Нормативно-правовое обеспечение Все виды обеспечения информационной безопасности финансовой системы, должны быть сформированы на основе нормативно-правовых документов, официально изданных полномочными органами и организациями в соответствии со следующей иерархией.
1. Макроуровень – Российская Федерация, органы законодательной и исполнительной власти.
2. Метауровень – Министерство финансов, Центральный банк Российской Федерации и другие компетентные ведомства.
3. Микроуровень – организация – владелец информационных систем, ресурсов и сетей финансовой системы, ее подразделения и специалисты в области обеспечения ИБ.
Обеспечение ИБ нижележащего уровня иерархии базируется на всех документах вышележащих уровней.
Документальное оформление правового, нормативного и методического обеспечений ИБ должно быть обязательным для руководства при решении задач технического обеспечения ИБ и выделено в следующие группы документов: правовые, организационно-распорядительные, нормативно-технические и методические документы.
Таблица 5. Структура и примерный состав требуемого нормативно-правового обеспечения
В состав нормативно-правового обеспечения ИБ финансовой системы необходимо включать следующие основные документы метауровня:
- Концепцию информационной безопасности финансовой системы.
- Положение об обеспечении информационной безопасности финансовой системы.
- Положение о реестре конфиденциальной информации, содержащейся в информационных ресурсах финансовой системы.
- Положение о порядке организации и проведении работ по защите информации при ее автоматизированной обработке.
- Положение о порядке эксплуатации средств защиты информации в информационных комплексах финансовой системы.
- Положение о порядке контроля защищенности информационных комплексов.
- Положение об аттестации информационных комплексов по требованиям информационной безопасности.
- Положение о порядке обеспечения катастрофоустойчивости информационных комплексов.
Перечисленные нормативно-правовые документы составляют квалификационный минимум требований к нормативно-правовому обеспечению информационной безопасности финансовой системы.
Для обеспечения установленного режима информационной безопасности на микроуровне, организационно-распорядительные документы соответствующей финансовой организации должны включать:
- меры по организации защиты специфических информационно-технологических процессов;
- правила представления информации, ведения делопроизводства и документооборота;
- правила использования автоматизированного рабочего места и персонального компьютера;
- меры по обеспечению информационной безопасности конкретного объекта, включающие, в том числе:
- порядок оформления, категорирования, предоставления доступа к информационным ресурсам;
- управление доступом к информационным системам, локальной и корпоративной сетям, приложениям и компьютерам;
- требования по использованию паролей;
- требования по защите оборудования, в том числе оборудования, оставляемого без присмотра;
- требования по обеспечению антивирусной защиты;
- требования к администрированию компьютерных систем и вычислительных сетей;
- правила работы с носителями информации и их защиты;
- правила обмена данными и программами;
- правила проведения аудита (контроля) состояния информационной безопасности объектов информатизации;
- регламенты взаимодействия с компонентами комплексной системы информационной безопасности: системы удостоверяющих центров, центра мониторинга событий информационной безопасности, защищенного центра хранения и обработки данных и др.;
- меры по обеспечению физической безопасности оборудования и другие.
Перечисленные требования, нормы и правила должны быть описаны в нормативных документах микроуровня.
Методическое обеспечение ИБ должно предоставлять специалистам, ответственным за решение конкретных задач безопасности, рекомендации по вопросам лицензирования, сертификации, стандартизации, задания и контроля выполнения требований по ИБ, оценки эффективности систем и средств обеспечения информационной безопасности. По каждой из проблем обеспечения ИБ, требующей методической поддержки должен разрабатываться соответствующий документ.
|