|
|
Инспектор
Вы можете этот курс.
Опубликован: 23.02.2018 | Доступ: платный | Студентов: 299 / 96 | Длительность: 13:24:00
Тема: Безопасность
Лекция 10:
Основные мероприятия по проведению аттестации объектов информатизации на соответствие требованиям безопасности информации
Аннотация: Описание мероприятий, проводимых заявителем до начала работ по аттестации объектов информатизации, предварительное ознакомление органа по аттестации с аттестуемым объектом информатизации.
Ключевые слова: аттестация, выход, ПО, работ, очередь, анализ, деятельность, объект, место, сеть, права, доступ, распределение обязанностей, определение, автоматизированная система
Основные мероприятия по проведению аттестации объектов информатизации на соответствие требованиям безопасности информации
Цель: получение навыков подготовки документов, необходимых заявителю на этапе подготовки объекта информатизации к аттестации.
Перед тем, как приступить к изучению практических вопросов аттестации примем одно допущение. Поскольку общие принципы аттестации едины для разного рода объектов информатизации, в рамках данного курса более подробно будет рассматриваться аттестация объекта информатизации, представляющего собой автоматизированную систему, построенную на базе одиночной персональной электронно-вычислительной машины (ПЭВМ) и не имеющей выход в открытые сети и сети международного информационного обмена. В случае необходимости, будут дополнительно уточняться особенности аттестации того или иного вида объектов информатизации.
Для обеспечения защиты информации ограниченного доступа в организации приказом руководителя организации назначается должностное лицо или структурное подразделение, ответственное за обеспечение безопасности информации в организации. Приказ включает в себя:
- определение должностного лица, ответственного за руководство работами по защите информации в организации (как правило, заместитель руководителя организации);
- определение должностного лица или структурного подразделения, ответственного за защиту информации в организации в целом;
- перечень функциональных обязанностей ответственных должностных лиц;
- перечень мероприятий по подготовке к проведению работ по защите информации в организации и сроки их выполнения (определение перечня объектов информатизации, перечня сведений, подготовка руководства по защите и т.д.);
- прочие поручения по вопросам защиты информации (утверждение перечня лиц, допущенных к работе с информацией ограниченного доступа, определение мест работы с информацией ограниченного доступа и т.д.).
Структурное подразделение разрабатывает, а руководитель организации утверждает "Руководство по защите информации в организации" либо "Положение о порядке организации и проведения работ по защите информации". Примерная структура и содержание вышеуказанных документов представлена в таблице 1:
| № раздела | Название раздела | Краткое содержание раздела |
|---|---|---|
| 1 | Общие положения | |
| Перечень нормативно-правовых актов и нормативно-методических документов, на основании которых разработано Положение. | ||
| Перечень конфиденциальной информации организации, либо ссылка на документально оформленный Перечень сведений конфиденциального характера организации | ||
| Цели и задачи защиты информации ограниченного доступа в организации | ||
| Сфера применения положения, на какие подразделения организации распространяется | ||
| 2 | Виды информации ограниченного доступа в организации | |
| Краткий перечень защищаемых в организации видов информации ограниченного доступа (все имеющиеся виды информации конфиденциального характера) | ||
| Перечень информации, которая не может быть отнесена в организации к информации ограниченного доступа | ||
| Порядок отнесения в организации информации к информации ограниченного доступа | ||
| 3 | Защита информации ограниченного доступа | |
| Перечень мероприятий, направленных на защиту информации ограниченного доступа в организации | ||
| Перечень должностных лиц и подразделений, ответственных за защиту информации в организации. Их права и обязанности | ||
| Порядок обращения с информацией ограниченного доступа в организации | ||
| Порядок проведения работ по разработке, созданию и эксплуатации и модернизации объектов информатизации и их средств защиты информации | ||
| 4 | Порядок передачи и распространения информации ограниченного доступа | |
| Порядок действий ответственных за защиту информации в организации лиц при передаче информации ограниченного доступа третьим лицам, права и обязанности должностных лиц | ||
| Порядок действий ответственных за защиту информации в организации лиц при предоставлении информации ограниченного доступа по запросу третьим лицам, права и обязанности должностных лиц | ||
| Порядок взаимодействия, права и обязанности взаимодействующих сторон при передаче или предоставлении информации ограниченного доступа | ||
| 5 | Ответственность работников | |
| Виды ответственности за разглашение, утрату, утечку информации ограниченного доступа по вине сотрудников организации, допущенных к этой информации | ||
| Порядок действий ответственных лиц в случае разглашения, утечки информации ограниченного доступа в организации | ||
| Перечень контрольных мероприятий, проводимых в организации с целью недопущения утечки, утраты, разглашения информации ограниченного доступа | ||
| 6 | Заключительные положения | |
| Вступление в силу | ||
| Порядок внесения изменений | ||
| Порядок получения доступа к положению |
Екатерина Крысанова
|
Уважаемые экзаменаторы, возможно, я ошибаюсь, но вопрос 6 звучал как Вместе с тем, в ответах этот вопрос звучит иначе: Задание 6 (Вы ответили неверно): Может ли автоматизированной системе, обрабатывающей персональные данные, присвоен класс 1В |