Сведения о нормативном документе
Скачать 0.61 Mb.
|
УТВЕРЖДАЮ " ___ " ____________________ 2018 г СТО № ИБ.004 Система управления и обеспечения информационной безопасности в ООО «Сатурн» Версия 1.0 Москва 2018 Cтр. 2 из 32 Сведения о нормативном документе Информация о документе Функциональный руководитель Разработчик документа Введен в действие Приказом № _____ от ___.___.______ Срок действия не ограничен История изменений Дата Версия Автор изменений Причина внесения изменений Cтр. 3 из 32 СОДЕРЖАНИЕ 1 ВВЕДЕНИЕ ........................................................................................................................ 5 2 ОБЛАСТЬ ПРИМЕНЕНИЯ ........................................................................................... 5 3 НОРМАТИВНЫЕ ССЫЛКИ ......................................................................................... 5 4 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ................................................................................... 6 5 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ .......................................................................... 7 6 КОРПОРАТИВНЫЕ ТРЕБОВАНИЯ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ............................................................................................................ 9 6.1 Классификация корпоративных требований по информационной безопасности................. 9 6.2 Перечень корпоративных требований по обеспечению информационной безопасности .. 10 6.2.1 Обеспечение информационной безопасности при работе с внешними сторонами ............ 10 6.2.2 Обеспечение информационной безопасности при управлении персоналом ....................... 10 6.2.3 Обеспечение информационной безопасности при работе с мобильными устройствами, используемыми для доступа к ресурсам корпоративной сети, и носителями информации ..................................................................................................................................................... 11 6.2.4 Обеспечение информационной безопасности на стадиях жизненного цикла информационных систем .......................................................................................................... 12 6.2.5 Обеспечение антивирусной защиты ........................................................................................ 14 6.2.6 Безопасность сети и сетевого доступа..................................................................................... 14 6.2.7 Регистрация и мониторинг событий информационной безопасности ................................. 15 6.2.8 Управление доступом и парольная защита ............................................................................. 17 6.2.9 Безопасность удаленного доступа ........................................................................................... 19 6.2.10 Криптографическая защита информации и управление криптографическими ключами ..................................................................................................................................... 19 6.2.11 Резервирование и резервное копирование .................................................................... 20 6.2.12 Управление техническими уязвимостями и безопасная конфигурация .................... 21 6.2.13 Защита от утечек конфиденциальной информации ..................................................... 22 6.2.14 Защита персональных данных ........................................................................................ 22 6.2.15 Защита коммерческой тайны .......................................................................................... 24 6.3 Перечень корпоративных требований по управлению информационной безопасностью . 24 6.3.1 Документирование и управление документацией ................................................................. 24 6.3.2 Распределение ответственности за информационную безопасность ................................... 25 6.3.3 Управление активами и рисками информационной безопасности....................................... 26 6.3.4 Управление инцидентами информационной безопасности .................................................. 27 Cтр. 4 из 32 6.3.5 Управление корректирующими и предупреждающими действиями ................................... 28 6.3.6 Оценка эффективности системы управления информационной безопасностью ................ 29 6.3.7 Внутренний аудит системы управления информационной безопасностью ........................ 29 6.3.8 Управление непрерывностью бизнеса .................................................................................... 30 6.3.9 Обучение и повышение осведомленности в области информационной безопасности ...... 30 6.3.10 Вовлеченность менеджмента в вопросы информационной безопасности ................. 31 6.3.11 Управление соответствием регуляторным требованиям ............................................. 31 7 ПРОВЕРКА И ОЦЕНКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ............... 32 Cтр. 5 из 32 1 ВВЕДЕНИЕ Практически все бизнес-процессы Компании используют информационные технологии и становятся зависимыми от их безопасности. В результате возникновения инцидентов информационной безопасности (реализации угроз) может быть нарушена работа информационных систем, что может привести к прерыванию бизнес-процессов и повлечь возникновение ущерба для Компании, который может быть оценен, например, в финансовом выражении или в виде ущерба репутации. Основными целями настоящего стандарта являются: • Стандартизация подхода к управлению и обеспечению информационной безопасности в Компании; • Формирование механизма для оценки уровня информационной безопасности Компании; • Создание механизма для формирования стратегии развития ИБ Компании; • Достижение адекватности используемых защитных мер рискам ИБ. 2 ОБЛАСТЬ ПРИМЕНЕНИЯ Настоящий̆ стандарт является нормативным документом Компании и распространяется на все компоненты инфраструктуры, в рамках которых обрабатывается конфиденциальная информация, такая как: персональные данные, инсайдерская информация и коммерческая тайна, а также процессы обеспечения безопасности такой информации. Настоящий стандарт не распространяется на компоненты инфраструктуры и бизнес-процессы, в рамках которых обрабатывается информация, относящаяся к государственной тайне РФ. Требования настоящего стандарта относятся к двум категориям: «Обязательные» и «Рекомендованные». «Обязательные» требования - должны неукоснительно выполняться в Компании, «Рекомендованные» - применяются по решению Компании. 3 НОРМАТИВНЫЕ ССЫЛКИ «Корпоративный стандарт ИБ Компании разработан с учетом требований и рекомендаций следующих нормативно-правовых актов РФ, а также российских и международных стандартов области ИБ: • Федеральный закон РФ «О персональных данных», N 152-ФЗ от 27.07.2006. • Федеральный закон РФ «О коммерческой тайне», N 98-ФЗ от 29.07.2004. • Федеральный закон РФ «О противодействии неправомерному использованию инсайдерской информации и манипулированию рынком и о внесении изменений в отдельные законодательные акты Российской Федерации» N 224-ФЗ от 27.07.2010. • Закон РФ «О государственной тайне», N 5485-1 от 21.07.1993. • Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения», СТО БР ИББС-1.0-2014 от 01.06.2014. • Международный стандарт ISO/IEC 27001:2013. • Постановление Правительства РФ «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», №687 от 15.09.2008. • Постановление Правительства РФ «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», №1119 от 01.11.2012. Cтр. 6 из 32 • Приказ Федеральной службы по техническому и экспортному контролю «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», №21 от 18.02.2013. • Приказ ФСБ «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», №378 от 10.07.2014. В Стандарте учтены требования следующих внутренних нормативных документов Компании: • Кодекс «Безопасность». • Кодекс «Материально-техническое и информационное обеспечение». • Кодекс «Риски». • «Положение о Подкомитете по рискам при Комитете по финансам и инвестициям», приложение к приказу Президента №У-070/09 от 04.06.2009. • Кодекс «Управление персоналом». Настоящий Стандарт ссылается на следующие внутренние нормативные документы Компании: • «Корпоративная методика проведения аудита ИБ Компании. • «Корпоративный регламент проведения аудита ИБ Компании. 4 ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ Активы. Под активами понимаются ресурсы Компании, в том числе: • Информационные активы, в том числе представленные в виде баз и файлов данных, а также документов на бумажном носителе. • Аппаратные активы (аппаратные ИТ-ресурсы), в том числе сетевое оборудование, серверы, рабочие станции, оргтехника и носители данных, содержащие конфиденциальную информацию. • Программные активы. • Помещения. • Каналы и средства связи. Внешние стороны - сторонние организации (третьи лица), которые могут повлиять на безопасность данных Компании или работоспособность сервисов и информационных систем. Например, это могут быть организации, предоставляющие Компании техническую поддержку или иные ИТ-сервисы, а также организации, имеющие доступ к ресурсам корпоративной сети Компании или к данным Компании. Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно- Cтр. 7 из 32 розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. (Закон РФ N 5485-1 от 21.07.1993) Допустимая точка восстановления (RPO) – точка во времени до начала инцидента, на момент которой должны быть восстановлены данные в информационной системе после завершения инцидента. Допустимое время восстановления (RTO) – точка во времени, после начала инцидента, характеризующая максимально допустимое время простоя сервиса. Инсайдерская информация – точная и конкретная информация, которая не была распространена или предоставлена (в том числе сведения, составляющие коммерческую, служебную, банковскую тайну, тайну связи (в части информации о почтовых переводах денежных средств) и иную охраняемую законом тайну), распространение или предоставление которой может оказать существенное влияние на цены финансовых инструментов, иностранной валюты и (или) товаров и которая относится к информации, включенной в соответствующий перечень инсайдерской информации; (Федеральный закон РФ N 224-ФЗ от 27.07.2010) Коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. (Федеральный закон РФ N 98-ФЗ от 29.07.2004, Кодекс «Безопасность» Компании) Мобильные устройства - личные и корпоративные переносные средства вычислительной техники, используемые для доступа к ресурсам сети компании. Например: ноутбуки, мобильные телефоны, планшеты. Мониторинг событий ИБ - процесс просмотра и анализа журналов зарегистрированных событий информационных систем, средств защиты информации и сетевых устройств Компании, проводимый с целью выявления инцидентов ИБ и их регистрации. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. (Федеральный закон РФ N 152-ФЗ от 27.07.2006, Кодекс «Безопасность» Компании) 5 ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ DLP Система защиты от утечек данных Cтр. 8 из 32 DMZ Демилитаризованная зона VPN Virtual Private Network — виртуальная частная сеть ИБ Информационная безопасность ИИ Инсайдерская информация ИКТ Информация, составляющая коммерческую тайну ИС Информационная система ИСПДн Информационная система персональных данных ИТ Информационные технологии Компания Компании ЛВС Локальная вычислительная сеть ОС Операционная система ПДн Персональные данные ПО Программное обеспечение ППО Прикладное программное обеспечение РФ Российская Федерация СКЗИ Система криптографической защиты информации СУБД Система управления базами данных СУИБ Система управления информационной безопасностью ТЗ Техническое задание ФСБ Федеральная служба безопасности Российской Федерации Конфиденциально Версия 1.0 Cтр. 9 из 32 6 КОРПОРАТИВНЫЕ ТРЕБОВАНИЯ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 6.1 К ЛАССИФИКАЦИЯ КОРПОРАТИВНЫХ ТРЕБОВАНИЙ ПО ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ Каждому корпоративному требованию по ИБ соответствует определенный частный показатель ИБ. Все частные показатели ИБ объединены в 27 групповых показателей, в свою очередь объединенных в 2 направления: К направлению «Обеспечение ИБ» относятся следующие групповые показатели: 1.1 Обеспечение информационной безопасности при работе с внешними сторонами. 1.2 Обеспечение информационной безопасности при управлении персоналом. 1.3 Обеспечение информационной безопасности при работе с мобильными устройствами, используемыми для доступа к ресурсам корпоративной сети, и носителями информации. 1.4 Обеспечение информационной безопасности на стадиях жизненного цикла информационных систем. 1.5 Обеспечение антивирусной защиты. 1.6 Безопасность сети и сетевого доступа. 1.7 Регистрация и мониторинг событий информационной безопасности. 1.8 Управление доступом и парольная защита. 1.9 Безопасность удаленного доступа. 1.10 Криптографическая защита информации и управление криптографическими ключами. 1.11 Резервирование и резервное копирование. 1.12 Управление техническими уязвимостями и безопасная конфигурация. 1.13 Защита от утечек конфиденциальной информации. 1.14 Защита персональных данных. 1.15 Защита коммерческой тайны. К направлению «Управление ИБ» относятся следующие групповые показатели: 2.1 Документирование и управление документацией. 2.2 Распределение ответственности. 2.3 Управление активами и рисками ИБ. 2.4 Управление инцидентами ИБ. 2.5 Управление корректирующими и предупреждающими действиями. 2.6 Оценка эффективности СУИБ. 2.7 Внутренний аудит СУИБ. 2.8 Управление непрерывностью бизнеса. 2.9 Обучение и повышение осведомленности в области ИБ. 2.10 Вовлеченность менеджмента в вопросы информационной безопасности. 2.11 Управление соответствием регуляторным требованиям. Для каждого требования ИБ определена форма выполнения данного требования: • Реализовать – для выполнения требования необходима исключительно реализация действий, им предписанных. • Документировать – для выполнения требования необходимо исключительно закрепление его положений в нормативных документах. • Реализовать и документировать – для выполнения требования необходимо реализовать им предписанные действия и закрепить реализацию этих действий в нормативных документах. Cтр. 10 из 32 Для каждого требования ИБ определены виды конфиденциальной информации в отношении которых оно применимо: коммерческая тайна, инсайдерская информация, персональные данные. Для каждого требования ИБ определена категория, относящая его к обязательным или рекомендованным. 6.2 П ЕРЕЧЕНЬ КОРПОРАТИВНЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 6.2.1 О БЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ РАБОТЕ С ВНЕШНИМИ СТОРОНАМИ В отношении внешних сторон, привлекаемых для предоставления ИТ-сервисов или оказания услуг, в рамках которых они будут наделены доступом к ресурсам корпоративной сети, возникают дополнительные риски информационной безопасности, связанные с нарушением безопасности данных или работоспособности сервисов и информационных систем. В связи с этим, при подборе внешних сторон и дальнейшем взаимодействии с ними должны применяться дополнительные меры безопасности. 6.2.1.1. Должны быть заключены соглашения о неразглашении конфиденциальной информации со всеми внешними сторонами до момента предоставления им доступа к конфиденциальной информации и/или к ресурсам корпоративной сети. 6.2.1.2. Рекомендуется, при принятии решения о привлечении внешних сторон, которые могут повлиять на безопасность данных или работоспособность ИТ-сервисов, проводить формализованную оценку связанных с этими внешними сторонами рисков ИБ. Такую оценку рисков следует проводить в соответствии с установленной в Компании методикой, а результаты оценки рисков фиксировать документально. 6.2.1.3. Рекомендуется включать в отчет об оценке рисков в отношении привлекаемых внешних сторон следующую информацию: • Наименование внешней стороны. • Цель привлечения внешней стороны. • Перечень ИТ-сервисов и информационных систем на безопасность и работоспособность которых может повлиять внешняя сторона. • Виды информации (ИКТ, ИИ, ПДн) на безопасность которой может повлиять внешняя сторона. • Результирующее значение уровня риска при привлечении внешней стороны. • Решение, принятое в отношении внешней стороны. 6.2.1.4. Привлечение внешних сторон рекомендуется осуществлять в следующих случаях: • Уровень, связанного с ними риска, не превышает установленный в Компании допустимый уровень риска. • При наличии документированного решения руководства Компании о принятии риска, связанного с внешними сторонами (в случае, если допустимый уровень риска превышен). 6.2.1.5. Рекомендуется, в соответствии с регламентированными в Компании процедурами, перед использованием сервисов внешних сторон и/или предоставления им доступа к ресурсам корпоративной сети, определить применимые к этим внешним сторонам требования информационной безопасности. Все эти требования рекомендуется включать в договоры с внешними сторонами. 6.2.2 О БЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ УПРАВЛЕНИИ ПЕРСОНАЛОМ 6.2.2.1. Должны быть регламентированы процедуры приема персонала на работу, включающие в себя следующие проверки: • Проверку подлинности и полноты представленных при трудоустройстве сведений. • Проверку биографических фактов кандидатов на трудоустройство. • Проверки с целью недопущения конфликта интересов. |