|
|
@@ -0,0 +1,90 @@
|
|
|
+# П1.4.100 Описание используемых мер по ЗИ на объекте
|
|
|
+
|
|
|
+ На заводе, с его сложной структурой и разнообразием видов информации, организационные меры играют критически важную роль.
|
|
|
+
|
|
|
+1. Разработка и внедрение политики информационной безопасности (ИБ):
|
|
|
+
|
|
|
+ Создание всеобъемлющего документа, определяющего общие цели, принципы и направления деятельности в области ИБ. Политика ИБ должна быть адаптирована к специфике завода, учитывая его бизнес-процессы, используемые технологии и законодательные требования.
|
|
|
+Содержание:
|
|
|
+ Цели и задачи ИБ завода.
|
|
|
+ Ответственность и полномочия сотрудников в области ИБ.
|
|
|
+ Классификация и управление информационными активами (ценность, критичность).
|
|
|
+ Правила доступа к информации.
|
|
|
+ Порядок реагирования на инциденты ИБ.
|
|
|
+ Требования к защите персональных данных (если обрабатываются).
|
|
|
+Реализация: Разработка, согласование с руководством, доведение до всех сотрудников, регулярное обновление.
|
|
|
+
|
|
|
+2. Классификация информации и управление доступом:
|
|
|
+
|
|
|
+Определение уровней конфиденциальности информации (открытая, конфиденциальная, секретная и т.д.) и установление прав доступа для различных категорий пользователей (на основе принципа минимальных привилегий).
|
|
|
+Реализация:
|
|
|
+ Создание перечня информационных активов и их классификация.
|
|
|
+ Разработка ролевой модели доступа (RBAC).
|
|
|
+ Внедрение системы контроля доступа (управление учетными записями, парольные политики, разграничение прав).
|
|
|
+ Регулярный пересмотр прав доступа.
|
|
|
+
|
|
|
+3. Обучение персонала по вопросам ИБ:
|
|
|
+
|
|
|
+Повышение осведомленности сотрудников о рисках ИБ и мерах защиты. Обучение должно проводиться регулярно и охватывать всех сотрудников, включая руководящий состав.
|
|
|
+Темы:
|
|
|
+ Основные угрозы ИБ.
|
|
|
+ Политика ИБ завода.
|
|
|
+ Правила использования паролей.
|
|
|
+ Распознавание фишинговых писем и других видов социальной инженерии.
|
|
|
+ Правила обращения с конфиденциальной информацией.
|
|
|
+ Порядок действий при возникновении инцидентов ИБ.
|
|
|
+Методы:
|
|
|
+ Тренинги, семинары, вебинары.
|
|
|
+ Инструктажи, памятки, руководства.
|
|
|
+ Тестирование знаний.
|
|
|
+ Имитация инцидентов.
|
|
|
+
|
|
|
+7. Управление физической безопасностью:
|
|
|
+
|
|
|
+Меры по защите физических активов завода (зданий, помещений, оборудования, носителей информации) от несанкционированного доступа.
|
|
|
+Реализация:
|
|
|
+ Контроль доступа на территорию завода.
|
|
|
+ Охрана помещений.
|
|
|
+ Видеонаблюдение.
|
|
|
+ Управление ключами и картами доступа.
|
|
|
+ Защита от кражи оборудования.
|
|
|
+ Защита от стихийных бедствий.
|
|
|
+
|
|
|
+Правовые
|
|
|
+
|
|
|
+1. Законодательство в области защиты информации:
|
|
|
+
|
|
|
+ Федеральные законы (для РФ):
|
|
|
+ ФЗ-152 "О персональных данных": Регулирует порядок обработки персональных данных физических лиц. Определяет требования к сбору, хранению, передаче и использованию персональных данных, а также права субъектов персональных данных.
|
|
|
+ ФЗ-149 "Об информации, информационных технологиях и о защите информации": Устанавливает общие правовые рамки в области информации и защиты информации. Определяет основные понятия, виды информации, права и обязанности субъектов информационных отношений.
|
|
|
+ ФЗ-98 "О коммерческой тайне": Устанавливает правила защиты коммерческой тайны и ответственность за ее разглашение.
|
|
|
+ ФЗ-63 "Об электронной подписи": Регулирует использование электронной подписи и ее юридическую значимость.
|
|
|
+ Уголовный кодекс РФ (ст. 272-274): Устанавливает ответственность за неправомерный доступ к компьютерной информации, создание, использование и распространение вредоносных программ.
|
|
|
+ Кодекс об административных правонарушениях (КоАП РФ): Устанавливает административную ответственность за нарушения в области защиты информации.
|
|
|
+ Нормативные акты:
|
|
|
+ Приказы и распоряжения ФСТЭК России: Содержат требования к обеспечению информационной безопасности в различных сферах деятельности (например, требования к защите персональных данных, к защите значимых объектов критической информационной инфраструктуры).
|
|
|
+ Постановления и распоряжения Правительства РФ: Устанавливают порядок защиты государственной тайны, порядок аккредитации организаций в области защиты информации.
|
|
|
+ Стандарты ГОСТ Р (национальные стандарты): Содержат рекомендации и требования к разработке и внедрению систем информационной безопасности (например, ГОСТ Р ИСО/МЭК 27001-2013).
|
|
|
+
|
|
|
+2. Соблюдение лицензионных соглашений:
|
|
|
+
|
|
|
+ Обеспечение использования только лицензионного программного обеспечения.
|
|
|
+ Контроль за соблюдением условий лицензионных соглашений.
|
|
|
+ Регулярное обновление лицензий.
|
|
|
+
|
|
|
+3. Юридическая экспертиза:
|
|
|
+
|
|
|
+ Проверка всех договоров и соглашений на соответствие требованиям законодательства в области защиты информации.
|
|
|
+ Обеспечение правовой поддержки при возникновении инцидентов ИБ и споров, связанных с нарушением прав на информацию.
|
|
|
+ Своевременное отслеживание изменений в законодательстве и корректировка локальных нормативных актов.
|
|
|
+
|
|
|
+4. Взаимодействие с правоохранительными органами:
|
|
|
+
|
|
|
+ Обеспечение сотрудничества с правоохранительными органами при расследовании инцидентов ИБ.
|
|
|
+ Предоставление необходимой информации в соответствии с законодательством.
|
|
|
+
|
|
|
+
|
|
|
+Организационные меры – это важный элемент общей системы защиты информации на заводе. Они создают основу для внедрения технических средств защиты, формируют культуру безопасности среди сотрудников и обеспечивают постоянное совершенствование системы защиты.
|
|
|
+
|
|
|
+
|
|
|
+
|
