Политика информационной безопасности. Политика информационной безопасности сельсовет Дуакарский. Администрации сельсовет Дуакарский А. Н. Мухтаров 20 г
 Скачать 222.5 Kb.
|
|
УТВЕРЖДАЮ Глава администрации «сельсовет Дуакарский» А.Н.Мухтаров «__» ________20 г. Политика информационной безопасности информационной системы персональных данных МО «сельсовет Дуакарский» с. Дуакар 2022г. Обозначения и сокращенияACL – Список контроля доступа VPN - (Virtual Private Network) – «Виртуальная частная сеть»: технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях АИБ – администратор информационной безопасности АРМ – Автоматизированное рабочее место АС – Автоматизированная система БД – База данных ЖЦ – Жизненный цикл ЗИ – Защита информации ИБ – Информационная безопасность ИС – Информационная система ИТС – Информационно-телекоммуникационная система КЗ – Контролируемая зона ЛВС – Локально-вычислительяная сеть МЭ – Межсетевой экран НСД – Несанкционированный доступ ОС – Операционная система ПБ – Политики безопасности ПК – Персональный компьютер ПО – Программное обеспечение СВТ – Средства вычислительной техники СЗИ – Средство защиты информации СКЗИ – Средство криптографической защиты информации СМИБ – Система менеджмента информационной безопасности СПД – Система передачи данных СУБД – Система управления базами данных СУИБ – Система управления информационной безопасностью СЭД – Система электронного документооборота ЭП – Электронная подпись Термины и определенияСписок контроля доступа (ACL) – правила фильтрации сетевых пакетов, настраиваемые на маршрутизаторах и МЭ, определяющие критерии фильтрации и действия, производимые над пакетами. АС – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. АИБ – специалист или группа специалистов учреждения, осуществляющих контроль за обеспечением ЗИ в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации. Анализ риска –систематическое использование информации для определения источников и оценки риска. Аудит ИБ – процесс проверки выполнения установленных требований по обеспечению ИБ. Может проводиться как самим обществом (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита. Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера. Доступ к информации – возможность получения информации и ее использования. Защищенный канал передачи данных – логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории. Идентификатор доступа – уникальный признак субъекта или объекта доступа. Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. Информация – это актив, который, подобно другим активам общества, имеет ценность и, следовательно, должен быть защищен надлежащим образом. ИБ – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества. ИС – совокупность ПО и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач подразделений Администрации. В Администрации используются различные типы ИС для решения управленческих, учетных, обучающих и других задач. Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Информационные активы – ИС, информационные средства, информационные ресурсы. Информационные средства – программные, технические, лингвистические, правовые, организационные средства (программы для ПК; СВТ и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании ИС и обеспечивающие их эксплуатацию. Информационные ресурсы – совокупность содержащейся в БД информации и обеспечивающих ее обработку информационных технологий. Инцидент ИБ – действительное, предпринимаемое или вероятное нарушение ИБ, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов учреждения. Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость. Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Конфиденциальность – доступ к информации только авторизованных пользователей. Критичная информация – информация, нарушение доступности, целостности, либо конфиденциальности которой, может оказать негативное влияние на функционирование подразделений Администрации, привести к причинению Администрации материального или иного вида ущерба. ЛВС – группа ПК, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий. МЭ – программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав сети, а также между сетью Администрации и внешними сетями (сетью Интернет). Мониторинг ИБ – постоянное наблюдение за объектами, влияющими на обеспечение ИБ, сбор, анализ и обобщение результатов наблюдения под заданные цели. Объектом мониторинга в зависимости от целей может быть АС или ее часть, информационные технологические процессы учреждения, информационные услуги учреждения и пр. НСД – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей. Обработка риска – процесс выбора и осуществления мер по модификации риска. Остаточный риск – риск, остающийся после обработки риска. ПК – электронно–вычислительная машина. Политика ИБ – комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его ИБ. Пользователь ЛВС – работник Администрации (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в сети в установленном порядке и получивший права на доступ к ресурсам сети в соответствии со своими функциональными обязанностями. Принятие риска – решение принять риск. ПО – совокупность прикладных программ, установленных на сервере или ПК. Рабочая станция – ПК, на котором пользователь сети выполняет свои служебные обязанности. Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в ОС (сети, БД, приложении и т.п.). Регистрационная запись создается АИБ при регистрации пользователя в ОС компьютера, в системе управления БД, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название подразделения, телефоны, E-mail и т.п. Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей. Система менеджмента информационной безопасности (СМИБ) – та часть общей системы менеджмента, которая основана на подходе рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и совершенствовании ИБ. Системный администратор – сотрудник учреждения, занимающийся сопровождением АС, отвечающий за функционирование локальной сети учреждения и ПК. Собственник – лицо или организация, которые имеют утвержденные обязательства по менеджменту для контроля разработки, поддержки, использования и безопасности активов. Термин «собственник» не означает, что лицо действительно имеет какие-либо права собственности на актив. СКЗИ – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации). Угрозы информационным данным – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы. Управление ИБ – совокупность целенаправленных действий, осуществляемых в рамках политики ИБ в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер). Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению ИБ учреждения при реализации угроз в информационной сфере. Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения. ЭП – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.. 3.Вводные положения |