Глава 2. Создание системы защиты информации

ГЛАВА 2
СОЗДАНИЕ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ

10. Комплекс мероприятий по созданию системы защиты информации в информационных системах включает:

• классификацию хранящихся и обрабатываемых в информационной системе сведений и разделение информации по категориям доступа;
• анализ организационной структуры информационной системы, порядка организации вычислительных процессов и условий ее функционирования;
• присвоение информационной системе класса типового объекта информатизации в соответствии с требованиями технических нормативных правовых актов в области защиты информации;
• разработку или корректировку политики информационной безопасности;
• разработку или корректировку задания по безопасности на информационную систему в соответствии с требованиями технических нормативных правовых актов в области защиты информации;
• реализацию требований задания по безопасности в информационной системе;
• оценку соответствия системы защиты информации требованиям нормативных правовых актов в области защиты информации, в том числе технических нормативных правовых актов, путем проведения мероприятий по аттестации системы защиты информации;
• ввод информационной системы в эксплуатацию.

11. Политика информационной безопасности – это совокупность документированных правил, процедур и требований в области защиты информации, действующих в организации и содержащих:

цели построения системы защиты информации;

перечень защищаемых сведений;

определение ответственности субъектов информационных отношений за обеспечение защиты информации;

определение прав и порядка доступа к защищаемой информации (субъектам информационных отношений предоставляется объективно необходимый для них уровень доступа к защищаемым сведениям);

правила доступа к сетям общего пользования, в том числе глобальной сети Интернет;

порядок работы с электронной почтой и другими системами обмена, передачи сообщений;

порядок применения технических средств защиты и обработки информации;

организационные мероприятия по разграничению доступа к техническим средствам защиты и обработки информации;

порядок действий при возникновении угроз обеспечению целостности и конфиденциальности информационных ресурсов, в том числе чрезвычайных и непредотвратимых обстоятельств (непреодолимой силы), и ликвидации их последствий;

инструкции для субъектов информационных отношений, регламентирующие порядок доступа к ресурсам информационной системы, установления подлинности субъектов, аудита безопасности, резервирования и уничтожения информации, контроля за целостностью защищаемых сведений, защиты от вредоносного программного обеспечения и вторжений.

12. Задание по безопасности разрабатывается в соответствии с требованиями технических нормативных правовых актов в области защиты информации, оценивается в установленном порядке в аккредитованной испытательной организации (организация, аккредитованная для проведения испытаний систем защиты информации в области защиты информации) и учитывается в Оперативно-аналитическом центре при Президенте Республики Беларусь.

13. Ремонтные, наладочные и профилактические работы в информационных системах должны проводиться под контролем представителя подразделения технической защиты информации или назначенного должностного лица, ответственного за реализацию технических мер по защите информации у собственника (владельца) информационной системы. Во время проведения указанных работ в информационной системе запрещается обработка информации, распространение и (или) предоставление которой ограничено.

В случае необходимости отправки технических средств для проведения ремонта в специализированные организации из них должны быть изъяты все носители информации, содержащие охраняемые сведения, или произведено гарантированное уничтожение информации сертифицированными средствами.

14. При внесении изменений, затрагивающих условия и технологию обработки защищаемой информации, собственником (владельцем) информационной системы проводятся мероприятия по доработке системы защиты информации с проведением повторной ее аттестации.