Инструкция по информационной безопасноти - Форум по вопросам информационной безопасности
Инструкция по информационной безопасноти - Форум по вопросам информационной безопасности
| Автор: Алексей | 108960 | 05.01.2021 11:39 |
|
Добрый день!
Подскажите пожалуйста. Нужно составить проект Инструкции по защите информации объекта информатизации. Но не могу понять что она должна содержать. Объект обрабатывает конфиденциальную информацию. Модель нарушителя, угроз безопасности составил (есть методика ФСТЭК, ГОСТы), по инструкции пользователя и администратора более-менее тоже понятно что писать, а что писать в Инструкции по информационной безопасности не пойму. Какое содержание должно быть. Подскажите пожалуйста. Может ГОСТ какой с указанием пунктов содержания (хоть примерно). Спасибо. |
|
| Автор: Денис | 108961 | 05.01.2021 16:33 |
|
Есть документ (некое дополнение к 17 приказу ФСТЭК) - меры защиты информации в ГИС.
Там говорится о неких правилах и процедурах, которые должны описывать почти каждую меру из списка (УПД, ЗТС, и тд). Читаешь меры защиты ГИС, там, например, видишь: Смена паролей пользователей для 3 класса должна быть не реже N дней. Вот тебе и 1 пункт твоей инструкции для данной меры. и тд. |
|
| Автор: Денис | 108962 | 05.01.2021 16:34 |
|
* к прошлому сообщению.
Тебе, согласно мерам, нужно (например) - обеспечения антивирусной защиты, защита виртуальной среды и тд. найди все доки в гугле (там все есть). Соедини все вместе. и все. |
|
| Автор: oko | 108963 | 06.01.2021 14:07 |
|
to Алексей
Primo, методики для построения Модели УБИ и тем более нарушителя по ФСТЭК для КОНФИ-объектов не существует... Secundo, любая Инструкция должна содержать описание того, что настроено (установлено, реализовано) и как работать с тем, что настроено (установлено, реализовано)... Tertio, +1 к тов. Денис. Но я бы расширил описание в Инструкции, исходя из реализованной у вас системы защиты и установленной политики безопасности. Т.е. не только требования того же 17 Приказа (тем более, если у вас КОНФИ-объект). И как минимум разбил бы инструкцию на две: для администраторов системы и для пользователей... Quatro, перечень реализованных мер, правил, конфигураций системы защиты вообще выделил бы в отдельный документ... |
|
Прошла пара месяцев
| Автор: Александр | 109047 | 26.02.2021 12:23 |
|
Алесей, тоже встала задача аттестовать АРМ по стр-к, никогда не приходилось писать модель угроз только руководствуясь этим документов, можно увидеть вашу модель нарушителя и угрозы безопасности. Я так понимаю модель угроз как таковая не нужна, достаточно этих двух документов вместо нее
|
|
| Автор: sekira | 109048 | 26.02.2021 14:24 |
Просмотров темы: 893
Добавить сообщение
Copyright © 2018-2022, ООО "ГРОТЕК"