Политика безопасности. Вариант 9 Управление внутренних дел
Скачать 0.53 Mb.
|
Вариант 9 Управление внутренних дел 1. Министерство внутренних дел Республики Узбекистан (далее – Министерство) является республиканским органом государственного управления, осуществляющим общее руководство и координацию деятельности системы органов внутренних дел. Министерство подчиняется непосредственно Президенту Республики Узбекистан, а по отдельным вопросам, предусмотренным законодательством, – Кабинету Министров Республики Узбекистан. Министр внутренних дел Республики Узбекистан по своему статусу входит в состав Кабинета Министров Республики Узбекистан. 2. Министерство в своей деятельности руководствуется Конституцией и законами Республики Узбекистан, постановлениями палат Олий Мажлиса Республики Узбекистан, указами, постановлениями и распоряжениями Президента Республики Узбекистан, постановлениями и распоряжениями Кабинета Министров Республики Узбекистан, приказами и распоряжениями министра внутренних дел Республики Узбекистан, а также настоящим Положением. 3. Министерство осуществляет свою деятельность непосредственнои через органы внутренних дел, в том числе во взаимодействиис государственными органами, органами самоуправления граждан, другими организациями и гражданами, а также со средствами массовой информации. 4. Деятельность Министерства является открытой и прозрачной,за исключением случаев, предусмотренных законодательством. Министерство на системной основе информирует государственные органы, органы самоуправления граждан и население о состоянии криминогенной ситуации, охраны правопорядка и обеспечения общественной безопасности в стране, принимаемых мерах по профилактике правонарушений и борьбе с преступностью, а также реализации иных задач, возложенных на Министерство и органы внутренних дел. 5. Министерство является юридическим лицом и имеет печать с изображением Государственного герба Республики Узбекистан и со своим наименованием, а также может иметь символику, отражающую специфику деятельности Министерства, утверждаемую в установленном порядке. Политика безопасности - это комплекс предупредительных мер по обеспечению информационной безопасности организации. Политика безопасности включает правила, процедуры и руководящие принципы в области безопасности, которыми руководствуется организация в своей деятельности. Кроме этого, политика безопасности включает в себя требования в адрес субъектов информационных отношений, при этом в политике безопасности излагается политика ролей субъектов информационных отношений. Этот документ является методологической основой практических мер по обеспечению информационной безопасности и включает следующие группы сведений: - основные положения информационной безопасности организации; - область применения политики безопасности; - цели и задачи обеспечения информационной безопасности организации; - распределение ролей и ответственности субъектов информационных отношений организации и их общие обязанности. В состав автоматизированной информационной системы входят следующие компоненты: - аппаратные средства – компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства – дисководы, принтеры, контроллеры), кабели, линии связи и т. д.; - программное обеспечение – приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т. д.; - данные – хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т. д.; - персонал – обслуживающий персонал и пользователи. Объекты защиты Основными объектами системы информационной безопасности в Управление внутренних дел являются: - информационные ресурсы с ограниченным доступом, составляющие личные данные о населении, государственную тайну или иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, а также открытая (общедоступная) информация, необходимая для работы местных органов власти(РУВД,ГУВД,РОВД и т.п.) независимо от формы и вида ее представления; - процессы обработки информации в информационной системе Управление внутренних дел информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал; - информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные элементы информационной управлении внутренних дел среды. Структура, состав и размещение основных объектов защиты, информационные связи Информационная среда Управление внутренних дел является распределенной структурой, объединяющей информационные подсистемы МВД и районные управления внутренних дел в единую информационную систему Управлении внутренних дел. Категории информационных ресурсов, подлежащих защите В Управление внутренних дел циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, секретная информация, персональные данные), и открытые сведения. Защите подлежит вся информация и информационные ресурсы Управление внутренних дел, независимо от ее представления и местонахождения в информационной среде МВД: - сведения, составляющие государственную тайну, доступ к которым ограничен Кабинетом Министров Республики Узбекистан в соответствии с законом «О ЗАЩИТЕ ГОСУДАРСТВЕННЫХ СЕКРЕТОВ»; - сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с ЗАКОН РЕСПУБЛИКИ УЗБЕКИСТАН «О ПЕРСОНАЛЬНЫХ ДАННЫХ»; - открытая информация, необходимая для обеспечения нормального функционирования Управление внутренних дел(РОВД,РУВД,ГУВД и т.п). Субъекты Субъектами информационных отношений при обеспечении информационной безопасности МВД являются: 1.Центральный аппарат Министерства внутренних дел Республики Узбекистан, как центр информационных ресурсов; 2. Главное организационно-инспекторское и информационно-аналитическое управление 3. Управление работы с обращениями физических, юридических лиц и делопроизводства 4. Главное управление кадров 5. Управление собственной безопасности 6. Контрольно-ревизионная инспекция 7. Управление юридического обеспечения 8. Медицинское управление 9. Физкультурно-оздоровительный центр «ЖАР» 10. Республиканский совет физкультурного общества «Динамо» 11. Главное управление уголовного розыска 12. Главное управление борьбы с терроризмом и экстремизмом 13. Следственный департамент 14.Оперативно-справочное управление МВД РУз 15. Главное управление исполнения наказаний 16. Главное управление караульных войск 17. Главный экспертно-криминалистический центр 18. НЦБ «Интерпол» 19. Главное финансовое и материально-техническое управление 20. Совет ветеранов МВД Республики Узбекистан 21. Объединенная редакция газет «На посту» («Постда») и журналов «Щит» («Қалқон») 22. Главное управление профилактики правонарушений 23. Главное управление патрульно-постовой службы и охраны общественного порядка 24. Главное управление безопасности дорожного движения 25. Главное управление миграции и оформления гражданства 26. Управление информационных технологий, связи и защиты информации 27. Управление обеспечения общественной безопасности на транспорте 28. Академия 29. Военно-технический институт 30. Институт пожарной безопасности 31.Руководство и сотрудники структурных подразделений МВД, в соответствии с возложенными на них функциями 32. Юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в информационной системе МВД Основные задачи системы обеспечения безопасности информации МВД Для достижения основной цели защиты и обеспечения указанных свойств информации система обеспечения информационной безопасности МВД должна обеспечивать эффективное решение следующих задач: - своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационной системы МВД; - создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции; - создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации; - защиту от вмешательства в процесс функционирования информационной системы МВД посторонних лиц (доступ к информационным ресурсам должны иметь только лица получившие право доступа в установленном порядке); - разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам МВД (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа; - обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации); - защиту от несанкционированной модификации используемых в информационной системе МВД программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы; - защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи; - обеспечение живучести криптографических средств защиты информации. Угрозы безопасности информации и их источники Основными источниками угроз безопасности информации МВД являются: - непреднамеренные (ошибочные, случайные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия пользователей информационной системы МВД (в том числе сотрудников, отвечающих за обслуживание и администрирование компонентов внутренней информационной системы), приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности компонентов информационной системы; - преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия легально допущенных к информационным ресурсам МВД пользователей (в том числе сотрудников, отвечающих за обслуживание и администрирование компонентов внутренней информационной системы), которые приводят к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности компонентов информационной системы МВД; - деятельность преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности информационной системы МВД в целом и ее отдельных компонент; - удаленное несанкционированное вмешательство посторонних лиц из территориально удаленных сегментов информационной системы и внешних сетей общего назначения (прежде всего сеть Интернет) через легальные и несанкционированные каналы подключения к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам; - ошибки, допущенные при разработке компонентов информационной системы МВД и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты); - аварии, стихийные бедствия. Наиболее значимыми угрозами безопасности информации МВД (способами нанесения ущерба субъектам информационных отношений) являются: - нарушение функциональности компонентов информационной системы МВД, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач; - нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов МВД, а также фальсификация (подделка) документов; - нарушение конфиденциальности (разглашение, утечка) сведений, составляющих государственную или внутреннюю тайну, а также персональных данных. Внутренним нарушителем может быть лицо из следующих категорий сотрудников МВД: - зарегистрированные пользователи информационной системы МВД; -сотрудники МВД, не являющиеся зарегистрированными пользователями и не допущенные к ресурсам информационной системы МВД, но имеющие доступ в здания и помещения; - персонал, обслуживающий технические средства информационной системы МВД; - сотрудники подразделений МВД, задействованные в разработке и сопровождении программного обеспечения; - сотрудники подразделений обеспечения безопасности МВД; - руководители различных уровней. Категории лиц, которые могут быть внешними нарушителями: - уволенные сотрудники МВД; - представители организаций, взаимодействующих по вопросам технического обеспечения МВД; - посетители (граждане, представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.); - члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию; - лица, случайно или умышленно проникшие в информационную систему МВД из внешних телекоммуникационных сетей (хакеры). Порядок доступа к конфиденциальной информации В целях обеспечения защиты информации в МВД, устанавливается следующий порядок допуска к работе с конфиденциальными источниками: - Решение о доступе работника к определенному разделу Управление внутренних дел информации принимается Министерством внутренних дел . - Отдел информационных технологий обеспечивает защиту отдельных файлов и программ от чтения, удаления, копирования лицами, не допущенными к этому. - Доступ к компьютерной сети МВД осуществляется только с персональным паролем. Пользователь должен держать в тайне свой пароль. Сообщать свой пароль другим лицам, а также пользоваться чужими паролями запрещается. - Категорически запрещается снимать несанкционированные копии с носителей информации, знакомить с содержанием электронной информации лиц, не допущенных к этому. Физическая безопасность 1. Все объекты критичные с точки зрения информационной безопасности (все сервера баз данных, телефонная станция, основной маршрутизатор, файервол) находятся в отдельном помещении, доступ в которое разрешен только сотрудникам, имеющими соответствующее разрешение от руководства МВД. 2. Вход в помещение осуществляется через металлическую дверь, оснащенную замками (не менее двух) и переговорным устройством. Копии ключей находятся в службе безопасности МВД. 3. Помещение оборудовано принудительной вентиляцией и пожарной сигнализацией. Вход в помещение контролируется системой видео наблюдения с выходом на мониторы охраны. 4. Ключевые дискеты, пароли и прочая конфиденциальная информация хранится в сейфах. 5. Доступ в помещение посторонним лицам запрещен. Технический персонал, осуществляющий уборку помещения, ремонт оборудования, обслуживание кондиционера и т.п. может находится в помещении только в присутствии охраны. 6. Доступ в помещение в неурочное время или в выходные и праздничные дни осуществляется с письменного разрешения Министра внутренних дел или его заместителей. Разграничение прав доступа к программному обеспечению и системам хранения данных 1. Для входа в компьютерную сеть МВД сотрудник должен ввести имя и пароль. Не допускается режимы безпарольного (гостевого) доступа к какой-либо информации. 2. В целях защиты конфиденциальной информации МВД организационно и технически разделяются подразделения МВД, имеющие доступ и работающие с различной информацией (в разрезе ее конфиденциальности, секретности и смысловой направленности). Данная задача решается с использованием сетевой операционной системы, где в целях обеспечения защиты данных доступ и права пользователей ограничивается персональными каталогами. Права назначаются в соответствии с производственной необходимостью, определяемой начальником подразделения. 3. Параметры входа в сеть, имя и пароль, пользователем не разглашаются. Копии на бумажном носителе держатся в недоступном для посторонних месте. В случае компрометации пароля пользователь должен незамедлительно обратиться в Управление информационных технологий с заявкой о замене. 4. При работе с внутренней сетью имя пользователя и пароль должны быть отличны от имени пользователя и пароля в при входе общую компьютерную сеть МВД. Пароль должен быть не менее десяти символов. Категорически запрещается сообщать свой пароль другим лицам, а также пользоваться чужими паролями. Все действия пользователя, работающего с внутренней сетью протоколируются. Журнал операций храниться не менее шести месяцев. Работа в глобальной сети Интернет 1. К работе с ресурсами сетью Интернет допускаются сотрудники, получившие соответствующее разрешение от руководства МВД. 2. Работа сотрудников МВД с электронной почтой сети Интернет допускается на основании отдельного разрешения от руководства МВД. 3. При работе с сетью Интернет сотрудникам запрещено: - Скачивать и устанавливать на компьютер программное обеспечение. - Посещать ресурсы, не имеющие непосредственного отношения к работе и служебным обязанностям. - Осуществлять подписку на рассылку информации непроизводственного характера. - Сообщать адрес электронной почты в непроизводственных целях. - Пользоваться различными Интернет-пейджерами. - Использовать Интернет для получения материальной выгоды или непроизводственных целях, в том числе осуществляя торговлю через Интернет. Структура министерства Главное управление кадров Главное управление уголовного розыска Главное управление борьбы с терроризмом и экстремизмом Начальник управление кадров Заместитель начальника Младший специалист Старший специалист Чтение Запись Редактирование Удаление Начальник управление уголовного розыска Заместитель начальника Отдел делопроизводства и режима Организационно- аналитическое управление Чтение Запись Редактирование Удаление Заместитель начальника Отдел базы данных Внутреннее управление борьбы с терроризмом и экстремизмом Чтение Запись Редактирование Удаление Начальник управление борьбы с терроризмом и экстремизмом НЦБ «Интерпол» Главное управление миграции и оформления гражданства Управление информационных технологий, связи и защиты информации Заместитель начальника Приемная «Интерпол» Отдел взаимодействие с другими странами Чтение Запись Редактирование Удаление Начальник НЦБ «Интерпол» Заместитель начальника Приемная Отдел работы с иностранцами(мигрантами) Чтение Запись Редактирование Удаление Начальник управление миграции и оформления гражданства Начальник управление информационных технологий, связи и защиты информации Заместитель начальника Младший специалист Старший специалист Чтение Запись Редактирование Удаление |