Контакты
Подписка
МЕНЮ
Контакты
Подписка

Инструкция по информационной безопасноти - Форум по вопросам информационной безопасности

Инструкция по информационной безопасноти - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Алексей | 108960 05.01.2021 11:39
Добрый день!
Подскажите пожалуйста.
Нужно составить проект Инструкции по защите информации объекта информатизации. Но не могу понять что она должна содержать.
Объект обрабатывает конфиденциальную информацию. Модель нарушителя, угроз безопасности составил (есть методика ФСТЭК, ГОСТы), по инструкции пользователя и администратора более-менее тоже понятно что писать, а что писать в Инструкции по информационной безопасности не пойму. Какое содержание должно быть.
Подскажите пожалуйста. Может ГОСТ какой с указанием пунктов содержания (хоть примерно).
Спасибо.

Автор: Денис | 108961 05.01.2021 16:33
Есть документ (некое дополнение к 17 приказу ФСТЭК) - меры защиты информации в ГИС.

Там говорится о неких правилах и процедурах, которые должны описывать почти каждую меру из списка (УПД, ЗТС, и тд).

Читаешь меры защиты ГИС, там, например, видишь:
Смена паролей пользователей для 3 класса должна быть не реже N дней. Вот тебе и 1 пункт твоей инструкции для данной меры. и тд.

Автор: Денис | 108962 05.01.2021 16:34
* к прошлому сообщению.

Тебе, согласно мерам, нужно (например) - обеспечения антивирусной защиты, защита виртуальной среды и тд.

найди все доки в гугле (там все есть). Соедини все вместе. и все.

Автор: oko | 108963 06.01.2021 14:07
to Алексей
Primo, методики для построения Модели УБИ и тем более нарушителя по ФСТЭК для КОНФИ-объектов не существует...
Secundo, любая Инструкция должна содержать описание того, что настроено (установлено, реализовано) и как работать с тем, что настроено (установлено, реализовано)...
Tertio, +1 к тов. Денис. Но я бы расширил описание в Инструкции, исходя из реализованной у вас системы защиты и установленной политики безопасности. Т.е. не только требования того же 17 Приказа (тем более, если у вас КОНФИ-объект). И как минимум разбил бы инструкцию на две: для администраторов системы и для пользователей...
Quatro, перечень реализованных мер, правил, конфигураций системы защиты вообще выделил бы в отдельный документ...
Прошла пара месяцев

Автор: Александр | 109047 26.02.2021 12:23
Алесей, тоже встала задача аттестовать АРМ по стр-к, никогда не приходилось писать модель угроз только руководствуясь этим документов, можно увидеть вашу модель нарушителя и угрозы безопасности. Я так понимаю модель угроз как таковая не нужна, достаточно этих двух документов вместо нее

Автор: sekira | 109048 26.02.2021 14:24

Просмотров темы: 669

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*