– список пользователей сети с указанием выделенных им прав доступа;

2) Протокол категорирования программных продуктов и информации сети;

3) Протокол выявленных недостатков по обеспечению информационной безопасности с рекомендациями по ее совершенствованию;

4) Частный Акт информационного обследования локальной вычислительной сети, закрепляющий текущее состояние информационной системы, описанное в Информационной схеме, подписываемый администратором сети и сотрудником Управления по защите информации и утверждаемый начальником Управления по защите информации;

5) План устранения недостатков и реализации рекомендаций информационного обследования.

Контрольные информационные обследования проводятся по планам Управления по защите информации и вне планов в случаях:

– реорганизации подразделений;

– крупных изменений в системе делопроизводства, составе оборудования и программного обеспечения;

– перемещений подразделений в другие помещения.

2.4. Категорирование

Категорирование – это специальная классификация различных объектов, имеющих отношение к информационной системе ХХХХ, по признаку конфиденциальности используемой информации и, соответственно, требуемого уровня ее защиты. В ходе категорирования все объекты разбиваются на группы (категории), для каждой из которых разрабатывается собственный уникальный комплекс мер защиты.

Категорированию подвергаются:

– используемая информация;

– средства;

– помещения;

– сотрудники подразделений.

Категорирование производится в ходе первичного информационного обследования и уточняется при контрольных обследованиях. Настоящей Инструкцией вводятся следующие категории объектов информационной системы:

2.5. Документирование

Основной формой документа в системе информационной безопасности является двусторонний Акт, который составляется и подписывается сотрудниками подразделения, в котором проводится мероприятие, с одной стороны, и сотрудниками Управления по защите информации с другой стороны. Акт утверждается начальником этого подразделения и начальником Управления по защите информации. К Акту прилагаются необходимые в каждом конкретном случае документы: протоколы, справки, схемы и т.д., исполненные в произвольной форме.

По решению Члена Правления – Директора по безопасности и защите информации Акты могут докладываться для ознакомления и принятия решения Правлению ХХХХ.

В обязательном порядке составляются Акты в следующих случаях:

– при проведении первичного и контрольных информационных обследований;

– при проведении проверок состояния информационной безопасности Управлением по защите информации;

– при предоставлении или изменении прав доступа к информации, средствам информатизации и сотрудникам;

– при выявлении нарушений информационной безопасности и их устранении.

2.6. Обучение персонала

Сотрудники ХХХХ (администратор сети, сотрудники Управления по защите информации), непосредственно принимающие участие в обеспечении информационной безопасности, могут направляться на специальное обучение. Остальные сотрудники ХХХХ проходят инструктаж.

3.1. Общие положения

Обеспечение информационной безопасности включает комплекс повседневно проводимых мероприятий, а именно:

– допуск (предоставление прав доступа) к информации, средствам информатизации и в помещения;

– доступ к информации, средствам информатизации и в помещения в соответствии с предоставленными правами;

– содержание средств информатизации;

– обеспечение безопасности информации;

– использование средств защиты информации;

– контроль состояния информационной безопасности;