г. Улан-Удэ: ул. Ботаническая, д.37а, 3-й этаж; тел.: 8 (3012) 26-99-23, 27-07-27

г. Иркутск: ул. Декабрьских Событий, 55, офис 205; тел.: 8 (3952) 29-26-23, 61-88-71, 29-25-12

Большая библиотека по информационной безопасности и защите ИТ-систем

«Большая библиотека по информационной безопасности и защите ИТ-систем» (далее Библиотека) включает документы и материалы, требующиеся многим сотрудникам и руководителям, которые работают в следующих областях. 

  • Информационная безопасность и кибербезопасность (как подраздел)
  • Риски информационных систем (ИТ-риски)
  • Операционные риски (в широком определении)
  • Обеспечение непрерывности деятельности (business continuity management), операционная надёжность (киберустойчивость)
  • Управление персональными данными (хранение, обработка, защита)
  • Внутренний аудит, внутренний контроль
  • Библиотека предназначена для решения следующих практических задач
  • Разработка и развитие системы управления информационной безопасностью, включая всю необходимую документацию. 
  • Защита информационных активов и ИТ-систем организации, а также обрабатываемых персональных данных. 
  • Проектирование и оптимизация бизнес-архитектуры, ИТ-архитектуры, бизнес-процессов организации с точки зрения информационной безопасности.
  • Обеспечение исполнения внутренних регламентов в области информационной безопасности, выполнение процедур аудита и контроля.
  • Систематизация и распространение знаний в организации, обучение и вовлечение сотрудников.
  • Исполнение государственных и международных стандартов и требований в области информационной безопасности, киберустойчивости и защиты информации. 
  • Применение лучших профессиональных практик и инноваций в данной области. 
  • Организация эффективной работы подразделения (управления) информационной безопасности. 

Внедрение и использование Библиотеки имеет следующие экономические эффекты и выгоды для организации

  • Снижение трудозатрат на разработку документов, выполнение проектов, обучение сотрудников. Быстрое внедрение изменений и нововведений на практике. 
  • Возможность выполнить большой объём задач собственными силами без привлечения внешних консультантов, т.е. без дополнительных расходов. 
  • Минимизация рисков и ошибок за счёт готовых проверенных на практике материалов и решений. 
  • Улучшение показателей KPI бизнес-процессов и ИТ-систем, безопасности и надёжности работы организации в целом. Снижение операционных убытков (потерь). 

Пользователи

Библиотека будет полезна для всех подразделений организации, в первую очередь для следующих: управление информационной безопасности, управление экономической безопасности, управление операционных рисков, управление информационных технологий, управление внутреннего контроля / внутреннего аудита.

Структура и материалы Библиотеки

1. Нормативные документы (55 файлов)

Общие документы (код IB)

  • Инструкция категорирования информационных ресурсов (конфиденциальность, целостность)
  • Методика проведения анализа рисков информационной безопасности
  • Памятка сотруднику по правилам обеспечения информационной безопасности
  • Политика информационной безопасности
  • Политика тестирования информационной безопасности
  • Положение о бесперебойной и безопасной работе информационно-вычислительной сети
  • Положение о ролях по обеспечению информационной безопасности
  • Положение о системе менеджмента информационной безопасности
  • Положение о технических средствах защиты информации
  • Положение об анализе и улучшениях системы обеспечения информационной безопасности
  • Положение об информационной безопасности
  • Положение об информационной безопасности при обеспечении непрерывности бизнеса
  • Положение об обучении и проверке знаний сотрудников по информационной безопасности
  • Положение об оценке рисков нарушения информационной безопасности
  • Порядок проведения аудитов и самооценок информационной безопасности
  • Порядок проведения интервью при самооценке информационной безопасности
  • Регламент тестирования информационной безопасности

Защита ИТ-систем (код IS)

  • Модель угроз безопасности и ИТ-рисков для устройств удаленного доступа
  • Модель угроз и нарушителей безопасности информации в ИТ-системах
  • Политика по внесению изменений в ИТ-системы в части информационной безопасности
  • Политика по обеспечению информационной безопасности технологических процессов и систем
  • Политика по управлению доступом к информационным ресурсам и системам
  • Положение о защите информации в информационных системах
  • Положение о категорировании ИТ-систем и ресурсов в целях защиты
  • Положение о механизмах идентификации, аутентификации и авторизации в ИТ-системах и ресурсах
  • Положение о проведении контроля защищённости ИТ-систем
  • Положение о распределении доступа к ИТ-системам и базам данных
  • Положение об обеспечении информационной безопасности процессов в ИТ-системах
  • Порядок осуществления контроля за состоянием ИТ-системы и её безопасности
  • Порядок предоставления прав доступа к конфиденциальной информации и ИТ-системам
  • Порядок проведения тестирования защищенности ИТ-систем
  • Порядок разработки систем защиты информации в ИТ-системах
  • Порядок эксплуатации систем защиты информации в ИТ-системах
  • Типовая детальная модель защиты информационной системы

Антивирусная защита, кибератаки (код AV)

  • Методика обнаружения и противодействия атакам на ИТ-системы организации
  • Политика антивирусной защиты
  • Положение об антивирусной защите
  • Положение об организации антивирусной защиты локальной вычислительной сети
  • Положение об управлении уязвимостями информационных ресурсов и систем
  • Порядок контроля уязвимостей программного обеспечения в организации

Криптографическая защита и ЭЦП (код CR)

  • Инструкция по администрированию средств криптографической защиты информации (СКЗИ)
  • Политика использования средств криптографической защиты информации
  • Положение об организации криптографической защиты информации
  • Положение по работе со средствами криптографической защиты информации и ключевой информацией
  • Положение по учету, хранению и использованию носителей ключевой информации (ЭЦП)
  • Регламент использования электронной цифровой подписи (ЭЦП) в организации

Защита персональных данных (код PD)

  • Классификация информационных систем для обеспечения безопасности персональных данных
  • Методы и способы защиты персональных данных от несанкционированного доступа
  • Модель угроз информационной системы персональных данных
  • Положение о защите персональных данных работников
  • Положение о персональных данных
  • Порядок доступа к персональным данным, обрабатываемым в ИТ-системах
  • Регламент тестирования информационной системы персональных данных
  • Система защиты персональных данных - техническое задание 1
  • Система защиты персональных данных - техническое задание 2

2. Положения о подразделениях и должностные инструкции (7 файлов)

  • Должностная инструкция Начальника отдела по защите информации
  • Должностная инструкция Специалиста отдела по защите информации
  • Положение о Комитете по информационной безопасности
  • Положение об Органе криптографической защиты
  • Положение об Отделе безопасности информационных технологий
  • Положение об Отделе информационной безопасности
  • Положение об Управлении информационной безопасности

3. Формы документов (12 файлов)

  • Акт проверки безопасности информационной инфраструктуры
  • Анализ соответствия ИТ-системы требованиям безопасности и рекомендации
  • Информационная безопасность и операционная надёжность ИТ-оборудования
  • Информационная безопасность и операционная надёжность ИТ-систем
  • Отчёт о проверке безопасности информационной системы (ИС)
  • Отчёт о результатах обследования процессов обработки персональных данных
  • Отчёт о результатах проверки обеспечения защиты персональных данных в ИС
  • Отчёт об уровне зрелости системы информационной безопасности
  • План действий при возникновении внештатных ситуаций в ИТ-инфраструктуре
  • План защиты от несанкционированного доступа к электронным базам данных и сетевым ресурсам
  • Программа оценки системы информационной безопасности
  • Техническое задание - разработка комплексной системы обеспечения безопасности в ИТ-системе

4. Разные материалы (3 файла)

  • Модель процесса «Управление информационной безопасностью» (Information Security Management)
  • Показатели KPI процесса «Обеспечение безопасности»
  • Статья «Операционная надёжность и операционные риски»
Категория: