Состав внутренних документов, относящихся к СУИБ:

3. Документы третьего уровня (средний - технический):

3.7.Приобретение, разработка и поддержание ИС:

•Процедура принятия нового СОИ, ПО, ИС, сети

•Процедура разработки(доработки) ПО, ИС

•Процедура управления техническими

уязвимостями

•Процедура криптографической защиты

•Правила ввода данных в ПО, ИС, СОИ

3.8.Управление инцидентами:

•Процедура выявления и регистрации инцидентов

•Журнал регистрации инцидентов ИБ

•Журнал регистрации жалоб и предложений ИБ

11

Состав внутренних документов, относящихся к СУИБ:

3. Документы третьего уровня (средний - технический):

3.9.Управление непрерывностью бизнеса:

•Процедура управления непрерывностью бизнеса

•Риски серьезного прерывания бизнеса

•Планы восстановления бизнеса

•Записи о тестировании планов восстановления

3.10.Управление соответствием требованиям:

•Перечень применимого законодательства

•Документы на ПО, ИС (лицензии)

•Перечень законодательных и контрактовых требований по наличию и хранению записей

•Процедура защиты персональных данных

•Перечень законодательных требований по

криптозащите

12

Состав внутренних документов, относящихся к СУИБ:

4. Документы четвертого уровня (нижний): 4.1.Копии внешней политики во всех помещениях

4.2.Копии Процедур управления документацией во всех подразделениях

4.3.Копии Процедуры управления записями во всех подразделениях

4.4.Памятка по антивирусной защите

4.5.Памятка по резервному копированию

4.6.Памятка по работе с паролями

4.7.Памятка при работе на ПК

4.8.Памятка по обмену информацией

4.9.Памятка по вводу информации в ИС

4.10.Памятка по работе с электронными документами

4.11.Памятка по работе с бумажными документами

4.12.Действия в случае нестандартной ситуации

4.13.Действия в случае катастрофы

4.14.Памятка по защите персональных данных

4.15.Указатели на входах в зоны особой защиты

13

Шаблоны документов, относящихся к СУИБ: Политики

ohttp://securitypolicy.ru

ohttp://www.dir.state.tx.us/security/policies/templates.htm

ohttp://csrc.nist.gov/groups/SMA/fasp/archive.html

ohttp://www.sans.org/resources/policies/

ohttp://www.brookes.ac.uk/infosec/

ohttp://www.vita.virginia.gov/library/default.aspx?id=537

ohttp://www.it.ufl.edu/policies/security/

ohttp://www.yourwindow.to/security-policies/

ohttp://www.hp.com/sbso/productivity/howto/security/

ohttp://www.wustl.edu/policies/

ohttp://www.dhs.state.or.us/policy/admin/infosecuritylist.htm

ohttp://www.tcd.ie/ITSecurity/policies/infosec.php

ohttp://www.fs.uiuc.edu:1503/fsindex.html?col=cam&qc=cam

ohttp://campus.leeds.ac.uk/isms/

ohttp://it.ouhsc.edu/policies/

ohttp://www.cisco.com/en/US/tech/tk869/tk769/ technologies_white_paper09186a008014f945.shtml

ohttp://www.sans.org/reading_room/whitepapers/policyissues/

ohttp://www.windowsecurity.com/pages/security-policy.pdf

14

Шаблоны документов, относящихся к СУИБ:

Политики сетевой безопасности

http://www.cisco.com/warp/public/126/secpol.html

Правила разработки политик

http://www.sans.org/reading_room/whitepapers/po licyissues/

http://www.windowsecurity.com/pages/security- policy.pd

15

Управление документами СУИБ:

Для разработки, актуализации, использования, хранения и уничтожения документов СУИБ, а также их защиты в организации должна существовать документированная процедура, определяющая действия руководства по:

•утверждению документов перед их изданием;

•пересмотру и обновлению, при необходимости, документов, атакже повторному их утверждению;

•обеспечению идентификации внесенных изменений и текущего статуса документа;

•обеспечению наличия версий соответствующих документов в местах их использования;

•определению порядка просмотра документов и их идентификации;

•обеспечению доступа к документам авторизованным лицам, а также передачи, хранения и уничтожения в соответствии с процедурами, применяемых к степени их конфиденциальности;

•идентификации документов, созданных вне организации;

•обеспечению контроля за распространением документов;

•предотвращению непреднамеренного использования устаревших документов;

•использованию соответствующей идентификации устаревших документов в случае их дальнейшего хранения.

16

Управление документами СУИБ:

Рекомендуется, чтобы положения документов:

•носили обязательный (не рекомендательный)

характер;

•были выполнимыми и контролируемыми (не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен);

•были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе, в условиях их изменчивости;

•не противоречили друг другу.

17

Методические рекомендации по документации ИБ

Рекомендуется, чтобы положения документов по обеспечению ИБ :

•носили обязательный (не рекомендательный)

характер;

•были выполнимыми и контролируемыми (не рекомендуется включать в состав этих документов положения, контроль реализации которых затруднен или невозможен);

•были адекватны требованиям и условиям ведения деятельности (включая угрозы и риски ИБ), в том числе, в условиях их изменчивости;

•не противоречили друг другу.

18

Благодарю за внимание!

Толстой Александр Иванович

AITolstoj@mephi.ru

8(499)324-97-35