Академический Документы
Профессиональный Документы
Культура Документы
к приказу
«Об утверждении политики
информационной безопасности в
ОГКУ «Многофункциональный
центр предоставления государственных
и муниципальных услуг
в Еврейской автономной области»
от 26.06.2012 № 73
Политика
информационной безопасности
в ОГКУ «Многофункциональный центр предоставления
государственных и муниципальных услуг в Еврейской
автономной области»
г. Биробиджан
СОДЕРЖАНИЕ
Определения ................................................................................................................. 3
Введение ..................................................................................................................... 11
1 Общие положения .................................................................................................. 13
2 Область действия .................................................................................................... 14
3 Положения политики информационной безопасности
3.1 Политика физической безопасности……………………..…………....14
3.2 Политика обеспечения управления доступом……………………...…17
3.3 Политика обеспечения сетевой безопасности……………………..…22
3.4 Политика использования программного обеспечения…………….…24
3.5 Политика парольной защиты……………………………………..……25
3.6 Политика антивирусной защиты………………………………...……27
3.7 Политика использования сети Интернет…………………………...…29
3.8 Политика использования электронной почты……………………..…32
3.9 Политика использования электронных носителей………………. …33
3.10 Политика использования средств криптографической
защиты……………………………………………………………………….34
3.11 Политика резервного копирования………………………………..…35
3.12 Политика «чистого стола» и «чистого экрана»…………………..…37
3.13 Политика повышения осведомленности в области информационной
безопасности и кадровая политика……………………………………...…38
4 Ответственность за нарушение политики информационной
безопасности……………………………………………………………………….40
5 Пересмотр политики………………………………………………………..…...40
6 Система защиты персональных данных ………………………………………41
7 Требования к подсистемам СЗИ………………………………………………..42
7.1 Подсистемы управления доступом, регистрации и учета .................... 43
7.2 Подсистема обеспечения целостности и доступности .......................... 43
7.3 Подсистема антивирусной защиты ......................................................... 44
7.4 Подсистема анализа защищенности ........................................................ 44
7.5 Подсистема обнаружения вторжений ..................................................... 45
7.6 Подсистема криптографической защиты ................................................ 45
8 Пользователи ИСПДн ............................................................................................ 45
8.1 Администратор ИСПДн............................................................................ 46
8.2 Администратор информационной безопасности ................................... 46
8.3 Оператор АРМ ........................................................................................... 47
8.4 Администратор корпоративной сети ...................................................... 47
8.5 Технический специалист по обслуживанию периферийного
оборудования ................................................................................................... 48
8.6 Программист-разработчик ИСПДн ......................................................... 48
9 Требования к персоналу по обеспечению защиты ПДн ..................................... 49
10 Должностные обязанности пользователей ИСПДн .......................................... 50
11 Ответственность сотрудников Учреждения ...................................................... 51
12 Перечень нормативно-правовых актов, во исполнение которых
предполагается реализация Политики…………………………………………...52
ОПРЕДЕЛЕНИЯ
В настоящем документе используются следующие термины и их
определения:
Автоматизированная система – система, состоящая из персонала и
комплекса средств автоматизации его деятельности, реализующая
информационную технологию выполнения установленных функций.
Аутентификация отправителя данных – подтверждение того, что
отправитель полученных данных соответствует заявленному.
Безопасность персональных данных – состояние защищенности
персональных данных, обрабатываемых и хранимых на бумажных и
электронных носителях, и в информационных системах персональных данных,
характеризуемое способностью обеспечить конфиденциальность, целостность и
доступность персональных данных.
Вирус (компьютерный, программный) – исполняемый программный
код или интерпретируемый набор инструкций, обладающий свойствами
несанкционированного распространения и самовоспроизведения. Созданные
дубликаты компьютерного вируса не всегда совпадают с оригиналом, но
сохраняют способность к дальнейшему распространению и
самовоспроизведению.
Вредоносная программа – программа, предназначенная для
осуществления несанкционированного доступа и (или) воздействия на
персональные данные или ресурсы информационной системы персональных
данных.
Вредоносный код – содержащаяся в любых файлах последовательность
символов, результат исполнения которых позволяет отнести ее к
компьютерным вирусам или вредоносным программам.
Вспомогательные технические средства и системы – технические
средства и системы, не предназначенные для передачи, обработки и хранения
персональных данных, устанавливаемые совместно с техническими средствами
и системами, предназначенными для обработки персональных данных или в
3
помещениях, в которых установлены информационные системы
персональных данных.
Доступ в операционную среду компьютера (информационной
системы персональных данных) – получение возможности запуска на
выполнение штатных команд, функций, процедур операционной системы
(уничтожения, копирования, перемещения и т.п.), исполняемых файлов
прикладных программ.
Доступ к информации – возможность получения информации и ее
использования.
Закладочное устройство – элемент средства съема информации,
скрытно внедряемый (закладываемый или вносимый) в места возможного
съема информации (в том числе в ограждение, конструкцию, оборудование,
предметы интерьера, транспортные средства, а также в технические средства и
системы обработки информации).
Защищаемая информация – информация, являющаяся предметом
собственности и подлежащая защите в соответствии с требованиями
правовых документов или требованиями, устанавливаемыми собственником
информации.
Идентификация – присвоение субъектам и объектам доступа
идентификатора и (или) сравнение предъявляемого идентификатора с
перечнем присвоенных идентификаторов.
Информативный сигнал – электрические сигналы, акустические,
электромагнитные и другие физические поля, по параметрам которых может
быть раскрыта конфиденциальная информация (персональные данные)
обрабатываемая в информационной системе персональных данных.
Информационная система персональных данных – информационная
система, представляющая собой совокупность персональных данных,
содержащихся в базе данных, а также информационных технологий и
4
технических средств, позволяющих осуществлять обработку персональных
данных с использованием средств автоматизации или без использования таких
средств.
Информационные технологии – процессы, методы поиска, сбора,
хранения, обработки, предоставления, распространения информации и способы
осуществления таких процессов и методов.
Информация ограниченного доступа – любая информация, отнесенная
к конфиденциальной информации, коммерческой тайне, персональным
данным, служебной тайне или иная информация, доступ к которой ограничен
согласно организационно-распорядительным документам Учреждения в
соответствии с нормативно-правовыми актами Российской Федерации.
Использование персональных данных – действия (операции) с
персональными данными, совершаемые оператором в целях принятия решений
или совершения иных действий, порождающих юридические последствия в
отношении субъекта персональных данных или других лиц либо иным
образом затрагивающих права и свободы субъекта персональных данных или
других лиц.
Источник угрозы безопасности информации – субъект доступа,
материальный объект или физическое явление, являющиеся причиной
возникновения угрозы безопасности информации.
Компьютерный вирус – разновидность компьютерных программ,
отличительной особенностью которых является способность к размножению, а
также возможность выполнения произвольных действий, без ведома
пользователя.
Контролируемая зона – пространство (территория, здание, часть здания,
помещение), в котором исключено неконтролируемое пребывание
посторонних лиц, а также транспортных, технических и иных материальных
средств.
5
Конфиденциальность персональных данных – обязательное для
соблюдения оператором или иным получившим доступ к персональным
данным лицом требование не допускать их распространение без согласия
субъекта персональных данных или наличия иного законного основания.
Нарушитель безопасности персональных данных – физическое лицо,
случайно или преднамеренно совершающее действия, следствием которых
является нарушение безопасности персональных данных при их обработке
техническими средствами в информационных системах персональных
данных.
Неавтоматизированная обработка персональных данных – обработка
персональных данных, содержащихся в информационной системе
персональных данных либо извлеченных из такой системы, считается
осуществленной без использования средств автоматизации
(неавтоматизированной), если такие действия с персональными данными, как
использование, уточнение, распространение, уничтожение персональных
данных в отношении каждого из субъектов персональных данных,
осуществляются при непосредственном участии человека.
Несанкционированный доступ (несанкционированные действия) –
доступ к информации или действия с информацией, нарушающие правила
разграничения доступа с использованием штатных средств, предоставляемых
информационными системами персональных данных.
Носитель информации – физическое лицо или материальный объект, в
том числе физическое поле, в котором информация находит свое отражение в
виде символов, образов, сигналов, технических решений и процессов,
количественных характеристик физических величин.
Обработка персональных данных – действия (операции) с
персональными данными, включая сбор, систематизацию, накопление,
хранение, уточнение (обновление, изменение), использование,
6
распространение (в том числе передачу), обезличивание, блокирование,
уничтожение персональных данных.
Оператор (персональных данных) – государственный орган,
муниципальный орган, юридическое или физическое лицо, организующее и
(или) осуществляющее обработку персональных данных, а также
определяющее цели и содержание обработки персональных данных.
Перехват (информации) – неправомерное получение информации с
использованием технического средства, осуществляющего обнаружение,
прием и обработку информативных сигналов.
Персональные данные – любая информация, относящаяся к
определенному или определяемому на основании такой информации
физическому лицу (субъекту персональных данных), в том числе: фамилия,
имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное,
имущественное положение, образование, профессия, доходы и другая
информация.
Побочные электромагнитные излучения и наводки –
электромагнитные излучения технических средств обработки защищаемой
информации, возникающие как побочное явление и вызванные
электрическими сигналами, действующими в их электрических и магнитных
цепях, а также электромагнитные наводки этих сигналов на токопроводящие
линии, конструкции и цепи питания.
Политика «чистого стола» – комплекс организационных мероприятий,
контролирующих отсутствие записывания на бумажные носители ключей и
атрибутов доступа (паролей) и хранения их вблизи объектов доступа,
мероприятий по предотвращению несанкционированного доступа к
персональным данным на столах, стеллажах, принтерах, экранах мониторов и
т.д.
Пользователь информационной системы персональных данных –
лицо, участвующее в функционировании информационной системы
персональных данных или использующее результаты ее функционирования.
7
Правила разграничения доступа – совокупность правил,
регламентирующих права доступа субъектов доступа к объектам доступа.
Программная закладка – код программы, преднамеренно внесенный в
программу с целью осуществить утечку, изменить, блокировать, уничтожить
информацию или уничтожить и модифицировать программное обеспечение
информационной системы персональных данных и (или) блокировать
аппаратные средства.
Программное (программно-математическое) воздействие –
несанкционированное воздействие на ресурсы автоматизированной
информационной системы, осуществляемое с использованием вредоносных
программ.
Раскрытие персональных данных – умышленное или случайное
нарушение конфиденциальности персональных данных.
Распространение персональных данных – действия, направленные на
передачу персональных данных определенному кругу лиц (передача
персональных данных) или на ознакомление с персональными данными
неограниченного круга лиц, в том числе обнародование персональных данных
в средствах массовой информации, размещение в информационно-
телекоммуникационных сетях или предоставление доступа к персональным
данным каким-либо иным способом.
Резервная копия – копия рабочей информации, полученная в результате
резервного копирования.
Резервное копирование – процесс создания копий рабочей информации
на определенный момент времени, направленный на предотвращение
нарушения целостности и/или доступности рабочей информации и на ее
восстановление после таких нарушений.
Ресурс информационной системы – именованный элемент системного,
прикладного или аппаратного обеспечения функционирования
информационной системы.
8
Сети общего пользования – любые сети передачи данных (например,
Интернет), в которых передаваемая информация может стать известна третьим
лицам.
Специальные категории персональных данных – персональные
данные, касающиеся расовой, национальной принадлежности, политических
взглядов, религиозных или философских убеждений, состояния здоровья и
интимной жизни субъекта персональных данных.
Средства вычислительной техники – совокупность программных и
технических элементов систем обработки данных, способных
функционировать самостоятельно или в составе других систем.
Субъект доступа (субъект) – лицо или процесс, действия которого
регламентируются правилами разграничения доступа.
Технический канал утечки информации – совокупность носителя
информации (средства обработки), физической среды распространения
информативного сигнала и средств, которыми добывается защищаемая
информация.
Технические средства информационной системы персональных
данных – средства вычислительной техники, информационно-
вычислительные комплексы и сети, средства и системы передачи, приема и
обработки персональных данных (средства и системы звукозаписи,
звукоусиления, звуковоспроизведения, переговорные и телевизионные
устройства, средства изготовления, тиражирования документов и другие
технические средства обработки речевой, графической, видео- и буквенно-
цифровой информации), программные средства (операционные системы,
системы управления базами данных и т.п.), средства защиты информации,
применяемые в информационных системах.
Трансграничная передача персональных данных – передача
персональных данных оператором через Государственную границу Российской
9
Федерации органу власти иностранного государства, физическому или
юридическому лицу иностранного государства.
Угрозы безопасности персональных данных – совокупность условий и
факторов, создающих опасность несанкционированного, в том числе
случайного, доступа к персональным данным, результатом которого может
стать уничтожение, изменение, блокирование, копирование, распространение
персональных данных, а также иных несанкционированных действий при их
обработке в информационной системе персональных данных.
Уничтожение персональных данных – действия, в результате
которых невозможно восстановить содержание персональных данных в
информационной системе персональных данных или в результате которых
уничтожаются материальные носители персональных данных.
Утечка (защищаемой) информации по техническим каналам –
неконтролируемое распространение информации от носителя защищаемой
информации через физическую среду до технического средства,
осуществляющего перехват информации.
Учреждение – Областное государственное казенное учреждение
«Многофункциональный центр предоставления государственных и
муниципальных услуг в Еврейской автономной области» и его филиалы.
Уязвимость – слабость в средствах защиты, которую можно
использовать для нарушения системы или содержащейся в ней информации.
Целостность информации – способность средства вычислительной
техники или автоматизированной системы обеспечивать неизменность
информации в условиях случайного и/или преднамеренного искажения
(разрушения).
Электронная почта – любое сообщение, изображение, форма, вложение,
данные или другой способ представления информации отправляемой,
получаемой или хранящейся в системе электронной почты.
10
Электронный носитель – носитель (например, дискеты, компакт-диски,
съемные жесткие диски, дисковые хранилища, ленточные накопители и иные
носители информации), который может быть подключен к выделенным серверам
и/или автоматизированным рабочим местам Учреждения и может быть
использован для обработки, хранения и копирования на него информации.
ОБОЗНАЧЕНИЯ И СОКРАЩЕНИЯ
АС – автоматизированная система
АРМ – автоматизированное рабочее место
ИСПДн – информационная система персональных данных
КЗ – контролируемая зона
КС – корпоративная сеть Учреждения
НПА РФ – нормативные правовые акты Российской Федерации
НСД – несанкционированный доступ
ОС – операционная система
ПДн – персональные данные
ПО – программное обеспечение
ПЭМИН – побочные электромагнитные излучения и наводки
СЗИ – средства защиты информации
СОП – сеть общего пользования
ВВЕДЕНИЕ
11
Целостность - поддержание целостности конфиденциальной
информации означает, что она защищена от неправомочной модификации.
Существуют множество типов информации, которые имеют ценность только
тогда, когда гарантировано, что они правильные. Реализация Политики
гарантирует, что информация не повреждена, не разрушена или не изменена
любым способом.
Пригодность - обеспечение того, что информация и АС доступны и
готовы к эксплуатации всегда, как только они потребуются. В этом случае,
реализация Политики гарантирует, что информация всегда доступна и
поддерживается в пригодном состоянии.
Основной целью Политики является обеспечение эффективного
противодействия внутренним и внешним угрозам, направленным на
нарушение процессов сбора, обработки, хранения и предоставления
информации.
Настоящая Политика разработана в соответствии с целями, задачами и
принципами обеспечения безопасности информации ограниченного доступа,
изложенными в Концепции информационной безопасности Учреждения.
Политика разработана в соответствии с требованиями Федерального
Закона от 27 июля 2006г. № 152-ФЗ «О персональных данных» и
постановлениями Правительства Российской Федерации от 11 ноября 2007г.
№ 781 «Об утверждении Положения об обеспечении безопасности
персональных данных при их обработке в информационных системах
персональных данных» и от 15 сентября 2008г. № 687 «Об утверждении
Положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации», на основании
«Рекомендаций по обеспечению безопасности персональных данных при их
обработке в информационных системах персональных данных», утвержденных
Заместителем директора ФСТЭК России от 15.02.2008.
В Политике определены требования к сотрудникам Учреждения, степень
ответственности сотрудников, структура и необходимый уровень
12
защищенности, статус и должностные обязанности сотрудников,
ответственных за обеспечение безопасности персональных данных в архивах и
ИСПДн Учреждения.
1. ОБЩИЕ ПОЛОЖЕНИЯ
13
Состав ИСПДн подлежащих защите, определен в Отчете о результатах
проведения внутренней проверки Учреждения.
2. ОБЛАСТЬ ДЕЙСТВИЯ
3. ПОЛОЖЕНИЯ ПОЛИТИКИ
Организация охраны
В помещениях, в которых размещается имущество Учреждения, должна
иметься возможность организации круглосуточной охраны. В помещениях,
расположенных в зданиях, в которых возможно использование услуг служб
централизованной охраны здания, охрана должна осуществляться силами
таких служб. В помещениях, расположенных в зданиях без служб
централизованной охраны, охрана должна осуществляться за счет привлечения
специализированных организаций, предоставляющих услуги по
14
круглосуточной охране.
Допускается в рабочее время использование услуг служб охраны в
режиме «вызов по необходимости», в нерабочее время помещения должны
сдаваться под охрану с применением средств охранной сигнализации или с
физическим наблюдением за помещениями.
Контроль доступа
Все помещения Учреждения должны быть оборудованы дверьми,
закрываемыми на замок.
Должен быть предусмотрен механизм установления личности
осуществляющей санкционированное вскрытие помещений Учреждения
(например, проверка удостоверения личности, применение систем контроля и
управления доступом, роспись за получения ключа от помещений на посту
охраны и т.п.).
Отдельные группы помещений, нахождение в которых посторонних лиц не
требуется (например, архивные помещения), могут отделяться дополнительными
дверьми, иными средствами ограничения доступа или физически располагаться
удаленно (например, на других этажах или частях здания и т.п.).
Помещения, доступ в которые согласно НПА РФ должен быть органичен,
а также в которых хранится или обрабатывается информация ограниченного
доступа, хранятся товарно-материальные ценности и иные подобные
помещения, должны быть оборудованы механизмом ограничения доступа.
Сотрудники структурных подразделений Учреждения, имеющие право
самостоятельного вскрытия таких помещений должны быть определены
отдельными списками, утвержденными директором Учреждения.
Сотрудники Учреждения не должны оставлять свои рабочие кабинеты
без наблюдения. В случае, если помещение остается без наблюдения,
помещение должно быть закрыто на замок.
Сотрудники Учреждения не должны пытаться проникнуть в помещения,
доступ к которым ограничен, не имея на это соответствующих прав.
15
Контроль нахождения посторонних лиц в помещениях Учреждения
Нахождение посетителей или представителей сторонних организаций в
помещениях Учреждения, должно контролироваться сопровождающими лицами
из числа сотрудников Учреждения или охранником.
Сотрудники сторонних организаций (например, обслуживающий
персонал здания, специалисты, осуществляющие сопровождение
программного обеспечения и ремонт оборудования и т.п.) должны вызываться
в установленном порядке. При приходе таких сотрудников без
предварительной заявки их допуск в помещения Учреждения должен
осуществляться только по согласованию с ответственным лицом структурного
подразделения Учреждения, в ведении которого предполагаются проводимые
работы.
Сотрудники сторонних организаций должны находиться на территории
Учреждения в сопровождении уполномоченных сотрудников Учреждения.
16
согласования с администратором безопасности Учреждения или лицом его
заменяющим.
Прекращение эксплуатации
Перед передачей (в том числе для ремонта) сторонним организациям,
списанием или прекращением использования оборудования, участвовавшего в
обработке информации ограниченного доступа, должна быть проведена
проверка, с целью исключения попадания информации ограниченного доступа
третьим лицам.
18
Общие правила доступа к КС Учреждения
Доступ к информационным ресурсам Учреждения должен
осуществляться согласно разработанной и утвержденной приказом «Матрицы
доступа», составленной на основании должностных обязанностей сотрудников
Учреждения и отчета о проведенной внутренней проверки.
В «Матрице доступа» должны быть отражены все пользователи
Учреждения, имеющие доступ к информационным ресурсам Учреждения.
Любое изменение в правах доступа к информационным ресурсам
Учреждения должно быть обосновано выполнением должностных
обязанностей, утверждено и направлено администраторам информационной
безопасности, корпоративной сети и АС.
В Учреждении должна вестись и своевременно обновляться «Матрица
доступа».
При увольнении сотрудников Учреждения или изменении их
должностных обязанностей, лица, уполномоченные на предоставление прав
доступа, должны быть письменно проинформированы в трехдневный срок,
после чего внести соответствующие изменения в систему контроля доступа и
«Матрицу доступа».
Идентификатор учетной записи
Идентификатор учетной записи пользователя должен быть составлен
таким образом, чтобы не позволить не уполномоченным лицам установить
личность пользователя.
Для установления персональной ответственности идентификатор
учетной записи пользователя в любой АС должен однозначно соответствовать
отдельному сотруднику.
Для доступа к АРМ и КС у каждого пользователя должны быть
уникальный набор из идентификатора учетной записи и пароля. Запрещено
создание идентификатора учетной записи, используемого группой лиц.
Использование идентификатора учетной записи пользователя после
увольнения или прекращения использования информационных ресурсов
Учреждения запрещено.
19
При предоставлении идентификатора учетной записи сторонним
организациям необходимо заключение соглашений, подтверждающих
обязательства сторонних организаций соблюдать требования НПА РФ и
организационно-распорядительных документов Учреждения, подписанные
уполномоченными лицами.
При прекращении необходимости использования сторонними
организациями идентификатора учетной записи, лица, уполномоченные на
предоставление прав доступа, должны быть письменно проинформированы в
однодневный срок, после чего должны быть внесены соответствующие
изменения в систему контроля доступа и «Матрицу доступа».
Для всех лиц, не являющихся сотрудниками Учреждения, но для
выполнения обязательств которых, необходимо предоставление доступа к АРМ
и КС Учреждения, должен быть сформирован идентификатор учетной записи,
действующий только на период выполнения лицом своих обязательств. В
случае, если срок выполнения обязательств не определен, то срок действия
идентификатора учетной записи должен составлять 15 дней.
Пользователям запрещено использование идентификаторов учетных
записей и паролей, используемых для получения доступа к информационным
ресурсам Учреждения, для идентификации и аутентификации на публичных
ресурсах сетей общего пользования.
20
Таким лицам должны быть предоставлены как минимум два типа
учетных записей, одна – специальный тип учетной записи, другая –
ограниченный тип учетной записи для повседневной работы, не требующей
изменения настроек АС.
Удаленное администрирование любых технических устройств в КС
Учреждения, при котором осуществляется передача информации через сети
общего пользования, запрещено.
21
3.3 Политика обеспечения сетевой безопасности
Построение КС Учреждения
Построение и управление КС должно исключать наличие «узких мест»,
нарушение работы которых приведет к нарушению работы всей КС.
Все КС Учреждения должны быть настроены для недопущения
несанкционированного подключения к ним и обнаружения попыток таких
подключений.
Подключение к КС разрешено только после выполнения требований
политик безопасности и критериев, определенных Учреждением.
Доступ к информации о системе внутренней адресации в КС,
конфигурации и иной подобной информации должен быть обусловлен только
выполнением должностных обязанностей. В отдельных случаях, подобная
информация может предоставляться третьим лицам, для проведения работ в
22
рамках договорных обязательств. При этом между сторонами должно быть
заключено соглашение о конфиденциальности.
Использование любого типа подключений (DSL-модем, dial-up модем,
модемы, использующие сети операторов мобильной связи и т.п.) технических
средств, размещенных в КС, к внешним информационным ресурсам,
запрещено без согласования с уполномоченными лицами. Такие подключения
должны соответствовать требованиям НПА РФ и организационно-
распорядительным документам Учреждения.
24
3.5 Политика парольной защиты
Доступ к ПО, используемому пользователями и администраторами в
рамках должностных обязанностей и подразумевающему наличие
идентификации и аутентификации пользователя и разграничение полномочий,
без использования пароля запрещено.
Пароли доступа к различному прикладному ПО, используемому
пользователями и администраторами в рамках должностных обязанностей
должны отличаться от паролей доступа к АРМ или элементам сетевой
инфраструктуры и не должны совпадать для различного ПО.
Администраторам запрещено отклоняться от настоящей политики во имя
удобства пользования.
Восстановление пароля
Восстановление забытых паролей пользователей осуществляется
администратором, путем сброса забытого пароля и установления первичного
пароля, в случае если установка первичного пароля не поддерживается ПО,
администратор осуществляет сброс забытого пароля, а пользователь обязан
самостоятельно создать пароль пользователя при первом запуске ПО.
Основанием для смены пароля может являться только заявка в письменной
форме.
27
Предотвращение выполнения вредоносного кода
Структурные подразделения Учреждения обязаны проводить
сканирование своих информационных ресурсов, а также всех подключенных
АРМ на наличие компьютерных вирусов и вредоносных программ.
Файлы, полученные любым образом, с любых носителей информации
или сетей общего пользования должны быть проверены на наличие
вредоносного кода.
Подключения к АРМ незарегистрированных электронных носителей
информации (дискеты, компакт-диски, съемные жесткие диски, сотовые
телефоны, карманные персональные компьютеры, фотоаппараты и иные
носители информации) разрешено с обязательной проверкой «по требованию»
таких носителей информации на наличие компьютерных вирусов и вредоносных
программ.
На АРМ, с установленной операционной системой Windows любых
версий, должна быть отключена функция автоматического исполнения
операционной системой файла autorun.inf на электронных носителях
информации.
В случае получения файлов, проверка которых в исходном состоянии
невозможна (например, файлы содержат архивы, не поддерживаемые системой
антивирусной защиты, файлы прошли криптографическое преобразование и
т.п.), необходимо на АРМ, не подключенном к КС, привести данные файлы к
состоянию пригодному для проверки на наличие вредоносного кода,
осуществить такую проверку, после чего принимать решение о возможности
использования данных файлов.
Пользователи, которые в соответствии с должностными обязанностями
используют служебные мобильные устройства к компьютерам, должны в
обязательном порядке соблюдать требования настоящей Политики в их
отношении.
Все файлы, передаваемые третьим лицам, должны быть проверены на
наличие вредоносного кода системой антивирусной защиты до их передачи.
28
Любые намеренные попытки написания, компиляции, хранения, запуска,
пропагандирования или распространения пользователями компьютерных вирусов
или вредоносных программ, а также иного кода, предназначенного для
саморазмножения, нанесения ущерба или снижения производительности АС
Учреждения, запрещены.
29
материалы сексуального характера, расистские, дискредитирующие,
оскорбительные, непристойные, уничижительные, дискриминационные,
угрожающие, пользователь обязан прекратить работу с данным ресурсом.
31
3.8 Политика использования электронной почты
32
- массовой рассылки писем, кроме случаев, когда необходимо
оповещение большого числа сотрудников Учреждения или в случаях, когда
это обусловлено выполнением задач Учреждения;
- в любых других незаконных, неэтичных и неразрешенных целях.
Сотрудники Учреждения, получившие электронную почту от другого
сотрудника Учреждения, с сообщениями, содержащими запрещенное
содержание обязаны уведомить о таком факте директора и администратора
информационной безопасности.
33
политик безопасности. Необходимость использования сотрудником личных
электронных носителей информации должна быть сведена к минимуму.
Служебные электронные носители информации должны подлежать учету
и выдаваться сотрудникам под роспись. Сотрудник несет персональную
ответственность за их сохранность. Сотрудникам запрещено создавать
предпосылки для осуществления утраты, кражи и иных противоправных
действий со служебными электронными носителями информации.
Использование электронных носителей информации для хранения
информации ограниченного доступа должно соответствовать требованиям
НПА РФ и внутренних документов Учреждения.
Использование служебных электронных носителей информации в
личных целях запрещено.
Подключение служебных электронных носителей информации к
техническим средствам, заведомо содержащим вирусы или вредоносные
программы, запрещено. В этом случае электронные носители передаются
администратору информационной безопасности.
Эксплуатация электронных носителей информации должна
осуществляться в соответствии с требованиями по их эксплуатации, и
направлена на предупреждение их неисправности.
Компрометация ключей
Все действия по обеспечению сохранности ключей должны быть
направлены на исключение компрометации ключей.
В случае компрометации ключей или подозрения на компрометацию
пользователь обязан прекратить любое использование средств
криптографической защиты и незамедлительно сообщить о данном факте
уполномоченному лицу Учреждения.
35
используемая для создания дисковых массивов на аппаратных ресурсах
Учреждения.
Регулярность создания резервных копий рабочей информации должна
быть достаточной для продолжения нормальной работы Учреждения, в случае
нарушения целостности или доступности рабочей информации на
информационных ресурсах Учреждения, но не реже одного раза в день для
ежедневно изменяющихся данных и одного раза в неделю для периодически
изменяющихся данных. Копирование резервных копий на электронные
носители (внешние дисковые хранилища и т.п.) должно осуществляться
регулярно, но реже одного раза в месяц.
Все резервные копии, должны быть размещены в отдельных каталогах,
название которых отражает дату последнего изменения рабочей информации и
ее краткое описание (например, 01-04-2012_Buhgalteria).
Все рабочая информация, хранящаяся на аппаратных ресурсах
Учреждения и регулярно копируемая на электронные носители, должна быть
доступна для дальнейшего восстановления.
Как минимум одна резервная копия рабочей информации должна
храниться на электронном носителе.
Процессы резервного копирования и восстановления для каждого
отдельного типа информации должны быть документированы и периодически
пересматриваться.
36
Порядок хранения резервных копий информации ограниченного доступа,
определяется отдельными требованиями по защите информации
ограниченного доступа.
Срок хранения резервных копий на внешних носителях определяется
регламентом резервного копирования, если иное не определено НПА РФ, или
организационно-распорядительными документами Учреждения.
Резервные копии, хранящиеся более полугода, должны ежеквартально
тестироваться, для подтверждения возможности их восстановления и
использования.
37
предметах мебели, а так же в архивах Учреждения, особенно в нерабочее
время;
– носители с важной или критичной служебной информацией, когда они
не требуются, следует убирать и запирать (например, в несгораемом сейфе или
металлическом шкафу), особенно когда помещение пустует;
– персональные компьютеры и принтеры должны быть выключены по
окончании работы;
– следует применять кодовые замки, пароли или другие мероприятия в
отношении устройств, находящихся без присмотра;
– в нерабочее время фотокопировальные устройства следует запирать на
ключ (или защищать от неавторизованного использования другим способом);
– напечатанные документы с важной или конфиденциальной
информацией необходимо изымать из принтеров немедленно.
5. ПЕРЕСМОТР ПОЛИТИКИ
Мониторинг выполнения политики выполняется постоянно, что должно
пресекать попытки нарушения политики. Существующие политики должны
пересматриваться по мере необходимости.
Пересмотр политики информационной безопасности может быть вызван
следующими причинами:
1. Истечение времени действия политики.
40
2. Изменения существующего технологического процесса.
3. Появление нового технологического процесса.
4. Изменение структуры или состава КС Учреждения.
5. Изменение информационных потоков.
6. Обнаружение новых уязвимостей.
7. Нарушение политик информационной безопасности.
Вследствие этого могут изменяться или создаваться новые политики,
стандарты и руководства.
41
- Сервера приложений;
- СУБД;
- Граница КС;
- Каналов передачи в сети общего пользования и (или) международного
обмена, если по ним передаются ПДн.
В зависимости от уровня защищенности ИСПДн и актуальных угроз,
средства защиты ПДн могут включать антивирусные средства для рабочих
станций пользователей и компьютеров, выполняющих функции серверов КС.
Так же в список должны быть включены функции защиты,
обеспечиваемые штатными средствами обработки ПДн: операционными
системами (ОС), прикладным ПО и специальными комплексами,
реализующими средства защиты. Список функций защиты может включать:
- управление и разграничение прав доступа пользователей;
- регистрацию и учет действий с информацией;
- обеспечивать целостность данных;
- производить обнаружения вторжений.
Список используемых технических средств отражается в Плане
мероприятий по обеспечению защиты персональных данных. Список
используемых средств должен поддерживаться в актуальном состоянии. При
изменении состава технических средств защиты или элементов ИСПДн,
соответствующие изменения должны быть внесены в Список и утверждены
директором Учреждения или лицом, ответственным за обеспечение защиты
ПДн.
7. ТРЕБОВАНИЯ К ПОДСИСТЕМАМ СЗИ
СЗИ включают в себя следующие подсистемы:
- управления доступом, регистрации и учета;
- обеспечения целостности и доступности;
- антивирусной защиты;
- анализа защищенности;
- обнаружения вторжений;
42
- криптографической защиты.
Подсистемы СЗИ имеют различный функционал в зависимости от класса
ИСПДн, определенного в Акте классификации информационной системы
персональных данных.
44
7.5 Подсистема обнаружения вторжений
Подсистема обнаружения вторжений должна обеспечивать выявление
сетевых атак на элементы ИСПДн подключенные к сетям общего пользования
и (или) международного обмена.
Функционал подсистемы может быть реализован программными и
программно-аппаратными средствами.
8. ПОЛЬЗОВАТЕЛИ ИСПДн
В Концепции информационной безопасности определены основные
категории пользователей. На основании этих категорий должна быть
произведена типизация пользователей ИСПДн, определен их уровень доступа
и возможности.
В ИСПДн Учреждения можно выделить следующие группы
пользователей, участвующих в обработке и хранении ПДн:
- Администратор ИСПДн;
- Администратор информационной безопасности;
- Оператор АРМ;
- Администратор КС;
- Технический специалист по обслуживанию периферийного
оборудования;
- Программист-разработчик ИСПДн.
Данные о группах пользователей, уровне их доступа и
информированности должны быть отражены в Положении о разграничении
прав доступа к информации ограниченного доступа.
45
8.1 Администратор ИСПДн
46
Администратор информационной безопасности уполномочен:
- реализовывать политики безопасности в части настройки СЗИ и
систем обнаружения атак, в соответствии с которыми пользователь (оператор
АРМ) получает возможность работать с элементами ИСПДн;
- осуществлять аудит СЗИ.
47
8.5 Технический специалист по обслуживанию периферийного
оборудования
48
9. ТРЕБОВАНИЯ К ПЕРСОНАЛУ ПО ОБЕСПЕЧЕНИЮ
ЗАЩИТЫ ПДн
49
Сотрудникам запрещается разглашать защищаемую информацию,
которая стала им известна при работе в ИСПДн, третьим лицам.
При работе с ПДн сотрудники Учреждения обязаны обеспечить
отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ,
принтеров и бумажных носителей.
При завершении работы в ИСПДн сотрудники обязаны защитить АРМ с
помощью блокировки ключом или эквивалентного средства контроля,
например, доступом по паролю, если не используются более сильные средства
защиты.
Сотрудники Учреждения должны быть проинформированы об угрозах
нарушения режима безопасности ПДн и ответственности за его нарушение.
Они должны быть ознакомлены с утвержденной формальной процедурой
наложения дисциплинарных взысканий на сотрудников, которые нарушили
принятые политику и процедуры безопасности ПДн.
Сотрудники обязаны без промедления сообщать обо всех наблюдаемых
или подозрительных случаях работы ИСПДн, могущих повлечь за собой
угрозы безопасности ПДн, а также о выявленных ими событиях,
затрагивающих безопасность ПДн, руководству подразделения и лицу,
отвечающему за немедленное реагирование на угрозы безопасности ПДн.
50
11. ОТВЕТСТВЕННОСТЬ СОТРУДНИКОВ УЧРЕЖДЕНИЯ
51
12. ПЕРЕЧЕНЬ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ,
ВО ИСПОЛНЕНИЕ КОТОРЫХ ПРЕДПОЛАГАЕТСЯ
РЕАЛИЗАЦИЯ ПОЛИТИКИ
52
o от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении
безопасности персональных данных при их обработке в
информационных системах персональных данных»
53
o 15 февраля 2008 г. «Основные мероприятия по организации и
техническому обеспечению безопасности персональных данных,
обрабатываемых в информационных системах персональных данных.»
54