Опубликован: 23.02.2018 | Уровень: для всех | Доступ: свободно
Лекция 10:

Основные мероприятия по проведению аттестации объектов информатизации на соответствие требованиям безопасности информации

< Лекция 9 || Лекция 10: 12 || Лекция 11 >
Аннотация: Описание мероприятий, проводимых заявителем до начала работ по аттестации объектов информатизации, предварительное ознакомление органа по аттестации с аттестуемым объектом информатизации.

Основные мероприятия по проведению аттестации объектов информатизации на соответствие требованиям безопасности информации

Цель: получение навыков подготовки документов, необходимых заявителю на этапе подготовки объекта информатизации к аттестации.

Перед тем, как приступить к изучению практических вопросов аттестации примем одно допущение. Поскольку общие принципы аттестации едины для разного рода объектов информатизации, в рамках данного курса более подробно будет рассматриваться аттестация объекта информатизации, представляющего собой автоматизированную систему, построенную на базе одиночной персональной электронно-вычислительной машины (ПЭВМ) и не имеющей выход в открытые сети и сети международного информационного обмена. В случае необходимости, будут дополнительно уточняться особенности аттестации того или иного вида объектов информатизации.

Для обеспечения защиты информации ограниченного доступа в организации приказом руководителя организации назначается должностное лицо или структурное подразделение, ответственное за обеспечение безопасности информации в организации. Приказ включает в себя:

  • определение должностного лица, ответственного за руководство работами по защите информации в организации (как правило, заместитель руководителя организации);
  • определение должностного лица или структурного подразделения, ответственного за защиту информации в организации в целом;
  • перечень функциональных обязанностей ответственных должностных лиц;
  • перечень мероприятий по подготовке к проведению работ по защите информации в организации и сроки их выполнения (определение перечня объектов информатизации, перечня сведений, подготовка руководства по защите и т.д.);
  • прочие поручения по вопросам защиты информации (утверждение перечня лиц, допущенных к работе с информацией ограниченного доступа, определение мест работы с информацией ограниченного доступа и т.д.).

Структурное подразделение разрабатывает, а руководитель организации утверждает "Руководство по защите информации в организации" либо "Положение о порядке организации и проведения работ по защите информации". Примерная структура и содержание вышеуказанных документов представлена в таблице 1:

Таблица 1. Структура документов по защите информации
№ раздела Название раздела Краткое содержание раздела
1 Общие положения
Перечень нормативно-правовых актов и нормативно-методических документов, на основании которых разработано Положение.
Перечень конфиденциальной информации организации, либо ссылка на документально оформленный Перечень сведений конфиденциального характера организации
Цели и задачи защиты информации ограниченного доступа в организации
Сфера применения положения, на какие подразделения организации распространяется
2 Виды информации ограниченного доступа в организации
Краткий перечень защищаемых в организации видов информации ограниченного доступа (все имеющиеся виды информации конфиденциального характера)
Перечень информации, которая не может быть отнесена в организации к информации ограниченного доступа
Порядок отнесения в организации информации к информации ограниченного доступа
3 Защита информации ограниченного доступа
Перечень мероприятий, направленных на защиту информации ограниченного доступа в организации
Перечень должностных лиц и подразделений, ответственных за защиту информации в организации. Их права и обязанности
Порядок обращения с информацией ограниченного доступа в организации
Порядок проведения работ по разработке, созданию и эксплуатации и модернизации объектов информатизации и их средств защиты информации
4 Порядок передачи и распространения информации ограниченного доступа
Порядок действий ответственных за защиту информации в организации лиц при передаче информации ограниченного доступа третьим лицам, права и обязанности должностных лиц
Порядок действий ответственных за защиту информации в организации лиц при предоставлении информации ограниченного доступа по запросу третьим лицам, права и обязанности должностных лиц
Порядок взаимодействия, права и обязанности взаимодействующих сторон при передаче или предоставлении информации ограниченного доступа
5 Ответственность работников
Виды ответственности за разглашение, утрату, утечку информации ограниченного доступа по вине сотрудников организации, допущенных к этой информации
Порядок действий ответственных лиц в случае разглашения, утечки информации ограниченного доступа в организации
Перечень контрольных мероприятий, проводимых в организации с целью недопущения утечки, утраты, разглашения информации ограниченного доступа
6 Заключительные положения
Вступление в силу
Порядок внесения изменений
Порядок получения доступа к положению
< Лекция 9 || Лекция 10: 12 || Лекция 11 >
Анатолий Зимиров
Анатолий Зимиров

 

 

Екатерина Крысанова
Екатерина Крысанова

Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как 
Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1Г

Вместе с тем, в ответах этот вопрос звучит иначе:

Задание 6 (Вы ответили неверно):

Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В

Я ошибаюсь?

Владислав Ветошкин
Владислав Ветошкин
Россия, Ижевск, Ижевский государственный технический университет имени А.Т. Калашникова, 2011
Саламат Исахан
Саламат Исахан
Россия, Turkistan