Политика информационной безопасности должна разрабатываться в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных и учитывать требования Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных».
Политика должна быть оформлена в соответствии с внутренним порядком документооборота организации и утверждена руководителем организации.
Целью разработки Политики является обеспечение безопасности объектов защиты оператора информационной системы от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн информационной системы.
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
В соответствующем разделе политики информационной безопасности организации должен быть уточнен перечень групп пользователей, обрабатывающих ПДн. Группы пользователей, их права, уровень доступа и информированность должны быть отражены так, как это отражается рабочим порядком в организации.
В политике безопасности информационных систем должны быть определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн оператора.
Политика информационной безопасности оператора ИСПДн обычно состоит из следующих разделов:
Требования политики информационной безопасности предприятия распространяются на всех сотрудников оператора (штатных, временных, работающих по контракту и т.п.), а также всех прочих лиц (подрядчиков, аудиторов и т.п.).
С этим шаблоном часто используют:
(Полное наименование оператора) |
№ |
В целях исполнения положений Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» и Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации",
ПРИКАЗЫВАЮ:
Утвердить Политику информационной безопасности с приложениями к ней.
Сотрудникам в своей работе руководствоваться положениями настоящей Политики.
Сформировать комиссию по уничтожению носителей информации в составе:
– председатель комиссии;
– член комиссии;
– член комиссии.
Руководитель | |||||
(должность) | (личная подпись) | (расшифровка подписи) |
УТВЕРЖДЕНА
приказом
от г. №
Политика информационной безопасности
ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая политика информационной безопасности (далее - Политика) утверждена руководителем и описывает мероприятия, процедуры и правила по защите информации в информационных системах .
Термины и определения, используемые в Политике, установленны законодательством Российской Федерации об информации, информационных технологиях и о защите информации, а также национальными стандартами в области защиты информации.
Целями настоящей Политики являются:
- предотвращение несанкционированного доступа к защищаемой информации и её распространения;
- обеспечение конфиденциальности, целостности, доступности защищаемой информации;
- выполнение требований действующего законодательства по защите информации.
- нейтрализация актуальных угроз безопасности информации;
- мониторинг событий безопасности;
- реагирование на инциденты безопасности;
- совершенствование подходов к обеспечению информационной безопасности;
- использование "лучших практик" в области информационной безопасности.
Положения Политики применимы к следующим информационным системам :
Реализация положений Политики обязательна для всех пользователей указанных в п. 1.4 информационных систем (далее - Пользователи) системного администратора, Ответственного за организацию обработки персональных данных (далее – Ответственного).
В соответствии с указом Президента Российской Федерации № 188 от 6 марта 1997 года «Об утверждении перечня сведений конфиденциального характера», к сведениям конфиденциального характера отнесены:
- сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
- сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
- сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
Настоящая Политика разработана с учетом положений законодательных и нормативно-правовых актов:
Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
Федеральный закон № 149-ФЗ от 27 июля 2006 года «Об информации, информатизации и защите информации»;
«Требования к защите персональных данных при их обработке в информационных системах персональных данных», утвержденные Постановлением Правительства РФ № 1119 от 1 ноября 2012 года;
«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденный приказом ФСТЭК России № 21 от 18 февраля 2013 года;
«Инструкция об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну», утвержденная приказом ФАПСИ от 13 июня 2001 №152.
«Положение о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации», утвержденное приказом ФСБ от 9 февраля 2005 №66;
«Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», утверждённые приказом ФСБ России № 378 от 10.07.2014;
ПРОЦЕССЫ ОБРАБОТКИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ В ИНФОРМАЦИОННЫХ СИСТЕМАХ
Раздел содержит описания технологических процессов обработки защищаемой информации в информационных системах . Должностные лица, осуществляющие обработку защищаемой информации, должны руководствоваться описаниями технологических процессов обработки информации при осуществлении такой обработки.
Технологический процесс обработки персональных данных сотрудников :
Порядок осуществления сбора персональных данных:
- сбор персональных данных осуществляется непосредственно от субъекта данных, а также от законного представителя при наличии нотариально заверенной доверенности, либо иных законных оснований;
- источником получения персональных данных субъекта выступают документы сотрудника и заполненная унифицированная форма Т-2 «Личная карточка сотрудника».
Внесение персональных данных в базу данных осуществляют сотрудники в рамках своих полномочий.
Систематизация, накопление и хранение персональных данных ведется средствами .
Уточнение (обновление, изменение) персональных данных осуществляется при возникновении необходимости, в случае обнаружения неточных, устаревших данных, либо по заявлению субъекта в связи с их изменением.
Извлечение персональных данных производится при формировании бухгалтерской отчетности средствами ПО .
Обработка персональных данных включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
Передача персональных данных:
- распространение персональных данных сотрудников не допускается;
- предоставление персональных данных возможно в соответствии с законодательством Российской Федерации в следующих целях:
- сдача отчетности в Пенсионный Фонд РФ;
- налоговая отчетность;
- бухгалтерская отчетность;
- начисление заработной платы;
- воинский учет;
- предоставление субъектам справок;
- предоставление информации в профсоюзные органы по социально-трудовым вопросам.
Доступ к персональным данным имеют сотрудники, допущенные к обработке персональных данных в ИСПДн и субъект персональных данных.
Блокирование персональных данных осуществляется в случае поступления мотивированной заявки субъекта при обнаружении нарушения его прав или законных интересов, связанных с неправомерной обработкой его персональных данных в соответствии с законодательством РФ.
Обезличивание персональных данных производится в соответствии с Правилами работы с обезличенными персональными данными, утвержденными Приказом руководителя .
Удаление персональных данных, обрабатываемых средствами программного обеспечения, осуществляется при достижении цели обработки. Персональные данные подлежат уничтожению по истечении сроков хранения документов, их содержащих (75 лет).
Технологический процесс обработки в :
Порядок осуществления сбора персональных данных:
сбор персональных данных осуществляется непосредственно от субъекта данных, а также от законного представителя при наличии нотариально заверенной доверенности, либо иных законных оснований;
источником получения персональных данных субъекта являются предоставленные клиентом документы.
2.7.2. Внесение персональных данных в базу данных осуществляют сотрудники в рамках своих полномочий.
2.7.3. Обработка персональных данных включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (предоставление, доступ), блокирование, удаление, уничтожение персональных данных.
2.7.4. Распространение персональных данных клиентов не осуществляется. Предоставление персональных данных возможно в предусмотренных законодательством Российской Федерации случаях.
2.7.5. Доступ к персональным осуществляют сотрудники, допущенные к обработке персональных данных в ИСПДн исключительно в пределах своих должностных полномочий и субъект персональных данных в отношении собственных данных.
2.7.6.Блокирование персональных данных осуществляется в случае поступления мотивированной заявки субъекта при обнаружении нарушения его прав или законных интересов, связанных с неправомерной обработкой его персональных данных в соответствии с законодательством РФ.
2.7.7.Уточнение (обновление, изменение) персональных данных осуществляется при возникновении необходимости: в случае обнаружения неточных, устаревших данных, либо по заявлению субъекта в связи с их изменением.
ПОРЯДОК ИДЕНТИФИКАЦИИ И АУТЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЕЙ, ПОЛИТИКА РАЗГРАНИЧЕНИЯ ДОСТУПА К РЕСУРСАМ ИНФОРМАЦИОННЫХ СИСТЕМ
Каждому сотруднику , допущенному к обработке персональных данных, предоставляется уникальная учетная запись. Работа в информационных системах с использованием учетной записи, закрепленной за другим лицом, не допускается. В качестве учетной записи Пользователя рассматривается учетная запись для доступа к информационной системе в домене .
Для для системного администратора информационных систем, для удаленных пользователей (работающих с ресурсами информационных систем посредством внешних телекоммуникационных сетей) предусмотрена двухфакторная аутентификация в информационных системах. Двухфакторная аутентификация подразумевает под собой обязательное выполнение двух факторов для успешной аутентификации в системе: ; .
Регистрация (создание учетной записи с правами доступа) пользователя информационной системы осуществляется по заявке руководителя подразделения, к которому относится приступающий к работе с информационной системой сотрудник. Заявка составляется по форме Приложении № к Политике. В заявке указывается:
- суть необходимых изменений (регистрация пользователя информационной системы, удаление учетной записи пользователя, настройка прав доступа к ресурсам информационной системы существующей, либо новой учетной записи пользователя);
- ФИО сотрудника, должность и структурное подразделение;
- указание прав, которые следует предоставить учетной записи пользователя, либо которые следует изъять;
- изменение в правах доступах согласовывается с Администратором путем проставления им визы на заявке.
При поступлении к заявки по форме Приложения № он анализирует должностные обязанности лица, в отношении которого запрашиваются права доступа, перед визированием заявки осуществляет верификацию пользователя (подтверждает его личность), а также уточняет его должностные и функциональные обязанности. После проставления визы актуализирует документы:
- положения о разграничении прав доступа в информационных системах (по форме Приложения № к настоящей Политике);
- перечень лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационных систем (Приложение № к настоящей Политике).
После визирования заявки определяет тип учетной записи (внутренний пользователь, внешний пользователь, системная, учетная запись приложения, временная, гостевая), настраивает СЗИ от НСД, создает учетную запись и первичный пароль. Затем производится ознакомление с инструкцией Пользователя информационной системы под роспись, предоставление идентификационных данных для первичного доступа в информационную систему. Далее Пользователь самостоятельно формирует пароль доступа к своей учетной записи в соответствии с требованиями Инструкции Пользователя информационной системы.
По окончании обработки заявки в ней проставляется соответствующая отметка. Заявка подлежит хранению и может быть использована для восстановления настроек доступа после сбоев в работе информационной системы, для проверки правомерности наличия у пользователя прав доступа к тем или иным ресурсам информационной системы при разборе инцидентов безопасности.
Лицам, не являющимися сотрудниками , которым необходим временный доступ в информационную систему для осуществления технических или иных работ, предоставляется гостевая временная учетная запись . Активация гостевой временной учетной записи осуществляется только в случае возникновения необходимости, в остальное время она остается дезактивированной. Все работы от имени такой учетной записи проводятся только под контролем .
Разграничение доступа к ресурсам информационных систем осуществляется по ролевой модели. Роль в разграничительной системе информационной системы определяется выполняемыми должностными обязанностями, стоящими задачами и необходимостью доступа к ресурсам информационных систем. Возможные роли в информационной системе указаны в Приложении № к Политике. Наряду с Пользователями доступ к информационной системе имеют системные службы и процессы.
Перечень должностных лиц, служб и процессов, допущенных к работе с ресурсами информационных систем и присвоенные им роли указываются в Приложении № к Политике. Актуальность перечня обеспечивается .
Помещения, в которых ведется работа с ресурсами информационных систем, и в которых установлены технические средства информационных систем, перечень лиц, обладающих допуском в эти помещения, указан в Приложении № к настоящей Политике. обеспечивает оперативное обновление и актуальность данного перечня.
Идентификация и аутентификация на сетевом оборудовании (коммутаторы, маршрутизаторы, точки доступа и т. д.) производится исключительно системными администраторами и сотрудниками сторонних организаций, допущенных к осуществлению работ в сети на договорной основе и под контролем .
На вводимом в эксплуатацию сетевом оборудовании обязательно меняются идентификационные и аутентификационные данные, установленные производителем. Производимые изменения должны соответствовать действующей парольной политике.
До прохождения идентификации и аутентификации Пользователи не могут совершать какие-либо действия в информационных системах, за исключением , в соответствии с должностными инструкциями.
ПРАВИЛА И ПРОЦЕДУРЫ УПРАВЛЕНИЯ ИНФОРМАЦИОННЫМИ ПОТОКАМИ
В информационных системах осуществляется управление информационными потоками при передаче информации между устройствами, сегментами в рамках информационной системы, включающее:
а) фильтрацию информационных потоков в соответствии с установленными правилами управления потоками;
б) разрешение передачи информации в ИСПДн только по установленному маршруту;
в) изменение (перенаправление) маршрута передачи информации в случаях необходимости, по согласованию с .
ПОРЯДОК ПРОВЕДЕНИЯ УСТАНОВОК (ИНСТАЛЛЯЦИЙ) КОМПОНЕНТОВ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
В информационных системах допустимо использование только необходимого для функционирования информационной системы программного обеспечения (утилит, драйверов), а также программного обеспечения для выполнения служебных (должностных) обязанностей Пользователями.
Перечень разрешенного программного обеспечения в информационных системах указан в Приложении № к Политике.
Процедуры инсталляции программного обеспечения, его компонентов, утилит и драйверов, осуществление их настроек производится исключительно системным администратором. Любые манипуляции с установкой программного обеспечения (его компонентов) Пользователями без предварительного согласования с не допускаются.
При возникновении необходимости согласования Пользователь подает служебную записку о включении в список разрешенного в информационной системе программного обеспечения нового программного обеспечения с обоснованием необходимости его использования. Рассмотрение служебной записки производится в срок не более 5 рабочих дней.
с помощью инструмента проводит проверку соответствия установленного программного обеспечения списку разрешенного ПО. Обнаружение несанкционированного ПО является основанием созыва группы реагирования на инциденты информационной безопасности в соответствии с инструкцией по реагированию на инциденты информационной безопасности.
, ГАРАНТИРОВАННОЕ УНИЧТОЖЕНИЕ ИНФОРМАЦИИ
Защита машинных носителей подразумевает ведение их учета. Учет машинных носителей осуществляется в соответствующих журналах. Администратор несет ответственность за достоверность и своевременность сведений, отраженных в журнале учета машинных носителей информации.
ведет учет в отношении:
• съемных машинных носителей информации (флэш-накопители, внешние накопители на жестких дисках и иные подобные устройства);
• машинных носителей информации, встроенных в корпус средств вычислительной техники (накопители на жестких дисках);
• портативных электронно-вычислительных устройств, имеющих встроенные носители информации;
Учет машинных носителей информации включает присвоение регистрационных (учетных) номеров носителям. В качестве регистрационных номеров могут использоваться идентификационные (серийные) номера машинных носителей, присвоенных производителями этих машинных носителей информации, номера инвентарного учета, в том числе инвентарные номера технических средств, имеющих встроенные носители информации, и иные номера.
При использовании в составе одного технического средства информационной системы нескольких встроенных машинных носителей информации, конструктивно объединенных в единый ресурс для хранения информации, допускается присвоение регистрационного номера техническому средству в целом.
Администратор маркирует съемные машинные носители, использование которых разрешено за пределами контролируемой зоны и информационной системы и делает соответствующую отметку в журнале. Использование немаркированного соответствующим образом носителя информации за пределами контролируемой зоны и/или информационной системы является инцидентом информационной безопасности и расследуется в установленном порядке.
Использование неучтенных съемных носителей (в том числе личных) запрещено.
Невозможность использования неучтенных съемных носителей информации обеспечивается путем программных настроек СЗИ от НСД. Настройками СЗИ от НСД неучтенные носители информации блокируются на всех стационарных устройствах использования неучтенных съемных носителей информации фиксируются средствами СЗИ от НСД. Такие попытки являются инцидентами безопасности и расследуются в установленном порядке.
К устройствам ввода относятся: клавиатуры, мыши, сканеры, кард-ридеры, сенсорные экраны (панели), сканеры штрих-кодов, лабораторное и диагностическое оборудование и другие устройства. К интерфейсам ввода допущены все легальные пользователи информационной системы. Допуск к тем или иным интерфейсам ввода организовывается Администратором, в зависимости от выполняемых пользователем должностных обязанностей. Дополнительный контроль устройств ввода не осуществляется.
Гарантированное уничтожение (стирание) информации на машинных носителях организовывается Администратором в случаях:
•возвращения учтенного съемного носителя информации Администратору;
•при вводе в эксплуатацию нового машинного носителя или технического средства со встроенными носителями информации;
•при передаче носителя информации в сторонние организации (в том числе и для проведения ремонта технического средства);
•при утилизации технических средств.
Уничтожение (стирание) информации на машинных носителях должно исключать возможность восстановления защищаемой информации. Контроль невозможности восстановления уничтоженной информации производится Администратором с помощью специализированных утилит по восстановлению информации.
При возвращении учтенного съемного носителя информации Пользователем, а также при вводе в эксплуатацию нового машинного носителя, информация уничтожается путем использования механизма СЗИ от НСД затирания файлов случайной битовой последовательностью.
При передаче носителя информации в сторонние организации (не с целью передачи на нем информации), в том числе и для ремонта носителя или технического средства, информация уничтожается путем полной многократной перезаписи машинного носителя информации специальными битовыми последовательностями, зависящими от типа накопителя и используемого метода кодирования информации. Затем производится очистка всего физического пространства накопителя, включая сбойные и резервные элементы памяти специализированными программами или утилитами производителя.
При утилизации технических средств, а также при возникновении необходимости уничтожения информации на не перезаписываемых машинных носителях (например, CD-R), физически уничтожается сам машинный носитель.
В случае физического уничтожения машинного носителя информации, составляется Комиссией по уничтожению машинных носителей акт уничтожения по Форме приложения №.
РЕГЛАМЕНТАЦИЯ И КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ БЕСПРОВОДНОГО ДОСТУПА И ЗАЩИТА БЕСПРОВОДНЫХ СОЕДИНЕНИЙ
Беспроводной доступ к информационным системам и ресурсам для работников разрешается при соблюдении требований безопасности.
Настройка и поддержка эксплуатации точек беспроводного доступа и устройств, с которых осуществляются беспроводные соединения, производится системными администраторам.
Запрещается использование Пользователями беспроводных точек доступа для подключения принадлежащего им личного оборудования (смартфонов, планшетов, ноутбуков, итд).
Запрещается раздача с принадлежащих Пользователю устройств Интернета на оборудование .
Беспроводной доступ осуществляется Пользователями по предоставляемым им учетным данным. Использование чужих учётных записей для доступа к беспроводной сети запрещено.
В отношении к паролям доступа к беспроводным точкам доступа установлены следующие требования:
Смена пароля осуществляется в случае его компрометации (подозрения компрометации), или раз в .
ОБЕСПЕЧЕНИЕ ДОВЕРЕННОЙ ЗАГРУЗКИ СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ
использует модули доверенной загрузки (далее - МДЗ) в качестве средства доверенной загрузки технических средств.
Работа с ресурсами информационных систем осуществляется на технических средствах, в которых возможно заблокировать выбор источника загрузки в обход базовой системы ввода-вывода (BIOS/UEFI).
Администратор контролирует работоспособность в рамках плана мероприятий по обеспечению безопасности. Результаты проверки подлежат фиксации в журнале периодического тестирования средств защиты информации.
При обнаружении сбоев в работе МДЗ на автоматизированном рабочем месте (далее - АРМ), работа с информационными системами не производится до окончания ремонта/замены МДЗ. В случае, если сохраняется необходимость работы на данном АРМ, применяются следующие компенсирующие меры:
- заглушиваются и опечатываются USB-порты, входы для карт памяти SD/Micro-SD и других карт памяти, CD/DVD/Blu-Ray-приводы и сами технические средства;
- настраивается вход в BIOS/UEFI только по паролю администратора и отключается возможность вызова окна выбора источника загрузки нажатием функциональной клавиши (F1-F12) при загрузке;
- проводится обязательный визуальный контроль за техническим средством и состояния установленных заглушек/печатей/пломб.
В случае, если использование МДЗ на АРМ не предусмотренно, используются компенсирующие меры, нейтрализующие угрозы, связанные с использованием средств недоверенной загрузки: опечатывание USB-портов, входов для SD/Micro-SD и других карт памяти, CD/DVD/Blu-Ray-приводов и самих технических средств, установка пароля доступа на вход в BIOS/UEFI.
ПРАВИЛА И ПРОЦЕДУРЫ ПРИМЕНЕНИЯ УДАЛЕННОГО ДОСТУПА
Удаленный доступ к информационной системе осуществляется на основании направляемых Ответственному заявок, подписанных непосредственным руководителем Пользователя, которому необходим удаленный доступ. В заявке надлежит указывать ФИО, должность Пользователя, цель предоставления доступа, необходимый срок предоставления удаленного доступа.
Удаленный доступ пользователей к информационной системе прекращается на основании заявок, а также по истечении срока, указанного в заявке на предоставление удаленного доступа.
Удаленный доступ пользователей к информационным системам обеспечивается на основе зарегистрированных персональных учетных записей.
В случае возникновения опасности причинения ущерба безопасности информации удаленный доступ может быть заблокирован системными администраторами, с последующим уведомлением в форме докладной записки с описанием ситуации и указанием причины ограничения доступа.
При использовании удаленного доступа Пользователи обязаны использовать только свою персональную учетную запись.
ВЫЯВЛЕНИЕ, АНАЛИЗ И УСТРАНЕНИЕ УЯЗВИМОСТЕЙ
в качестве средства выявления уязвимостей использует сертифицированный сканер уязвимостей .
Администратором проводится полное сканирование системы на выявление уязвимостей . При появлении информации из новостных источников об уязвимостях и/или обнаружении таких уязвимостей в операционных системах и/или прикладном программном обеспечении, применяемых в информационных системах, он незамедлительно обновляет базу данных сканера уязвимостей и проводит внеочередное полное сканирование информационной системы.
Отчеты по результатам сканирования подлежат анализу Администратором. В случае обнаружения уязвимостей принимается решение об их немедленном устранении, либо о корректировке плана мероприятий по обеспечению безопасности информации в части включения в план необходимых мероприятий для реагирования на уязвимости, если обнаруженные уязвимости не критичны и существует возможность исключить их эксплуатацию.
В случае обнаружения уязвимостей Администратор анализирует содержание системных журналов и журналов средств защиты информации, с целью обнаружить возможные случаи эксплуатации выявленной уязвимости в информационной системе и последствия эксплуатации
Вывод о степени критичности уязвимостей может быть установлен на основании рейтинга уязвимости по шкале CVSS, а также в соответствии с результатами оценки по ГОСТ Р ИСО/МЭК 27005-2010 «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности».
Если оперативное устранение критичной уязвимости невозможно, Администратор незамедлительно уведомляет об этом руководителя для принятия решения о корректировке бизнес-процессов.
КОНТРОЛЬ УСТАНОВКИ ОБНОВЛЕНИЙ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
С целью противодействия попыткам эксплуатации известных уязвимостей, осуществляет контроль установки обновлений системного и прикладного ПО.
Обновление прикладного, системного программного обеспечения и средств защиты информации осуществляется .
Обновление микропрошивок и программного обеспечения BIOS/UEFI производится только при поступлении информации о критичных уязвимостях в таком ПО, применяемом .
Обновления программного обеспечения должны устанавливаться только из доверенных источников.
Частота проверки обновлений программного обеспечения устанавливается в рамках плана мероприятий по обеспечению безопасности информации.
КОНТРОЛЬ СОСТАВА ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ И СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
Технические средства, программное обеспечение и средства защиты информации, используемые в информационных системах, фиксируются в технических паспортах на информационные системы. Мероприятия по периодическому контролю проводятся по техническому паспорту информационной системы, который рассматривается в качестве эталона состава технических средств, программного обеспечения, средств защиты информации.
Администратор осуществляет контроль состава технических средств, программного обеспечения, средств защиты информации с периодичностью, установленной планом мероприятий по обеспечению безопасности информации.
Добавление новых технических средств, программного обеспечения и средств защиты информации в состав информационной системы, удаление и/или замена существующих компонентов, отражается в Техническом паспорте информационной системы на основании акта ввода в эксплуатацию (или акта вывода из эксплуатации).
Обнаружение расхождений состава технических средств, программного обеспечения и средств защиты информации c техническим паспортом информационной системы расценивается как инцидент информационной безопасности. При выявлении фактов расхождения Администратором устанавливаются причины их возникновения, либо созывается ГРИИБ.
При обнаружении несоответствий техническому паспорту фактического состава технических средств, программного обеспечения и средств защиты информации, используемых в информационной системе, Администратор оперативно принимает меры по приведению к соответствию фактического состава информационной системы техническому паспорту.
Администратором контролируется соблюдение условий и сроков действия сертификатов соответствия на средства защиты информации и принимаются меры по устранению обнаруженных недостатков. По истечению срока действия сертификата соответствия, и его продления производителем средства защиты информации, Администратор обязан направить запрос к производителю о предоставлении актуальной заверенной копии сертификата. Если такой сертификат не был продлен производителем средства защиты информации, то Администратор сообщает об этом руководителю, который принимает решение об организации самостоятельной сертификации использующегося средства защиты информации, либо обновлении до актуальной версии, либо о замене на аналогичное сертифицированное средство.
РЕЗЕРВИРОВАНИЕ ТЕХНИЧЕСКИХ СРЕДСТВ, ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, БАЗ ДАННЫХ, СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ И ИХ ВОССТАНОВЛЕНИЯ ПРИ ВОЗНИКНОВЕНИИ НЕШТАТНЫХ СИТУАЦИЙ
производит резервирование информационных ресурсов (программного обеспечения, баз данных, средств защиты информации) в информационных системах в соответствии с должностной инструкцией и в соответствии с Приложением № к настоящей Политике.
Резервирование технических средств, програмного обеспечения, баз данных, средств защиты информации и их восстановления должно производиться в соответствии с положениями проектной документации системы защиты информации информационной системы.
Администратор в соответствии с планом мероприятий по обеспечению безопасности информации производит проверку средств резервного копирования, средств хранения резервных копий и средств восстановления информации из резервных копий на предмет их исправного функционирования. Результат проведенной проверки подлежит фиксации в журнале учета мероприятий по контролю за соблюдением режима защиты информации. При обнаружении недостатков в функционировании системы резервирования, должны осуществляться меры по восстановлению ее исправной работы. Вне плана резервное копирование должно быть проведено после восстановления работоспособности системы резервирования.
Восстановление из резервных копий - основной метод восстановления работоспособности информационной системы после ликвидации нештатных ситуаций.
Нештатными ситуациями являются:
- несанкционированный доступ к защищаемой информации:
- несанкционированное подключение технических средств к информационным системам;
- использование закладочных устройств;
- использование злоумышленником легальных учетных записей пользователей для доступа к ресурсам информационных систем;
- эксплуатация злоумышленником уязвимостей программного обеспечения информационных систем;
- эксплуатация злоумышленником программных закладок;
- заражение информационных систем программными вирусами;
- хищение носителей информации;
- нарушение функционирования технических средств обработки информации;
- блокирование доступа к защищаемой информации через перегрузку ложными запросами технических средств;
- разглашение информации ограниченного доступа сотрудниками , имеющими к ней право доступа, в том числе:
- передача информации по незащищенным каналам связи;
- обработка информации на незащищенных технических средствах обработки информации;
- разглашение информации лицам, не наделенными правами доступа к защищаемой информации;
- размещение информации в открытом доступе (открытой печати) и других средствах массовой информации;
- передача носителя c защищаемой информацией лицу, не имеющему права доступа к ней;
- утрата носителя с защищаемой информацией.
- неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации:
- несанкционированное копирование информации;
- несанкционированное изменение информации;
- сбои, отказы и аварии систем обеспечения информационной системы;
- дефекты, сбои, отказы программного обеспечения информационных систем;
- дефекты, сбои, отказы, аварии технических средств в информационных системах;
- природные явления, стихийные бедствия:
- термические, климатические факторы (аномально низкие или аномально высокие температуры воздуха, пожары, наводнения, снегопады и т. д.);
- механические факторы (повреждения зданий, землетрясения и т. д.);
- электромагнитные факторы (отключение электропитания, скачки напряжения, удары молний и т. д.).
Действия по оповещению должностных лиц и сроки проведения мероприятий при нештатных ситуациях определены в Приложении № настоящей Политики.
При возникновении нештатной ситуации, для которой в Политике не содержится предусмотренного порядка действий, Ответственным и ГРИИБ разрабатывается план действий с учетом сложившейся ситуации.
При нештатных ситуациях, сопровождающихся нарушением целостности, доступности или конфиденциальности защищаемой информации по вине внутреннего или внешнего нарушителя, привлекается ГРИИБ, которая реагирует на такой инцидент в соответствии с инструкцией по реагированию на инциденты информационной безопасности.
Для повышения уровня взаимодействия должностных лиц и оперативности устранения последствий нештатных ситуаций периодически проводятся тренировки по устранению различных видов нештатных ситуаций.
При обнаружении недостатков в Политике по результатам тренировок и/или опыта устранения инцидентов информационной безопасности (нештатных ситуаций), в нее могут вноситься изменения.
При возникновении сбоев, отказов и аварий в системах электроснабжения, вентиляции, иных обеспечивающих инженерных систем проводятся следующие мероприятия:
• Пользователи корректно отключают и обесточивают свои АРМ;
• системный администратор корректно отключает и обесточивает серверы и сетевое оборудование;
• предпринимает меры к эвакуации носителей информации и носителей резервных копий;
• при нарушении штатного функционирования технических средств информационных систем в результате стихийных бедствий или природных явлений вышедшее из строя оборудование подлежит ремонту, либо замене на новое;
• при возникновении ситуации утраты защищаемых данных, нарушения целостности программного обеспечения и/или баз данных, средств защиты информации после стихийных бедствий или природных явлений, восстанавливает их из резервных копий;
• при возникновении стихийных действий/природных явлений, представляющих угрозу жизни и/или здоровью человека в первую очередь, проводится эвакуация персонала и только при наличии возможности организуется эвакуация технических средств, носителей информации и носителей с резервными копиями.
При возникновении нештатных ситуаций, проистекающих из стихийных бедствий и опасных природных явлений, предпринимаются следующие меры реагирования:
- корректное отключение технических средств информационных систем до разряда аккумуляторов источников бесперебойного питания, перегрева технических средств и/ или иных негативных последствий;
- устранение причин, повлекших сбои, отказы и аварии средств информационных систем, замена/ремонт средств и систем, пришедших в негодность;
- восстановление поврежденных/утраченных/несанкционированно модифицированных данных из резервных копий.
КОНТРОЛЬ ЦЕЛОСТНОСТИ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Администратор в средстве защиты информации от несанкционированного доступа производит настройку контроля целостности через расчет эталонных контрольных сумм файлов и директорий прикладного программного обеспечения, операционных систем и средств защиты информации.
На АРМ – персональных компьютерах контроль целостности осушествляется в отношении системных файлов операционной системы и файлов установленных средств защиты.
Каждый факт нарушения целостности программного обеспечения рассматривается в качестве инцидента информационной безопасности. При выявлении таких инцидентов, Администратором принимаются меры реагирования для их устранения самостоятельно или в составе ГРИИБ.
не допускается использование средств разработки и отладки программ, за исключением Пользователей, которым данное ПО необходимо для исполнения их трудовых обязанностей.
ПРАВИЛА ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОЧТЫ И ЗАЩИТЫ ОТ СПАМА
Сервис электронной почты предназначен для ведения служебной или деловой переписки, использования в бизнес- и технологических процессах.
За каждым сотрудником, использующим сервис электронной почты, закреплен свой персональный адрес, или список адресов. Использование почтовых адресов, не закрепленных за лицом, не допускается.
Все электронные почтовые сообщения, проходящие через сервера электронной почты, в обязательном порядке проверяются антивирусным программным обеспечением.
При пользовании сервисом электронной почты Пользователям запрещается организовывать несанкционированные массовые рассылки, распространять спам, а также запрещается использование электронной почты в целях и в формах, противоречащих действующему законодательству Российской Федерации.
Автоматическая пересылка и хранение почтовых сообщений на внешних серверах почтовых систем, облачных сервисов, не допускается.
Пользователям следует рационально подходить к числу и размеру отправляемых и хранимых сообщений. Надлежит периодически очищать почтовый ящик, удалять старые сообщения, которые больше не нужны и перемещать необходимые сообщения в соответствующие почтовые папки.
КОНТРОЛЬ ИСПОЛЬЗОВАНИЯ ТЕХНОЛОГИЙ МОБИЛЬНОГО КОДА
18.1 разрешено использование технологий мобильного кода .
Приложение № к Политике информационной безопасности
, утвержденной приказом
от г. №
ЗАЯВКА
о внесении изменений в списки пользователей и наделение пользователей полномочиями доступа к ресурсам
информационной системы
Прошу информационной системы: ,
для решения задач:
Начальник | , | ||||
_________________________(подпись) |
Согласовано | Администратор безопасности | ||||
«___» _____________ 20__ г. | _________________________(подпись) | (фамилия) |
ЗАДАНИЕ
на изменения в списки пользователей информационной системы
Произвести изменения в списках пользователей | |
_________ | |
Обратная сторона заявки
Присвоен идентификатор (имя учетной записи) и предоставлены полномочия, необходимые для решения следующих задач:
Имя учетной записи, персональный идентификатор (имя учетной записи) и начальное значение пароля получил, о необходимости смены пароля при первом входе в систему проинструктирован, с инструкцией Пользователя ознакомлен.
Пользователь
___________________________________
(подпись, фамилия)
«___» ______________ 20__ года
Приложение № к Политике информационной безопасности , утвержденной приказом
от г. №
Положение о разграничении прав доступа в информационной системе
Учитывая особенности обработки защищаемой информации в устанавливается перечень, состоящий из групп Пользователей, служб и процессов, задействованных в обработке защищаемой информации. Перечень ролей и описание параметров доступа к ресурсам информационной системы указан в таблице.
Роль | Параметры доступа к ресурсам информационной системы для данной роли |
Приложение № к Политике информационной безопасности , утвержденной приказом
от г. №
Перечень лиц, должностей, служб и процессов, допущенных к работе с ресурсами информационной системы
Перечень представляет собой таблицу со списком должностных лиц и процессов, допущенные к работе с ресурсами информационной системы . Сведения, связанные с использованием средств криптографической защиты информации в данном перечне не отражаются, они подлежат отражению в иных документах в случае использования этих средств. Для должностного лица в таблице указывается должность, присвоенная учетная запись и роль в соответствии с Положением о разграничении прав доступа в информационной системе.
№ п/п | ФИО сотрудника / Наименование службы или процесса | Должность | Присвоенная учетная запись | Роль | Сведение о выдаче электронного ключа | Роспись о получении электронного ключа |
Приложение № к Политике информационной безопасности
, утвержденной приказом
от г. №
Список помещений, в которых ведется работа с использованием информационной системы , где находятся технические средства информационной системы, а также перечень лиц, допущенных в эти помещения
№ п/п | Название/номер помещения | Техническое средство информационной системы | Сотрудники, допущенные в помещение | ||||||||||||
Тип | Модель | Учетный №(серийный, инвентарный) | Сетевое имя | IP-адрес | MAC-адрес | ФИО | Должность | ||||||||
Приложение № к Политике информационной безопасности ,
утвержденной приказом
от г. №
Перечень разрешенного программного обеспечения в информационной системе
№ п/п | Наименование ПО | Тип ПО | Цель применения ПО в информационной системе | Место установки компонентов ПО |
Приложение № к Политике информационной безопасности ,
утвержденной приказом
от г. №
Список прикладного программного обеспечения информационной системы, доступного пользователям внешней информационной системы
№ п/п | Наименование ПО | Тип ПО | Обоснование необходимости допуска внешних пользователей | Список допущенных внешних пользователей |
Приложение № к Политике информационной безопасности
, утвержденной приказом
от г. №
Список пользователей информационной системы и внешних пользователей, которым предоставляется удаленный доступ к системе в соответствии с должностными обязанностями
№ п/п | ФИО | Сотрудник | Указание ресурсов, к которым открыт удаленный доступ | Основание для предоставления удаленного доступа (должностные обязанности) | Учетная запись для удаленного доступа | Лимит продолжительности сеанса удаленного доступа |
Приложение № к Политике информационной безопасности
, утвержденной приказом
от г. №
Комиссией в составе:
– председатель комиссии;
– член комиссии;
– член комиссии;
уничтожены машинные носители информации:
№ п/п | Учетный номер машинного носителя | Вид носителя | Примечания |
Выполнено уничтожение носителей. Произведена сверка записей Акта с записями Журналов учета машинных носителей информации, эксплуатационной и технической документации к ним.
Списаны с учета машинные носители в Журналах учета машинных носителей информации.
Председатель комиссии: | ||
Члены комиссии: | ||
Приложение № к Политике информационной безопасности, утвержденной приказом
от г. №
Порядок резервирования информационных ресурсов в информационной системе
№ п/п | Наименование информационного ресурса | Место размещения ресурса в системе | Вид резервного копирования | Ответственный за резервное копирование | Место хранения резервной копии | Периодичность проведения копирования |
Приложение № к Политике информационной безопасности , утвержденной приказом
от г. №
План обеспечения непрерывности функционирования информационной системы
№ п/п | Разновидность нештатной ситуации | Критерии нештатной ситуации | Кому и в какие сроки докладывается в рабочее время | Кому и в какие сроки докладывается в нерабочее время | Срок реализации первоочередных действий | Максимальное время для всех необходимых мероприятий |
Разглашение защищаемой информации сотрудниками, имеющими легальные права доступа к ней | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Обнаружение несанкционированно скопированной или измененной конфиденциальной информации | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Несанкционированное копирование или изменение конфиденциальной информации в текущий момент времени со стороны лиц имеющих право доступа к ней | сразу после обнаружения инцидента | сразу после обнаружения инцидента | ||||
Обнаружение подключения технических средств к средствам и системам объекта информатизации | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Подключение технических средств к средствам информационной системы в текущий момент времени | сразу после обнаружения инцидента | сразу после обнаружения инцидента | 3 часа | |||
Обнаружение закладочных устройств | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Установка закладочных устройств злоумышленником в текущий момент времени | сразу после обнаружения инцидента | сразу после обнаружения инцидента | ||||
Маскировка под зарегистрированного пользователя внешним злоумышленником в текущий момент времени | сразу после обнаружения инцидента | сразу после обнаружения инцидента | ||||
Маскировка под зарегистрированного пользователя внутренним злоумышленником или обнаружением факта маскировки | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Использование дефектов программного обеспечения ОИ внешним нарушителем в текущий момент времени | сразу после обнаружения инцидента | сразу после обнаружения инцидента | ||||
Использование программных закладок внешним нарушителем в текущий момент времени | сразу после обнаружения инцидента | сразу после обнаружения инцидента | ||||
Использование программных закладок внутренним злоумышленником или обнаружение факта использования | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Обнаружение программных вирусов | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Хищение носителя защищаемой информации | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Нарушение функционирования ТС обработки информации в текущий момент времени злоумышленником | сразу после обнаружения инцидента | сразу после обнаружения инцидента | ||||
сразу после обнаружения инцидента | сразу после обнаружения инцидента | |||||
Обнаружение нарушения функционирования ТС обработки информации произведенного злоумышленником | сразу после обнаружения инцидента | сразу после обнаружения инцидента | ||||
сразу после обнаружения инцидента | сразу после обнаружения инцидента | |||||
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внешним злоумышленником в текущий момент времени | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку внутренним злоумышленником в текущий момент времени | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Обнаружение произошедшего факта блокировки доступа к защищаемой информации | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие утерю или повреждение защищаемой информации | сразу после обнаружения инцидента | не позднее часов после инцидента | ||||
Ошибки пользователей системы при эксплуатации ТС, программных средств, средств и систем защиты информации, повлекшие нарушение работоспособности ТС и ПО | сразу после обнаружения инцидента | в первый рабочий день после инцидента | ||||
сразу после обнаружения инцидента | сразу после обнаружения инцидента | |||||
Дефекты, сбои, отказы, аварии ТС, программных средств и систем информационной системы | сразу после обнаружения инцидента | сразу после обнаружения инцидента | ||||
сразу после обнаружения инцидента | не позднее часов после инцидента | |||||
сразу после обнаружения инцидента | в первый рабочий день после инцидента | |||||
сразу после обнаружения инцидента | не позднее часов после инцидента | |||||
Сбои, отказы и аварии систем обеспечения информационной системы | Ответственному за материально- техническое обеспечение сразу после инцидента | Ответственному за материально- техническое обеспечение в первый рабочий день после инцидента | ||||
Ответственному за материально- техническое обеспечение и сразу после обнаружения инцидента | Ответственному за материально- техническое обеспечение и сразу после обнаружения инцидента | |||||
Ответственному за материально- техническое обеспечение сразу после инцидента | Ответственному за материально- техническое обеспечение в первый рабочий день после инцидента | |||||
Ответственному за материально- техническое обеспечение, сразу после обнаружения инцидента | Ответственному за материально- техническое обеспечение, не позднее часов после инцидента | |||||
Природные явления, стихийные бедствия, несущие угрозу жизни человека | Руководителю, заместителям руководителя, которые оповещают всех своих сотрудников сразу после получения информации | Руководителю, заместителям руководителя, которые оповещают всех своих сотрудников сразу после получения информации | ||||
Природные явления, стихийные бедствия, не несущие угрозу жизни человека | Руководителю, заместителям Руководителя, | Руководителю, заместителям Руководителя, |