Комплекс проектируемых нормативно-правовых и организационно-административных средств обеспечения информационной безопасности и защиты информации предприятия

2.1.1. Отечественная и международная нормативно-правовая основа создания системы обеспечения информационной безопасности и защиты информации предприятия.

Раздел подразумевает выбор нормативных актов отечественного и международного права, в качестве основы для формирования организационной системы обеспечения информационной безопасности и защиты информации предприятия. Отечественные и международные нормативные правовые акты[2], во-первых — это совокупность специальных принципов и норм, регулирующих права и обязанности субъектов права в процессе использования и защиты информации, во-вторых, комплекс отечественных и международных стандартов в конкретной сфере реализации информационной безопасности и защиты информации.

Подбор норм данной сферы регламентирует как аппаратно-программные, инженерно-технические аспекты системы обеспечения информационной безопасности защиты информации, так и вопросы их содержания.

2.1.2. Организационно-административная основа создания системы обеспечения информационной безопасности и защиты информации предприятия. Политика информационной безопасности предприятия.

Выбор организационно-административных средств подразумевает использование управленческих функций руководством (администрацией) предприятия, по организации конфиденциального делопроизводства, службы безопасности и охраны предприятия посредством приказов, распоряжений, директив и инструкций и их документирование.

Пункт должен содержать:

а) обоснование выбора типов и количества документов, регламентирующих выполнение организационных мероприятий;

б) формы разработанных документов.

Документы должны быть разработаны в соответствии с требованиями ГОСТ Р 6.30-2003. Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов, ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения.

Шаблоны основных документов приведены в Приложении 1.

2.2. Комплекс внедряемых (разрабатываемых) программно-аппаратных средств обеспечения информационной безопасности.

2.2.1. Основные сведения о внедряемых программно-аппаратных средствах обеспечения информационной безопасности.

Вне зависимости от рассматриваемого направления инженерно-технической защиты, данный пункт должен содержать:

· описание модели (образца, версии) ПиАСИБ, сведения о сертификации;

· описание принципа работы выбранных ПиАСИБ

· функциональные возможности, насколько эти возможности позволяют минимизировать риски, определенные в п.1.2.5.

· порядок лицензирования (при необходимости) использования выбранного ПиАСИБ;

· порядок установки, инсталляции (демонтажа, деинсталляции) выбранных ПиАСИБ;

· порядок закрепления выбранных ПиАСИБ за должностными лицами

· описание режимов работы (способов размещения, включения);

· порядок проведения технического обслуживания;

· порядок взаимодействия с организацией-поставщиком

· порядок подготовки (обучения) персонала;

· правила и меры безопасности при эксплуатации выбранных ПиАСИБ

2.2.2. Контрольный пример реализации проекта и его описание

Данный пункт должен содержать:

а) перечень структурных подразделений предприятия, в которых внедряются выбранные ПиАСИБ (разработанные нормативные документы)

б) схемы:

· технической архитектуры;

· программной архитектуры;

· размещения средств видеонаблюдения (элементов системы контроля и управления доступом)

За основу рекомендуется взять схемы из п 1.2.4. и дополнить/изменить их в соответствии с принятыми решениями;

в) детальное описание действий операторов при эксплуатации ПиАСИБ в различных режимах, например:

· доступ пользователей к ресурсам системы;

· настройка межсетевого экрана;

· формирование и распределение ключей;

· выдача, проверка и аннулирование идентификаторов;

· реагирование на инциденты;

· проведение текущего аудита;

· настройка и эксплуатация средств противодействия ИТР конкурентов;

· проверка аппаратных средств на наличие закладок;

· проверка помещений на наличие средств промышленного шпионажа;

· настройка антивирусного программного обеспечения;

· настройка систем обнаружения и предотвращения вторжений;

· настройка систем резервного копирования;

· настройка VPN и др.

г) экранные формы для ввода и отображения информации

д) формы документов

Вся, представленная в данном пункте информация должна быть связана с данными, изложенными в п.2.1.2. Другими словами, внедрение программно-аппаратных средств должно осуществляться в соответствии со сформированной политикой безопасности.

Структура третьей главы

III Обоснование экономической эффективности проекта

3.1 Выбор и обоснование методики расчёта экономической эффективности

3.2 Расчёт показателей экономической эффективности проекта