|
|
@@ -1,90 +0,0 @@
|
|
|
-# П1.4.100 Описание используемых мер по ЗИ на объекте
|
|
|
-
|
|
|
- На заводе, с его сложной структурой и разнообразием видов информации, организационные меры играют критически важную роль.
|
|
|
-
|
|
|
-1. Разработка и внедрение политики информационной безопасности (ИБ):
|
|
|
-
|
|
|
- Создание всеобъемлющего документа, определяющего общие цели, принципы и направления деятельности в области ИБ. Политика ИБ должна быть адаптирована к специфике завода, учитывая его бизнес-процессы, используемые технологии и законодательные требования.
|
|
|
-Содержание:
|
|
|
- Цели и задачи ИБ завода.
|
|
|
- Ответственность и полномочия сотрудников в области ИБ.
|
|
|
- Классификация и управление информационными активами (ценность, критичность).
|
|
|
- Правила доступа к информации.
|
|
|
- Порядок реагирования на инциденты ИБ.
|
|
|
- Требования к защите персональных данных (если обрабатываются).
|
|
|
-Реализация: Разработка, согласование с руководством, доведение до всех сотрудников, регулярное обновление.
|
|
|
-
|
|
|
-2. Классификация информации и управление доступом:
|
|
|
-
|
|
|
-Определение уровней конфиденциальности информации (открытая, конфиденциальная, секретная и т.д.) и установление прав доступа для различных категорий пользователей (на основе принципа минимальных привилегий).
|
|
|
-Реализация:
|
|
|
- Создание перечня информационных активов и их классификация.
|
|
|
- Разработка ролевой модели доступа (RBAC).
|
|
|
- Внедрение системы контроля доступа (управление учетными записями, парольные политики, разграничение прав).
|
|
|
- Регулярный пересмотр прав доступа.
|
|
|
-
|
|
|
-3. Обучение персонала по вопросам ИБ:
|
|
|
-
|
|
|
-Повышение осведомленности сотрудников о рисках ИБ и мерах защиты. Обучение должно проводиться регулярно и охватывать всех сотрудников, включая руководящий состав.
|
|
|
-Темы:
|
|
|
- Основные угрозы ИБ.
|
|
|
- Политика ИБ завода.
|
|
|
- Правила использования паролей.
|
|
|
- Распознавание фишинговых писем и других видов социальной инженерии.
|
|
|
- Правила обращения с конфиденциальной информацией.
|
|
|
- Порядок действий при возникновении инцидентов ИБ.
|
|
|
-Методы:
|
|
|
- Тренинги, семинары, вебинары.
|
|
|
- Инструктажи, памятки, руководства.
|
|
|
- Тестирование знаний.
|
|
|
- Имитация инцидентов.
|
|
|
-
|
|
|
-7. Управление физической безопасностью:
|
|
|
-
|
|
|
-Меры по защите физических активов завода (зданий, помещений, оборудования, носителей информации) от несанкционированного доступа.
|
|
|
-Реализация:
|
|
|
- Контроль доступа на территорию завода.
|
|
|
- Охрана помещений.
|
|
|
- Видеонаблюдение.
|
|
|
- Управление ключами и картами доступа.
|
|
|
- Защита от кражи оборудования.
|
|
|
- Защита от стихийных бедствий.
|
|
|
-
|
|
|
-Правовые
|
|
|
-
|
|
|
-1. Законодательство в области защиты информации:
|
|
|
-
|
|
|
- Федеральные законы (для РФ):
|
|
|
- ФЗ-152 "О персональных данных": Регулирует порядок обработки персональных данных физических лиц. Определяет требования к сбору, хранению, передаче и использованию персональных данных, а также права субъектов персональных данных.
|
|
|
- ФЗ-149 "Об информации, информационных технологиях и о защите информации": Устанавливает общие правовые рамки в области информации и защиты информации. Определяет основные понятия, виды информации, права и обязанности субъектов информационных отношений.
|
|
|
- ФЗ-98 "О коммерческой тайне": Устанавливает правила защиты коммерческой тайны и ответственность за ее разглашение.
|
|
|
- ФЗ-63 "Об электронной подписи": Регулирует использование электронной подписи и ее юридическую значимость.
|
|
|
- Уголовный кодекс РФ (ст. 272-274): Устанавливает ответственность за неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ.
|
|
|
- Кодекс об административных правонарушениях (КоАП РФ): Устанавливает административную ответственность за нарушения в области защиты информации.
|
|
|
- Нормативные акты:
|
|
|
- Приказы и распоряжения ФСТЭК России: Содержат требования к обеспечению информационной безопасности в различных сферах деятельности (например, требования к защите персональных данных, к защите значимых объектов критической информационной инфраструктуры).
|
|
|
- Постановления и распоряжения Правительства РФ: Устанавливают порядок защиты государственной тайны, порядок аккредитации организаций в области защиты информации.
|
|
|
- Стандарты ГОСТ Р (национальные стандарты): Содержат рекомендации и требования к разработке и внедрению систем информационной безопасности (например, ГОСТ Р ИСО/МЭК 27001-2013).
|
|
|
-
|
|
|
-2. Соблюдение лицензионных соглашений:
|
|
|
-
|
|
|
- Обеспечение использования только лицензионного программного обеспечения.
|
|
|
- Контроль за соблюдением условий лицензионных соглашений.
|
|
|
- Регулярное обновление лицензий.
|
|
|
-
|
|
|
-3. Юридическая экспертиза:
|
|
|
-
|
|
|
- Проверка всех договоров и соглашений на соответствие требованиям законодательства в области защиты информации.
|
|
|
- Обеспечение правовой поддержки при возникновении инцидентов ИБ и споров, связанных с нарушением прав на информацию.
|
|
|
- Своевременное отслеживание изменений в законодательстве и корректировка локальных нормативных актов.
|
|
|
-
|
|
|
-4. Взаимодействие с правоохранительными органами:
|
|
|
-
|
|
|
- Обеспечение сотрудничества с правоохранительными органами при расследовании инцидентов ИБ.
|
|
|
- Предоставление необходимой информации в соответствии с законодательством.
|
|
|
-
|
|
|
-
|
|
|
-Организационные меры – это важный элемент общей системы защиты информации на заводе. Они создают основу для внедрения технических средств защиты, формируют культуру безопасности среди сотрудников и обеспечивают постоянное совершенствование системы защиты.
|
|
|
-
|
|
|
-
|
|
|
-
|
