o мероприятия по созданию нормативно-методологической базы (разработка концепции и других руководящих документов) защиты АС;
o мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки технических средств несанкционированного съёма информации и т.п.);
o мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программных средств, документирование и т.п.);
o проведение спецпроверок применяемых в АС средств вычислительной техники и проведения мероприятий по защите информации от утечки по техническим каналам;
o внесение необходимых изменений и дополнений во все организационно распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, технологические инструкции пользователей системы и т.п.) по вопросам обеспечения безопасности ресурсов АС и действиям в случае возникновения кризисных ситуаций;
o создание подразделения защиты информации (компьютерной безопасности) и назначение нештатных ответственных за обеспечение безопасности ИТ в подразделениях и на технологических участках, осуществляющих организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасности программноинформационных ресурсов автоматизированной системы обработки информации, разработка и утверждение их функциональных обязанностей;
o мероприятия по разработке политики безопасности, определение порядка назначения, изменения, утверждения и предоставления конкретным категориям сотрудников (должностным лицам) необходимых полномочий по доступу к ресурсам системы;
o мероприятия по созданию системы защиты АС и необходимой инфраструктуры (организация учёта, хранения, использования и уничтожения документов и носителей с закрытой информацией, оборудование служебных помещений сейфами (шкафами) для хранения реквизитов доступа, средствами уничтожения бумажных и магнитных носителей конфиденциальной информации и т.п.);
o мероприятия по разработке правил разграничения доступа к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием АС, а также используемых при их решении режимов обработки и доступа к данным;
o определение перечней файлов и баз данных, содержащих сведения конфиденциального характера, а также требований к уровням их защищённости от НСД при передаче, хранении и обработке в АС;
o выявление наиболее вероятных угроз для АС, выявление уязвимых мест процессов обработки информации и каналов доступа к ней, оценка возможного ущерба, вызванного нарушением безопасности информации, разработка адекватных требований по основным направлениям защиты;
o организация охраны и надёжного пропускного режима;
o определение порядка проектирования, разработки, отладки, модификации, приобретения, приёма в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядка обновления версий используемых и установки новых системных и прикладных программ на рабочих местах защищённой системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать), определение порядка учёта, выдачи, использования и хранения съёмных магнитных носителей информации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные, определение порядка проведения спецпроверок и специсследований СВТ и т.п.;
o определение перечня необходимых регулярно-проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в критических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и действиях персонала, стихийных бедствий. внесение необходимых изменений и дополнений во все организационно распорядительные документы (положения о подразделениях,
