Мой опыт работы с государственной информационной системой (ГИС) 3 класса защищенности позволяет мне дать некоторые рекомендации относительно организационно-распорядительных документов по защите информации, которые должны быть в вашей ГИС.
Первый и наиболее важный документ ‒ это Положение о безопасности информации в ГИС. В этом документе должны быть определены цели и задачи защиты информации, основные понятия и термины, принципы и требования, правила и порядок эксплуатации ГИС, а также ответственность сотрудников за нарушение правил безопасности информации. Положение о безопасности информации является основным нормативным документом, на основании которого разрабатывается другая документация.Второй документ ⏤ это Положение о защите информации в ГИС. В нем должны быть определены классы информационной безопасности, разграничение доступа к информации, порядок обработки и передачи защищенной информации, меры по обеспечению физической и технической безопасности, меры по защите информации от несанкционированного доступа, а также процедуры контроля и аудита безопасности информации.
Третий документ ⏤ это Инструкция по обеспечению безопасности информации в ГИС. В ней должны быть описаны конкретные меры и процедуры по обеспечению безопасности информации в вашей ГИС. Например, это может включать разработку и утверждение правил парольного доступа, установка и настройка антивирусного программного обеспечения, резервное копирование и восстановление данных, а также меры по обеспечению физической безопасности помещений с оборудованием ГИС.
Другие возможные документы в вашей ГИС могут включать⁚ Порядок действий при утечке информации, План действий при чрезвычайных ситуациях, Положение о контроле безопасности информации и другие.
Отмечу, что все перечисленные документы должны соответствовать нормативным документам в области информационной безопасности, таким как Федеральный закон ″Об информации, информационных технологиях и о защите информации″, Постановление Правительства РФ ″О мерах по обеспечению информационной безопасности″, а также приказы и инструкции МИНКОМСВЯЗИ России.
Мой личный опыт показал, что все эти документы играют важную роль в обеспечении безопасности информации в ГИС. Они устанавливают правила и процедуры, которые должны соблюдаться всеми сотрудниками организации. Такая документация помогает снизить риски нарушения безопасности информации и повысить эффективность работы ГИС.