ами) підприємства.
Державні органи РФ, контролюють діяльність в галузі захисту інформації:
Комітет Державної думи з безпеки;
Рада безпеки Росії;
Федеральна служба з технічного та експортного контролю (ФСТЕК Росії);
Федеральна служба безпеки Російської Федерації (ФСБ Росії);
ФСО (ФСО Росії);
Служба зовнішньої розвідки Російської Федерації (СЗР Росії);
Міністерство оборони Російської Федерації (Міноборони Росії);
Міністерство внутрішніх справ Російської Федерації (МВС Росії);
Федеральна служба з нагляду у сфері зв'язку, інформаційних технологій і масових комунікацій (Роскомнадзор).
Служби, що організують захист інформації на рівні підприємства
Служба економічної безпеки;
Служба безпеки персоналу (Режимний відділ);
Кадрова служба;
Служба інформаційної безпеки.
Організаційно-технічні і режимні заходи і методи
Для опису технології захисту інформації конкретної інформаційної системи зазвичай будується так звана Політика інформаційної безпеки або Політика безпеки нашої інформаційної системи.
Політика безпеки (інформації в організації) (англ. Organizational security policy) - сукупність документованих правил, процедур, практичних прийомів або керівних принципів в області безпеки інформації, якими керується організація у своїй діяльності.
Політика безпеки інформаційно-телекомунікаційних технологій (англ. ІСТ security policy) - правила, директиви, що склалася практика, які визначають, як в межах організації та її інформаційно-телекомунікаційних технологій управляти, захищати і розподіляти активи, у тому числі критичну інформацію.
Для побудови Політики інформаційної безпеки рекомендується окремо розглядати наступні напрямки захисту інформаційної системи:
Захист об'єктів інформаційної системи;
Захист процесів, процедур і програм обробки інформації;
Захист каналів зв'язку (акустичні, інфрачервоні, провідні, радіоканали та інших.);
Придушення побічних електромагнітних випромінювань;
Управління системою захисту.
При цьому по кожному з перерахованих вище напрямків Політика інформаційної безпеки повинна описувати наступні етапи створення засобів захисту інформації:
Визначення інформаційних і технічних ресурсів, що підлягають захисту;
Виявлення повної безлічі потенційно можливих загроз і каналів витоку інформації;
Проведення оцінки вразливості і ризиків інформації при наявному безлічі загроз і каналів витоку;
Визначення вимог до системи захисту;
Здійснення вибору засобів захисту інформації та їх характеристик;
Впровадження та організація використання вибраних заходів, способів і засобів захисту;
Здійснення контролю цілісності і керування системою захисту.
Політика інформаційної безпеки оформляється у вигляді документованих вимог на інформаційну систему. Документи зазвичай поділяють за рівнями опису (деталізації) процесу захисту.
Документи верхнього рівня Політики інформаційної безпеки відображають позицію організації до діяльності в галузі захисту інформації, її прагнення відповідати державним, міжнародним вимогам і стандартам у цій галузі. Подібні документи можуть називатися «Концепція ІБ», «Регламент управління ІБ», «Політика ІБ», «Технічний стандарт ІБ» і т. П. Область поширення документів верхнього рівня зазвичай не обмежується, проте дані документи можуть випускатися і в двох редакціях - для зовнішнього і внутрішнього використання.
Згідно ГОСТ Р ІСО/МЕК 17799-2005, на верхньому рівні Політики інформаційної безпеки повинні бути оформлені наступні документи: «Концепція забезпечення ІБ», «Правила допустимого використання ресурсів інформаційної системи», «План забезпечення безперервності бізнесу ».
До середнього рівня відносять документи, що стосуються окремих аспектів інформаційної безпеки. Це вимоги на створення та експлуатацію засобів захисту інформації, організацію інформаційних та бізнес-процесів організації по конкретному напрямку захисту інформації. Наприклад: Безпеки даних, Безпеки комунікацій, Використання засобів криптографічного захисту, Контентная фільтрація і т. П. Подібні документи зазвичай видаються у вигляді внутрішніх технічних і організаційних політик (ста...
