Информационная безопасность



              

Категорирование информации и информационных - часть 2


  • обеспечить надежность (доверенность) должностных лиц, занимающих ответственные посты, а также соответствие этих лиц предъявляемым к данным должностям требованиям безопасности;
  • обеспечить защиту информации и информационной системы при проведении дисциплинарных акций, таких как увольнение или перемещение сотрудников;
  • применять соответствующие официальные санкции к нарушителям политики и процедур безопасности.
  • Организация должна обеспечить информирование и обучение сотрудников:

    • чтобы руководители и пользователи ИС знали о рисках, связанных с их деятельностью, и о соответствующих законах, нормативных актах, руководящих документах, стандартах, инструкциях и т.п.;
    • чтобы персонал имел должную практическую подготовку для выполнения обязанностей, связанных с информационной безопасностью.
  • В области планирования необходимо разработать, документировать, периодически изменять и реализовать планы обеспечения безопасности ИС, описывающие регуляторы безопасности (имеющиеся и планируемые) и правила поведения персонала, имеющего доступ к ИС.
  • С целью планирования бесперебойной работы в компании следует установить, поддерживать и эффективно реализовать планы реагирования на аварийные ситуации, резервного копирования, восстановления после аварий, чтобы обеспечить доступность критичных информационных ресурсов и непрерывность функционирования в аварийных ситуациях.
  • В плане реагирования на нарушения информационной безопасности организация должна:

    • создать действующую структуру для реагирования на инциденты, имея в виду адекватные подготовительные мероприятия, выявление, анализ и локализацию нарушений, восстановление после инцидентов и обслуживание обращений пользователей;
    • обеспечить прослеживание, документирование и сообщение об инцидентах соответствующим должностным лицам организации и уполномоченным органам.
  • С целью физической защиты организация должна:

    • предоставлять физический доступ к ИС, оборудованию, в производственные помещения только авторизованному персоналу;
    • физически защищать оборудование и поддерживающую инфраструктуру ИС;
    • обеспечить должные технические условия для функционирования ИС;
    • защищать ИС от угроз со стороны окружающей среды;
    • обеспечить контроль условий, в которых функционирует ИС;
    • обеспечить управление доступом, предоставив доступ к активам ИС только авторизованным пользователям, процессам, действующим от имени этих пользователей, а также устройствам (включая другие ИС) для выполнения разрешенных пользователям транзакций и функций.
  • Для обеспечения протоколирования и аудита необходимо:




    Содержание  Назад  Вперед