Требования к системе защиты информации.

Основной задачей системы информационной безопасности Организации является управление информационными рисками и минимизация их для всех видов потенциальных угроз.

Система защиты информации в Организации строится на следующих принципах:

- Непрерывность во времени;

- Комплексность;

- Целенаправленность;

- Универсальность и надежность;

- Плановость мероприятий по защите информации;

- Адекватность уровню важности защищаемых ресурсов;

- Все структурные подразделения организации принимают участие в процессе защиты информации в сфере своей деятельности и в рамках своей компетенции;

- Комплексный контроль функционирования системы защиты информации.

Система защиты информации Организации должна обеспечивать:

- Персональный допуск сотрудников Организации к работе с конфиденциальной информацией в рамках необходимых для выполнения своих служебных обязанностей;

- Управление информационными потоками;

- Возможность аутентификации и идентификации сотрудников Организации, обращающихся к защищаемой информации;

- Регулярное создание страховых копий критичных информационных ресурсов Организации;

- Регулярное осуществление контроля целостности программного обеспечения;

- Регулярное проведение мероприятий по борьбе с компьютерными вирусами и другими вредоносными программами;

- Безопасное подключение корпоративной сети Организации к Интернет;

- Возможность контроля над действиями сотрудников Организации в корпоративной сети;

Объекты информационной системы Организации, подлежащие защите.

Объектами информационной защиты являются носители конфиденциальных сведений, вошедших в Перечень, технологические процессы и оборудование, связанные с обработкой таких сведений.

К защищаемым объектам относятся:

- Документы на бумажных носителях, содержащие сведения, вошедшие в Перечень;

- Съемные машинные носители информации, на которых в электронном виде хранятся сведения, вошедшие в Перечень;

- Рабочие станции и сервера Организации;

- Сетевое оборудование (маршрутизаторы, коммутаторы);

- Программно-аппаратные средства защиты информации (межсетевые экраны, средства шифрования);

- Каналы связи, по которым передаются в электронном виде сведения, вошедшие в Перечень.

Подбор персонала и ответственность за нарушение режима информационной безопасности.

Основные принципы организации профессионального отбора персонала в коммерческие предприятия.