ЛР 1 Шарапатова. Министерство науки и высшего образования российскойфедерации
Скачать 18.95 Kb.
|
МИНИСТЕРСТВО НАУКИ И ВЫСШЕГО ОБРАЗОВАНИЯ РОССИЙСКОЙФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего образования «Сибирский государственный университет науки и технологий имени академика М.Ф. Решетнева» Институт инженерной экономики Кафедра информационных экономических систем ОТЧЁТ Лабораторная работа №1 Разработка политики безопасности предприятия.
Красноярск 2021 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РЕКЛАМНОГО АГЕНСТВА «АЛЬЯНС» Общие положения. Настоящая политика информационной безопасности АО Агентство «Альянс» (далее Политика) разработана с учетом требований федерального законодательства, а также требований других нормативных и организационно распорядительных документов АО Агентство «Альянс» (далее Компания) по вопросам обеспечения информационно безопасности (ИБ). Политика определяет позицию руководства Компании в отношении ИБ, основные цели, направления и меры обеспечения ИБ, которыми Компания руководствуется в своей деятельности. В рамках Политики руководство Компании заявляет, что: информационные технологии играют важную роль в достижении бизнес-целей Компании; информация является ценным активом Компании, требующим защиты независимо от форм ее представления; в своей деятельности Компания сталкивается с широким спектром угроз ИБ как внутреннего, так и внешнего характера, реализация которых может привести к ущербу (финансовые потери, юридические взыскания, потеря репутации, дезорганизация и т.д.); стратегической целью Компании в области ИБ является обеспечение функционирования и использования информационных технологий с учетом принимаемых рисков получения возможного ущерба от реализации угроз ИБ; стратегической задачей в области ИБ является построение системы управления ИБ, основанной на методологии управления рисками, учитывающей бизнес-требования, а также правовые требования ИБ. Исполнение положений настоящей политики ИБ является обязательным для всех работников Компании. Цели политики информационной безопасности. Основными целями Политики являются: обеспечение единых подходов к обеспечению ИБ в рамках Компании; создание методологической основы для разработки внутренних документов по ИБ в Компании; определение форм участия руководства Компании в решении проблем ИБ. Основными целями процесса обеспечения ИБ в Компании являются: создание условий для устойчивого функционирования информационной инфраструктуры Компании; поддержание необходимого уровня ИБ в Компании, соответствующего требованиям федерального законодательства, нормативным и организационно-распорядительных документов Компании. Обеспечение информационной безопасности при эксплуатации средств обработки, хранения и передачи информации и использовании информационных ресурсов. Организация безопасной эксплуатации средств обработки, хранения и передачи информации. В целях обеспечения ИБ объектов информационной инфраструктуры в Компании устанавливаются правила безопасной эксплуатации средств обработки, хранения и передачи информации. Принимаются меры по обеспечению использования средств обработки, хранения и передачи информации только по целевому назначению. Функции по администрированию и контролю эксплуатации средств обработки, хранения и передачи информации возлагаются на специально выделенных для этого работников. Правила эксплуатации средств обработки, хранения и передачи информации, используемые в Компании, определяются политиками ИБ объектов защиты. Защита от вредоносного программного обеспечения. В целях предотвращения проникновения, обнаружения и нейтрализации вредоносного ПО в Компании создается система защиты информационной инфраструктуры Компании от вредоносного ПО. В Компании используются сертифицированные на соответствие требованиям безопасности информации средства защиты от вредоносного ПО. Архитектура системы защиты от вредоносного ПО обеспечивает многоуровневую (эшелонированную) защиту. Порядок организации защиты информационной инфраструктуры Компании от вредоносного ПО определяется политиками ИБ объектов защиты. Резервирование информационных ресурсов и технических средств обработки, хранения и передачи информации. Резервное копирование информационных ресурсов. В целях обеспечения возможности восстановления информационных ресурсов в случае их утраты или нарушения целостности в Компании осуществляется их резервное копирование. Способ и периодичность резервного копирования, сроки хранения резервных копий определяются в зависимости от назначения и особенностей системы, в которой информация обрабатывается, а также от ценности информации. Порядок резервного копирования информационных ресурсов определяется политиками ИБ объектов защиты. Резервирование средств обработки, хранения и передачи информации. В целях обеспечения бесперебойного функционирования информационной инфраструктуры Компании осуществляется резервирование критически важных средств обработки, хранения и передачи информации. Перечень критически важных средств обработки, хранения и передачи информации формируется в результате проведения идентификации и классификации объектов защиты. Порядок резервирования средств обработки, хранения и передачи информации определяется политиками ИБ объектов защиты. Обеспечение сетевой безопасности. В целях обеспечения защиты информации, непрерывного и устойчивого функционирования информационной инфраструктуры в Компании осуществляются мероприятия по обеспечению сетевой безопасности. Обеспечение сетевой безопасности достигается защитой корпоративной сети передачи данных, сетевых сервисов и сетевой инфраструктуры. Порядок обеспечения сетевой безопасности определяется соответствующими политиками ИБ. Обеспечение информационной безопасности при обращении со съемными носителями информации. В целях предотвращения разглашения, утечки или утраты информации в Компании применяются меры защиты съемных носителей информации. В Компании разрешается применение только зарегистрированных установленным порядком съемных носителей информации. Осуществляется мониторинг использования съемных носителей. Утилизация неиспользуемых носителей осуществляется только с обеспечением гарантированного уничтожения содержащейся на них информации. Порядок обеспечения ИБ при обращении со съемными носителями информации определяется соответствующими политиками ИБ, а также другими нормативными и организационно-распорядительными документами Компании в области ИБ. Защищенный обмен информацией. В целях предотвращения разглашения, утечки или утраты информации в Компании применяются меры по защите информации при ее передаче различными методами. Порядок защиты обмена информацией определяется политиками ИБ объектов защиты, а также другими нормативными и организационно-распорядительными документами Компании в области ИБ. Защита программного обеспечения. В целях поддержания работоспособности программного обеспечения (ПО) в Компании осуществляются меры по устранению уязвимостей ПО, а также другие меры защиты. Устранение уязвимостей ПО достигается регулярным централизованным получением и установкой обновлений, предоставляемых разработчиками ПО. Обновление ПО возлагается на работников отдела ИТ. Порядок защиты ПО определяется политиками ИБ объектов защиты, а также другими нормативными и организационно-распорядительными документами Компании в области ИБ. Контроль доступа. управление доступом пользователей. В целях обеспечения безопасности и устойчивого функционирования информационной инфраструктуры в Компании осуществляется управление доступом пользователей к ее информационным ресурсам, прикладным системам и соответствующим техническим средствам объектов защиты. Пользователи наделяются минимальными правами доступа и привилегиями, необходимыми им для выполнения служебных задач. Наделение пользователей правами доступа и привилегиями основывается на установленной в Компании формализованной процедуре предоставления прав доступа. Целесообразно при этом использовать принцип ролевого управления доступом. Права доступа и привилегии пользователей подлежат регулярному пересмотру. Порядок управления доступом пользователей определяется политиками ИБ объектов защиты, а также другими нормативными и организационно-распорядительными документами Компании в области ИБ. Организация защиты персональных данных. В Компании устанавливается порядок защиты персональных данных работников, предусматривающий правовые, организационные и технические меры по их охране. Перечень мер по защите персональных данных регламентируется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также нормативными и организационно-распорядительными документами Компании в области ИБ. |