Перед выполнением домашнего задания по занятию «Аудит информационной безопасности» рекомендуем ознакомиться с примером. В нём подробно разобрано, как определить актив компании в контексте ИБ и какие законы его регулируют.
Специалисту по информационной безопасности требуется определить активы организации в контенте ИБ. Он обладает следующими вводными:
- государственная организация в рамках гособоронзаказа производит продукцию;
- технологический процесс разработки составляет государственную тайну. Все чертежи, проекты и описание технологического процесса по разработке, имеющие гриф секретности «Секретно», хранятся в электронном виде в файловом хранилище;
- сотрудники для работы с чертежами и проектами используют автоматизированные рабочие места, которые с помощью локально-вычислительной сети соединены с файловым хранилищем. После окончания рабочего дня все носители сведений, составляющих государственную тайну, сдаются на хранение в помещение секретного делопроизводства;
- сотрудники отдела кадров для оформления работников используют заранее заготовленные бланки, куда от руки вписывают нужную информацию. После подписания и утверждения бланки подшиваются в отдельную папку с фамилией работника и сдаются в архив;
- на автоматизированном рабочем месте главного бухгалтера установлено программное обеспечение «Система удалённого финансового документооборота».
Итак, давайте найдём активы организации.
Известно, что в компании обрабатываются сведения, составляющие государственную тайну. Хранятся они в электронном виде на файловом хранилище, доступ к которому пользователи получают с использованием локально-вычислительной сети. Можно предположить, что в организации имеется объект информатизации для работы со сведениями, составляющими государственную тайну. Известно, что эти сведения имеют степень секретности «Секретно», значит, можно предположить, что объект третьей категории.
1. Первый актив организации — объект информатизации для работы со сведениями, составляющими государственную тайну, третьей категории.
Данный актив регулируется Законом РФ «О государственной тайне» от 21.07.1993 N 5485-1.
Есть информация, что после окончания рабочего дня все носители сведений, составляющих государственную тайну, сдаются на хранение в помещение секретного делопроизводства. Это делается не просто так — значит, нужно обеспечить их сохранность.
2. Второй актив — носители сведений, составляющих государственную тайну.
Данный актив регулируется Законом РФ «О государственной тайне» от 21.07.1993 N 5485-1.
Сотрудники отдела кадров для оформления работников используют заранее заготовленные бланки, куда от руки вписывают нужную информацию. Можно сделать вывод, что в этих бланках содержатся персональные данные работников. При этом на автоматизированных рабочих местах персональные данные не обрабатываются. После оформления бланки сдаются в архив для сохранности.
3. Третий актив — бумажные носители информации, содержащие персональные данные сотрудников.
Данный актив регулируется Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ..
На автоматизированном рабочем месте главного бухгалтера установлено программное обеспечение «Система удалённого финансового документооборота». Это программное обеспечение для работы с Казначейством России. То есть, скорее всего, относится к государственным информационным системам (ГИС).
4. Четвёртый актив — ГИС «Система удалённого финансового документооборота».
Данный актив регулируется Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации».