ПРОЕКТ ПОЛИТИКИ БЕЗОПАСНОСТИ ДЛЯ ОРГАНИЗАЦИИ
Составить политику безопасности для организации со штатом не менее 20 человек, между которыми распределено не менее 5 должностей. Количество комнат в офисе – 3 и более.
«Человеческий фактор» всегда является или самым сильным, или самым слабым звеном в любой информационной системе безопасности. При надлежащем обучении, должном выполнении своих обязанностей и используемых современных технологиях его можно исключить из списка проблем и это может быть началом хорошей позитивной составляющей безопасности. Но в этом случае должно быть соблюдено одно условие – надлежащее выполнение своих обязанностей. Политика безопасности в данном случае служит своего рода тяжелой дубинкой для недобросовестных сотрудников и для исключения любых действий, идущих вразрез с вашей политикой безопасности. Хорошо разработанная общая политика может служить также эталоном, по которому возможно измерение степени компетенции, успешного выполнения своей работы и рабочей дисциплины любыми ответственными сотрудниками организации. Фактически, политика должна заранее вводить высокие стандарты безопасности и затем отслеживать, чтобы все сотрудники подтянули свои знания и навыки к этим стандартам и полностью несли бремя ответственности за информационную безопасность организации, при этом осознавая последствия для организации от своих неразумных действий и свою ответственность за них. Нанесение вреда для безопасности «по незнанию» при имеющейся политике просто исключается.
|
|
|
Но как показывает практика цели информационной безопасности часто идут вразрез с привычками или пожеланиями пользователей системы.
Перед принятием любых решений относительно стратегии информационной безопасности организации (как на длительный, так и на короткий период времени) необходимо оценить степени уникальных рисков.
Пока организация имеет информацию, представляющую ценность для вас и ваших конкурентов (а может, и просто «случайных» хакеров), она рискует потерей этой информацией. Функция любого информационного механизма контроля безопасности (технического или процедурного) и должна состоять в ограничении этого риска заранее выбранным приемлемым уровнем. Конечно, это истинно и для защитной политики. Политика это механизм контроля за существующими рисками и должна быть предназначена и развита в ответ на имеющиеся и возможные риски.
Таким образом, всестороннее осуществление оценки риска должно быть первой стадией процесса создания политики. Оценка риска должна идентифицировать самые слабые области системы и использоваться для определения дальнейших целей и средств.
|
|
|
Оценка риска представляет собой комбинацию величин, зависящих от количества информационных ресурсов, имеющих определенную ценность для организации, и уязвимостей, пригодных для использования для получения доступа к этим ресурсам. Собственно, величина уникального риска для конкретной информации – отношение ценности этой информации к количеству способов, которыми данная информация может быть уязвима в структуре вашей корпоративной сети. Очевидно, что чем больше оказывается полученная величина, тем большие средства стоит направить вашей организации на «затыкание» этой дыры.
Разработка политики безопасности является совместным делом руководства организации, которое должно точно определить ценность каждого информационного ресурса и выделяемые на безопасность средств, так и системных администраторов, которые должны правильно оценить существующую уязвимость выбранной информации.
После чего, согласно основным рискам политики, предписывается распределение средств, выделяемых на безопасность. Необходимо определить способы снижения уязвимости информационного ресурса и, основываясь на ценности этого ресурса, согласовать с руководством применяемые методы, которые не только написанные или приобретённые, но и учитывается установка необходимых программ и оборудования, обучение персонала, разработка должностных инструкций и определение ответственности за их невыполнение.
|
|
|
Политика сама по себе – всего лишь документ, стопка бумажек. Не стоит обольщаться, что с его написанием мгновенно исчезнут все имеющиеся проблемы. Но политика, именно из-за того, что это – документ, разработанный при участии непосредственно руководства организации, имеет огромный потенциал. Эффективность политики пропорциональна поддержке, которую она получает от различных структур организации, и конкретных людей. Первым делом, руководство организации определяет какой-то вариант политики, после чего происходит согласие с политикой руководителей среднего и низшего звена, а затем и простых сотрудников. В ходе принятия политики безопасности возможно внесение в неё согласованных с руководством корректив, а может случиться и фундаментальное изменение в структуре организации и перераспределение полномочий.
Кроме, концепции о политике безопасности для организации необходимо разработать нормативные документы, например: приказ об утверждении политики информационной безопасности; приказ об административной защите организации, который бы регламентировал применение административных мер в целях предотвращения утечек информации; приказ о создании службы информационной безопасности и рекомендации по повышению качества информационной безопасности.
|
|
|
ПРОЕКТ ПОЛИТИКИ БЕЗОПАСНОСТИ ДЛЯ ОРГАНИЗАЦИИ
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая политика информационной безопасности (далее – Политика) организации (указать её название) (далее организация) разработана на основе требований действующих в Донецкой Народной Республике законодательных и нормативных документов, регламентирующих вопросы защиты информации, с учётом современного состояния, целей, задач и правовых основ создания, эксплуатации и функционирования информационных систем Организации, а также содержит анализ угроз безопасности для объектов и субъектов информационных отношений Организации.
Политика определяет основные принципы, направления и требования по защите информации, является основой для обеспечения режима информационной безопасности, служит руководством при разработке соответствующих положений, правил, инструкций.
В Политике определены требования к сотрудникам Организации, степень их ответственности за обеспечение безопасности информации в информационных системах Организации.
Требования настоящей Политики распространяются на всех сотрудников Организации (штатных, временных, работающих по контракту и т.п.).
2. ЦЕЛЬ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Цель настоящей Политики является выработка единых требований и правил, обеспечивающих защиту информационных ресурсов от возможного нанесения им материального, физического, морального или иного ущерба от нарушений в области информационной безопасности, посредством случайного или преднамеренного воздействия на информацию, её носители, процессы обработки и передачи, а также минимизацию возможных потерь.
3. ЗАДАЧИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Основными задачами настоящей Политики являются:
¾ отнесение информации к категории общедоступной, ограниченного
распространения, персональным данным, коммерческой и другим видам тайн, иной конфиденциальной информации, подлежащей защите;
¾ предотвращение несанкционированного доступа к защищаемой информации и
(или) передачи её лицам, не имеющим права доступа к такой информации;
¾ своевременное обнаружение фактов несанкционированного доступа к
защищаемой информации;
¾ недопущение воздействия на технические средства автоматизированной
обработки защищаемой информации, в результате которого может быть нарушена её конфиденциальность, доступность, целостность;
¾ возможность незамедлительного восстановления защищаемой информации,
модифицированной или уничтоженной вследствие несанкционированного доступа к ним;
¾ постоянный контроль над обеспечением уровня защищённости информации;
¾ прогнозирование и своевременное выявление угроз безопасности
информации, обрабатываемой в информационных системах Организации, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
¾ создание условий функционирования Организации с наименьшей
вероятностью реализации угроз безопасности в информационных ресурсах и нанесения ущерба;
¾ создание механизма и условий оперативного реагирования на угрозы
информационной безопасности и проявление негативных тенденций в функционировании Организации, на основе нормативных, правовых, организационных и технических мер и средств обеспечения безопасности.
4. ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Объектами защиты являются защищаемая информация, обрабатываемая в информационных системах Организации, технические и программные средства её обработки, передачи и защиты.
Перечень защищаемой информации утверждается директором Организации и включает в себя персональные данные, конфиденциальную, служебную тайну и другую защищаемую информацию.
Объекты защиты включают в себя:
¾ обрабатываемую информацию;
¾ технологическую информацию;
¾ программно-технические средства обработки;
¾ программные и аппаратные средства защиты информации;
¾ каналы информационного обмена и телекоммуникации;
¾ объекты и помещения, в которых размещены компоненты информационных систем.
5. УГРОЗЫ БЕЗОПАСНОСТИ ЗАЩИЩАЕМОЙ ИНФОРМАЦИИ
Основные угрозы безопасности защищаемой информации:
¾ угрозы от утечки по техническим каналам;
¾ угрозы несанкционированного доступа к информации;
¾ угрозы уничтожения, хищения аппаратных средств, носителей информации
путем физического доступа к элементам информационных систем;
¾ угрозы хищения, несанкционированной модификации или блокирования
информации за счет НСД с применением программно-аппаратных и программных средств;
¾ угрозы непреднамеренных действий пользователей и нарушений безопасности
функционирования информационных систем, сбоев в программном обеспечении, а также от угроз не антропогенного (сбоев аппаратуры из-за ненадежности элементов, сбоев электропитания) и стихийного (ударов молний, пожаров, наводнений и т.п.) характера;
¾ угрозы преднамеренных действий внутренних нарушителей;
¾ угрозы несанкционированного доступа по каналам связи.
6. ОЦЕНКА И ОБРАБОТКА РИСКОВ
Политика информационной безопасности основываться на данных, полученных в результате анализа и оценки её рисков.
С целью совершенствования политики информационной безопасности проводиться ежегодный анализ и оценка рисков информационной безопасности.
Анализ и оценка рисков должны проводиться в соответствии со стандартами, действующими на территории Донецкой Народной Республики, а также внутренними нормативными документами.
При оценке рисков должно учитываться влияние реализации угроз информационной безопасности на финансовое состояние. Стоимость принимаемых мер не должна превышать возможный ущерб, возникающий при реализации угроз.
На основе результатов анализа затрат и выгод рисков, руководитель Организации определяет, наиболее экономически эффективные меры для снижения риска. Выбранные меры должны объединить технические, эксплуатационные и управленческие меры для обеспечения надлежащей безопасности для информационной безопасности.
7. МЕРЫ БЕЗОПАСНОСТИ
Для обеспечения физической защиты информационных ресурсов приказом директора Организации должны быть установлены границы контролируемой зоны, приняты меры для предотвращения неавторизованного (несанкционированного) доступа в помещения где происходит обработка защищаемой информации.
В кабинетах должны быть приняты меры для затруднения видимости посторонним лицам в виде штор/жалюзи. Кабинеты в нерабочее время должны опечатываться.
Двери кабинетов должны быть закрыты и должны открываться только для прохода сотрудников и посетителей Организации согласно утвержденным правилам доступа в границы контролируемой зоны.
Уборка в кабинетах должна производиться только в присутствии сотрудников Организации, с соблюдением мер, исключающих доступ к защищаемой информации и оборудованию.
Обработка защищаемой информации в помещениях Организации должна производиться таким образом, чтобы исключать ознакомление с защищаемой информацией лицами, не имеющими прав доступа к данной информации.
Для хранения документов, содержащих защищаемую информацию, кабинеты Организации должны быть оборудованы сейфами, металлическими шкафами с замками и опечатывающими устройствами.
Для уничтожения черновиков документов, содержащих защищаемую информацию, кабинеты должны быть оборудованы уничтожителями бумаг.
Помещение серверной должно быть оборудовано прочной металлической дверью с замком и опечатывающим устройством, пожарно-охранной сигнализацией, кондиционером, системой контроля доступа, системой пожаротушения.
Охранно-пожарная сигнализация кабинетов должна реализоваться с выводом на пульт дежурного охранника или на пульт вневедомственной охраны.
По окончании рабочего дня сотрудники организации должны закрывать двери кабинетов на ключ и опечатывать её.
Печати, предназначенные для опечатывания кабинетов, сейфов, металлических шкафов должны храниться у уполномоченного сотрудника.
Допуск сотрудников к ресурсам информационных систем должен быть регламентирован. Уровень полномочий каждого пользователя информационной системы должен соответствовать его должностным обязанностям. Расширение прав должно согласовываться с ответственным за данный информационный ресурс с разрешения директора Организации.
Обработка информации в информационных системах должна происходить в соответствии с документами, регламентирующими порядок работы в данной информационной системе.
Все неиспользуемые в работе устройства ввода-вывода информации (WiFi, COM, LPT, USB, IR порты и т.п.) на рабочих местах сотрудников, работающих с защищаемой информацией, должны быть по возможности отключены, не нужные для работы программные средства и данные с жестких дисков удалены.
Дополнительные устройства обмена информацией могут использоваться только в целях переноса информации. Использование подобных устройств должно согласовываться с уполномоченным сотрудником Организации. Порядок использования дополнительных устройств обмена информацией определяется соответствующим регламентом.
На автоматизированных рабочих местах (АРМ) всех пользователей локальной сети Организации должна быть установлена антивирусная программа. Порядок управления антивирусной защитой в Организации определяется соответствующим регламентом.
Доступ к ресурсам информационной системы (вход в операционную систему, в прикладное программное обеспечение) должен быть организован с применением аутентификации (введение логина, пароля). Возможно использование дополнительных программно-аппаратных средств аутентификации (в том числе двух- и трехфакторной).
Требования паролей пользователей информационных систем устанавливаются соответствующим регламентом.
Установкой и настройкой средств защиты информации, применяемых для защиты информации в информационных системах, должен руководить уполномоченный сотрудник отдела по защите информации.
Доступ пользователей к публичным ресурсам сети Интернет определяется соответствующим регламентом.
Передача защищаемой информации по каналам, выходящим за границы контролируемой зоны, должна осуществляться только с использованием сертифицированных средств криптографической защиты информации.
Правила резервного копирования и восстановления информации, обрабатываемой в информационных системах, устанавливаются соответствующим регламентом.
8. ТРЕБОВАНИЯ К СОТРУДНИКАМ
Все пользователи информационных систем должны быть ознакомлены с организационно-распорядительными документами по обеспечению информационной безопасности в части их касающейся, знать и неукоснительно выполнять инструкции, регламенты и знать общие обязанности по обеспечению безопасности информации. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться под роспись.
При вступлении в должность нового сотрудника, начальник отдела обязан организовать его ознакомление с должностной инструкцией и документами, регламентирующими требования по защите информации, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования информационных ресурсов.
Сотрудники Организации, использующие технические средства аутентификации, обеспечивают сохранность идентификаторов (электронных ключей), не допускают НСД к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность персональных идентификаторов.
Сотрудники Организации должны соблюдать установленные процедуры поддержания режима безопасности при выборе и использовании паролей.
Сотрудники Организации должны знать требования по безопасности информации и неукоснительно их выполнять.
9. ПОРЯДОК ИДЕНТИФИКАЦИИ ПОЛЬЗОВАТЕЛЯ
Идентификатор и пароль пользователя в ИС являются учётными данными, на основании которых сотруднику Организации предоставляются права доступа, протоколируются производимые им в системе действия и обеспечивается режим конфиденциальности, обрабатываемой (создаваемой, передаваемой и хранимой) сотрудником информации.
Не допускается использование различными пользователями одних и тех же учётных данных.
Первоначальное значение пароля учётной записи пользователя устанавливает администратор безопасности.
Личные пароли устанавливаются первый раз сотрудниками отдела ИС. После первого входа в систему и в дальнейшем пароли выбираются пользователями автоматизированной системы самостоятельно с учётом следующих требований:
¾ длина пароля должна быть не менее 8 символов;
¾ в числе символов пароля обязательно должны присутствовать строчные и
прописные буквы, цифры и специальные символы;
¾ в числе символов пароля должны присутствовать три из четырёх видов
символов: o буквы в верхнем регистре; o буквы в нижнем регистре; o цифры; o специальные символы (! @ # $ % ^ & * ( ) - _ + = ~ [ ] { } | \ : ; ' " < > , . ? /);
¾ пароль не должен содержать легко вычисляемые сочетания символов,
например, o имена, фамилии, номера телефонов, даты; o последовательно расположенные на клавиатуре символы («12345678», «QWERTY», и т.д.); o общепринятые сокращения («USER», «TEST» и т.п.); o повседневно используемое слово, например, имена или фамилии друзей, коллег, актёров или сказочных персонажей, клички животных; o компьютерный термин, команда, наименование компаний, web сайтов, аппаратного или программного обеспечения; o что-либо из вышеперечисленного в обратном написании; o что-либо из вышеперечисленного с добавлением цифр в начале или конце;
¾ при смене пароля значение нового должно отличаться от предыдущего не
менее чем в 4 позициях;
¾ для различных ИС необходимо устанавливать собственные, отличающиеся
пароли.
Сотруднику рекомендуется выбирать пароль с помощью следующей процедуры:
¾ выбрать фразу, которую легко запомнить;
¾ выбрать первые буквы из каждого слова «тмвотппмвг»;
¾ набрать полученную последовательность, переключившись на английскую
раскладку клавиатуры: «nvdjnggvdu»;
¾ выбрать номер символа, который будет записываться в верхнем регистре и
после которого будет специальный символ. Например, это будет пятый символ, а в качестве специального символа выбран «#». Получаем: «nvdjN#ggvdu».
Сотруднику запрещается:
¾ сообщать свой пароль кому-либо;
¾ указывать пароль в сообщениях электронной почты;
¾ хранить пароли, записанные на бумаге, в легко доступном месте;
¾ использовать тот же самый пароль, что и для других систем (например,
домашний интернет провайдер, бесплатная электронная почта, форумы и т.п.);
¾ использовать один и тот же пароль для доступа к различным корпоративным
ИС.
Вход пользователя в систему не должен выполняться автоматически. Покидая рабочее место, пользователь обязан заблокировать компьютер (используя комбинации Win + «L» или Ctrl + Alt + Delete → «Блокировать компьютер»).
10. ПОЛЬЗОВАТЕЛЬСКОЕ ОБОРУДОВАНИЕ, ОСТАВЛЯЕМОЕ БЕЗ ПРИСМОТРА
Сотрудники Организации должны обеспечивать необходимую защиту оборудования, остающегося без присмотра. Все пользователи должны быть осведомлены о требованиях ИБ и правилах защиты остающегося без присмотра оборудования, а также о своих обязанностях по обеспечению этой защиты.
Документы, содержащие конфиденциальную информацию, должны изыматься из печатающих устройств немедленно.
В конце рабочего дня сотрудник должен привести в порядок письменный стол и убрать все офисные документы в запираемый шкаф или сейф.
Для утилизации конфиденциальных документов, должны использоваться уничтожители бумаги.
По окончании рабочего дня и в случае длительного отсутствия на рабочем месте необходимо запирать на замок все шкафы и сейфы.
11. ОБРАБОТКА КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
Не допускается передача и выдача документов, содержащих конфиденциальную информацию неуполномоченным лицам.
Использование конфиденциальной информации допускается только в служебных целях.
Все документы, содержащие конфиденциальную информацию, должны быть доступными только тем лицам, которые имеют допуск к такой информации в силу исполнения ими своих должностных обязанностей.
Перечень должностей работников, имеющих доступ к информации, составляющей конфиденциальную информацию, утверждается приказом руководителя Организации.
При работе с конфиденциальной информацией запрещено:
- делать выписки в целях, не связанных с осуществлением трудовой функции;
- знакомить с такими документами, в том числе в электронном виде, других лиц, не имеющих соответствующего доступа;
- использовать информацию из таких документов в открытых сообщениях, докладах, переписке, рекламных изданиях (такое использование допускается только при условии обезличивания информации);
- оставлять документы без присмотра на рабочих местах, в общедоступных помещениях;
- допускать к компьютерам, содержащим информацию ограниченного доступа, посторонних лиц;
- оставлять включенными компьютеры, содержащие информацию ограниченного доступа.
- без разрешения руководителя структурного подразделения выносить документы из кабинетов.
Для обозначения документов, содержащих конфиденциальную информацию, в верхнем правом углу проставляется реквизит «КИ» или «Конфиденциальная информация». Документы с таким реквизитом хранятся, обрабатываются и пересылаются как аналогичные документы с грифом «Для служебного пользования».
12. ИСПОЛЬЗОВАНИЕ ЭЛЕКТРОННОЙ ПОЧТЫ
Электронная почта используется для обмена в рамках ИС Организации и общедоступных сетей информацией в виде электронных сообщений и документов в электронном виде.
Для обеспечения функционирования электронной почты допускается применение ПО, входящего в реестр разрешённого к использованию ПО.
Сотрудник Организации, который использует электронную почту должен избегать действия, которые нарушают информационную безопасность.
Электронная почта Организации должна использоваться только в рамках обязанностей сотрудников. Все сообщения такой почты в Организации считаются её собственностью.
Политика безопасности электронной почты предполагает правила, которые нужно соблюдать. Нельзя использовать электронную почту:
¾ для пересылки конфиденциальной информации, если она не зашифрована
специальным ПО, которое разрешено для использования в Организации;
¾ для пересылки, отправки или хранения информации в сообщениях, которая
является незаконной или оскорбительной;
¾ не делать того, что не в ходит в обязанности сотрудника Организации;
¾ для отправки сообщения от чужого имени или с другого почтового ящика;
рассылка неэтичных, оскорбительных или незаконных сообщений.
13. РАБОТА В СЕТИ
К работе в системе допускаются лица, назначенные руководителем соответствующего отдела и прошедшие инструктаж и регистрацию у ответственного за работу в сети Интернет, в целях выполнения ими своих служебных обязанностей, требующих непосредственного подключения к внешним информационным ресурсам.
При использовании сети Интернет необходимо:
¾ соблюдать требования настоящей Политики;
¾ использовать сеть Интернет исключительно для выполнения служебных
обязанностей.
При использовании сети Интернет запрещено:
¾ использовать предоставленный Организацией доступ в сеть Интернет в
личных целях;
¾ использовать несанкционированные аппаратные и программные средства,
позволяющие получить несанкционированный доступ к сети Интернет;
¾ совершать любые действия, направленные на нарушение нормального
функционирования элементов ИС Организации;
¾ публиковать, загружать и распространять материалы содержащие:
конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в должностные обязанности и способ передачи является безопасным; угрожающую, непристойную информацию; фальсифицировать свой IP- адрес, а также прочую служебную информацию.
Организация оставляет за собой право блокировать или ограничивать доступ сотрудников к Интернет-ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены законодательством.
Информация о посещаемых сотрудниками Организации Интернет-ресурсов протоколируется для последующего анализа и, при необходимости, может быть представлена руководителю Организации для контроля. Содержание Интернет-ресурсов, а также файлы, загружаемые из сети Интернет, подлежат обязательной проверке на отсутствие вредоносного ПО.
14. ИСПОЛЬЗОВАНИЕ МОБИЛЬНЫХ УСТРОЙСТВ
Под использованием мобильных устройств и носителей информации в ИС Организации понимается их подключение к инфраструктуре ИС с целью обработки, приёма/передачи информации между ИС и мобильными устройствами, а также носителями информации.
При использовании предоставленных Организацией мобильных устройств и носителей информации, сотрудник обязан:
¾ соблюдать требования настоящей Политики;
¾ использовать мобильные устройства и носители информации исключительно
для выполнения своих служебных обязанностей;
¾ эксплуатировать и транспортировать мобильные устройства и носители
информации в соответствии с требованиями производителей;
¾ обеспечивать физическую безопасность мобильных устройств и носителей
информации всеми разумными способами;
¾ извещать отдел ИС о фактах утраты (кражи) мобильных устройств и
носителей информации.
При использовании предоставленных сотрудника Организации мобильных устройств и носителей информации запрещено:
¾ использовать мобильные устройства и носители информации в личных целях;
¾ передавать мобильные устройства и носители информации другим лицам;
¾ оставлять мобильные устройства и носители информации без присмотра, если
не предприняты действия по обеспечению их физической безопасности.
Любое взаимодействие (обработка, приём\передача информации) инициированное сотрудником Организации между ИС и неучтёнными (личными) мобильным и устройствами, а также носителями информации, рассматривается как несанкционированное (за исключением случаев, оговорённых с администраторами ИС заранее).
Организация оставляет за собой право блокировать или ограничивать использование таких устройств и носителей информации. Информация об использовании сотрудниками Организации мобильных устройств и носителей информации в ИС протоколируется и, при необходимости, может быть представлена руководителю Организации.
Информация, хранящаяся на предоставляемых Организацией мобильных устройствах и носителях информации, подлежит обязательной проверке на отсутствие вредоносного ПО.
В случае увольнения, предоставленные ему мобильные устройства и носители информации изымаются.
15. ЗАЩИТА ОТ ВРЕДОНОСНОГО ПО
Отдел ИС регулярно проверяет сетевые ресурсы Организации антивирусным программным обеспечением и обеспечивает защиту входящей электронной почты от проникновения вирусов и другого вредоносного ПО.
При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление о системных ошибках, увеличение исходящего/входящего трафика и т.п.) сотрудник Организации должен незамедлительно оповестить об этом отдел ИС. После чего администратор ИБ должен провести внеочередную полную проверку на вирусы рабочей станции пользователя, проверив, в первую очередь, работоспособность антивирусного ПО.
В случае обнаружения при проведении антивирусной проверки заражённых компьютерными вирусами файлов сотрудники Организации обязаны:
¾ приостановить работу;
¾ немедленно поставить в известность о факте обнаружения заражения отдел
ИС, а также владельца файла и смежные подразделения, использующие эти файлы в работе;
¾ совместно с владельцем зараженных вирусом файлов провести анализ
необходимости дальнейшего их использования.
Для предупреждения вирусного заражения рекомендуется:
¾ никогда не открывать файлы и не выполнять макросы, полученные в почтовых
сообщениях от неизвестного или подозрительного отправителя. Удалять подозрительные вложения, не открывая их, и очищать корзину, где хранятся удаленные сообщения;
¾ удалять спам, рекламу и другие бесполезные сообщения;
¾ никогда не загружать файлы и программное обеспечение из подозрительных
или неизвестных источников;
¾ периодически резервировать важные данные и системную конфигурацию,
хранить резервные копии в безопасном месте.
16. ПРИОБРЕТЕНИЕ, РАЗРАБОТКА И ОБСЛУЖИВАНИЕ СИСТЕМ
В Организации должно осуществляться управление ключами для эффективного применения криптографических методов. Компрометация или потеря криптографических ключей может привести к нарушению конфиденциальности, подлинности и/или целостности информации.
Все ключи должны быть защищены от изменения, утери и уничтожения. Оборудование, используемое для генерации, хранения и архивирования ключей должно быть физически защищено.
Для критической информации должно использоваться шифрование при их хранении в базах данных или передаче по открытым сетям, таким как Интернет. Шифрование любой другой информации в ИС Учреждения должно осуществляться только после получения письменного разрешения на это.
Шифрование – это криптографический метод, который может использоваться для обеспечения защиты конфиденциальной, важной или критичной информации.
Управление ключами Организации криптографическими ключами важно для эффективного использования криптографических средств.
Ключи необходимо защищать от изменения и разрушения, а личным ключам необходима защита от неавторизованного раскрытия. Физическую защиту следует применять для защиты оборудования, используемого для изготовления, хранения и архивирования ключей.
Чтобы свести к минимуму риск повреждения ИС, в Организации необходимо обеспечить контроль над внедрением ПО в рабочих системах.
Тестовые данные должны находиться под контролем и защитой. Необходимо избегать использования рабочих баз данных, содержащих конфиденциальную информацию. Если эти базы всё же будут использоваться, то конфиденциальные данные должны быть удалены или изменены.
Чтобы свести к минимуму вероятность повреждения ИС Организации, следует ввести строгий контроль над внесением изменений. Необходимо установить официальные правила внесения изменений. Эти правила должны гарантировать, что процедуры, связанные с безопасностью и контролем, не будут нарушены, и что для выполнения любого изменения требуется получить официальное разрешение и подтверждение.
После внесения изменений в ИС критичные для бизнес-процессов Организации приложения должны анализироваться и тестироваться, чтобы гарантировать отсутствие вредных последствий для безопасности Организации.
Все изменения должны строго контролироваться.
17. УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В Организации должна быть разработана и утверждена формальная процедура
уведомления о происшествиях в области ИБ, а также процедура реагирования на такие происшествия, включающая в себя действия, которые должны выполняться при поступлении сообщений о происшествии.
Все сотрудники должны быть ознакомлены с процедурой уведомления, а в их обязанности должна входить максимально быстрая передача информации о происшествиях.
В дополнение к уведомлению о происшествиях ИБ и недостатках безопасности должен использоваться мониторинг систем, сообщений и уязвимостей для обнаружения инцидентов ИБ.
Цели управления инцидентами ИБ должны быть согласованы с руководителем для учёта приоритетов Организации при обращении с инцидентами.
Необходимо создать механизмы, позволяющие оценивать и отслеживать типы инцидентов, их масштаб и связанные с ними затраты.
18. УПРАВЛЕНИЕ НЕПРЕРЫВНОСТЬЮ И ВОССТАНОВЛЕНИЕМ
В Организации должны быть разработаны и реализованы планы, которые позволят продолжить или восстановить операции и обеспечить требуемый уровень доступности информации в установленные сроки после прерывания или сбоя критически важных бизнес-процессов.
В каждом плане поддержки непрерывности должны быть чётко указаны условия начала его исполнения и сотрудники, ответственные за выполнение каждого фрагмента плана. При появлении новых требований необходимо внести поправки в принятые планы действия в нештатных ситуациях.
Правила действия в нештатных ситуациях, планы ручного аварийного восстановления и планы возобновления деятельности должны находиться в ведении владельцев соответствующих ресурсов или процессов, к которым они имеют отношение.
19. АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Организация проводит внутренние проверки через запланированные интервалы времени.
Основные цели проведения таких проверок:
¾ оценка текущего уровня защищённости ИС;
¾ выявление и локализация уязвимостей в системе защиты ИС;
¾ анализ рисков, связанных с возможностью осуществления угроз безопасности
в отношении ИР;
¾ оценка соответствия ИС требованиям настоящей Политики;
¾ выработка рекомендаций по совершенствованию СУИБ за счёт внедрения
новых и повышения эффективности существующих мер защиты информации.
В число задач, решаемых при проведении проверок и аудитов СУИБ, входят:
¾ сбор и анализ исходных данных об организационной и функциональной
структуре ИС, необходимых для оценки состояния ИБ;
¾ анализ существующей политики безопасности и других организационно-
распорядительных документов по защите информации на предмет их полноты и эффективности, а также формирование рекомендаций по их разработке (или доработке);
¾ технико-экономическое обоснование механизмов безопасности;
¾ проверка правильности подбора и настройки средств защиты информации,
формирование предложений по использованию существующих и установке дополнительных средств защиты для повышения уровня надёжности и безопасности ИС;
¾ разбор инцидентов ИБ и минимизация возможного ущерба от их проявления.
Руководитель и сотрудники Организации при проведении у них аудита СУИБ оказывают содействие аудиторам и предоставляют всю необходимую для проведения аудита информацию.
20. ОТВЕТСТВЕННОСТЬ
Руководитель Организации определяет приоритетные направления деятельности в области обеспечения ИБ, меры по реализации настоящей Политики, утверждает списки объектов и сведений, подлежащих защите, а также осуществляет общее руководство обеспечением ИБ Организации.
Все руководители структурных подразделений несут прямую ответственность за реализацию Политики и её соблюдение сотрудниками.
Сотрудники Организации несут персональную ответственность за соблюдение требований документов СУИБ и обязаны сообщать обо всех выявленных нарушениях в области информационной безопасности в отдел ИС.
В трудовых договорах или контрактах и должностных инструкциях сотрудников устанавливается ответственность за сохранность служебной информации, ставшей известной в силу выполнения своих обязанностей.
Руководитель Организации регулярно проводит совещания, посвящённые проблемам обеспечения информационной безопасности с целью формирования чётких указаний по этому вопросу, осуществления контроля их выполнения, а также оказания административной поддержки инициативам по обеспечению ИБ.
За нарушения требований по безопасности информации предусмотрена персональная ответственность в соответствии с нормативными документами Организации и действующим законодательством Донецкой Народной Республики.
21. ПОРЯДОК ВНЕСЕНИЯ ИЗМЕНЕНИЙ И ДОПОЛНЕНИЙ
Настоящая Политика вступает в законную силу с даты подписания руководителем Организации. Изменения и дополнения в настоящую Политику вносятся по инициативе руководителя, заместителей руководителя, начальников отделов Организации, сотрудников отдела по защите информации и утверждаются руководителем Организации.
В случае вступления отдельных пунктов настоящей Политики в противоречие с новыми законодательными актами, эти пункты утрачивают юридическую силу до момента внесения изменений в настоящую Политику.
2. Провести анализ защищенности объекта защиты информации.
Цель работы: формирование умений и навыков определения угроз и защищённости объекта информации.
Исходные данные (задание): для выбранного определённого объекта защиты информации (наименованиеобъекта защитыинформации – одинокий компьютер, хранящий конфиденциальную информацию о сотрудниках предприятия)необходимо описать объект защиты, провести анализ защищённости объекта защиты информации по следующим разделам:
¾ виды угроз;
¾ характер происхождения угроз;
¾ классы каналов несанкционированного получения информации;
¾ источники появления угроз;
¾ причины нарушения целостности информации.
Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами республики и нормами, которые предприятие устанавливаются самостоятельно.
Под угрозами конфиденциальной информации о сотрудниках предприятия принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.
Такими действиями являются:
¾ ознакомление с конфиденциальной информацией различными путями и способами без нарушения её целостности;
¾ модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
¾ разрушение (уничтожение) информации как акт вандализма с целью
прямого нанесения материального ущерба.
Утрата информационных ресурсов ограниченного доступа может наступить:
¾ при наличии интереса конкурента, предприятий или лиц к конкретной
информации;
¾ при возникновении риска угрозы, организованной злоумышленником или при
случайно сложившихся обстоятельствах;
¾ при наличии условий, позволяющих злоумышленнику осуществить
необходимые действия и овладеть информацией. Эти условия могут включать:
ü отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;
ü неэффективную систему защиты информации или отсутствие этой системы;
ü непрофессионально организованную технологию обработки и хранения конфиденциальных документов;
ü неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;
ü отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;
ü отсутствие контроля со стороны руководства предприятием за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;
ü бесконтрольное посещение помещений предприятия посторонними лицами.
Угрозы сохранности, целостности и конфиденциальности информационных ресурсов ограниченного доступа практически реализуются через риск образования канала несанкционированного получения (добывания) кем-то ценной информации и документов. Этот канал представляет собой совокупность незащищенных или слабо защищенных предприятием направлений возможной утраты конфиденциальной информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой информации. Обладание предприятием набором каналов несанкционированного доступа к информации зависит от множества моментов – профиля деятельности, объёмов защищаемой информации, профессионального уровня персонала, местоположения здания и т. п.
Угроза – это возможные или действительные попытки завладеть защищаемыми информационными ресурсами.
Источниками угрозы сохранности конфиденциальных данных являются предприятия-конкуренты, злоумышленники, органы управления. Цель любой угрозы заключается в том, чтобы повлиять на целостность, полноту и доступность данных.
Угрозы бывают внутренними или внешними. Внешние угрозы представляют собой попытки получить доступ к данным извне и сопровождаются взломом серверов, сетей, аккаунтов сотрудников и считыванием информации из технических каналов утечки (акустическое считывание с помощью жучков, камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций).
Внутренние угрозы подразумевают неправомерные действия персонала, рабочего отдела или управления предприятием. В результате пользователь системы, который работает с конфиденциальной информацией, может выдать информацию посторонним. На практике такая угроза встречается чаще остальных. Сотрудник может годами «сливать» конкурентам секретные данные. Это легко реализуется, ведь действия авторизованного пользователя администратор безопасности не квалифицирует как угрозу.
Поскольку внутренние ИБ-угрозы связаны с человеческим фактором, отслеживать их и управлять ими сложнее. Предупреждать инциденты можно с помощью деления сотрудников на группы риска. С этой задачей справится «ProfileCenter СёрчИнформ» – автоматизированный модуль для составления психологических профилей.
Функционирование канала несанкционированного доступа к информации обязательно влечёт за собой утрату информации, исчезновение носителя информации.
Попытка несанкционированного доступа может происходить несколькими путями:
¾ через сотрудников, которые могут передавать конфиденциальные данные
посторонним, забирать физические носители или получать доступ к охраняемой информации через печатные документы;
¾ с помощью программного обеспечения злоумышленники осуществляют атаки,
которые направлены на кражу пар «логин-пароль», перехват криптографических ключей для расшифровки данных, несанкционированного копирования информации;
¾ с помощью аппаратных компонентов автоматизированной системы, например,
внедрение прослушивающих устройств или применение аппаратных технологий считывания информации на расстоянии (вне контролируемой зоны).
Утрата информации характеризуется двумя условиями, информация переходит непосредственно к заинтересованному лицу – конкуренту, злоумышленнику или к случайному, третьему лицу. Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации. Однако от третьего лица информация может легко перейти к злоумышленнику.
Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации, нарушения её безопасности имеет место.
Непреднамеренный переход информации к третьему лицу возникает в результате:
¾ утери или неправильного уничтожения документа, пакета с документами,
дела, конфиденциальных записей;
¾ игнорирования или умышленного невыполнения сотрудником требований
по защите документированной информации;
¾ излишней разговорчивости сотрудников при отсутствии злоумышленника (с
коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования, транспорте и т. п.);
¾ работы с документами ограниченного доступа при посторонних лицах,
несанкционированной передачи их другому сотруднику;
¾ использования сведений ограниченного доступа в открытых документации,
публикациях, интервью, личных записях, дневниках и т. п.;
¾ отсутствия маркировки (грифования) информации и документов
ограниченного доступа (в том числе документов на технических носителях);
¾ наличия в документах излишней информации ограниченного доступа;
¾ самовольного копирования сотрудником документов в служебных целях.
В отличие от третьего лица злоумышленник или его сообщник целенаправленно охотятся за конкретной информацией и преднамеренно, противоправно устанавливают контакт с источником этой информации или преобразуют канал её объективного распространения в канал её разглашения или утечки. Такие каналы всегда являются тайной злоумышленника.
Дата добавления: 2021-03-18; просмотров: 480; Мы поможем в написании вашей работы! |
Мы поможем в написании ваших работ!