Некоторые нормативно-методические документы, необходимые для организации защиты информации

Для организации и обеспечения эффективного функционирования СЗИ должны быть разработаны документы, определяющие порядок и правила обеспечения безопасности информации при ее обработке в ИС, а также документы, определяющие права и обязанности пользователей при работе с электронными документами юридического характера (договор об организации обмена электронными документами).

План защиты информации может содержать следующие сведения:

• назначение ИС;
• перечень решаемых ею задач;
• конфигурация;
• характеристики и размещение технических средств и программного обеспечения;
• перечень категорий информации (пакетов, файлов, наборов и баз данных, в которых они содержатся), подлежащих защите в ИС;
• требования по обеспечению доступности, конфиденциальности, целостности различных категорий информации;
• список пользователей и их полномочий по доступу к ресурсам системы;
• цель защиты системы и пути обеспечения безопасности ИС и циркулирующей в ней информации;
• перечень угроз безопасности ИС, от которых требуется защита, и наиболее вероятных путей нанесения ущерба;
• основные требования к организации процесса функционирования ИС и мерам обеспечения безопасности обрабатываемой информации;
• требования к условиям применения и определение зон ответственности, установленных в системе технических средств защиты от НСД;
• основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности ИС (особые обязанности должностных лиц ИС);
• цель обеспечения непрерывности процесса функционирования ИС, своевременность восстановления ее работоспособности и пути ее достижения;
• перечень и классификация возможных кризисных ситуаций;
• требования, меры и средства обеспечения непрерывной работы и восстановления процесса обработки информации (порядок создания, хранения и использования резервных копий информации и дублирующих ресурсов и т.п.);
• обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого ущерба и восстановлению нормального процесса функционирования системы;
• разграничение ответственности субъектов, участвующих в процессах обмена электронными документами;
• определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов;
• определение порядка генерации, сертификации и распространения ключевой информации (ключей, паролей и т.п.);
• определение порядка разрешения споров в случае возникновения конфликтов.