Політика безпеки Організацією політики безпеки повинні займатись працівники СБ Політика безпеки висвітлює лише загальні та обов’язкові положення безпеки організації. Всі деталі повинні вирішуватись персоналом організації згідно з їх обов’язками, посадовими інструкціями та практичними навичками і досвідом. Відповідальним за безпеку інформації є керівник центру по дослідженню напівпровідникових матеріалів. Завдання, які стоять перед особами, що відповідають за політику безпеки Керівник центру повинен Регулярно проводити наради з персоналом, на яких варто розглядати наступні питання: Аналіз та затвердження (внесення змін при необхідності) до політики безпеки і розподіл загальних обов’язків Визначення основних загроз інформаційних ресурсів Визначення та затвердження дій, спрямованих на покращення захисту інформації Всі прийняті рішення стосовно інформаційної безпеки організації повинні узгоджуватись керівником організації Всі основні інформаційні ресурси організації повинні мати власника. Власник затверджується керівником організації. Керівник СБ Регулярно проводити наради служби безпеки, на яких варто оглядати наступні питання: Узгоджуються конкретні функції і обов’язки по забезпеченню інформаційної безпеки Узгоджуються конкретні методики і процеси захисту інформації (напр. оцінка ризиків, система класифікації методів захисту) Узгоджується і здійснюється підтримка ініціатив з захисту інформації (напр. програма навчання персоналу правилам безпеки) Забезпечується включення захисних мір в процес планування використання інформації Координуються дії по реалізації конкретних мір по забезпеченню безпеки нових систем чи сервісів. Група режиму Регулярно проводити наради з персоналом При одержанні нового ресурсу інформаційної системи необхідно призначити йому гриф таємності. Працівники, що мають доступ до конфіденційної інформації повинні підписати документи про нерозголошення таємниць. Документи про нерозголошення інформації повинні переглядатись та при необхідності змінюватись при зміні грифів таємності та класифікації інформації. Необхідно навчити працівників процедурам захисту і правильному поводженню з інформаційними ресурсами. При виникненні інцидентів в системі безпеки необхідно негайно повідомити про це службу безпеки. При помічені слабких місць в системі безпеки необхідно негайно повідомити про це службу безпеки. Всі інциденти та недоліки в системі безпеки повинні реєструватись в системному журналі. Працівники повинні строго дотримуватись режиму дня. При встановленні нових систем безпеки чи впровадженні нових правил слід ознайомити з ними всіх працівників. Дата та час входу в приміщення повинен реєструватись в системному журналі через електронні замки При звільненні працівників необхідно вилучити у них особисті ідентифікаційні картки, картки та коди доступу до приміщень. Технічне обслуговування повинен здійснювати технічний персонал служби підтримки апаратури під наглядом СБ. В разі виявлення таємної інформації на МНІ слід її видалити. В разі виявлення пошкоджень МНІ або нероботоспроможність МНІ утилізувати. Необхідно регулярно перевіряти стан систем контролю доступу до приміщень СБ цілодобово веде відеоспостереження за контрольованою територією. Системні журнали повинні ретельно переглядатись для виявлення помилок роботи системи та можливих порушень чи атак. Доступ до персональних даних мають лише працівники СБ та керівник організації. Забороняється розголошення персональних даних. Персональні дані повинні шифруватись та ретельно захищатись. Детективна група При прийомі працівників на роботу необхідно ретельно перевіряти достовірність інформації, вказаної в заявах та анкетах. Забороняється розголошувати таємну інформацію по телефону чи віч-на-віч в присутності осіб, що не мають прав доступу до неї. При прийомі на роботу працівників, їх права на доступ в приміщення організації повинні бути чітко визначені, затверджені і задокументовані. Працівникам необхідно видати персональні ідентифікаційні картки, картки та коди доступу в в...