Стандарты управляющей компании сети ресторанов или ресторанного холдинга. Сборник ЦТОП - страница 78

Стандарты управляющей компании сети ресторанов или ресторанного холдинга. Сборник ЦТОП



5.3 Формирование режима информационной безопасности 

5.3.1 С учетом выявленных угроз информационной безопасности АС режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в автоматизированной системе информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающей инфраструктуры. 

5.3.2 Комплекс мер по формированию режима информационной безопасности включает:

  • установление в Компании организационно-правового режима информационной безопасности (нормативные документы, работа с персоналом, делопроизводство);
  • выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам (аттестация объектов информатизации);
  • организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам АС;
  • комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий;
5.3.3 Организационно-правовой режим предусматривает создание и поддержание правовой базы информационной безопасности, и разработку (введение в действие) следующих организационно-распорядительных...
ание правовой базы информационной безопасности, и разработку (введение в действие) следующих организационно-распорядительных документов:
  • Положение о категорировании информации и допуске к информации. Указанное Положение описывает защищаемую информацию и регламентирует организацию, порядок работы со сведениями ограниченного распространения, обязанности и ответственность сотрудников, допущенных к этим сведениям, порядок передачи материалов, содержащих сведения ограниченного распространения, уровень и сроки обеспечения ограничений по доступу к защищаемой информации.
  • Приказы и распоряжения по установлению режима информационной безопасности.
  • Политики информационной безопасности, инструкции и функциональные обязанности сотрудникам:
    • о работе с информацией на сменных носителях;
      • о защите информации ограниченного распространения;
        • о модификации аппаратно-программных конфигураций персональных;
          • об использовании электронной почтой;
            • и т.д.
            • другие нормативные документы.
            5.4 Регламентация допуска сотрудников к использованию информационных ресурсов 

            5.4.1 В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей автоматизированной информационной системы информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа. 

            5.4.2 Допуск сотрудников подразделений Компании к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно регламентирующим документам. Основными пользователями информации в Компании являются сотрудники БЦ Компании. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:
            • открытая, конфиденциальная информация размещаются по возможности на различных серверах и в Интранет;
            • каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
            • начальник имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями;
            • наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.
            5.4.3 Все сотрудники Компании, допущенные к работе (пользователи) и обслуживающий персонал БЦ, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать Соглашение-обязательство о соблюдении и ответственности за нарушение установленных требований информационной безопасности. 

            5.4.4 Обработка защищаемой информации в подсистемах АС должна производиться в соответствии с утвержденными технологическими инструкциями (техническими порядками) для данных подсистем. 

            5.4.5 Для пользователей защищенных персональных рабочий станций (то есть тех, на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению информационной безопасности. 

            5.5 Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов 

            5.5.1 Все аппаратные и программные ресурсы Компании и БЦ должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных). 

            5.5.2 Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на пользователей функциональных обязанностей. Все неиспользуемые в работе устройства ввода-вывода информации (COM, LPT - порты, дисководы, CD и т.д.) должны быть отключены (удалены), ненужные для работы программные средства и данные с жестких дисков также должны быть удалены. 

            5.5.3 Для упрощения сопровождения, обслуживания защиты персональные рабочие станции должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами). 

            5.5.4 Ввод в эксплуатацию новых компьютеров и все изменения в конфигурации технических и программных средств существующих в Компании должны осуществляться только установленным порядком.
            Страницы: Пред. | 1 | ... | 76 | 77 | 78 | 79 | 80 | ... | 128 | След.

            Еще статьи