Средства обеспечения целостности информации.
Средства поддержки программных приложений.
Планирование непрерывной работы.
Защита персонала.
IV. Функциональные средства.
Порядок подключения подсетей подразделений к сетям общего пользования.
Разрешение на ввод компонентов в строй (любого компонента ИС и системы ЗИ).
Планирование безопасности.
Правила поведения, должностные обязанности и ответственность.
Экспертиза системы ЗИ (существующие средства ЗИ).
Оценка рисков и управление ими.
III. Средства управления.
Цели и задачи политики безопасности.
Режим функционирования системы.
Ответственность подразделений.
II. Описание информационной системы.
Ответственность подразделений распределяется следующим образом:
- За поддержание ИС в рабочем состоянии и обеспечение её функционирования ответственно Системный администратор;
- За физическую сохранность оборудование и носителей информации ответственна Служба безопасности;
- За информационную безопасность и обеспечение конфиденциальности информации ответственен специалист по защите информации.
Режим функционирования информационной системы – только в рабочее время. В целях выполнения регламентных работ по обслуживанию оборудования или программного обеспечения системы возможна остановка в работе отдельных элементов системы (сервера.) без ущерба для общей функциональности.
При возникновении сбоев соответствующее сообщение сохраняется подсистемой журнал копирования в системном журнале.
Цель: обеспечение защиты информации от ее искажения, модификации, утраты, которые могут привести к нарушению работы администрации, как муниципального органа управления.
Задачи политики безопасности:
- выявление действующих и потенциальных угроз;
- разработка методов противодействия выявленным угрозам;
определение оптимального количества сил и средств, необходимых для обеспечения безопасности.
2. Управление работой и вводом/выводом информации.
Для поддержки программных приложений, системный администратор обязательном порядке, каждое утро проверяет наличие обновлений на сайтах производителей установленного ПО и, при наличии, принимает меры по исправлению сложившейся ситуации.
В случае обнаружения несовпадения контрольных сумм – осуществляется восстановление данных из резервных копий.
Резервные копии информации и программного обеспечения должны извлекаться и тестироваться на регулярной основе.
6. Документирование (вся структура документов по ИС и СЗИ + правила составления документов).
Документация должна включать записи решений руководства для обеспечения отслеживаемости действий к решениям руководства и политикам, а также воспроизводимости записанных результатов.
В структуру документации по системе защиты информации входят:
- Перечень сведений конфиденциального характера;
- Перечень персональных данных;
- Положение о конфиденциальном документообороте;
- Техническое задание на проведение работ по созданию комплексной системы защиты информации;
- Технологический процесс обработки информации в информационной системе;
- Технический паспорт информационной системы;
- Перечень угроз информационной системы;
- Печень объектов защиты.
Разрабатываемая документация оформляется в соответствии с ГОСТ РД 50-34.698-90 и ГОСТ 6.10-84, а так же «Положением о конфиденциальном документообороте».
7. Осведомлённость и обучение специалистов.
В целях оперативного оповещения о произошедших инцидентах, плановых и внеплановых работ, ограничении функциональности и изменениях в документах, посвященных системе защиты информации оповещаются все служащие посредствам совещаний..
Все служащие Администрации должны в обязательном порядке проходить обучение по вопросам информационной безопасности. Для персонала непосредственно участвующего в процессе разработки или поддержки функционирования информационной системы и системы безопасности такое обучение должно проходить не реже 1 раза в год, для всего остального персонала – не реже 1 раза в 3 года, для вновь принятых на работу – перед вступлением в должность.