Политика безопасности

         УТВЕРЖДЕНО Приказом директора

Политика информационной безопасности 

  И.П. Кирин Леонид Петрович

Политика информационной безопасности (далее – Политика) ОРГАНИЗАЦИИ (далее – Сокращение) определяет систему взглядов на проблему обеспечения информационной (далее – ИБ). Представляет собой систематизированное изложение высокоуровневых целей и задач защиты, которыми необходимо руководствоваться в своей деятельности, а также основных принципов построения системы управления информационной безопасностью (далее – СУИБ)

Учреждения.

Обеспечение информационной безопасности – необходимое условие для успешного осуществления уставной деятельности Учреждения. Обеспечение информационной безопасности включает в себя любую деятельность,направленную на защиту информационных ресурсов и/или поддерживающей инфраструктуры. Политика охватывает все автоматизированные и телекоммуникационные системы, владельцем и пользователем которых является Учреждение.

Реализация Политики должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищённости информационных ресурсов не только с помощью отдельного средства, но и с помощью их простой совокупности. Необходимо их системное, согласованное между собой применение, а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищённом исполнении при оптимальном соотношении технических и организационных мероприятий.

3. Обозначения и сокращения

АРМ Автоматизированное рабочее место

АС Автоматизированная система

ГБУ Государственное бюджетное учреждение

ИБ Информационная безопасность

ИР Информационный ресурс

ИС Информационная система

ИС СМТ Информатизации и связи спутникового мониторинга транспорта

ИТ Информационные технологии

НСД Несанкционированный доступ

ОКЗ Орган криптографической защиты

ПО Программное обеспечение

СКЗИ Средство криптографической защиты информации

СУИБ Система управления информационной безопасностью

4. Термины и определения

Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Авторизация – предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами на доступ.

Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

Безопасность информации – защищённость информации от её нежелательного разглашения (нарушения конфиденциа-льности), искажения (нарушения целостности), утраты или снижения степени доступности, а также незаконного её тиражирования.

Бизнес-процесс – последовательность технологически связанных операций по предоставлению продуктов, услуг и/или осуществлению конкретного вида деятельности Учреждения.

Владелец актива – физическое или юридическое лицо, которое наделено административной ответственностью за руководство изготовлением, разработкой, хранением, использованием и безопасностью актива. Термин «владелец» не означает, что этот человек фактически имеет право собственности на этот актив.

Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения – субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом.

Документ – зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.

Доступность информации – состояние, характеризуемое способностью ИС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию и средства доступа к ней.

Идентификация – присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов.

Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информационная безопасность (ИБ) – состояние защищённости интересов Учреждения.

Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационный процесс – процессы сбора, обработки, накопления, хранения, поиска и распространения информации.

Информационный ресурс (актив) – всё, что имеет ценность и находится в распоряжении Учреждения.

Инцидент – непредвиденное или нежелательное событие (группа событий) безопасности, которое привело (могут при-вести) к нарушению функционирования информационной системы или возникновению угроз безопасности информации (нарушению конфиденциальности, целостности, доступности).

Инцидент информационной безопасности – одно или серия нежелательных или неожиданных событий ИБ, имеющих значительную вероятность нарушения бизнес-процессов или представляющих угрозу ИБ.

Коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Контролируемая зона – пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, а также транспортных, технических или иных средств.

Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность информации – состояние защищённости информации, характеризуемое способностью ИС обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней.

Мобильный код – несамостоятельное программное обеспечение или компонент программного обеспечения (скрипты, макросы, иные компоненты) получаемые из мест распространения мобильного кода, передаваемые по сети и выпол-няемые на компонентах информационной системы (в местах использования мобильного кода) без предвари-тельной установки пользователем для расширения возможностей системного и (или) прикладного программного обеспечения.

Несанкционированный доступ – доступ к информации иди действия с информацией, нарушающие правила разграни-чения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.

Обработка риска – процесс выбора и реализации мер по модификации (снижению) риска.

Политика – общие цели и указания, формально выраженные руководством.

Привилегии – это права доверенного объекта на совершение каких-либо действий по отношению к объектам системы.

Риск – сочетание вероятности события и его последствий.

Система управления информационной безопасностью (СУИБ) – часть общей системы управления, основанная на оценке рисков, предназначенная для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования ИБ.

Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения– субъект, в полном объёме реализующий полномочия владения, пользования, распоряжения указанными объектами.

События информационной безопасности – идентифицированное состояние системы, сервиса или сети, свидетель-ствующее о возможном нарушении политики безопасности или отсутствии механизмов защиты, либо прежде неизвестная ситуация, которая может иметь отношение к безопасности.

Угроза – Опасность, предполагающая возможность потерь (ущерба).

Целостность информации – устойчивость информации к несанкционированному доступу или случайному воздействию на неё в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.

5. Цель

Основной целью, на достижение которой направлены все положения настоящей Политики, является защита информа-ционных ресурсов от возможного нанесения им материального, физического, морального или иного ущерба, посред-ством случайного или преднамеренного воздействия на информацию, её носители, процессы обработки и передачи, а также минимизация рисков ИБ.

Для достижения основной цели необходимо обеспечивать эффективное решение следующих задач:

• своевременное выявление, оценка и прогнозирование источников угроз ИБ;

• создание механизма оперативного реагирования на угрозы ИБ;

• предотвращение и/или снижение ущерба от реализации угроз ИБ;

• защита от вмешательства в процесс функционирования ИС посторонних лиц;

• соответствие требованиям Федерального законодательства, нормативнометодических документов ФСБ России, ФСТЭК России и договорным обязательствам в части ИБ;

• обеспечение непрерывности критических бизнес-процессов;

• достижение адекватности мер по защите от угроз ИБ;

• изучение партнёров, клиентов, конкурентов и кандидатов на работу;

• недопущение проникновения структур преступности и отдельных лиц с противоправными намерениями;

• выявление, предупреждение и пресечение возможной противоправной и иной негативной деятельности сотрудников;

• повышение деловой репутации и корпоративной культуры.

6. Основания для разработки

Настоящая политика разработана на основе требований законодательства Российской Федерации, накопленного в Учреждении опыта в области обеспечения ИБ, интересов и целей Учреждения.

При написании отдельных положений настоящей политики использовались следующие нормативные документы:

• ГОСТ Р ИСО/МЭК 27001 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности»;

• РС БР ИББС-2.0-2007 «Методические рекомендации по документации в области обеспечения информационной безопасности…»;

• РС БР ИББС-2.2-2009 «Методика оценки рисков нарушения информационной безопасности»;

• РС БР ИББС-2.5-2014 «Менеджмент инцидентов информационной безопасности»;

• СТО БР ИББС-1.0-2014 «Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения».

7. Область действия

Настоящая Политика распространяется на все бизнес-процессы Учреждения и обязательна для применения всеми сотрудниками и руководством Учреждения, а также пользователями его информационных ресурсов. Настоящая политика распространяется на информационные системы учреждения. Лица, осуществляющие разработку внутренних документов Учреждения, регламентирующих вопросы информационной безопасности, обязаны руководствоваться настоящей Политикой.

8. Содержание политики


8.1. Система управления информационной безопасностью

Для достижения указанных целей и задач в Учреждении внедряется система управления информационной безопас-ностью. СУИБ документирована в настоящей политике, в правилах, процедурах, рабочих инструкциях, которые являются обязательными для всех работников Учреждения в области действия системы. Документированные требования СУИБ доводятся до сведения работников Учреждения. Средства управления информационной безопасностью внедряются по результатам проведения оценки рисков информационной безопасности. Стоимость внедряемых средств управления информационной безопасностью не должна превышать возможный ущерб, возникающий при реализации угроз.

8.1.1. Структура документов

В целях создания взаимосвязанной структуры нормативных документов Учреждения в области обеспечения  информа-ционной безопасности, разрабатываемые и обновляемые нормативные документы должны соответствовать следующей иерархии:

1) Настоящая Политика является внутренним нормативным документом по ИБ первого уровня.

2) Документы второго уровня – инструкции, порядки, регламенты и прочие документы, описывающие действия сотрудников Учреждения по реализации документов первого и второго уровня.

3) Документы третьего уровня – отчётные документы о выполнении требований документов верхних уровней.

Инструкции, регламенты, порядки Документы, подтверждающие исполнение нормативных актов верхних уровней


8.1 Система управления информационной безопасностью


8.1.2. Ответственность за обеспечение ИБ

Для непосредственной организации и эффективного функционирования системы обеспечения информационной безопасности в Учреждении функции обеспечения ИБ возложены на отдел название. На это подразделение возлагается решение следующих основных задач:

• проведение в жизнь Политики ИБ;

• определение требований к защите информации;

• организация мероприятий и координация работ всех подразделений по вопросам комплексной защиты информации;

• контроль и оценка эффективности принятых мер и применяемых средств защиты;

• оказание методической помощи сотрудникам в вопросах обеспечения информационной безопасности;

• регулярная оценка и управление рисками информационной безопасности в соответствии с установленными процедурами в области управления рисками;

• выбор и внедрение средств защиты информации, включая организационные, физические, технические, программные и программно-аппаратные средства обеспечения СУИБ;

• обеспечение минимально-необходимого доступа к информационным ресурсам, основываясь на требованиях бизнес-процессов;

• информирование, обучение и повышение квалификации работников Учреждения в сфере информационной безопасности;

• расследования инцидентов информационной безопасности;

• сбор, накопление, систематизация и обработка информации по вопросам информационной безопасности;

• обеспечение необходимого уровня отказоустойчивости ИТ-сервисов и доступности данных для подразделений.

Для решения задач, возложенных на отдел ИБ, его сотрудники имеют следующие права:

• определять необходимость и разрабатывать нормативные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность пользователей информационной системы в указанной области;

• получать информацию от пользователей информационных систем Учреждения по любым аспектам применения информационных технологий в Учреждении;

• участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке новых

информационных технологий;

• участвовать в испытаниях разработанных информационных технологий по вопросам оценки качества реализации требований по обеспечению безопасности информации;

• контролировать деятельность пользователей по вопросам обеспечения ИБ;

• готовить предложения руководству по обеспечению требований ИБ.


8.2. Объект защиты


8.2.1. Ответственность за ресурсы

В учреждении должны быть выявлены и оценены с точки зрения их важности все ресурсы. Для всех ценных ресурсов должен быть составлен реестр (перечень). Благодаря информации о ресурсах Учреждения реализуется защита информации, степень которой соразмерна ценности и важности ресурсов. В ИС Учреждения присутствуют следующие типы ресурсов:

• информационные ресурсы, содержащие конфиденциальную информацию, и/или сведения ограниченного доступа, в том числе информацию о финансовой деятельности Учреждения;

• открыто распространяемая информация, необходимая для работы Учреждения, независимо от формы и вида её представления;

• информационная инфраструктура, включая системы обработки и анализа информации, технические и программные средства её обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации,

системы и средства защиты информации, объекты и помещения, в которых размещены такие системы. Для каждого ресурса должен быть назначен владелец, который отвечает за соответствующую классификацию информации и ресурсов, связанных со средствами обработки информации, а также за назначение и периодическую проверку прав доступа и категорий, определённых политиками управления доступа.


8.2.2. Классификация информации


Все информационные ресурсы, подлежащие защите, должны быть классифицированы в соответствии с важностью и степенью доступа. Классификация информации должна бытьдокументирована и утверждена руководством Учреждения.

Классификация информации должна проводиться владельцем ресурса, хранящего илиобрабатывающего информацию, для определения категории ресурса. Периодически классификация должна пересматриваться для поддержания акту-альности её соответствия скатегорией ресурса. Ресурсы, содержащие конфиденциальную или критичную информацию, должны иметь соответствующую пометку (гриф).


8.3. Оценка и обработка рисков

В учреждении должны быть определены требования к безопасности путём методической оценки рисков. Оценки рисков должны выявить, определить количество и расположить по приоритетам риски в соответствии с критериями принятия рисков и бизнес-целями учреждения. Результаты оценки должны определять соответствующую реакцию руководства, приоритеты управления рисками ИБ и набор механизмов контроля для защиты от этих рисков. Оценка рисков предпо-лагает системное сочетание анализа рисков и оценивания рисков. Кроме того, оценка рисков и выбор механизмов контроля должны производиться периодически, чтобы:

• учесть изменения бизнес-требований и приоритетов;

• принять во внимание новые угрозы и уязвимости;

• убедиться в том, что реализованные средства сохранили свою эффективность. Перед обработкой каждого риска Учреж-дение должно выбрать критерии для определения возможности принятия этого риска. Риск может быть принят, если его величина достаточно мала и стоимость обработки нерентабельна для Учреждения. Такие решения должны регистриро-ваться. Для каждого из оцененных рисков должно приниматься одно из решений по его обработке:

• применение соответствующих механизмов контроля для уменьшения величины риска до приемлемого уровня;

• сознательное и объективное принятие риска, если он точно удовлетворяет Политике Учреждения и критериям принятия рисков;

• уклонение от риска путём недопущения действий, могущих быть его причиной;

• передача рисков другой стороне (аутсорсинг, страхование и т.п.).


8.4. Безопасность персонала

Роли и обязанности по обеспечению безопасности информационных ресурсов, описанные в соответствии с Политикой ИБ Учреждения, должны быть доведены до сотрудника при трудоустройстве и внесены в его должностные обязанности. Сюда должны входить как общие обязанности по реализации и поддержке политики безопасности, так и конкретные обязанности по защите ресурсов и по выполнению конкретных операций, связанных с безопасностью.


8.4.1. Условия найма

Все принимаемые на работу сотрудники должны одобрить и подписать свои трудовые договоры, в которых устанавли-вается их ответственность за ИБ. В договор должно быть включеносогласие сотрудника на проведение контрольных мероприятий со стороны Учреждения по проверке выполнения требований ИБ, а также обязательства по неразглашению

конфиденциальной информации. В договоре должны быть описаны меры, которые будут приняты в случае несоблю-дения сотрудником требований ИБ. Обязанности по обеспечению ИБ должны быть включены в должностные инструкции каждого сотрудника Учреждения. Все принимаемые сотрудники должны быть ознакомлены под роспись с перечнем информации, ограниченного доступа, с установленным режимом с ней и с мерами ответственности за нарушение этого режима. При предоставлении сотруднику доступа к ИС Учреждения он должен ознакомиться под роспись с инструкцией пользователя ИС.


8.4.2. Ответственность руководства

Руководство Учреждения должно требовать от всех сотрудников, подрядчиков и пользователей сторонних организаций принятия мер безопасности в соответствии с установленными в Учреждении политиками и процедурами. Уполномоченные руководством Учреждения сотрудники имеют право в установленном порядке, без уведомления пользователей, производить проверки:

• Выполнения действующих инструкций по вопросам ИБ;

• Данных, находящихся на носителях информации;

• Порядка использования сотрудниками информационных ресурсов;

• Содержания служебной переписки.


8.4.3. Обучение ИБ

Все сотрудники должны проходить периодическую подготовку в области политики и процедур ИБ, принятых в  Учреждении.

8.4.4. Завершение или изменения трудовых отношений

При увольнении все предоставленные сотруднику права доступа к ресурсам ИС должны быть удалены. При изменении трудовых отношений удаляются только те права, необходимость в которых отсутствует в новых отношениях.


8.5. Физическая безопасность


8.5.1. Защищённые области

Средства обработки информации, поддерживающие критически важные и уязвимые ресурсы Учреждения, должны быть размещены в защищённых областях. Такими средствами являются: серверы, магистральное телекоммуникационное оборудование, телефонные станции, кроссовые панели, оборудование, обеспечивающее обработку и хранение конфи-денциальной информации. Защищённые области должны обеспечиваться соответствующими средствами контроля

доступа, обеспечивающим возможность доступа только авторизованного персонала. Запрещается приём посетителей в помещениях, когда осуществляется обработка информации ограниченного доступа. Для хранения служебных докуме-нтов и машинных носителей с защищаемой информацией помещения снабжаются сейфами, металлическими шкафами или шкафами, оборудованными замком. Помещения должны быть обеспечены средствами уничтожения документов.

8.5.2. Области общего доступа

Места доступа, через которые неавторизованные лица могут попасть в помещения Учреждения, должны контролиро-ваться и, если это возможно, должны быть изолированы от средств обработки информации с целью предотвращения несанкционированного доступа.

8.5.3. Вспомогательные службы

Все вспомогательные службы, электропитание, водоснабжение, канализация, отопление, вентиляция кондиционирова-ние воздуха должны обеспечивать гарантированную и устойчивую работоспособность компонентов ИС Учреждения.

8.5.4. Утилизация или повторное использование оборудования

Со всех носителей информации, которыми укомплектовано утилизируемое оборудование, должны гарантированно удаляться все конфиденциальные данные и лицензионное ПО. Отсутствие защищаемой информации на носителях должно быть проверено отделом ИС СМТ Учреждения, о чём должна быть сделана отметка в акте списания.

8.5.5. Перемещение имущества

Оборудование, информация или ПО должны перемещаться за пределы Учреждения только при наличии письменного разрешения руководства. Сотрудники, имеющие право перемещать оборудование и носители информации за пределы Учреждения должны быть чётко определены.Время перемещения оборудования за пределы Учреждения и время его возврата должны регистрироваться.


8.6. Контроль доступа

Основными пользователями информации в информационной системе Учреждения являются сотрудники структурных подразделений. Уровень полномочий каждого пользователя определяется индивидуально. Каждый сотрудник пользу-ется только предписанными ему правами по отношению к информации, с которой ему необходимо работать в соответствии с должностными обязанностями. Допуск пользователей к работе с информационными ресурсами должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем должны производить-ся в установленном порядке, согласно регламента предоставления доступа пользователей. Каждому пользователю, допущенному к работе с конкретным информационным активом Учреждения, должно быть сопоставлено персональное уникальное имя (учётная запись пользователя), под которым он будет регистрироваться и работать с ИА. В случае производственной необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имён (учётных записей). Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информа-ционной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе). В общем случае запрещено создавать и использовать общую пользовательскую учётную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство),

использование общей учётной записи должно сопровождаться отметкой в журнале учёта машинного времени, которая должна однозначно идентифицировать текущего владельца учётной записи в каждый момент времени. Одновременное использование одной общей пользовательской учётной записи разными пользователями запрещено. Регистрируемые учётные записи подразделяются на:

• Пользовательские – предназначенные для аутентификации пользователей ИР Учреждения;

• Системные – используемые для нужд операционной системы;

• Служебные – предназначенные для функционирования отдельных процессов или приложений.

Системные учётные записи формируются операционной системой и должны использоваться только в случаях, предпи-санных документацией на операционную систему. Служебные учётные записи используются только для запуска и работы сервисов или приложений. Использование системных или служебных учётных записей для регистрации пользователей

в системе категорически запрещено. Процедуры регистрации и блокирования учётных записей пользователей должны

применяться с соблюдением следующих правил:

• использование уникальных идентификаторов (ID) пользователей для однозначного определения и сопоставления личности с совершёнными ей действиями;

• использование групповых ID разрешать только в случае, если это необходимо для выполнения задачи;

• предоставление и блокирование прав должны быть санкционированы и документированы;

• предоставление прав доступа к ИР, только после согласования с владельцем данного ИР;

• регистрация и блокирование учётных записей допускается с отдельного разрешения руководства Учреждения;

• уровень предоставленных полномочий должен соответствовать производственной необходимости и настоящей Политике и не ставить под угрозу разграничение режимов работы;

• согласование изменения прав доступа с отделом ИС СМТ;

• документальная фиксация назначенных пользователю прав доступа;

• ознакомление пользователей под подпись с письменными документами, в которых регламентируются их права доступа;

• предоставление доступа с момента завершения процедуры регистрации;

• обеспечение создания и поддержания формального списка всех пользователей, зарегистрированных для работы с ИР или сервисом;

• немедленное удаление или блокирование прав доступа пользователей, сменивших должность, форму занятости или уволившихся из Учреждения;

• аудит ID и учетных записей пользователей на наличие неиспользуемых, их удаление и блокировка;

• обеспечение того, чтобы лишние ID пользователей не были доступны другим пользователям;

• обеспечить возможность предоставления пользователям доступа в соответствии с их должностями, основанными на производственных требованиях, путем суммирования некоторого числа прав доступа в типовые профили доступа

пользователей.


8.6.1. Управление привилегиями

Доступ сотрудника к информационным ресурсам Учреждения должен быть

санкционирован руководителем структурного подразделения, в котором числится согласно

штатному расписанию данный сотрудник, и владельцами соответствующих информационных

ресурсов. Управление доступом осуществляется в соответствии с установленными процедурами.

Наделение привилегиями и их использование должно быть строго ограниченным и

управляемым. Распределение привилегий должно управляться с помощью процесса регистрации

этих привилегий. Должны быть рассмотрены следующие этапы:

• должны быть идентифицированы привилегии доступа, связанные с каждым

системным продуктом, например, с опер