4. Организационные меры по защите информационных ресурсов
4.1. Порядок ввода нового объекта в состав ОИ.
4.1.1. Введение любого нового объекта в состав ОИ производится подразделением ИТ/АСУ КОМПАНИИ, и сопровождается внесением в единую базу данных соответствующей информации. 4.1.2. Единая база данных организуется и ведется подразделением ИТ и обеспечивает документальную фиксацию и хранение всех изменений, а также удобство использования. Порядок ведения единой базы данных утверждается начальником ИТ КОМПАНИИ и предусматривает обязательное наличие у АИБ ОИ КОМПАНИИ доступа на чтение ко всему объему информации содержащейся в указанной базе данных. 4.1.3. База данных должна содержать следующую информацию по каждому объекту: Тип объекта (ТСОИ, внутренний ИР, внешний объект) При включении ТСОИ в состав ОИ указываются: инв, номер и тип ТСОИ; место расположения ТСОИ; сетевой идентификатор ТСОИ (при наличии); используемые сетевые адреса (при наличии); используемое программное обеспечение; используемые устройства передачи данных.
При создании внутреннего ИР указываются: уникальный идентификатор ресурса; наименование ресурса, назначение (цель создания) ресурса; категория ресурса; подразделение - распорядитель ресурса:
При изменении какого-либо параметра, должны быть сделаны соответствующие изменения в единой базе данных.
При подключении внешних объектов по отношению к ОИ указывается: сетевые адреса точки подключения (IP-адреса, МАС-адреса и т.п.); цель подключения; краткие технические характеристики (пропускная способность, наименования используемого оконечного оборудования, используемые сетевые протоколы и т.д.). При изменении какого-либо параметра, должны быть сделаны соответствующие изменения в единой базе данных.
4.2. При исключении объектов из состава ОИ администратор ОИ КОМПАНИИ делает отметку об этом в единой базе данных. 4.3. Запрещается доступ сторонних организаций к устройствам хранения информации, содержащей сведения, отнесенные к категории конфиденциальных. Настройка, ремонт и профилактические работы с ТСОИ имеющими в своем составе такие устройства, должны производиться силами подразделения ИТ/АСУ КОМПАНИИ, а при невозможности это обеспечить следует демонтировать таковые устройства из состава ТСОИ либо принять меры по удалению конфиденциальной информации с этих устройств. Демонтированные устройства хранения информации следует передать на хранение в подразделение СБ КОМПАНИИ.
Вот такой чисто СБ -й документ. На основе него необходимо сделать что-то конкретное , ну например следующее положение "УПРАВЛЕНИЕ ИНФОРМАЦИЕЙ С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ"
