Политика ИБ. Политика_информационной_безопасности_1. Содержание Вводные положения 4 Введение 4 Цели 4 Задачи 4
Скачать 354 Kb.
|
Обозначения и сокращенияАРМ – Автоматизированное рабочее место. АС – Автоматизированная система. БД – База данных. ЗИ – Защита информации. ИБ – Информационная безопасность. ИС – Информационная система. ИТС – Информационно-телекоммуникационная система. КЗ – Контролируемая зона. МЭ – Межсетевой экран. НСД – Несанкционированный доступ. ОС – Операционная система. ПБ – Политики безопасности. ПО – Программное обеспечение. СВТ – Средства вычислительной техники. СЗИ – Средство защиты информации. СКЗИ – Средство криптографической защиты информации. СПД – Система передачи данных. СУБД – Система управления базами данных. СУИБ – Система управления информационной безопасностью. СЭД – Система электронного документооборота. ЭВМ – Электронная - вычислительная машина, персональный компьютер. ЭЦП – Электронная цифровая подпись. Политики информационной безопасности УчрежденияНазначение политик информационной безопасностиПолитики информационной безопасности Учреждения – это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в Учреждении. Под политиками безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политики информационной безопасности относятся к административным мерам обеспечения информационной безопасности и определяют стратегию Учреждения в области ИБ. Политики информационной безопасности (далее, ПБ) регламентируют эффективную работу средств защиты информации. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Политики информационной безопасности реализуются посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты. Все документально оформленные решения, формирующие Политики, должны быть утверждены руководителем Учреждения. Основные принципы обеспечения ИБОсновными принципами обеспечения ИБ являются следующие: Постоянный и всесторонний анализ информационного пространства общества с целью выявления уязвимостей информационных активов. Своевременное обнаружение проблем, потенциально способных повлиять на ИБ общества, корректировка моделей угроз и нарушителя. Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию. При этом меры, принимаемые для обеспечения ИБ, не должны усложнять достижение уставных целей общества, а также повышать трудоемкость технологических процессов обработки информации. Контроль эффективности принимаемых защитных мер. Персонификация и адекватное разделение ролей и ответственности между сотрудниками Учреждения, исходя из принципа персональной и единоличной ответственности за совершаемые операции. Соответствие ПБ действующему законодательствуПравовую основу политик составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции. Ответственность за реализацию политик информационной безопасностиОтветственность за разработку мер и контроль обеспечения защиты информации несёт администратор информационной безопасности. Ответственность за реализацию политик возлагается: в части, касающейся разработки и актуализации правил внешнего доступа и управления доступом, антивирусной защиты – на администратора информационной безопасности; в части, касающейся доведения правил политик до сотрудников Учреждения, а также иных лиц (см. область действия настоящей политики) – на администратора информационной безопасности; в части, касающейся исполнения правил политики, – на каждого сотрудника Учреждения, согласно их должностным и функциональным обязанностям, и иных лиц, попадающих под область действия настоящей политики. Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работеУчреждение просвещения сотрудников Учреждения в области информационной безопасности возлагается на администратора информационной безопасности. Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности». Обучение сотрудников Учреждения правилам обращения с конфиденциальной информацией, проводится путем: проведения администратором информационной безопасности инструктивных занятий с сотрудниками, принимаемыми на работу в Учреждение; самостоятельного изучения сотрудниками внутренних нормативных документов Учреждения. Допуск персонала к работе с защищаемыми информационными ресурсами Учреждения осуществляется только после его ознакомления с настоящими политиками, а также после ознакомления пользователей с «Инструкцией по работе пользователей в АС Учреждения», а так же иными инструкциями пользователей отдельных информационных систем. Согласие на соблюдение правил и требований настоящих политик подтверждается подписями сотрудников в «Журнале проведения инструктажа по информационной безопасности». Допуск персонала к работе с конфиденциальной информацией Учреждения осуществляется после ознакомления с «Инструкцией по обращению с носителями конфиденциальной информации». Правила допуска к работе с информационными ресурсами лиц, не являющихся сотрудниками Учреждения, определяются на договорной основе с этими лицами или с Учреждениями, представителями которых являются эти лица. Защищаемые информационные ресурсы УчрежденияРазличаются следующие категории информационных ресурсов, подлежащих защите в Учреждение: Конфиденциальная – информация, определенная в соответствии с Федеральным Законом от 27.07.2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», ФЗ от 27.07.2006 г. №152-ФЗ «О персональных данных», указом президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера», постановлением правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», предусмотренная Перечнем сведений конфиденциального характера. Публичная – информация, получаемая из публичных источников (публикации в СМИ, теле и радиовещание и т.д.). Информация, предназначенная для размещения на внешних публичных ресурсах; Открытая – информация, полученная от физических или юридических лиц, запрет на распространение и обработку которой был ими официально снят. Информация, сформированная в результате деятельности Учреждения, которую запрещено относить конфиденциальной на основании законодательства России. Информация, представляемая в публичный доступ, используемая в хозяйственной деятельности Учреждения; Ограниченного доступа – информация, не попадающая под остальные категории, доступ к которой должен быть ограничен определенной категории лиц. Конфиденциальная информация представляет собой сведения ограниченного доступа, включая персональные данные, для которых в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией. Правила отнесения информации к конфиденциальной и порядок работы с конфиденциальными документами, определяются Инструкциями по обращению с носителями конфиденциальной информации, а также «Перечнем сведений конфиденциального характера». Подходы к решению проблемы защиты информации в Учреждения, в общем виде, сводятся к исключению неправомерных или неосторожных действий со сведениями, относящимися к информации ограниченного распространения, а также с информационными ресурсами, являющимися критичными для обеспечения функционирования процессов Учреждения. Для этого в Учреждении выполняются следующие мероприятия: определяется порядок работы с документами, образцами изделиями и др., содержащими конфиденциальные сведения; устанавливается круг лиц и порядок доступа к подобной информации; вырабатываются меры по контролю обращения с документами, содержащими конфиденциальные сведения; включаются в трудовые договоры с сотрудниками обязательства о неразглашении конфиденциальных сведений и определяются санкции за нарушения порядка работы с ними и их разглашение. Форма подписки о неразглашении сведений конфиденциального характера подписывается при заключении трудового договора, который подписывается всеми сотрудниками Учреждения при приеме на работу в Учреждение. Защита конфиденциальной информации, принадлежащей третьей стороне, осуществляется на основании договоров, заключаемых Организацией с другими учреждениями. Персональные данные сотрудника Учреждения – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника. Согласно Ст.86 п.7 Трудового кодекса РФ защита персональных данных сотрудника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом. Согласно Ст.88 Трудового кодекса РФ при передаче персональных данных сотрудника работодатель должен соблюдать следующие требования: осуществлять передачу персональных данных сотрудника в пределах одного учреждения в соответствии с локальным нормативным актом Учреждения, с которым сотрудник должен быть ознакомлен под расписку; разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудника, которые необходимы для выполнения конкретных функций. Согласно Ст.90 Трудового кодекса РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами. Учреждение системы управления информационной безопасностью УчрежденияУчреждение системы управления ИБСистема управления информационной безопасности Учреждения (СУИБ) – предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности Учреждения. Для успешного функционирования СУИБ Учреждения должны быть реализованы следующие процессы: определение и уточнение области действия СУИБ и выбор подхода к оценке рисков ИБ. определение и уточнение области действия СУИБ должно осуществляться на основе результатов оценки рисков, связанных с основной деятельностью Учреждения, а также оценки правовых рисков деятельности Учреждения; анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичных информационных активов. выбор и уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ. принятие руководством Учреждения остаточных рисков и решения о реализации и эксплуатации/совершенствовании СУИБ. Остаточные риски ИБ должны быть соотнесены с рисками деятельности Учреждения, и оценено их влияние на достижение целей деятельности Учреждения. Реализация системы управления ИБВ системе управления ИБ должны быть реализованы следующие процессы: разработка плана обработки рисков ИБ; реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СУИБ; реализация программ по обучению и осведомленности ИБ; обнаружение и реагирование на инциденты безопасности; обеспечение непрерывности деятельности и восстановления после прерываний. На этапе планирования определяется политика и методология управления рисками, а также выполняется оценка рисков, включающая в себя инвентаризацию активов, составление профилей угроз и уязвимостей, оценку эффективности контрмер и потенциального ущерба, определение допустимого уровня остаточных рисков. На этапе реализации производится обработка рисков и внедрение механизмов контроля, предназначенных для их минимизации. Организацией принимается одно из четырех решений по каждому идентифицированному риску: проигнорировать, избежать, передать внешней стороне, либо минимизировать. После этого разрабатывается и внедряется план обработки рисков. На этапе проверки отслеживается функционирование механизмов контроля, контролируются изменения факторов риска (активов, угроз, уязвимостей), проводятся аудиты и выполняются различные контролирующие процедуры. На этапе действия по результатам непрерывного мониторинга и проводимых проверок, выполняются необходимые корректирующие действия, которые могут включать в себя, в частности, переоценку величины рисков, корректировку политики и методологии управления рисками, а также плана обработки рисков. Методы оценивания информационных рисковОценка информационных рисков Учреждения выполняется по следующим основным этапам: идентификация и количественная оценка информационных ресурсов, значимых для работы Учреждения; оценивание возможных угроз; оценивание существующих уязвимостей; оценивание эффективности средств обеспечения информационной безопасности. Предполагается, что значимые уязвимые информационные ресурсы Учреждения подвергаются риску, если по отношению к ним существуют какие-либо угрозы. При этом информационные риски зависят от: показателей ценности информационных ресурсов; вероятности реализации угроз для ресурсов; эффективности существующих или планируемых средств обеспечения информационной безопасности. Цель оценивания рисков состоит в определении характеристик рисков информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности Учреждения. При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды. Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса Учреждения. При этом вероятность того, что угроза реализуется, определяется следующими основными показателями: привлекательностью ресурса, используется при рассмотрении угрозы от умышленного воздействия со стороны человека; возможностью использования ресурса для получения дохода, также используется при рассмотрении угрозы от умышленного воздействия со стороны человека; техническими возможностями реализации угрозы, используется при умышленном воздействии со стороны человека; степенью легкости, с которой уязвимость может быть использована. Политики информационной безопасностиПолитика предоставления доступа к информационному ресурсуНазначениеНастоящая Политика определяет основные правила предоставления сотрудникам доступа к защищаемым информационным ресурсам Учреждения. Положение политикиК работе с информационным ресурсом допускаются пользователи, ознакомленные с правилами работы с информационным ресурсом и ответственностью за их нарушение, а также настоящей политикой. Каждому сотруднику Учреждения, допущенному к работе с конкретным информационным ресурсом, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в ИС. В случае необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими сотрудниками при работе в Учреждения одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО. Порядок создания (продления) учетной записи пользователяПроцедура регистрации (создания учетной записи), также продления срока действия временной учетной записи пользователя для сотрудника Учреждения инициируется заявкой (Приложение № 1). В заявке указывается: должность (с полным наименованием подразделения), фамилия, имя и отчество сотрудника; основание для регистрации учетной записи (номер приказа о принятии на работу в Учреждении или иного договорного документа, определяющего необходимость предоставления сотруднику доступа к информационным ресурсам Учреждения). Заявку подписывает начальник кадровой службы подтверждающий, что указанный сотрудник действительно принят в штат Учреждения. Заявка согласуется с администратором информационной безопасности и передается системному администратору (программисту). Системный администратор рассматривает представленную заявку и совершает необходимые операции по созданию (удалению) учетной записи пользователя, присвоению ему начального значения пароля и минимальных прав доступа к ресурсам Учреждения. По окончании регистрации учетной записи пользователя в заявке делается отметка о выполнении задания за подписями исполнителей. Минимальные права в ИС Учреждения, определенные выше, а также присвоение начального пароля производится администратором информационной безопасности, при согласовании заявки на предоставление (изменение) прав доступа пользователя к информационным ресурсам. Порядок предоставления (изменения) полномочий пользователяПроцедура предоставления (или изменения) прав доступа пользователя к ресурсам Учреждения инициируется заявкой сотрудника (Приложение № 2). В заявке указывается: должность, фамилия, имя и отчество сотрудника; имя пользователя (учетной записи) данного сотрудника; наименование информационного актива (системы, ресурса), к которому необходим допуск (или изменение полномочий пользователя); полномочия, которых необходимо лишить пользователя или которые необходимо добавить пользователю (путем указания решаемых пользователем задач на конкретных информационных ресурсах ИС) с указанием разрешенных видов доступа к ресурсу (ролей). Заявка согласуется с администратором информационной безопасности и передается системному администратору (программисту) на исполнение. По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей. Порядок удаления учетной записи пользователяПри наступлении момента прекращения срока действия полномочий пользователя (окончание договорных отношений, увольнение сотрудника) учетная запись должна немедленно блокироваться. Предпочтительно использовать механизмы автоматического блокирования учетных записей уволенных сотрудников, используя соответствующие ИС. При невозможности автоматического блокирования учетных записей, сотрудникам сопоставляются временные учетные записи (с фиксированным сроком действия), о чем делается отметка в заявке при ее исполнении и в обязательном порядке доводится до инициатора заявки. Допускается регистрация постоянных учетных записей при отсутствии механизмов автоматической блокировки. В этом случае начальник кадровой службы обязан своевременно подавать заявки на блокирование учетной записи сотрудника (Приложение №3) не позднее, чем за сутки до момента прекращения срока действия полномочий пользователя. В заявке указывается: должность сотрудника, фамилия, имя и отчество сотрудника; имя пользователя (учетной записи) данного сотрудника; дата прекращения полномочий пользователя. Заявку подписывает начальник кадровой службы, утверждая тем самым факт прекращения срока действия полномочий пользователя. Администратор информационной безопасности рассматривает представленную заявку и передает заявку на исполнение системному администратору (программисту). По окончании внесения изменений в заявке делается отметка о выполнении задания за подписями исполнителей. В случае необходимости сохранения персональных документов (профайла пользователя) на АРМ сотрудника, после прекращения срока действия его полномочий, сотрудник (или его непосредственный руководитель) должен своевременно (не позднее, чем за 3 суток до момента прекращения срока действия своих полномочий) подать заявку на блокирование учетной записи пользователя с указанием срока хранения указанной информации. Заявка должна подаваться даже в случае применения механизмов автоматической блокировки учетных записей уволенных сотрудников. Такая заявка должна быть предварительно согласована с администратором информационной безопасности, и после выполнения действий по блокированию учетной записи передается системному администратору для исполнения требования по сохранению данных. Порядок хранения исполненных заявокИсполненные заявки передаются администратору информационной безопасности, и хранятся в архиве в течение 5 лет с момента окончания предоставления доступа к информационному ресурсу Учреждения. Копии исполненных заявок хранятся у системного администратора. Они могут впоследствии использоваться: для восстановления полномочий пользователей после аварий в ИС Учреждения; для контроля правомерности наличия у конкретного пользователя прав доступа к информационному ресурсу тем или иным ресурсам системы при разборе конфликтных ситуаций; для проверки системным администратором правильности настройки средств разграничения доступа к ресурсам системы. В случае невозможности исполнения инициатору заявки направляется мотивированный отказ с приложением Заявки. Политика учетных записейНазначениеНастоящая политика определяет основные правила присвоения учетных записей пользователям информационных активов Учреждения. Положение политикиРегистрационные учетные записи подразделяются на: пользовательские – предназначенные для идентификации/аутентификации пользователей информационных активов Учреждения; системные – используемые для нужд операционной системы; служебные – предназначенные для обеспечения функционирования отдельных процессов или приложений. Каждому пользователю информационных активов Учреждения назначается уникальная пользовательская регистрационная учетная запись. Допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю (например, имеющих различный уровень полномочий). В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале учета машинного времени, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено. Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему. Служебные регистрационные учетные записи используются только для запуска сервисов или приложений. Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено. Политика использования паролейНазначениеНастоящая политика определяет основные правила обращения с паролями, используемыми для доступа к защищаемым информационным активам Учреждения. Положения политикиПоложения политики закрепляются в «Инструкции по парольной защите в АС». Политика реализации антивирусной защитыНазначениеНастоящая Политика определяет основные правила для реализации антивирусной защиты в Учреждении. Положения политикиПоложения политики закрепляются в «Инструкции по проведению антивирусного контроля в АС». Политика защиты АРМНазначениеНастоящая Политика определяет основные правила и требования по защите персональных данных и иной конфиденциальной информации Учреждения от неавторизованного доступа, утраты или модификации. Положения политикиВо время работы с конфиденциальной информацией должен предотвращаться ее просмотр не допущенными к ней лицами. При любом оставлении рабочего места, рабочая станция должна быть заблокирована, съемные машинные носители, содержащие конфиденциальную информацию, заперты в помещении, шкафу или ящике стола или в сейфе. Несанкционированное использование печатающих, факсимильных, копировально-множительных аппаратов и сканеров должно предотвращаться путем их размещения в помещениях с ограниченным доступом, использования паролей или иных доступных механизмов разграничения доступа. Сотрудники получают доступ к ресурсам вычислительной сети после ознакомления с документами, утвержденными стандартами предприятия, (согласно занимаемой должности), а именно с инструкциями по обращению с носителями конфиденциальной информации, «Перечень сведений конфиденциального характера». Доступ к компонентам операционной системы и командам системного администрирования на рабочих станциях пользователей ограничен. Право на доступ к подобным компонентам предоставлено только администратор информационной безопасности. Конечным пользователям предоставляется доступ только к тем командам, которые необходимы для выполнения их должностных обязанностей. Доступ к информации предоставляется только лицам, имеющим обоснованную необходимость в работе с этими данными для выполнения своих должностных обязанностей. Пользователям запрещается устанавливать неавторизованные программы на компьютеры. Конфигурация программ на компьютерах должна проверяться ежемесячно на предмет выявления установки неавторизованных программ. Техническое обслуживание должно осуществляться только на основании обращения пользователя к системному администратору. Локальное техническое обслуживание должно осуществляться только в личном присутствии пользователя. Дистанционное техническое обслуживание должно осуществляться только со специально выделенных автоматизированных рабочих мест, конфигурация и состав которых должны быть стандартизованы, а процесс эксплуатации регламентирован и контролироваться. При проведении технического обслуживания должен выполняться минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений. Копирование конфиденциальной информации и временное изъятие носителей конфиденциальной информации (в том числе в составе АРМ) допускаются только с санкции пользователя. В случае изъятия носителей, содержащих конфиденциальную информацию, пользователь имеет право присутствовать при дальнейшем проведении работ. Программное обеспечение должно устанавливаться со специальных ресурсов или съемных носителей и в соответствии с лицензионным соглашением с его правообладателем. Конфигурации устанавливаемых рабочих станций должны быть стандартизованы, а процессы установки, настройки и ввода в эксплуатацию - регламентированы. АРМ, на которых предполагается обрабатывать конфиденциальную информацию, должны быть закреплены за соответствующими сотрудниками Учреждения. Запрещается использование указанных АРМ другими пользователями без согласования с администратором информационной безопасности Учреждения. При передаче указанного АРМ другому пользователю, должна производиться гарантированная очистка диска (форматирование). Системный администратор вправе отказать в устранении проблемы, вызванной наличием на рабочем месте программного обеспечения или оборудования, установленного или настроенного пользователем в обход действующей процедуры. Порядок сопровождения ИС УчрежденияОбеспечение информационной безопасности информационных систем на стадиях жизненного цикла ИБ ИС должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) ИС, автоматизирующих технологические процессы, с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений Учреждения). Разработка технических заданий, проектирование, создание, тестирование, приемка средств и систем защиты ИС проводится при участии администратора информационной безопасности и системного администратора. Порядок разработки и внедрения ИС должен быть регламентирован и контролироваться. При разработке ИС необходимо придерживаться требований и методических указаний, определенных стандартами, входящими в группу ГОСТ 34.ххх «Стандарты информационной технологии». Ввод в действие, эксплуатация, снятие с эксплуатации ИС в части вопросов ИБ должны осуществляться при участии администратора информационной безопасности. На стадиях, связанных с разработкой ИС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должна быть обеспечена защита от угроз: неверной формулировки требований к ИС; выбора неадекватной модели ЖЦ ИС, в том числе неадекватного выбора процессов ЖЦ и вовлеченных в них участников; принятия неверных проектных решений; внесения разработчиком дефектов на уровне архитектурных решений; внесения разработчиком недокументированных возможностей в ИС; неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к ИС; разработки некачественной документации; сборки ИС разработчиком/производителем с нарушением требований, что приводит к появлению недокументированных возможностей в ИС либо к неадекватной реализации требований; неверного конфигурирования ИС; приемки ИС, не отвечающей требованиям заказчика; внесения недокументированных возможностей в ИС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ. Привлекаемые для разработки средств и систем защиты ИС на договорной основе специализированные Учреждения должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ. При приобретении готовых ИС и их компонентов разработчиком должна быть предоставлена документация, содержащая, в том числе, описание защитных мер, предпринятых разработчиком в отношении угроз информационной безопасности. Также разработчиком должна быть представлена документация, содержащая описание защитных мер, предпринятых разработчиком ИС и их компонентов относительно безопасности разработки, безопасности поставки, эксплуатации, поддержки жизненного цикла, включая описание модели жизненного цикла, оценки уязвимости. Данная документация может быть представлена в рамках декларации о соответствии или быть результатом оценки соответствия изделия, проведенной в рамках соответствующей системы оценки. В договор (контракт) о поставке ИС и их компонентов рекомендуется включать положения по сопровождению поставляемых изделий на весь срок их службы. В случае невозможности включения в договор (контракт) указанных требований к разработчику должна быть рассмотрена возможность приобретения полного комплекта рабочей конструкторской документации на изделие, обеспечивающее возможность сопровождения ИС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой стоимости, руководство Учреждения, должно обеспечить анализ влияния угрозы невозможности сопровождения ИС и их компонентов на обеспечение непрерывности работы. На стадии эксплуатации должна быть обеспечена защита от следующих угроз: умышленное несанкционированное раскрытие, модификация или уничтожение информации; неумышленная модификация или уничтожение информации; недоставка или ошибочная доставка информации; отказ в обслуживании или ухудшение обслуживания. Кроме этого, актуальной является угроза отказа от авторства сообщения. На стадии сопровождения должна быть обеспечена защита от угроз: внесения изменений в ИС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей; невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния ИС. На стадии снятия с эксплуатации должно быть обеспечено удаление информации, несанкционированное использование которой может нанести ущерб Учреждению, и информации, используемой средствами обеспечения ИБ, из постоянной памяти ИС или с внешних носителей. Требования ИБ должны включаться во все договора и контракты на проведение работ или оказание услуг на всех стадиях ЖЦ ИС. Профилактика нарушений политик информационной безопасностиПод профилактикой нарушений политик информационной безопасности понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений информационной безопасности в Учреждении и проведение разъяснительной работы по информационной безопасности среди пользователей. Проведение в ИС Учреждения регламентных работ по защите информации предполагает выполнение процедур контрольного тестирования (проверки) функций СЗИ, что гарантирует ее работоспособность с точностью до периода тестирования. Контрольное тестирование функций СЗИ может быть частичным или полным и должно проводиться с установленной в ИС Учреждения степенью периодичности. Задача предупреждения в ИС Учреждения возможных нарушений информационной безопасности решается по мере наступления следующих событий: включение в состав ИС Учреждения новых программных и технических средств (новых рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС Учреждения; изменение конфигурации программных и технических средств ИС (изменение конфигурации программного обеспечения рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС Учреждения; при появлении сведений о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения технических средств, используемых в ИС Учреждения. Администратор информационной безопасности (возможно, при помощи сторонней Организации специализирующейся в области информационной безопасности) собирает и анализирует информацию о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения относительно ИС Учреждения. Источниками подобного рода сведений могут служить официальные издания и публикации различных компаний, общественных объединений и других организаций, специализирующихся в области защиты информации. Администратор информационной безопасности (возможно, при помощи сторонней организации, специализирующейся в области информационной безопасности) организовывает периодическую проверку СЗИ ИС Учреждения путем моделирования возможных попыток осуществления НСД к защищаемым информационным ресурсам. Для решения задач контроля защищенности ИС используются инструментальные средства для тестирования реализованных в составе СЗИ ИС Учреждения средств и функций защиты. По результатам профилактических работ, проводимых в ИС, необходимо сделать соответствующие записи в специальном журнале (Журнале проверки исправности и технического обслуживания). Плановая разъяснительная работа по правилам настоящих политик, а также инструктаж сотрудников Учреждения по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Учреждении, проводится администратором информационной безопасности ежеквартально. Внеплановая разъяснительная работа по правилам настоящих политик, а также инструктаж сотрудников Учреждении по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Учреждении, проводится при пересмотре настоящих политик, при возникновении инцидента нарушения правил настоящих политик. Прием на работу новых сотрудников должен сопровождаться ознакомлением их с правилами и требованиями настоящих политик. Ликвидация последствий нарушения политик информационной безопасностиАдминистратор информационной безопасности, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения информационной безопасности, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению. В случае обнаружения подсистемой защиты информации факта нарушения информационной безопасности или осуществления НСД к защищаемым информационным ресурсам ИС рекомендуется уведомить администратора информационной безопасности и/или директора, и далее следовать их указаниям. Действия администратора информационной безопасности и системного администратора при признаках нарушения политик информационной безопасности регламентируются следующими внутренними документами: Инструкцией пользователя автоматизированной системы; Политикой информационной безопасности; Должностными обязанностями администратора информационной безопасности; Должностными обязанностями программиста. После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий. Ответственность нарушителей ПБОтветственность за выполнение правил Политик безопасности несет каждый сотрудник Учреждения в рамках своих служебных обязанностей и полномочий. На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности Учреждения, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы. Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный Учреждениию в результате нарушения ими правил политики ИБ (Ст. 238 Трудового кодекса РФ). За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой информации, сотрудники Учреждения несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации. Регулирующие законодательные нормативные документыПри учреждении и обеспечении работ по информационной безопасности сотрудники Учреждения должны руководствоваться следующими законодательными нормативными документами: Основополагающие нормативные документыК основополагающим нормативным документам относятся: Доктрина информационной безопасности Российской Федерации (утверждена Президентом РФ от 9 сентября 2000 г. № Пр-1895). Законы Российской ФедерацииЗакон Российской Федерации от 5 марта 1992 г. № 2446-I «О безопасности»; Гражданский кодекс Российской Федерации; Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» (с изменениями от 8 ноября 2007 г.); Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Уголовный кодекс РФ; Федеральный закон от 27 декабря 2002 г. № 184-ФЗ «О техническом регулировании» (с изменениями от 9 мая 2005 г., 1 мая, 1 декабря 2007 г.); Федеральный закон от 8 августа 2001 г. № 128-ФЗ «О лицензировании отдельных видов деятельности» (с изменениями от 13, 21 марта, 9 декабря 2002 г., 10 января, 27 февраля, 11, 26 марта, 23 декабря 2003 г., 2 ноября 2004 г., 21 марта, 2 июля, 31 декабря 2005 г., 27 июля, 4, 29 декабря 2006 г., 5 февраля, 19 июля, 4, 8 ноября, 1, 6 декабря 2007 г.). Указы и распоряжения президента Российской ФедерацииУказ Президента Российской Федерации от 20 января 1994 г. № 170 «Об основах государственной политики в сфере информатизации» (с изменениями от 26 июля 1995 г., 17 января, 9 июля 1997 г.); Указ Президента Российской Федерации от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (с изменениями от 25 июля 2000 г.); Указ Президента Российской Федерации от 3 июля 1995 г. № 662 «О мерах по формированию общероссийской телекоммуникационной системы и обеспечению прав собственников при хранении ценных бумаг и расчетах на фондовом рынке Российской Федерации» (с изменениями от 16 августа 1995 г., 4 января 1996 г., 28 мая 1997 г., 29 ноября 2004 г.); Указ Президента Российской Федерации от 9 января 1996 г. № 21 «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в Российскую Федерацию и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» (с изменениями от 30 декабря 2000 г.); Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» (с изменениями от 23 сентября 2005 г.). Постановления и распоряжения правительства Российской ФедерацииПостановление Правительства Российской Федерации от 3 ноября 1994 г. № 1233 «Об утверждении Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»; Постановление Правительства Российской Федерации от 26 июня 1995 г. № 608 «О сертификации средств защиты информации» (с изменениями от 23 апреля 1996 г., 29 марта 1999 г., 17 декабря 2004 г.). Нормативные и руководящие документы Федеральных служб РФРешение Гостехкомиссии России от 21 октября 1997 г. № 61 «О защите информации при вхождении России в международную информационную систему «Интернет»; Постановление Госстандарта Российской Федерации от 21 сентября 1994 г. № 15 «Об утверждении «Порядка проведения сертификации продукции в Российской Федерации» (с изменениями от 25 июля 1996 г., 11 июля 2002 г.); Постановление Госстандарта Российской Федерации от 10 мая 2000 г. № 26 «Об утверждении Правил по проведению сертификации в Российской Федерации» (с изменениями от 5 июля 2002 г.); Положение о сертификации средств защиты информации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации от 27 октября 1995 г. № 199); Положение по аттестации объектов информатизации по требованиям безопасности информации (утверждено председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.); Типовое положение об органе по аттестации объектов информатизации по требованиям безопасности информации (утверждено приказом председателя Государственной технической комиссии при Президенте Российской Федерации т 5 января 1996 г. № 3); Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации (утверждена решением Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.); Руководящий документ. Временное положение по учреждении разработки, изготовления и эксплуатации программных и технических средств защиты информации от несанкционированного доступа в автоматизированных системах и средствах вычислительной техники (утверждено решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.); Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.); Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.); Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 25 июля 1997 г.); Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей (утвержден решением председателя Государственной технической комиссии при Президенте Российской Федерации от 4 июня 1999 г. № 114); Руководящий документ. Безопасность информационных технологий. Критерии оценки безопасности информационных технологий (введен в действие Приказом Гостехкомиссии России от 19.06.02 г. № 187). Государственные стандартыГОСТ 21552-84 «Средства вычислительной техники. Общие технические требования, приемка, методы испытаний, маркировка, упаковка, транспортирование и хранение» (утвержден постановлением Госстандарта СССР от 28 июня 1984 г. № 2206, с изменениями от июня 1987 г., ноября 1988 г., декабря 1990 г.); ГОСТ 34.602-89 «Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (утвержден постановлением Госстандарта СССР от 24 марта 1989 г. № 661); ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования» (принят постановлением Госстандарта России от 9 февраля 1995 г. № 49); ГОСТ Р 50752-95 «Информационная технология. Защита информации от утечки за счёт побочных электромагнитных излучений при её обработке средствами вычислительной техники. Методы испытаний», Госстандарт России, 1995 г.; ГОСТ Р 51188-98 «Защита информации. Испытания программных средств на наличие компьютерных вирусов. Типовое руководство» (введен в действие постановлением Госстандарта России от 14 июля 1998 г. № 295); ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» (введен в действие постановлением Госстандарта России от 12 мая 1999 г. № 160); ГОСТ Р 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищённом исполнении. Общие положения», Госстандарт России, 2000 г.; ГОСТ Р 51624-2000 «Защита информации. Автоматизированные системы в защищённом исполнении. Общие требования», Госстандарт России, 2000 г.; ГОСТ Р ИСО/МЭК 17799-2005 «Информационная технология. Практические правила управления информационной безопасностью» (принят постановлением Госстандарта России от 29 декабря 2005 г. № 447-ст). ПриложенияПеречень приложений к политике информационной безопасности
Приложение 1.Форма заявления на создание учетной записи пользователяСОГЛАСОВАНО Делопроизводитель «___» __________ 20___г. (для штатных сотрудников) Администратор информационной безопасности «___» __________ 20___ г. ЗАЯВЛЕНИЕ № __________ На создание (продление) учетной записи пользователя Прошу создать (продлить) учетную запись пользователя:
Сотрудник приступает к работе с: «___» _______________ 20__г. по «___» _______________ 20__г. (указывается при необходимости) Обоснование служебной необходимости:_______________________________________________________________ _________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________ ________________________________________________ ___________________ «___» _______________ 20__г. (Фамилия И.О. начальник отдела) (подпись) (дата) С правилами работы в информационной системе Учреждения ознакомлен(а) ________________________________________________ ___________________ «___» _______________ 20__г. (Фамилия И.О. сотрудника) (подпись) (дата) Выполнено: __________________________________ _______________________________________________ (назначенное имя пользователя) (адрес почты) Системный администратор ___________ ____________________________ Системное Время: ____чч____мм (Подпись) (Фамилия И.О.) Дата: «___» _______________ 20___ г. Приложение 2.Форма заявления на изменение полномочийСОГЛАСОВАНО Администратор информационной безопасности «___» ________ 20___ г. ЗАЯВЛЕНИЕ № __________ На изменение полномочий пользователю Прошу изменить полномочия по работе с информационным ресурсом:
Изменения вступают в силу с: «___» _______________ 20__г. по «___» _______________ 20__г. (указывается при необходимости) Обоснование служебной необходимости:_____________________________________________________________ ___________________________________________________________________________________________________ ___________________________________________________________________________________________________ ________________________________________________ ___________________ «___» _______________ 20__г. (Фамилия И.О. начальник отдела) (подпись) (дата) С правилами работы в информационной системе Учреждения ознакомлен(на) ________________________________________________ ___________________ «___» _______________ 20__г. (Фамилия И.О. сотрудника) (подпись) (дата) Выполнено: _____________________________________________________________________________________ (назначенное имя пользователя, описание выполненных действий) Системный администратор ___________ ____________________________ Системное Время: ____чч____мм (Подпись) (Фамилия И.О.) Дата: «___» _______________ 20__г. Приложение 3.Форма заявления на блокировку учетной записиСпециалист по кадрам «___» ________ 20____ г. (для штатных сотрудников) Администратор информационной безопасности «___» ________ 20____ г. ЗАЯВЛЕНИЕ № __________ На блокировку учетной записи пользователя Прошу заблокировать учетную запись пользователя:
Срок действия полномочий прекратить с: «___» _______________ 20__г. Обоснование блокировки:__________________________________________________________________________ __________________________________________________________________________________________________ __________________________________________________________________________________________________ ________________________________________________ ___________________ «___» _______________ 20__г. (Фамилия И.О. начальник отдела) (подпись) (дата) С гарантированным хранением данных в течении _________________________________________________________________________________________________ (указывается срок хранения данных пользователя) Пользователь блокирован Системный администратор ___________ ____________________________ Системное Время: ____чч____мм (Подпись) (Фамилия И.О.) Дата: «___» _______________ 20_____ г. страница из |