Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Категорирование защищаемых ресурсов. Категории функциональных задач. ⇐ ПредыдущаяСтр 5 из 5
Категорирование защищаемых ресурсов - установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям. Исходя из необходимости обеспечения различных уровней защиты разных видов информации, хранимой и обрабатываемой в ИБС, а также с учетом возможных путей нанесения ущерба Банку, ее клиентам и корреспондентам вводится три категории конфиденциальности защищаемой информации и три категории целостности защищаемой информации.
· «БЕСПРЕПЯТСТВЕННАЯ ДОСТУПНОСТЬ» – к задаче должен обеспечиваться доступ в любое время (задача решается постоянно, задержка получения результата не должна превышать нескольких секунд или минут); · «ВЫСОКАЯ ДОСТУПНОСТЬ» – доступ к задаче должен осуществляться без существенных временных задержек (задача решается ежедневно, задержка получения результата не должна превышать нескольких часов); · «СРЕДНЯЯ ДОСТУПНОСТЬ» – доступ к задаче может обеспечиваться с существенными временными задержками (задача решается раз в несколько дней, задержка получения результата не должна превышать нескольких дней); · «НИЗКАЯ ДОСТУПНОСТЬ» – временные задержки при доступе к задаче практически не лимитированы (задача решается с периодом в несколько недель или месяцев, допустимая задержка получения результата - несколько недель).
34)Категорирование защищаемых ресурсов. Категории компьютеров.
Категорирование защищаемых ресурсов - установление градаций важности обеспечения защиты (категорий) ресурсов и отнесение конкретных ресурсов к соответствующим категориям. Исходя из необходимости обеспечения различных уровней защиты разных видов информации, хранимой и обрабатываемой в ИБС, а также с учетом возможных путей нанесения ущерба Банку, ее клиентам и корреспондентам вводится три категории конфиденциальности защищаемой информации и три категории целостности защищаемой информации.
35) Порядок определения категорий защищаемых ресурсов ИС.
1. Категорирование ресурсов автоматизированной системы (РС, задач, информации) проводится на основе их инвентаризации и предполагает составление и последующее ведение (поддержание в актуальном состоянии) перечней (совокупностей формуляров) ресурсов автоматизированной системы, подлежащих защите. 2. Ответственность за составление и ведение перечней ресурсов автоматизированной системы ОРГАНИЗАЦИИ возлагается: · в части составления и ведения перечня РС (с указанием их размещения, закрепления за подразделениями ОРГАНИЗАЦИИ, состава и характеристик, входящих в его состав технических средств – формуляров РС) - на Управление (отдел, сектор) автоматизации ОРГАНИЗАЦИИ; · в части составления и ведения перечня системных (общих) и прикладных (специальных) задач, решаемых на РС (с указанием перечней используемых при их решении ресурсов - устройств, каталогов, файлов с информацией) - на Управления (отделы, сектора) программирования, внедрения, сопровождения и эксплуатации Управления (отдела, сектора) автоматизации ОРГАНИЗАЦИИ. 3. Ответственность за определение требований к обеспечению конфиденциальности, целостности, доступности и присвоение соответствующих категорий ресурсам конкретных РС (информационным ресурсам и задачам) возлагается на подразделения ОРГАНИЗАЦИИ, которые непосредственно решают задачи на данных РС (владельцев, распорядителей информации), и службу защиты информации. 4. Утверждение назначенных в соответствии с настоящим «Положением...» категорий информационных ресурсов автоматизированной системы производится Начальником службы защиты информации. 5. Инициаторами категорирования РС и получения соответствующих предписаний на эксплуатацию РС (формуляров РС) выступают руководители подразделений ОРГАНИЗАЦИИ, в которых используются данные РС, входящие в состав АС ОРГАНИЗАЦИИ. 6. Контроль за правильностью категорирования ресурсов АС и законностью эксплуатации (наличием утвержденных формуляров) защищенных РС и серверов автоматизированной системы ОРГАНИЗАЦИИ в подразделениях ОРГАНИЗАЦИИ осуществляется сотрудниками службы защиты информации. 7. Категорирование ресурсов автоматизированной системы ОРГАНИЗАЦИИ может осуществляться последовательно для каждой конкретной РС в отдельности с последующим объединением и формированием единых перечней ресурсов АС ОРГАНИЗАЦИИ подлежащих защите: · перечня информационных ресурсов автоматизированной системы ОРГАНИЗАЦИИ, подлежащих защите (Приложение 2); · перечня подлежащих защите задач (совокупности формуляров задач), решаемых в автоматизированной системы ОРГАНИЗАЦИИ; · перечня подлежащих защите РС (совокупности формуляров РС), эксплуатируемых в ОРГАНИЗАЦИИ. На первом этапе работ производится категорирование всех видов информации, используемой при решении задач на конкретной РС (установление категорий конфиденциальности и целостности конкретных видов информации). Подлежащие защите информационные ресурсы включаются в " Перечень информационных ресурсов, подлежащих защите". На втором этапе происходит категорирование всех функциональных задач, решаемых на данной РС. На третьем этапе, устанавливается категория РС, исходя из максимальных категорий обрабатываемой информации и задач, решаемых на нем. 8. Переаттестация (изменение категории) информационных ресурсов автоматизированной системы ОРГАНИЗАЦИИ производится при изменении требований к обеспечению защиты свойств (конфиденциальности и целостности) соответствующей информации. Переаттестация (изменение категории) функциональных задач производится при изменении требований к доступности функциональных задач. Переаттестация (изменение категории) РС производится при изменении категорий обрабатываемой на РС информации или категорий решаемых на данной РС задач. 9. Периодически (раз в год) или по требованию руководителей структурных подразделений ОРГАНИЗАЦИИ, использующих автоматизированной системы, производится пересмотр установленных категорий защищаемых ресурсов АС ОРГАНИЗАЦИИ на предмет их соответствия реальному положению дел.
План защиты информации. План защиты информации
• Раздел 1. Состав и структура информационной подсистемы и характер угроз информационной безопасности организации. • Раздел 2. Меры по предотвращению утечки информации ограниченного распространения и доступа. • Раздел 3. Меры по предотвращению утраты информации ограниченного распространения и доступа. • Раздел 4. План проверок и тренировок по защите информации.
Первый раздел должен содержать анализ путей утечки и утраты информации, цели и задачи защиты информации, основные мероприятия, проводимые в этих целях. Второй и третий разделы целесообразно разделить на две части: в первой излагаются меры по предотвращению утечки или утраты информации по линиям «техническое устройство – техническое устройство» и «персонал – техническое устройство»; во второй – предотвращение утечки информации через персонал и внешнее окружение. Дополнительно может быть разработан план дезинформации потенциальных конкурентов или же соответствующие мероприятия включаются в другие разделы плана защиты информации.
К плану защиты информации не следует относиться как к панацее от всех неожиданностей. В зависимости от интенсивности деятельности организации и освоения новой, более конкурентной продукции, могут составляться разовые планы на период усиления информационного функционирования предприятия или повышенной информационной уязвимости. План обеспечения непрерывной работы и восстановления. План ОНиВД банка разработан в соответствии с Указанием Банка России от 01.01.2001 г. «О внесении изменений в Положение Банка России от 01.01.2001 г. «Об организации внутреннего контроля в кредитных организациях и банковских группах», ФЗ от 01.01.2001 г. №68-ФЗ «О защите населения и территорий от чрезвычайных ситуаций природного и техногенного характера», Постановлением Правительства РФ от 01.01.2001 г. № 000 «О классификации чрезвычайных ситуаций природного и техногенного характера», другими нормативно-правовыми документами и внутренними документами банка. План ОНиВД разработан применительно к крупномасштабным непредвиденным обстоятельствам, сопоставимым по длительности и силе воздействия, размерам возможных материальных потерь и негативным последствиям нематериального характера с чрезвычайной ситуацией муниципального характера. А именно - зона чрезвычайной ситуации не выходит за пределы г. Пскова, при этом: - количество пострадавших от 10 до 50 человек; - либо размер материального ущерба от 0, 1 млн. руб. до 5, 0 млн. руб. К данным непредвиденным обстоятельствам относятся: 1) Ураган - ветер разрушительной силы и значительной продолжительности, скорость которого превышает 32 м/с; 2) Эпидемия - массовое, прогрессирующее во времени и пространстве в пределах определенного региона распространение инфекционной болезни людей, значительно превышающее обычно регистрируемый на данной территории уровень заболеваемости; 3) Режим чрезвычайного положения. Чрезвычайное положение означает вводимый в соответствии с Конституцией Российской Федерации и Федеральным конституционным законом на всей территории Российской Федерации или в ее отдельных местностях особый правовой режим деятельности органов государственной власти, органов местного самоуправления, организаций независимо от организационно-правовых форм и форм собственности, их должностных лиц, общественных объединений, допускающий установленные Федеральным конституционным законом отдельные ограничения прав и свобод граждан Российской Федерации, иностранных граждан, лиц без гражданства, прав организаций и общественных объединений, а также возложение на них дополнительных обязанностей; 4) Террористический акт - совершение взрыва, поджога или иных действий, устрашающих население и создающих опасность гибели человека, причинения значительного имущественного ущерба либо наступления иных тяжких последствий, в целях воздействия на принятие решения органами власти или международными организациями, а также угроза совершения указанных действий в тех же целях. В случае возникновения непредвиденных обстоятельств меньшего масштаба, вызванных вышеперечисленными факторами, либо возникших самостоятельно, в Плане ОНиВД банка предусмотрены отдельные модули: 1) Выход из строя технических средств; 2) Сбои в работе автоматизированных информационных систем; 3) Нарушение коммунальной инфраструктуры; 4) Перебои в электроснабжении; 5) Непредвиденный дефицит ликвидности (в настоящем документе под дефицитом ликвидности понимается дефицит ликвидности, возникший в результате реализации какого-либо непредвиденного обстоятельства из данного Плана, либо комбинация нескольких непредвиденных обстоятельств); 6) Риск потери деловой репутации (в настоящем документе под риском потери деловой репутации понимается риск потери деловой репутации, возникший в результате реализации какого-либо непредвиденного обстоятельства из данного Плана, либо комбинация нескольких непредвиденных обстоятельств, либо в результате появления в СМИ, Интернет и т. д. недостоверной/порочащей банк информации). 38) Меры обеспечения непрерывной работы и восстановления работоспособности ИС. Непрерывность процесса функционирования АС (автоматизированная система) и своевременность восстановления ее работоспособности достигается: Популярное:
|
Последнее изменение этой страницы: 2016-03-17; Просмотров: 2089; Нарушение авторского права страницы