Инструкция по компьютерной безопасности в организации

Данный архив содержит шаблоны документов по защите информации в целом и по защите персональных данных в частности.

1. Раздел «Общее» — документы, утверждение которых, как правило необходимо для любой системы, независимо от ее классификации:
  • Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информации
  • Инструкция администратора безопасности
  • Инструкция ответственного за организацию обработки персональных данных
  • Приказ о назначении группы реагирования на инциденты информационной безопасности и о правилах регистрации инцидентов информационной безопасности и реагирования на них
  • Инструкция по реагированию на инциденты информационной безопасности
  • Инструкция пользователя государственной информационной системы
  • Приказ об утверждении внутренних нормативных актов по защите информации
  • Политика информационной безопасности в составе:
  • — Общие положения
  • — Технологические процессы обработки защищаемой информации в информационных системах
  • — Правила и процедуры идентификации и аутентификации пользователей, политика разграничения доступа к ресурсам информационной системы
  • — Правила и процедуры управления установкой (инсталляцией) компонентов программного обеспечения
  • — Правила и процедуры обеспечения доверенной загрузки средств вычислительной техники
  • — Правила и процедуры выявления, анализа и устранения уязвимостей
  • — Правила и процедуры контроля состава технических средств, программного обеспечения и средств защиты информации
  • — Правила и процедуры резервирования технических средств, программного обеспечения, баз данных, средств защиты информации и их восстановления при возникновении нештатных ситуаций
  • — Форма заявки на внесение изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам информационной системы
  • — Форма задания на внесение изменений в списки пользователей информационной системы
  • — Форма положения о разграничении прав доступа (ролевая система допуска к ресурсам)
  • — Форма перечня лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
  • — Форма перечня помещений, в которых разрешена работа с ресурсами информационной системы, в которых размещены технические средства, а также перечень лиц, допущенных в эти помещения
  • — Форма списка разрешающих правил взаимодействия с внешними телекоммуникационными сетями
  • — Форма списка разрешенного программного обеспечения в информационной системе
  • — Форма списка прикладного программного обеспечения информационной системы, доступного внешним пользователям
  • — Форма списка пользователей, которым в соответствии с должностными обязанностями предоставлен удаленный доступ к информационной системе
  • — Порядок резервирования информационных ресурсов
  • — План обеспечения непрерывности функционирования информационной системы
  • Приказ об организации контролируемой зоны
  • Положение о контролируемой зоне
  • План мероприятий по обеспечению безопасности защищаемой информации, выполнению требований законодательства по защите информации, а также по контролю уровня защищенности и выполнения мер по защите информации в информационной системе
  • Форма журнала учета машинных носителей информации, стационарно устанавливаемых в корпус средств вычислительной техники
  • Форма журнала учета портативных вычислительных устройств, имеющих встроенные носители информации
  • Форма журнала учета приема/выдачи съемных машинных носителей информации
  • Форма журнала учета средств защиты информации
  • Форма журнала учета периодического тестирования средств защиты информации
  • Форма журнала проведения инструктажей по информационной безопасности
  • Форма журнала учета мероприятий по контролю обеспечения защиты информации
2. Раздел «Только ГИС» — небольшая подборка документов, которые необходимы для государственных или муниципальных информационных систем:
  • Приказ о необходимости защиты информации, содержащейся в государственной информационной системе
  • Приказ о необходимости защиты информации, содержащейся в муниципальной информационной системе
  • Приказ о классификации государственной информационной системы
  • Форма акта классификации государственной информационной системы
  • Приказ о вводе в эксплуатация государственной информационной системы
3. Раздел «ПДн» — документы по защите персональных данных, регламентированные 152-ФЗ и подзаконными актами:
  • Положение о защите и обработке персональных данных в составе:
  • — Общие положения
  • — Основные понятия и состав персональных данных
  • — Общие принципы обработки персональных данных
  • — Порядок сбора и хранения персональных данных
  • — Процедура получения персональных данных
  • — Передача персональных данных третьим лицам
  • — Трансграничная передача персональных данных
  • — Порядок уничтожения и блокирования персональных данных
  • — Защита персональных данных
  • — Согласие на обработку персональных данных
  • — Организация доступа работников к персональным данным субъектов
  • — Организация доступа субъекту персональных данных к его персональным данным
  • — Права и обязанности оператора персональных данных
  • — Права и обязанности работников, допущенных к обработке персональных данных
  • — Права субъекта персональных данных
  • — Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
  • Правила рассмотрения запросов субъектов персональных данных или их представителей
  • Приказ об утверждении перечня лиц, допущенных к обработке персональных данных
  • Форма перечня лиц, допущенных к обработке персональных данных
  • Политика в отношении обработки персональных данных
  • Приказ об определении уровня защищенности персональных данных
  • Форма акта определения уровня защищенности персональных данных
  • Правила обработки персональных данных без использования средств автоматизации
  • Приказ о назначении комиссии по уничтожению документов, содержащих персональные данные
  • Форма акта уничтожения персональных данных
  • Приказ об утверждении мест хранения персональных данных и лицах, ответственных за соблюдение конфиденциальности персональных данных при их хранении
  • Форма согласия субъекта на обработку его персональных данных
  • Положение о системе видеонаблюдения
  • Форма соглашения о неразглашении персональных данных
  • Форма журнала учета обращений граждан-субъектов персональных данных о выполнении их законных прав
4. Раздел «СКЗИ» — документы, необходимые при использовании в системе защиты информации криптографических средств
  • Приказ о порядке хранения и эксплуатации средств криптографической защиты информации
  • Форма перечень сотрудников, допущенных к работе с СКЗИ
  • Инструкция по обеспечению безопасности эксплуатации СКЗИ
  • Форма акта об уничтожении криптографических ключей и ключевых документов
  • Схема организации криптографической защиты информации
5. Модель угроз безопасности информации

Источник
  • security awareness

Инструкция по информационной безопасности для новых сотрудников

Чтобы минимизировать количество киберинцидентов, стоит завести инструкцию с базовыми правилами ИБ и выдавать ее каждому новому сотруднику.


Чтобы минимизировать шансы на ошибку, в компании полезно иметь единую инструкцию по информационной безопасности. С ней следует знакомить всех новых сотрудников при найме, да и до сведения старых тоже имеет смысл довести. Писать такую инструкцию с нуля может быть достаточно сложно, поэтому мы решили сделать это за вас — хотя бы накидать общий план, к которому вы потом сможете добавить специфичные для вашей компании пункты. Вот что должно быть в такой инструкции, по нашему мнению.

Доступ к корпоративным ресурсам и сервисам

  1. Используйте только сложные пароли: они должны быть не менее 12 знаков длиной, не состоять из словарных слов, содержать спецсимволы и цифры. Если пароль простой, злоумышленник сможет подобрать его простым перебором.
  2. Пароли должны быть уникальными: не используйте один и тот же пароль для всех рабочих ресурсов. Тем более — не используйте его же и в личных целях. Достаточно будет утечки из одного из сервисов, чтобы скомпрометировать их все.
  3. Пароли должны быть секретными: не записывайте пароль на бумаге и не храните около рабочего места; не вписывайте их в файлы и не делитесь ими с коллегами. Иначе случайный посетитель офиса или уволившийся сотрудник сможет воспользоваться таким паролем во вред компании.
  4. Если сервис позволяет включить двухфакторную аутентификацию, включите ее. Это не позволит злоумышленнику получить доступ к сервису даже в случае утечки пароля.

О важности персональных данных

  1. Не выкидывайте бумаги с персональными данными в мусорную корзину. Если их нужно выкинуть, воспользуйтесь шредером. Злоумышленники нередко изучают выброшенные бумаги и могут наткнуться на них.
  2. Не передавайте файлы с персональными данными по открытым каналам (например, через Google Docs по прямой ссылке или через публичные файлохранилища). Тот же Google индексирует документы в доступе по ссылке, так что на них может наткнуться посторонний.
  3. Не делитесь персональными данными клиентов с коллегами, чьи рабочие функции не требуют такого доступа. Если такая практика обнаружится во время аудита, то компанию ждут неприятности от регуляторов, да и вероятность утечки возрастает.

О самых распространенных киберугрозах

  1. Тщательно проверяйте ссылки в письмах, прежде чем по ним переходить. Убедительно выглядящее имя отправителя — не гарантия подлинности. Злоумышленники могут попробовать подсунуть фишинговую ссылку, особенно если им удастся захватить почту кого-то из ваших коллег.
  2. Если вы распоряжаетесь бюджетами, то никогда не переводите деньги на неизвестные счета только на основании письма или сообщения в мессенджере. Позвоните человеку, якобы санкционировавшему перевод, или свяжитесь с ним по другому каналу и попросите устное подтверждение. Захватив почту или учетную запись в мессенджере, злоумышленник может легко подделать письменное «распоряжения начальника».
  3. Не подключайте к рабочему компьютеру неизвестно откуда взявшиеся флешки. Атака через зараженный внешний накопитель — это не фантастика: злоумышленники действительно могут подбросить устройство в офис.
  4. Не открывайте и не запускайте исполняемые файлы из непрооверенного источника (например, присланные по почте). При открытии файла всегда нужно смотреть, не является ли он исполняемым (злоумышленники часто маскируют вредоносные файлы под офисные документы).

Контакты на экстренный случай

  1. Компьютер ведет себя странно? Пришло множество писем о попытке входа в корпоративную учетную запись? На рабочем столе записка от вымогателей, а файлы не открываются? Заметили какую-то иную аномалию? Срочно свяжитесь с <Имя Сотрудника> по телефону <Tелефон Cотрудника>.

В последнем пункте следует оставить контакты человека, к которому нужно обратиться в случае нештатной ситуации. Им может быть выделенный специалист по кибербезопасности (если он есть), системный администратор или даже владелец бизнеса. Словом, тот, кто будет четко знать, что делать, как делать и когда делать.

Это все самые базовые вещи, которые должен понимать каждый сотрудник компании. Выдавайте каждому инструкцию, составленную по советам выше, оставляйте сотруднику время ознакомиться и просите расписаться, что он действительно в нее вник. Однако для лучшей осведомленности о современных киберугрозах мы рекомендуем специальные тренинги.

Советы

Источник

Контактная информация:

 347011, Ростовская область, Белокалитвинский район, п. Коксовый, ул.Щаденко,5

 Руководитель: Тимофеев Александр Анатольевич

 Телефон: 8(86383) 5-10-32

 E-mail: kokssosh12@rambler.ru

Режим работы:

 понедельник-четверг: с 8.30 – 17.00

 пятница: с 8.30 – 17.00

 перерыв: 12.30 – 13.00

Яндекс.Метрика

Источник

Понравилась статья? Поделить с друзьями:

А вот и еще интересные новости по теме:

  • Зарядное устройство pleomax kn 891b8 инструкция
  • Настойка валокордина инструкция по применению цена
  • Максимум препарат для растений инструкция по применению цена отзывы
  • Фонд защиты прав граждан участников долевого строительства руководство
  • Йодомарин инструкция по применению в ветеринарии для коров

    • 0 0 голоса
    Рейтинг статьи
    Подписаться
    Уведомить о
    guest

    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии