Законодательство Казахстана on-line   

Инструкция АФН от 25.06.2007 N 177
"ИНСТРУКЦИЯ ПО ФОРМИРОВАНИЮ И ВЕДЕНИЮ БАЗЫ ДАННЫХ ПО ОБЯЗАТЕЛЬНОМУ СТРАХОВАНИЮ ГРАЖДАНСКО-ПРАВОВОЙ ОТВЕТСТВЕННОСТИ ВЛАДЕЛЬЦЕВ ТРАНСПОРТНЫХ СРЕДСТВ"

 
 
Навигация
  • Отправить другу ссылку на эту страницу
Рекомендуем посетить:
Профессор Шафер Наум Григорьевич - филолог и музыковед, исследователь творчества и критик, композитор, публицист и коллекционер
Оплата услуг IP-телефонии. Ваучеры Skype, Betamax и другие. Моментальная доставка.

Глава 5. Формирование системы безопасности

27. Информационная система формирования и использования страховых отчетов обеспечивает:

1) конфиденциальность информации - защиту от раскрытия информации в ходе ее хранения, обработки или при передаче по коммуникационным каналам;

2) сохранность информации - защиту от повреждений, целостность и защищенность от несанкционированного изменения, дополнения, копирования или удаления в ходе ее хранения, обработки или при передаче по коммуникационным каналам;

3) доступность - защиту от использования одним пользователем данных и иных ресурсов информационной системы, предназначенных для совместного использования, перехвата информационных сообщений и (или) данных с последующей их задержкой, а также от перехвата информационных сообщений и (или) данных с последующей их задержкой.

28. Базовым компонентом обязательных мер по обеспечению безопасности информационной системы формирования и использования страховых отчетов является применение комплексного подхода к созданию системы информационной безопасности.

29. Комплексный подход к созданию системы информационной безопасности включает анализ и оценку рисков, в том числе по техническим каналам утечки информации, учет характера и важности защищаемой информации, контроль за обеспечением безопасности технологии обработки электронных документов.

30. Организация и пользователи базы данных проводят действия по оперативному выявлению подозрительных действий в реальном режиме времени и включающие мероприятия, направленные на установление:

1) нетипичного поведения (пользователей, программ или аппаратуры);

2) начала активности несанкционированных вторжений или использования зловредного программного обеспечения.

31. Основными направлениями, обеспечивающими комплексный подход к информационной безопасности на программно-техническом уровне являются:

1) контур безопасности;

2) внутрикорпоративная безопасность;

3) управление корпоративной безопасностью.

32. Контур безопасности предназначен для обеспечения защиты информационной системы формирования и использования страховых отчетов (далее - Контур безопасности). Контур безопасности реализует защиту центрального и дополнительных офисов (филиалов, представительств, удаленных офисов), информационных потоков между ними, а также информационных ресурсов, хранящихся на серверах и рабочих станциях внешних соединений информационной системы с другими сетями.

33. Процедуры безопасности Организации и пользователей базы данных предназначены для контроля несанкционированных вторжений и антивирусной защиты, обеспечения их внутренней информационной безопасности и предполагает необходимость построения и поддержания системы, обеспечивающей разделение пользователей на группы в соответствии с их статусом и правами, а также разделение ресурсов по уровню их конфиденциальности.

34. Управление корпоративной безопасностью, в рамках комплексной системы безопасности Организации и пользователей базы данных обеспечивается постоянным контролем за выполнением общих требований политики информационной безопасности, оперативным внесением в нее корректировок и повышения ее уровня.

35. Повышение уровня безопасности предусматривает:

1) определение политики информационной безопасности;

2) установление границ, в которых предполагается поддерживать режим информационной безопасности;

3) проведение оценки рисков;

4) выбор мер противодействия и управления рисками;

5) выбор средств и управления, обеспечивающих режим информационной безопасности.

36. Политика информационной безопасности содержит описание состава используемой информационной системы, список пользователей, их права (в зависимости от их служебного положения и характера выполняемых функций) на доступ к информации, программным и техническим средствам и определяет:

1) общие направления работы в области информационной безопасности;

2) цель и задачи защиты информационной системы;

3) основные принципы и способы достижения необходимого уровня безопасности;

4) определение должностных лиц, ответственных за разработку необходимых требований, определяющих политику информационной безопасности;

5) определение подразделений, ответственных за создание и поддержание работоспособности информационных систем и системы их защиты;

6) меры, предотвращающие нарушения режима безопасности информационных систем в случае возникновения обстоятельств непреодолимой силы, к которым относятся стихийные бедствия, аварии, пожары, отключение электроэнергии, повреждение линий связи, массовые беспорядки, забастовки, военные действия.

37. Организация и пользователи базы данных обеспечивают:

1) соответствие используемых управленческих решений, технологий, подходов и конкретных программно-аппаратных средств действующему законодательству Республики Казахстан;

2) принятие внутренних документов об организации безопасности информационной системы.

38. Процедурный уровень защиты информации включает мероприятия по обеспечению безопасности, предпринимаемые Организацией и пользователями базы данных по следующим направлениям:

1) управление персоналом;

2) физическая защита;

3) реагирование на нарушения режима безопасности;

4) планирование восстановительных работ.

39. Средства идентификации/аутентификации Организации и пользователей базы данных должны соответствовать условиям:

1) устойчивости к сетевым угрозам;

2) обеспечения единого входа в используемую информационную сеть.

41. План защиты информации включает следующие меры:

1) организационные;

2) программно-технические.

40. К организационным мерам обеспечения безопасности относятся:

1) физическая защита информационных систем;

2) поддержание работоспособности информационных систем, имеющих отношение к информационной безопасности;

3) установление каждому пользователю соответствующего права доступа, необходимого для выполнения им возложенных должностных обязанностей и обеспечения взаимозаменяемости;

4) планирование восстановительных работ.

41. Физическая защита подразделяется на:

1) физическое управление доступом;

2) меры противопожарной безопасности;

3) защита поддерживающей инфраструктуры;

4) защита от перехвата данных, защита мобильных систем.

42. Мероприятия по поддержанию работоспособности информационных систем подразделяются на:

1) поддержку пользователей - предоставление консультаций по вопросам информационной безопасности, выявление их типичных ошибок и обеспечение памятками с рекомендациями для распространенных ситуаций;

2) поддержку программного обеспечения - контроль лицензионной (сертифицированной) чистоты программного обеспечения;

3) конфигурационное управление - контроль и фиксирование изменений, вносимых в программную и техническую конфигурацию;

4) резервное копирование для восстановления информационной системы и данных в случае аварии и других обстоятельств непреодолимой силы;

5) управление носителями данных - порядок учета, обращения и хранения;

6) документирование - актуальное отражение текущего состояния дел.

43. В случае нарушения режима безопасности информационных систем ответственные лица, администратор осуществляют:

1) выполнение оперативных мероприятий с целью уменьшения наносимого вреда;

2) анализ и оценку имеющихся сведений о нарушениях - изучение инцидента, выявление повторных нарушений, разработка мер по усовершенствованию системы защиты.

44. Резервное копирование и восстановление после потери работоспособности информационной системы определяются требованиями, установленными в Организации и у пользователей базы данных.


 
Основные источники публикуемых текстов нормативных правовых актов: газета "Казахстанская правда", база данных справочно-правовой системы Adviser, Интернет-ресурсы online.zakon.kz, adilet.zan.kz, другие средства массовой информации в Сети.
Хотя информация получена из источников, которые мы считаем надежными и наши специалисты применили максимум сил для выверки правильности полученных версий текстов приведенных нормативных актов, мы не можем дать каких-либо подтверждений или гарантий (как явных, так и неявных) относительно их точности.
Компания "КАМАЛ-Консалтинг" не несет ответственности за любые последствия какого-либо применения формулировок и положений, содержащихся в данных версиях текстов нормативных правовых актов, за использование данных версий текстов нормативных правовых актов в качестве основы или за какие-либо упущения в текстах публикуемых здесь нормативных правовых актов.



defacto.kz
Присоединятесь! 
 
Счетчик посещений Counter.CO.KZ - бесплатный счетчик на любой вкус!   dok from 01.05.2007
 
© 1998-2016 ТОО "КАМАЛ-Консалтинг", Павлодар, Казахстан
Реклама на xFRK