Антиплагиат (1197929), страница 4
Текст из файла (страница 4)
В Учреждении должны быть определеныобязательства руководства, ответственного за информационную безопасность,определение процедур получения разрешения на использование новых средствобработки информации, 1 процедуры получения соглашения об обработкеконфиденциальной информации, взаимодействие с другими организациями.Для взаимодействия с другими организациями должны быть решены изадокументированы такие вопросы, как контроль доступа к средствамобработки информации третьими сторонами, определение рисков, связанных свзаимодействием с третьими сторонами, включение требований безопасности вдоговоры со сторонними организациями.182.2.1.1 Задачи, решаемые внутри УчрежденияВысшее руководство Учреждения, ответственное за информационнуюбезопасность в Учреждении должно:быть уверенным в том, что цели информационной безопасностиопределены, соответствуют требованиям 7 Учреждения, и включены всоответствующие процессы;формулировать, анализировать, утверждать и 7 пересматривать политикуинформационной безопасности;анализировать эффективность 7 ее реализации;обеспечивать четкое управление для соблюдения политики безопасностисотрудниками;устанавливать определенные роли и ответственности внутри Учрежденияв отношении информационной безопасности;удостоверяться в том, что меры и средства контроля актуальны искоординированы в рамках Учреждения;осведомлять работников в вопросах информационной безопасности.Ответственный за информационную безопасность должен установитьпорядок получения разрешения на использование средств обработкиинформ 37 ации.
В 7 рамках п роцесса получения разреше 37 ния:на 7 новые средства обработки информации сотрудникам необходимополучить соответствующие разрешения руководства, 7 утверждающего их цель ииспользование; 7ответственному за безопасность необходимо проверять аппаратныесредства и программное обеспечение на предмет совместимости с другимикомпонентами системы, где это необходимо;следует определять и реализовывать необходимые меры и средстваконтроля и управления 7 над использованием персональных или находящихся в 719частной собственности средств обработки информации, т.к. 7 их использованиеможет являться причиной новых уязвимостей.
7Должны определяться и регулярно пересматриваться требования вотношении соглашений о конфиденциальности или неразглашении,отражающие потребности 7 Учреждения в защите информации. Чтобыопределить такие требования, необходимо учитывать:определение информации, которая подлежит защите;предполагаемый срок действия соглашения, включая случаи, когда можетвозникнуть необходимость в неограниченной поддержке конфиденциальности; 7действия при окончании срока действия соглашения;обязанности и действия лиц, подписавших соглашение, с цельюпредотвращения несанкционированного разглашения информации; 7право подвергать 7 мониторингу деятельность, связанную сконфиденциальной информацией;процедуру предупреждения и сообщения о несанкционированномразглашении или нарушениях, связанных с конфиденциальной информацией;условия возврата или уничтожения информации в случаеприостановления действия соглашения;предполагаемые действия, которые 7 следует предпринять в случаенарушения данного соглашения.2.2.1.2 Взаимодействие со сторонними организациямиВсе действия, 1 которые связаны с привлечением третьей стороны к средствамобработки информации 1 Учреждения, должны быть основаны на официальномконтракте, и 1 должны обеспечиваться в соответствии с политикой и стандартамибезопасности Учреждения.
Контракт должен исключать возможностинедопонимания между сторонами и включать в себя:общую политику 1 информационной безопасности; 120защита активов, 1 которая содержит процедуры по защите активоворганизации, 1 процедуры для определения компрометации активов, 1 мероприятияпо обеспечению возвращения или уничтожения информации и активов поокончании контракта или в установленное время в течение действия контракта,целостность и доступность активов, и ограничения на копирование и раскрытиеинформации;описание каждой предоставляемой услуги;определение необходимого и неприемлемого уровня обслуживания; 1соответствующие обязательства сторон в рамках 1 договора;обязательства относительно юридических вопросов; 1права интеллектуальной собственности и авторские права, а такжеправовая защита любой совместной работы;соглашения по управлению доступом; 6определение измеряемых показателей эффективности, а также ихмониторинг и предоставление отчетности;право мониторинга действий пользователей и блокировки доступа;право проводить проверки 1 договорных обязанностей или делегироватьпроведение такого аудита третьей стороне;определение процесса информирования о возникающих проблемах вслучае непредвиденных обстоятельств;обязанности, касающиеся установки и сопровождения аппаратныхсредств и программного обеспечения;четкая структура подотчетности и согласованные форматы представленияотчетов;ясный и определенный процесс управления изменениями;любые необходимые способы ограничения физического доступа ипроцедуры для обеспечения уверенности в том, что эти меры эффективны;обучение пользователя и администратора методам и процедурамбезопасности; 121мероприятия по управлению информационной безопасностью дляобеспечения защиты от вредоносного программного обеспечения; 1процедуры отчетности, уведомления и расследования инцидентовнарушения информационной безопасности и выявления слабых звеньевсистемы безопасности;привлечение третьей стороны вместе с субподрядчиками.2.2.2 1 Управление активамиИнформация, поддерживающие ее процессы, информационные системы исетевая инфраструктура являются существенными активами организации.
1Уполномоченным лицам Учреждения необходимо обеспечить ихсоответствующую защиту.2.2.2.1 Инвентаризация активовДолжна производиться инвентаризация активов: Учреждение должноидентифицировать все активы и документально оформить их значимость. Вопись активов следует включить 17 информацию, необходимую длявосстановления после бедствия, включая тип актива, формат, местоположение,информацию о резервных копиях.2.2.2.2 5 Владение активамиВладельцы активов должны нести ответственность за:обеспечение уверенности в том, 17 сто информация и активы, связанные сосредствами обработки информации, классифицированы соответствующимобразом;определение и периодический пересмотр ограничений и классификацийдоступа, принимая в расчет применимые политики управления доступом.
17222.2.2.3 17 Классификация информацииДля определения необходимости, приоритетов и предполагаемой степенизащиты при обработке информации, информацию необходимоклассифицировать.При классификации информации следует учитывать, что она можетперестать быть чувствительной к компрометации по истечении определенногопериода времени. Также следует учесть, что категория любого видаинформации необязательно должна быть постоянной в течение всего времени.2.2.2.4 1 Маркировка информацииВыводимые из систем документы, содержащие информацию, котораяклассифицирована как чувствительная или критическая, должны содержатьсоответствующий маркировочный знак. 17 Маркированными могут быть экранныеотображения, напечатанные отчеты, носители информации, пересылаемыефайлы и электронные сообщения.Маркировка и безопасная обработка классифицированной информации ключевые требования для соглашений о совместном использованииинформации со сторонними организациями.
Информационные активы обычноимеют физические метки, однако некоторые из них не могут быть маркированыфизически, и поэтому необходимо использовать электронные аналогимаркировки.2.2.3 17 Вопросы 1 информационной безопасности, связанные с персоналомВ 1 должностные регламенты всех работников Учреждения должны бытьвнесены конкретные требования по обеспечению информационной23безопасности в зависимости от их должностных обязанностей.
Подбор ипорядок вступления в договорные и трудовые отношения и их расторжения, атакже порядок допуска работника к работе с информацией ограниченногодоступа, порядок работы с такой информацией и порядок прекращения допускак такой информации, должны соответствовать требованиям нормативноправовым актам Российской Федерации и организационно-распорядительнойдокументации Учреждения.2.2.3.1 Требования к персоналу перед трудоустройствомПретенденты на работу должны быть проверены на полноту и точность ихбиографии, а также подлинность документов, удостоверяющих личность.Должно быть подтверждено заявленное образование и профессиональнаяквалификация претендента.В случаях, когда претенденту предстоит работать с чувствительнойинформацией, например, финансовой или секретной, следует провести болеедетальную проверку, например кредитоспособности или на наличие судимости.
17Все сотрудники должны быть проинформированы о своих ролях иобязанностях, и подписать соглашение о конфиденциальности илинеразглашении прежде, чем им будет предоставлен доступ к 17 информационным 79системам или чувствительной информации. Такое соглашение должно бытьнеотъемлемой частью трудового договора.2.2.3.2 Требования к персоналу в течение занятостиВсе сотрудники Учреждения, работающие с информацией ограниченногодоступа, должны проходить соответствующие обучения, и на регулярной основеполучать обновленные варианты политик и других документов, необходимыхдля выполнения их рабочих функций.Временные сотрудники и представители третьих сторон 1 должны 124подписывать отдельно соглашение о соблюдении конфиденциальности до того,как им будет предоставлен доступ к средствам обработки информации.Соглашения о соблюдении конфиденциальности следует пересматривать при 1изменениях условий трудового договора.
1Персонал обязан уведомлять ответственного по информационнойбезопасности об инцидентах нарушения безопасности в соответствии сустановленным порядком, по возможности, незамедлительно.Необходимо 1 проводить периодическое практическое тестированиеготовности работников к выполнению своих должностных обязанностей позащите информации.Ответственность за нарушение требований политики безопасностинакладывается на сотрудников Учреждения в зависимости от величиныпричиненного ущерба и категории нарушения.2.2.3.3 Требования к персоналу при прекращении занятостиОтветственность и служебные обязанности, продолжающие оставатьсядействительными после прекращения занятости, должны 17 быть описаны вдоговорах с сотрудниками или третьими сторонами.При увольнении сотрудник обязан передать уполномоченному лицу всематериальные ценности Учреждения, которые были предоставлены ему длявыполнения должностных обязанностей.2.2.3.4 Повышение осведомленности сотрудников в областиинформационной безопасностиПроведение мероприятий, направленных на постоянное повышениеосведомленности сотрудников Учреждения в области информационнойбезопасности, должно являться одной из задач решаемых Учреждением.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
