Нормативно-методическое обеспечение защиты информации предназначено для регламентации процессов обеспечения безопасности информации предприятия, в том числе при работе персонала с конфиденциальными сведениями, документами, делами и базами данных.
Оно включаете себя ряд обязательных организационных, инструктивных и информационных документов, устанавливающих принципы, требования и способы противодействия пассивным и активным угрозам ценной информации, которые могут возникнуть по вине персонала, конкурентов, злоумышленников и других лиц.
Нормативно-методическое обеспечение базируется на тех обязательных положениях, которые должны содержаться в учредительных и иных основополагающих документах организации и определять правовой статус ее информационной безопасности. Указанные положения позволяют на законных основаниях вести речь о сохранении коммерческой тайны, выделять ценную информацию, составляющую собственность организации и выполнять действия по ее защите.
|
|
Важнейшими организационными документами, фиксирующими задачи, функции и ответственность служб, осуществляющих защиту ценной документированной информации, являются: положение о службе безопасности, положение о службе конфиденциальной документации, должностные инструкции работников этих служб, должностная инструкция менеджера (референта) по безопасности небольшой предпринимательской фирмы и др.
Технологические инструктивные документы отличаются большим разнообразием и по своему назначению, составу и содержанию отражают избранную технологию системы защиты информации. Можно выделить основные регламентирующие документы, имеющие значение для любого предприятия и необходимые при использовании любой системы защиты информации или отдельных элементов такой системы.
Прежде всего, следует назвать Перечень конфиденциальных сведений предприятия и Классифицированный перечень документов, подлежащих защите.
Инструкция по обеспечению безопасности конфиденциальной информации, отражающая:
- обязанности сотрудников при работе с конфиденциальной информацией;
- порядок доступа работников к конфиденциальным документам и базам данных, оформление доступа;
- обеспечение сохранности документов на бумажных и магнитных носителях при работе с ними руководителей, исполнителей (специалистов) и технического персонала;
- порядок сохранения коммерческой при проведении совещаний, заседаний и переговоров;
- требования к помещениям для работы с конфиденциальной информацией;
- порядок охраны территории, здания, помещений, транспортных средств и персонала;
|
|
- пропускной режим помещений, учет и порядок выдачи удостоверений, пропусков и визуальных идентификаторов;
- порядок приема, учета и контроля деятельности посетителей;
- требования к защите информации в рекламной и выставочной работе, публикациях, при интервьюировании и собеседованиях;
- организационное обеспечение защиты информации в ПЭВМ и линиях связи, при использовании в обработке документов средств оргтехники;
- ответственность работников за разглашение конфиденциальной информации и утрату ценных документов.
Положение по защите персональных данных на предприятии (в организации), включающее:
- перечень и категорию персональных данных, обрабатываемых в информационных системах предприятия;
- режим обработки персональных данных;
- перечень и характер угроз информационным системам персональных данных;
- состав методов и средств защиты персональных данных, обрабатываемых в информационных системах предприятия.
Инструкции по обработке, хранению и движению конфиденциальных документов предназначена для организации работы сотрудников службы конфиденциальной документации, менеджера (референта) по безопасности, управляющего делами, секретаря-референта первого руководителя.
Информационные документы (правила, требования, указания, методики, памятки и т. п.), детализирующие процессы защиты информации, носящие обязательный характер и устанавливающие порядок работы с конфиденциальной информацией и документами отдельных категорий работников, или всех работников в конкретных типовых ситуациях. При необходимости они могут составляться по каждому отдельному работнику.
Правила работы менеджера по безопасности (администратора информационной безопасности) с конфиденциальными документами и базами данных должны отражать:
- порядок приема и отправки конфиденциальных документов;
- порядок учета (регистрации) поступивших документов;
- организацию доступа исполнителей к конфиденциальным документам;
- распределение документов по руководителям и исполнителям, ознакомление с документами исполнителей и передачу документов на исполнение;
- формирование и ведение справочно-информационного банка данных по конфиденциальным документам;
- контроль исполнения документов;
- учет и изготовление документов на пишущих устройствах;
- оформление и ведение номенклатуры дел;
- формирование и хранение (текущее и архивное) дел;
- порядок организации приема руководителем посетителей, методы обеспечения безопасности руководителя;
- защиту информации при ведении телефонных переговоров и передаче информации по факсимильной связи;
- защиту информации при работе с ПЭВМ;
- построение систем охраны кабинета руководителя, приемной, сейфов, шкафов с документацией, вычислительной и организационной техники в рабочее и нерабочее время;
- ответственность за нарушение правил работы с конфиденциальной документацией и базами данных.
Информационные документы регламентируют требования по единообразному выполнению персоналом определенных видов типовых действий. К таким документам можно отнести, например, Правила обеспечения безопасности и защиты конфиденциальной информации в экстремальных ситуациях, содержащие:
- классифицированный перечень экстремальных ситуаций и соответствующих мероприятий по защите конфиденциальной информации, информации и документов;
- порядок (при необходимости — план) эвакуации и охраны документов, дел и баз данных;
- порядок (при необходимости — план) эвакуации и оказания помощи персоналу;
- порядок охраны имущества, оборудования и технических средств защиты информации;
- порядок охраны персонала при индивидуальных экстремальных ситуациях (угрозах, шантаже, нападении и т. п.);
- порядок взаимодействия с правоохранительными органами при возникновении экстремальных ситуаций.