политика применения средств криптографической защиты в системах обмена данными ФНС России» , утв. приказом ФНС России от 12. 03. 2012 № ММВ-8 -4/17 дсп; «Типовой порядок использования средств криптографической защиты информации и управления ключевой информацией в территориальном налоговом органе» , утв. приказом ФНС России от 30. 10. 2008 № ММ-3 -6/546; «Регламент управления ключевой информацией» , утв. приказом ФНС России от 31. 12. 2009 № ММ-7 -6/731.
ПРИМЕНЕНИЕ ТИПОВОГО ПОРЯДКА ИСПОЛЬЗОВАНИЯ СРЕДСТВ КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ И УПРАВЛЕНИЯ КЛЮЧЕВОЙ ИНФОРМАЦИЕЙ С УЧЕТОМ СОБСТВЕННОЙ СПЕЦИФИКИ ДЛЯ ПОДВЕДОМСТВЕННЫХ НАЛОГОВЫХ ОРГАНОВ 12 Согласно Порядку в Управлениях по субъектам Российской Федерации должен быть разработан Типовой порядок для подведомственных налоговых органов, и в каждом налоговом органе, а также Межрегиональных инспекциях ФНС России должен быть разработан свой Порядок использования средств криптографической защиты информации и управления ключевой информацией с учетом собственной специфики и обеспечено его выполнение. В период с 30. 10. 2008 до 31. 12. 2009 в налоговых органах при эксплуатации КИ в основном использовался Порядок и Инструкция (не считая регламентаций использования встроенного СКЗ в ПО Di. Post Cripto). Основными требованиями Порядка, помимо подтверждения норм Инструкции, стали нормы возложения обязанностей в налоговых органах по контролю соблюдения Порядка, управлению КИ и взаимодействию по вопросам эксплуатации КИ на отделы информационной безопасности территориального налогового органа (лиц, ответственных за обеспечение информационной безопасности). При этом должен быть выделен сотрудник, за которым (в должностном регламенте) закрепляется роль администратора средств криптографической защиты информации (далее – СКЗИ). Возложение данной роли на сотрудников иных отделов территориального налогового органа (за исключением случая, когда функции по обеспечению ИБ закреплены за отделом информатизации) не допускается. При этом к выполнению обязанностей администратора СКЗИ допускаются только лица, имеющие необходимый уровень квалификации для обеспечения защиты конфиденциальной информации с использованием конкретного вида (типа) КИ, т. е. этот работник должен иметь профильное образование или он должен пройти соответствующую профессиональную переподготовку, что должны подтверждать документы в личном деле работника. На администратора СКЗИ возлагаются обязанности ознакомления пользователя КИ с положениями Порядка и прохождения обучения работе с КИ. Порядком определены обязанности пользователей КИ, администраторов КИ, с учетом специфики налоговой службы. После 31. 12. 2009 в налоговых органах действует Регламент, который не отменяет Порядок. Регламент содержит в ряде случаях видоизмененные формы документов, журналов, изменены некоторые названия. Часть норм повторяется, однако имеются и новые требования, связанные с вводом в эксплуатацию Удостоверяющего Центра ФНС России, работа которого основана на технологии ПО Крипто. Про.
ОСОБЕННОСТИ УЧЕТА ИНФОРМАЦИОННОГО РЕСУРСА (ключевой информации–КИ) В НАЛОГОВОМ ОРГАНЕ В целях обеспечения доступа пользователей, КИ имеется в перечне информационных, программных и аппаратных ресурсов, который ведется в соответствие с Типовым порядком доступа к информационным, программным и аппаратным ресурсам объекта информатизации ФНС России, утвержденного приказом ФНС России от 30. 07. 2008 № ММ-3 -6/336@. Данный Типовой порядок разработан, в первую очередь, в целях выполнения требований: Нормативного документа ГТК России «Специальные требования и рекомендации по технической защите конфиденциальной информации» (СТР-К), введенного в действие приказом МНС России от 27. 03. 2003 № БГ-4 -28/8 дсп, Концепции информационной безопасности ФНС России, Концепции построения системы управления информационной безопасностью ФНС, утвержденной приказом ФНС России от 10. 06. 2008 № ВЕ-4 -6/24 дсп. Согласно этому порядку, все ресурсы налогового органа должны быть учтены и систематизированы, а различные уровни доступа к каждому ресурсу установлены на основе ролевого принципа в виде перечня. Порядком введены нормы об актуализации сведений о новом ресурсе (изменения в имеющимся ресурсе) и внесение изменений в перечень информационных, программных и аппаратных ресурсов налогового органа в течение 3 -х дней с момента появления нового ресурса или изменения в имеющемся. Согласно этому порядку, для обеспечения доступа к ресурсам оформляется заявка на предоставление доступа, которая утверждается должностным лицом, упомянутым в перечне информационных, программных и аппаратных ресурсов налогового органа. Как правило, это Руководитель или курирующий заинтересованный отдел Заместитель руководителя налогового органа. 13
14 ФОРМА ПЕРЕЧНЯ ИНФОРМАЦИОННЫХ, ПРОГРАММНЫХ И АППАРАТНЫХ РЕСУРСОВ НАЛОГОВОГО ОРГАНА № п/п 1. Наименование ресурса СЭД-Регион Программный комплекс (справочно) Lotus Notes/Domino 2. Бухгалтерия 1 С 3. Интернет Internet Explorer 4. Электронная почта Lotus Notes 5. Защищенная эл. почта Dipost CA 6. … Подключение внешних устройств … - … Роли Администратор Пользователь Делопроизводитель … Администратор Бухгалтер Расчетчик зарплаты … Пользователь Ограничения (адреса, вложения, объем) на отправку/прием Оператор ДСП Администратор СКЗИ CD/DVD-привод (чтение / запись) Flash-USB Локальный принтер e. Token Сканер … … Утверждение заявки Руководитель Зам. руководителя Период действия* 01. 2010 – н/в Руководитель 21. 06. 2010 - н/в Заместитель руководителя Руководитель Заместитель руководителя 19. 03. 2010 – н/в 29. 09. 2010 – н/в 13. 05. 2010 – н/в 28. 11. 2010 – н/в 13. 05. 2010 – н/в … …
ПЕРЕЧНИ ПОЛЬЗОВАТЕЛЕЙ И ПОДГОТОВКА РАБОЧИХ МЕСТ НАЛОГОВОГО ОРГАНА К РАБОТЕ С КЛЮЧЕВОЙ ИНФОРМАЦИЕЙ Согласно установленным требованиям физические лица допускаются к работе с КИ по перечню пользователей СКЗИ, который утверждается руководителем налогового органа. Нормативными документами не регламентировано, каким образом утверждается этот перечень. Применяются несколько способов: 1. В связи с постоянными изменениями, самый трудоемкий – издание отдельными приказами налогового органа. 2. Издание приказа о подаче руководителю налогового органа на утверждение по мере необходимости перечня лиц, допущенных к работе к КИ. 3. Утверждение руководителем налогового органа перечня с регистрацией по делопроизводству этого документа 15
УЧЕТ КЛЮЧЕВОЙ ИНФОРМАЦИИ 16 Все КИ (ЭП, СКЗИ, их носители, документация к ним, дистрибутивы КИ и т. д. ) должны быть полностью учтены, а также организован контроль их использования. Следует учитывать, что обязанности между работниками, использующими КИ должны быть распределены с учетом персональной ответственности за сохранность КИ, ключевой документации и документов, а также за порученные участки работы. Например, в случае обнаружения «постороннего» (не разрешенного к использованию) программного обеспечения, нарушения целостности контролируемого программного обеспечения, либо выявления факта повреждения печатей на системных блоках, работа на АРМ с КИ должна быть прекращена. По данным фактам должно быть проведено служебное расследование комиссией и т. д. Учет КИ, получение/сдача КИ фиксируются в установленных журналах, которые прилагаются к Инструкции, Порядку, и Регламенту: поэкземплярного учета ключевых документов для органов криптографической защиты; поэкземплярного учета средств ЭЦП и шифрования, эксплуатационной и технической документации к ним, ключевых документов (для используемых СКЗИ); технический (аппаратный). Журнал поэкземплярного учета средств ЭЦП и шифрования ведется (обладателем конфиденциальной информацией) т. е. теми организациями, которые используют собственноручно изготовленные или другими центрами регистрации КИ для защиты информации. Технический (аппаратный) журнал ведется в случаях, предусмотренных эксплуатационной или технической документацией к КИ, если ее вводят и хранят (на весь срок их действия) непосредственно в средстве криптографической защиты информации (в частности, это КИ Dionis, серверные части ГНИВЦ ПРИЕМ Регион, ИОН online и т. д. ). Детальная регламентация использования КИ, как правило, определяется отдельными нормативными актами ФНС России (письмо ФНС России от 25. 03. 2011 № 6 -8 -04/0029@ и т. д. ).
ОБРАЗЕЦ ТЕХНИЧЕСКОГО (АППАРАТНОГО) ЖУРНАЛА 17 Пример: в качестве маршрутизатора, почтового сервера и межсетевого экрана в Инспекции используются программноаппаратные комплексы «Dionis» с установленной на них криптозащитой транспортного туннеля Исходя из записи: произведена установка КИ Dipost на АРМ MS DOS на все время действия КИ. 1 экземпляр КИ (серийный № 3360802) размещен на промаркированной дискете NJ 321112063 L 06. Имеется и дата снятия с эксплуатации. Эту графу следует заполнять после снятия КИ с эксплуатации. В примечании обычно ставится номер акта уничтожения или номер сопроводительного письма изготовителю
ТРЕБОВАНИЯ К ХРАНЕНИЮ И ПЕРЕДАЧЕ КЛЮЧЕВОЙ ИНФОРМАЦИИ 18 1. Хранение КИ должно быть обеспечено в хранилищах индивидуального пользования, оборудованных приспособлениями для опечатывания, в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение; в обычных условиях, хранилища КИ должны вскрываются только пользователями КИ. 2. В налоговых органах во время отсутствия пользователей КИ, оборудование КИ должно выключаться, отключаться от линии связи и убираться в опечатываемые хранилища, должны быть предусмотрены организационно-технические меры, исключающие возможность использования КИ посторонними лицами. 3. Запрещается: оставлять без контроля АРМ, на которых используются СКЗИ, при инициализированном программном обеспечении СКЗИ; подключать к АРМ дополнительные устройства и соединители, не предусмотренные в комплектации, записывать на ключевые носители постороннюю информацию; использовать ключевые носители в режимах, не предусмотренных правилами пользования КИ, либо использовать ключевые носители на посторонних АРМ; осуществлять несанкционированное администратором КИ копирование ключевых носителей. 4. При кратковременном перерыве в работе необходимо блокировать рабочее место с помощью установки пароля доступа на вход в операционную систему. Один экземпляр ключа от хранилища находится у пользователя КИ (владельца ключевых документов). Дубликаты ключей от хранилищ хранятся у администратора СКЗИ в опечатанном хранилище. 5. ФНС рекомендует завести в структурных подразделениях, в которых используется КИ, журналы учета приема/выдачи КИ пользователям, в которых начальник отдела (администратор КИ) под роспись в журнале, выдает КИ для работы, по окончании работ принимает под роспись. Он же помещает КИ в хранилище (сейф), доступ к которому имеется только у него, опечатывает это хранилище и помещение, в котором оно размещено, во внерабочее время, а так же сдает/принимает это помещение под охрану. 6. Все работники, которым выдается КИ, должны быть допущены к работе с КИ, а их АРМ подготовлены установленным образом и т. д.
НОРМАТИВНО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ РОССИЙСКОЙ ФЕДЕРАЦИИ 19 - законодательство Российской Федерации в сфере обеспечения информационной безопасности; - нормативно-методические и руководящие документы федерального органа исполнительной власти в области обеспечения безопасности, федерального органа исполнительной власти, уполномоченного в области противодействия техническим разведкам и технической защиты информации, и федерального органа исполнительной власти, уполномоченного по защите прав субъектов персональных данных; - государственные стандарты и технические регламенты в сфере обеспечения информационной безопасности; - правовые акты ФТС России по обеспечению информационной безопасности таможенных органов Российской Федерации; - правовые акты по обеспечению информационной безопасности в структурных подразделениях ФТС России; - правовые акты по обеспечению информационной безопасности в региональных таможенных управлениях; - правовые акты по обеспечению информационной безопасности в специализированных региональных таможенных управлениях; - правовые акты по обеспечению информационной безопасности в иных таможенных органах и учреждениях, находящихся в ведении ФТС России.
ВЕДОМСТВЕННАЯ СИСТЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ РОССИЙСКОЙ ФЕДЕРАЦИИ 20 Ведомственная система обеспечения информационной безопасности таможенных органов РФ (ВС ОИБ ТО РФ) предназначена для реализации государственной политики в данной сфере в повседневной деятельности ФТС России. Взаимодействие ВС ОИБ ТО РФ с СБ РФ, федеральным органом исполнительной власти в области ОБ, ФОИВ, уполномоченными в области ПДТР и ЗИ, а также защиты персональных данных с другими элементами системы ОИБ РФ, осуществляется в соответствии с правовыми актами Президента и Правительства РФ и иными правовыми актами. ВС ОИБ ТО РФ представляет собой совокупность организационной структуры, норматив-но -правового, материально-технического и финансового обеспечения, организационнотехнических методов и программно-аппаратных средств, оперативно-розыскных мер и персональной ответственности всех должностных лиц ТО РФ за выполнение требований ИБ. ВС ОИБ ТО РФ характеризуется: v созданной организационной структурой штатных подразделений, отвечающих за ОИБ; v разработанным ведомственным нормативно-правовым обеспечением, учитывающим специфику деятельности таможенных органов РФ, функционирования их АИС и использования их ИР; v выполнением полного комплекса специальных работ на объектах информатизации, предназначенных для работ со сведениями, составляющими государственную тайну; v разработкой и реализацией ИТ в защищенном исполнении, включая представление сведений в электронной форме для целей таможенного оформления с использованием ИТС международного информационного обмена, в том числе при использовании Интернет; v выполнением требований по ОБИ ограниченного доступа и персональных данных в критически важных информационных системах персональных данных; v созданной системой ведомственных удостоверяющих центров таможенных органов и поэтапным переходом на использование электронных документов с электронной цифровой подписью; v созданной телекоммуникационной и программно-аппаратной инфраструктурой Единой автоматизированной информационной системы (далее - ЕАИС) ТО, включая ведомственную интегрированную ТКС ТО с использованием сертифицированных средств криптографической защиты передаваемой информации; v централизованным (и, по согласованию с ФТС России, децентрализованным) оснащением ТО РФ необходимыми сертифицированными СЗИ их вводом в эксплуатацию; v ежегодным проведением обучения и повышения квалификации по вопросам ОИБ; v плановым контролем состояния ОИБ ТО РФ.
21 ПРАВОВЫЕ АКТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В СТРУКТУРНЫХ ПОДРАЗДЕЛЕНИЯХ ФТС РОССИИ Положения о структурных подразделениях, отвечающих за обеспечение информационной безопасности (или за отдельные направления и задачи по обеспечению информационной безопасности) в структурных подразделениях ФТС России или в таможенных органах РФ в целом. Положение о должностном лице, ответственном за защиту информации в структурном подразделении ФТС России. Положения, руководства, инструкции по организации работ в структурных подразделениях ФТС России по ОИБ по отдельным направлениям деятельности. Правовые акты по обеспечению информационной безопасности в региональных таможенных управлениях (РТУ): Положение о Совете по обеспечению информационной безопасности РТУ. Положения о структурных подразделениях, отвечающих за ОИБ в РТУ или в таможенных органах региона в целом. Положения, руководства, инструкции по организации работ в РТУ по ОИБ по отдельным направлениям деятельности. Правовые акты по обеспечению информационной безопасности в специализированных региональных таможенных управлениях (СРТУ) и в таможенных органах (учреждениях), находящихся в ведении ФТС России: Положение о постоянно действующей технической комиссии по ЗГТ; Положения о структурных подразделениях (должностных лицах), отвечающих за ОИБ; Положения, руководства, инструкции по организации работ в СРТУ (ТО) по ОИБ по отдельным направлениям деятельности http: //www. deklarant 74. ru/zakonodatelstvo/prikaz-fts-rossii-2401 -ot-13 -12 -2010 ob-utverzhdenii-kontseptsii-obespecheniya-informatsionnoj-bezopasnosti-tamozhennykhorganov-rossijskoj-federatsii-na-period-do-2020 -goda
ПРАВОВЫЕ АКТЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ТАМОЖЕННЫХ ОРГАНОВ ФТС РОССИИ 22 «Концепция информационной безопасности ТО РФ» . «Положение о разграничении полномочий и установлении ответственности подразделений ФТС России при ОИБ таможенных органов РФ» , утверждено приказом ФТС России от 22 августа 2007 г. № 1011 дсп. «Положение о Совете по обеспечению информационной безопасности таможенных органов Российской Федерации» , утверждено приказом ФТС России от 29 июля 2008 г. № 924. «Перечень сведений, подлежащих засекречиванию в ФТС России» , утвержден приказом ФТС России от 29 января 2009 г. № 77 дсп. «Перечень сведений ограниченного распространения в ФТС России» , утвержден приказом ФТС России от 11 сентября 2007 г. № 1117 дсп. «Положение по проведению функциональных проверок таможенных органов РФ по вопросам организации и состояния ОИБ и технической ЗИ» , утверждено приказом ФТС России от 19 января 2009 г. № 19. Правовые акты, регламентирующие порядок ОИБ таможенных органов РФ по отдельным направлениям или задачам. Типовые положения о подразделениях, отвечающих за ОИБ ТО РФ. Программа проведения обучения должностных лиц структурных подразделений ФТС России, ТО РФ и работников учреждений, находящихся в ведении ФТС России, по вопросам ОИБ
ПОЛОЖЕНИЕ 23 ОБ УПРАВЛЕНИИ ИНФОРМАЦИОННОГО ОБЕСПЕЧЕНИЯ МИНИСТЕРСТВА ФИНАНСОВ СУБЪЕКТА Приложение № _____ РОССИЙСКОЙ ФЕДЕРАЦИИ к приказу … от "__" ______ 200 _ г. № _____ 1. Общие положения 1. Управление информационного обеспечения (УИО) является управлением Министерства финансов… (МФ), подчиняется непосредственно министру финансов и руководителю аппарата МФ. 2. УИО возглавляет начальник, который назначается на должность и освобождается от должности министром финансов по представлению начальника УИО. 3. Должностные обязанности сотрудников УИО устанавливаются начальником управления по согласованию с министром финансов. Распределение обязанностей в УИО производится начальником управления в соответствии с должностными инструкциями. 4. В своей деятельности УИО руководствуется действующим законодательством, распорядительными документами МФ и настоящим положением. 2. Основные задачи 5. Разработка и обслуживание сетевого обеспечения МФ. 6. Разработка, установка и обслуживание программного обеспечения МФ. 7. Осуществление мероприятий по обеспечению информационной безопасности МФ. 8. Обобщение практики применения новых информационных технологий и разработка предложений по дальнейшему их использованию в МФ. 9. Оказание консультационной помощи всем структурным подразделениям МФ. 10. Осуществление мероприятий по техническому обеспечению подразделений МФ. 11. УИО в пределах своей компетенции и возложенных на него министром финансов полномочий взаимодействует со всеми структурными подразделениями МФ. 3. Права 12. Сотрудники УИО имеют право: а) вносить предложения руководству МФ по улучшению технического обеспечения; б) проверять исполнение решений по вопросам технического и программного обеспечения; в) требовать от структурных подразделений МФ устранения нарушений и недостатков при использовании оргтехники, цифровых устройств, спецтехники. 4. Ответственность 13. Ответственность за качество, своевременность выполнения возложенных на УИО задач несет начальник управления. 14. Степень ответственности других работников устанавливается должностными инструкциями.
24 2. ОСОБЕННОСТИ КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
25 ПОНЯТИЯ БЕЗОПАСНОСТИ И ИХ ВЗАИМОСВЯЗЬ ПРИМЕНИТЕЛЬНО К КОРПОРАТИВНЫМ НОРМАТИВНЫМ ДОКУМЕНТАМ В ОБЛАСТИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГОСТ Р ИСО/МЭК 15408 -1 -2008
ФОРМИРОВАНИЕ ТРЕБОВАНИЙ И СПЕЦИФИКАЦИЙ БЕЗОПАСНОСТИ 26 ОО – объект оценки ГОСТ Р ИСО/МЭК 15408 -1 -2008
27 СУЩНОСТЬ, РОЛЬ И МЕСТО ПОЛИТИК БЕЗОПАСНОСТИ Основы безопасности информационно-телекоммуникационных технологий (ИТТ) Общие цели Стратегии (способы достижения цели) Политика безопасности организации (правила, которые следует соблюдать при реализации стратегий) Процедуры (методы осуществления политики) уточняются в детальных и специфических целях, политике и процедурах во всех сферах интереса организации (управление финансами, персоналом и безопасностью) Политика безопасности информации в организации (англ. Organizational security policy) – совокупность документированных технических, организационных, административных, юридических, физических правил, процедур, практических приёмов или руководящих принципов, регламентирующих все вопросы обеспечения безопасности информации, которыми руководствуется организация в своей деятельности. Политика безопасности информационно-телекоммуникационных технологий (ИТТ) (англ. ІСТ security policy) – правила и сложившаяся практика, которые определяют, как управлять активами организации, в том числе критичной информацией, защищать их и распределять в пределах информационно-телекоммуникационных технологий ГОСТ Р ИСО/МЭК 13335 -1 - 2006
СТРАТЕГИИ И ПОЛИТИКА БЕЗОПАСНОСТИ 28 Политика обеспечения информационной безопасности в рамках характеристик бизнеса, особенностей данной организации, ее расположения, ресурсов, технологий и эффективности процесса управления рисками: включает в себя основу для определения ее целей и осознание необходимости безопасности и повышение квалификации в области безопасности; устанавливает общее направление и принципы деятельности по отношению к информационной безопасности; ISO/IEC 27001: 2005 учитывает требования бизнеса и законодательной или нормативной базы, а также контрактные обязательства в области безопасности; объединяется со стратегическим контекстом управления рисками в организации, в котором будет происходить создание и сопровождение системы ОИБ; устанавливает критерии для оценивания рисков; утверждается руководством; позволяет оценивать, в какой мере бизнес организации зависит от ИТТ, учитывая: задачи бизнеса и их связь с безопасностью; какие важные составляющие бизнеса не могут осуществляться без ИТТ; какие задачи могут быть решены только при помощи ИТТ; какие важные решения зависят от конфиденциальности, целостности, доступности, подотчетности, аутентичности и актуальности хранимой или обрабатываемой информации; стратегию оценки риска и методы, адаптируемые в рамках организации; комплексную политику безопасности ИТТ для каждой системы; организационные методы безопасности для каждой системы; схему классификации ИТТ систем; стандартные схемы управления инцидентами информационной безопасности в рамках всей организации ГОСТ Р ИСО/МЭК 13335 -1 - 2006
СТРУКТУРА ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 29 Цель: обеспечение решения вопросов ИБ и вовлечение высшего руководства организации в данный процесс. Политика ИБ должна быть утверждена, издана и доведена до сведения всех сотрудников ГОСТ Р ИСО/МЭК 17799 -2005
ИСХОДНЫЕ ДАННЫЕ ДЛЯ ФОРМИРОВАНИЯ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 30 v общая характеристика и специализация организации (наименование, специализация, род деятельности, решаемые задачи, характер и объем работ), сведения о распределении обязанностей и инструкциях по обработке и защите информации); v описание административной структуры и категорий зарегистрированных пользователей, технологии обработки информации, потенциальных субъектов и объектов доступа; v общее описание рабочего процесса, технологическая схема операций при выполнении рабочего процесса, интенсивность с которой выполняется рабочий процесс, технологические ограничения, средства контроля и критерии качества результатов рабочего процесса, перечень проблемных вопросов подразделений по обеспечению защиты информации; v информация которая подлежит защите, сведения конфиденциального характера, организация и структура информационных потоков и их взаимодействие; v организация хранения данных; v угрозы информационной безопасности, модель нарушителя и уязвимости; v анализ рисков; v общая характеристика автоматизированных систем организации, топология и расположение ЛВС, схема коммуникационных связей, структура и состав потоков данных (перечень входных и выходных информационных объектов, их источники и получатели, перечень внутренних информационных объектов); v технические и программные средства ЛВС и доступа к ней из сетей общего доступа (физическая среда передачи, используемые протоколы, операционные системы, серверы баз данных, места хранения конфиденциальных данных, средства защиты информации); v принадлежность и типы каналов связи; v общее и специальное ПО (наименование и назначение, фирма разработчик, аппаратные требования, размещение); v применяемые меры защиты (организационные меры, средства защиты ОС, средства защиты, встроенные в ПО, специализированные средства защиты)
УРОВНИ ДОКУМЕНТИРОВАНИЯ ТРЕБОВАНИЙ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Документы верхнего уровня отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам. Согласно ГОСТ Р ИСО/МЭК 17799 -2005, на верхнем уровне должны быть оформлены: «Концепция обеспечения ИБ» , «Правила допустимого использования ресурсов информационной системы» , «План обеспечения непрерывности бизнеса» . На практике могут создаваться «Регламент управления ИБ» , «Технический стандарт ИБ» и др. в двух редакциях – для внешнего и внутреннего использования 31 К среднему уровню относят В политику ИБ документы, касающиеся отдель- нижнего ных аспектов ИБ: требования на уровня входят: создание и эксплуатацию СЗИ, регламенты раорганизацию информационных бот, руководи бизнес-процессов по конкрет- ства по админому направлению ЗИ ( «Безопас- нистрированию, ности данных» , «Безопасности инструкции по коммуникаций» , «Использования средств криптографической защиты» , эксплуатации «Контентная фильтрация» и т. п. ) в отдельных виде внутренних технических и сервисов организационных конфиденци- информационной альных политик (стандартов) безопасности организации Документированная политика должна содержать следующие заявления: определение понятия информационной безопасности, ее основных целей, области действия и важности безопасности как механизма, дающего возможность осуществлять совместное использование информации; заявление о намерении руководства поддерживать достижение целей и соблюдение принципов информационной безопасности в соответствии с целями и стратегией бизнеса; основные положения для определения целей и механизмов контроля, включая структуру оценки и управления рисками; краткое разъяснение политик безопасности, стандартов, принципов и требований, особенно важных для организации, включая: соответствие требованиям законодательства, нормативной базы и договоров; требования к повышению осведомленности, обучению и тренингам в области безопасности; управление непрерывностью бизнеса; последствия нарушений политики информационной безопасности; определение общей и индивидуальной ответственности за управление информационной безопасностью, включая оповещение об инцидентах безопасности; ссылки на документы, которые могут поддерживать политику (более детализированные политики и процедуры безопасности для отдельных информационных систем или правила безопасности, которым должны следовать пользователи)
ПОЛОЖЕНИЕ ОБ ИНФОРМАЦИОННОЙ ПОЛИТИКЕ ДЛЯ ПОДРАЗДЕЛЕНИЙ ОРГАНИЗАЦИИ 32 Высшее руководство должно издать в письменной форме положение об информационной политике для всех подразделений организации. Принципы Положения об информационной политике: определение информационной безопасности, ее целей и сферы применения, а также ее значимости как механизма, обеспечивающего совместное использование информации; заверение руководства о его намерении поддерживать цели и задачи информационной безопасности; разъяснение специфических направлений политики безопасности, принципов, стандартов и соответствия требованиям, включая: соответствие нормативно-правовым и договорным, контрактным требованиям; требования по обучению в области обеспечения безопасности; предотвращение воздействия деструктивных программ и мероприятия по их обнаружению; политику планирования бесперебойной работы. определение общей и особой ответственности для всех аспектов информационной безопасности; разъяснение процедуры сообщения о подозрительных инцидентах, затрагивающих проблемы безопасности
ПЕРЕЧЕНЬ ВОПРОСОВ ПОЛИТИКИ БЕЗОПАСНОСТИ ИТТ 1. Введение 1. 1 Общий обзор 1. 2 Область применения и цель политики обеспечения безопасности ИТ 2. Цели и принципы обеспечения безопасности 2. 1 Цели 2. 2 Принципы 3. Организация и инфраструктура безопасности 3. 1 Ответственность 3. 2 Основные направления политики обеспечения безопасности 3. 3 Регистрация инцидентов нарушения безопасности 4. Анализ риска и стратегия менеджмента в области обеспечения безопасности ИТ 4. 1 Введение 4. 2 Менеджмент и анализ риска 4. 3 Проверка соответствия мер обеспечения безопасности предъявляемым требованиям 5. Чувствительность информации и риски 5. 1 Введение 5. 2 Схема маркировки информации 5. 3 Общий обзор информации в организации 5. 4 Уровни ценности и чувствительности информации в организации 5. 5 Общий обзор угроз, уязвимых мест и рисков 6. Безопасность аппаратно-программного обеспечения 6. 1 Идентификация и аутентификация 6. 2 Контроль доступа 6. 3 Журнал учета использования ресурсов и аудит 6. 4 Полное стирание 6. 5 Программное обеспечение, нарушающее нормальную работу системы 6. 6 Безопасность ПК 6. 7 Безопасность компактных портативных компьютеров 7. Безопасность связи 7. 1 Введение 7. 2 Инфраструктура сетей 7. 3 Интернет 7. 4 Криптографическая аутентификация и аутентификация сообщений 8. Физическая безопасность 8. 1 Введение 33 8. 2 Размещение оборудования 8. 3 Безопасность и защита зданий 8. 4 Защита коммуникаций и систем обеспечения энергоносителями в зданиях 8. 5 Защита вспомогательных служб 8. 6 Несанкционированное проникновение в помещения 8. 7 Доступность ПК и рабочих станций 8. 8 Доступ к магнитным носителям информации 8. 9 Защита персонала 8. 10 Противопожарная защита 8. 11 Защита от воды (жидкой среды) 8. 12 Обнаружение опасностей и сообщение о них 8. 13 Защита системы освещения 8. 14 Защита оборудования от кражи 8. 15 Защита окружающей среды 8. 16 Управление услугами и ТО 9. Безопасность персонала 9. 1 Введение 9. 2 Условия найма персонала 9. 3 Осведомленность и обучение персонала 9. 4 Служащие 9. 5 Контракты с лицами, проводящими самост. работу 9. 6 Привлечение третьих сторон 10. Безопасность документов и носителей информации 10. 1 Введение 10. 2 Безопасность документов 10. 3 Хранение носителей информации 10. 4 Ликвидация носителей информации 11. Обеспечение непрерывности деловой деятельности, включая ЧС и восстановлении после аварий 11. 1 Введение 11. 2 Запасные варианты 11. 3 Стратегия обеспечения бесперебойной работы 11. 4 План (планы) обеспечения бесперебойной работы 12. Надомная работа 13. Политика аутсортинга 13. 1 Введение 13. 2 Требования безопасности 14. Управление изменениями 14. 1 Обратная связь 14. 2 Изменения в политике обеспечения безопасности 14. 3 Статус документа ГОСТ Р ИСО/МЭК 13335 -3 - 2006
Скачать презентацию ОСОБЕННОСТИ ВЕДОМСТВЕННОГО И КОРПОРАТИВНОГО НОРМАТИВНОГО РЕГУЛИРОВАНИЯ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
Лекц п7 Вед и корп ИБ.ppt