Организация и технология защиты конфиденциальной информации в информационных системах. Методическое пособие для студентов. Андрей Александрович Обласов
Читать онлайн книгу.
формой документа в системе информационной безопасности является двусторонний Акт, который составляется и подписывается сотрудниками подразделения, в котором проводится мероприятие, с одной стороны, и сотрудниками Управления по защите информации с другой стороны. Акт утверждается начальником этого подразделения и начальником Управления по защите информации. К Акту прилагаются необходимые в каждом конкретном случае документы: протоколы, справки, схемы и т.д., исполненные в произвольной форме.
По решению Члена Правления – Директора по безопасности и защите информации Акты могут докладываться для ознакомления и принятия решения Правлению ХХХХ.
В обязательном порядке составляются Акты в следующих случаях:
– при проведении первичного и контрольных информационных обследований;
– при проведении проверок состояния информационной безопасности Управлением по защите информации;
– при предоставлении или изменении прав доступа к информации, средствам информатизации и сотрудникам;
– при выявлении нарушений информационной безопасности и их устранении.
2.6. Обучение персонала
Сотрудники ХХХХ (администратор сети, сотрудники Управления по защите информации), непосредственно принимающие участие в обеспечении информационной безопасности, могут направляться на специальное обучение. Остальные сотрудники ХХХХ проходят инструктаж.
3. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
3.1. Общие положения
Обеспечение информационной безопасности включает комплекс повседневно проводимых мероприятий, а именно:
– допуск (предоставление прав доступа) к информации, средствам информатизации и в помещения;
– доступ к информации, средствам информатизации и в помещения в соответствии с предоставленными правами;
– содержание средств информатизации;
– обеспечение безопасности информации;
– использование средств защиты информации;
– контроль состояния информационной безопасности;
– действия в случае выявления нарушений информационной безопасности;
– инструктаж по информационной безопасности.
3.2. Допуск
Допуск – это комплекс мероприятий, проводимых с целью предоставления прав доступа сотрудникам ХХХХ, представителям сторонних организаций и посетителям в помещения, к средствам информатизации и к информации ХХХХ.
Допуск заключается в предоставлении соответствующих прав доступа и документальном закреплении их за конкретным лицом, которому они предоставляются.
Право предоставления допуска имеет только руководитель подразделения, в ведении которого находятся объекты, к которым допускается указанное лицо, после обязательного согласования с Членом Правления – Директором по безопасности и защите информации. Руководитель подразделения полностью отвечает за соответствие уровня допуска задачам, решаемым допускаемым лицом.