1. Общие положения

1.1 Политика информационной безопасности ГАУ «ЦГТ БО» (далее — Учреждение) определяет цели и задачи системы обеспечения информационной безопасности (ИБ) и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется Учреждение в своей деятельности.

1.2 Основными целями политики ИБ являются защита информации Учреждения и обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в его Уставе. Общее руководство обеспечением ИБ осуществляет директор Учреждения. Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет Администратор информационной безопасности (далее – Администратор).

Руководители структурных подразделений учреждения ответственны за обеспечение выполнения требований ИБ в своих подразделениях.

Сотрудники учреждения обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящей Политики и других документов ИБ.

1.3 Политика информационной безопасности направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Наибольшими возможностями для нанесения ущерба Учреждению обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне), либо иметь непреднамеренный ошибочный характер. Риск аварий и технических сбоев определяется состоянием технического парка, надежностью систем энергоснабжения и телекоммуникаций, квалификацией персонала и его способностью к адекватным действиям в нештатной ситуации.

Разработанная на основе прогноза политика ИБ и в соответствии с ней построенная система управления ИБ является наиболее правильным и эффективным способом добиться минимизации рисков нарушения ИБ для Учреждения. Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз и нарушителя.

Стратегия обеспечения ИБ заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.

Задачами настоящей политики являются:

  • описание организации системы управления информационной безопасностью в Учреждении;
  • определение Политики информационной безопасности.

1.4 Настоящая Политика распространяется на все структурные подразделения Учреждения и обязательна для исполнения всеми его сотрудниками и должностными лицами.

Положения настоящей Политики применимы для использования во внутренних нормативных и методических документах, а также в договорах.

1.5 Настоящая политика вводится в действие приказом директора Учреждения.

Политика признается утратившей силу на основании приказа директора Учреждения.

Изменения в политику вносятся приказом директора Учреждения.

Инициатором внесения изменений в политику информационной безопасности является:

  • Директор Учреждения

Плановая актуализация настоящей политики производится ежегодно и имеет целью приведение в соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к защите информации.

Внеплановая актуализация политики информационной безопасности производится в обязательном порядке в следующих случаях:

  • при изменении политики РФ в области информационной безопасности, указов и законов РФ в области защиты информации;
  • при изменении внутренних нормативных документов (инструкций, положений, руководств), касающихся информационной безопасности Учреждения;
  • при происшествии и выявлении инцидента (инцидентов) по нарушению информационной безопасности, влекущего ущерб Учреждения.

Ответственность за актуализацию политики информационной безопасности (плановую и внеплановую) несет Администратор.

Контроль исполнения требований настоящей политики и поддержания ее в актуальном состоянии возлагается на Администратора

2. Термины и определения

Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Анализ риска — систематическое использование информации для определения источников и оценки риска.

Аудит информационной безопасности — процесс проверки выполнения установленных требований по обеспечению информационной безопасности. Может проводиться как самим Учреждением (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита.

Аутентификация — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера.

Доступ к информации — возможность получения информации и ее использования.

Защищенный канал передачи данных — логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории.

Идентификатор доступа — уникальный признак субъекта или объекта доступа.

Идентификация — присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация – это, актив, который, подобно другим активам общества, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационная безопасность — механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.

Информационная система — совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач подразделений Учреждения. В Учреждении используются различные типы информационных систем для решения управленческих, учетных, обучающих и других задач.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационные активы — информационные системы, информационные средства, информационные ресурсы.

Информационные средства — программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Информационные ресурсы — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

Инцидент информационной безопасности — одно или серия нежелательных, или неожиданных событий в системе информационной безопасности, которое может нарушить деятельность учреждения или информационную безопасность.

Источник угрозы — намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.

Конфиденциальная информация — информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность — доступ к информации только авторизованных пользователей.

Критичная информация — информация, нарушение доступности, целостности, либо конфиденциальности, которой, может оказать негативное влияние на функционирование подразделений Учреждения, привести к причинению Учреждению материального или иного вида ущерба.

Локальная вычислительная сеть (ЛВС) — группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.

Межсетевой экран (МЭ) — программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав сети, а также между сетью Учреждения и внешними сетями (сетью Интернет).

Мониторинг информационной безопасности — постоянное наблюдение за объектами, влияющими на обеспечение информационной безопасности, сбор, анализ и обобщение результатов наблюдения под заданные цели. Объектом мониторинга в зависимости от целей может быть автоматизированная система или ее часть, информационные технологические процессы учреждения, информационные услуги учреждения и пр.

Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Обработка риска — процесс выбора и осуществления мер по модификации риска.

Остаточный риск — риск, остающийся после обработки риска.

Политика информационной безопасности — комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его информационной безопасности.

Пользователь ЛВС — сотрудник Учреждения (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в сети в установленном порядке и получивший права на доступ к ресурсам сети в соответствии со своими функциональными обязанностями.

Принятие риска — решение принять риск.

Программное обеспечение — совокупность прикладных программ, установленных на сервере или ЭВМ.

Рабочая станция — персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.

Регистрационная (учетная) запись пользователя — включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название подразделения, телефоны, E-mail и т.п.

Роль — совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.

Системный администратор — сотрудник учреждения, занимающийся сопровождением автоматизированных систем, отвечающий за функционирование локальной сети учреждения и ПК.

Событие информационной безопасности — идентифицированное возникновение состояния системы, сервиса или сети, указывающего на возможное нарушение политики информационной безопасности, или сбой средств контроля, или ранее неизвестную ситуацию, которая может быть значимой для безопасности.

Список контроля доступа (ACL) — правила фильтрации сетевых пакетов, настраиваемые на маршрутизаторах, определяющие критерии фильтрации и действия, производимые над пакетами.

Собственник — лицо или организация, которые имеют утвержденные обязательства по менеджменту для контроля разработки, поддержки, использования и безопасности активов. Термин «собственник» не означает, что лицо действительно имеет какие-либо права собственности на актив.

Средства криптографической защиты информации — средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).

Угрозы информационным данным — потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.

Управление информационной безопасностью — совокупность целенаправленных действий, осуществляемых в рамках политики информационной безопасности в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер).

Уязвимость — недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности учреждения при реализации угроз в информационной сфере.

Целостность информации — состояние защищенности информации, характеризуемое способностью АС, обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

ЭВМ — электронная — вычислительная машина, персональный компьютер.

Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе.

VPN (VIRTUAL PRIVATE NETWORK) — «Виртуальная частная сеть»: технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях.

3.  Обозначения и сокращения

АРМ — Автоматизированное рабочее место.

АС — Автоматизированная система.

БД — База данных.

ЗИ — Защита информации.

ИБ — Информационная безопасность.

ИС — Информационная система.

ИТС — Информационно-телекоммуникационная система.

КЗ — Контролируемая зона.

МЭ — Межсетевой экран.

НСД — Несанкционированный доступ.

ОС — Операционная система.

ПБ — Политики безопасности.

ПО — Программное обеспечение.

СВТ — Средства вычислительной техники.

СЗИ — Средство защиты информации.

СКЗИ — Средство криптографической защиты информации.

СПД — Система передачи данных.

СУБД — Система управления базами данных.

СУИБ — Система управления информационной безопасностью.

СЭД — Система электронного документооборота.

ЭВМ — Электронная — вычислительная машина, персональный компьютер.

ЭЦП — Электронная цифровая подпись.

4. Политика информационной безопасности Учреждения

4.1 Назначение политик информационной безопасности

 Политики информационной безопасности Учреждения — это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в Учреждении.

Под политиками безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политики информационной безопасности относятся к административным мерам обеспечения информационной безопасности и определяют стратегию Учреждения в области ИБ.

Политики информационной безопасности (далее, ПБ) регламентируют эффективную работу средств защиты информации. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Политики информационной безопасности реализуются посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты.

Все документально оформленные решения, формирующие Политики, должны быть утверждены директором Учреждения.

  • 4.2 Основные принципы обеспечения ИБ

 Основными принципами обеспечения ИБ являются следующие:

  • Постоянный и всесторонний анализ информационного пространства Учреждения с целью выявления уязвимостей информационных активов.
  • Своевременное обнаружение проблем, потенциально способных повлиять на ИБ Учреждения, корректировка моделей угроз и нарушителя.
  • Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию. При этом меры, принимаемые для обеспечения ИБ, не должны усложнять достижение уставных целей Учреждения, а также повышать трудоемкость технологических процессов обработки информации.
  • Контроль эффективности принимаемых защитных мер.
  • Персонификация и адекватное разделение ролей и ответственности между сотрудниками учреждения, исходя из принципа персональной и единоличной ответственности за совершаемые операции.

4.3 Соответствие ПБ действующему законодательству

 Правовую основу политик составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственной власти различного уровня в пределах их компетенции.

4.4 Ответственность за реализацию политик информационной безопасности

Ответственность за разработку мер и контроль обеспечения защиты информации несёт Администратор.

Ответственность за реализацию политик возлагается:

  • в части, касающейся разработки и актуализации правил внешнего доступа и управления доступом, антивирусной защиты, а также доведения правил политик до сотрудников Учреждения — на Администратора;
  • в части, касающейся исполнения правил политики, — на каждого сотрудника Учреждения, в рамках их должностных и функциональных обязанностей, и иных лиц, попадающие под область действия настоящей политики.

4.5 Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе

Организация просвещения сотрудников Учреждения в области информационной безопасности возлагается на Администратора. Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности». Обучение сотрудников Учреждения правилам обращения с конфиденциальной информацией, проводится путем:

  • проведения администратором информационной безопасности инструктивных занятий с сотрудниками, принимаемыми на работу в Учреждение;
  • самостоятельного изучения сотрудниками внутренних нормативных документов Учреждения.

Допуск персонала к работе с защищаемыми информационными ресурсами Учреждения осуществляется только после его ознакомления с политиками в области информационной безопасности, а также иными инструкциями пользователей отдельных информационных систем. Согласие на соблюдение правил и требований настоящих политик подтверждается подписями сотрудников в «Журнале проведения инструктажа по информационной безопасности».

Допуск персонала к работе с конфиденциальной информацией Учреждения осуществляется после ознакомления с «Положением о конфиденциальной информации». Правила допуска к работе с информационными ресурсами лиц, не являющихся сотрудниками Учреждения, определяются на договорной основе с этими лицами или с организациями, представителями которых являются эти лица.

4.6 Защищаемые информационные ресурсы Учреждения

Различаются следующие категории информационных ресурсов, подлежащих защите в Учреждении:

Конфиденциальная — информация, определенная в соответствии с Федеральным Законом от 27.07.2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», ФЗ от 27.07.2006 г. №152-ФЗ «О персональных данных», Указом президента РФ от 06.03.1997 №188 «Об утверждении перечня сведений конфиденциального характера», Постановлением правительства РФ от 01.11.2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», предусмотренная Перечнем сведений конфиденциального характера.

Публичная — информация, получаемая из публичных источников (публикации в СМИ, теле и радиовещание и т.д.). Информация, предназначенная для размещения на внешних публичных ресурсах;

Открытая — информация, полученная от физических или юридических лиц, запрет на распространение и обработку которой был ими официально снят. Информация, сформированная в результате деятельности Учреждения, которую запрещено относить к конфиденциальной на основании законодательства России. Информация, представляемая в публичный доступ, используемая в хозяйственной деятельности Учреждения;

Ограниченного доступа — информация, не попадающая под остальные категории, доступ к которой должен быть ограничен определенной категории лиц.

Конфиденциальная информация представляет собой сведения ограниченного доступа, включая персональные данные, для которых в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией.

Правила отнесения информации к конфиденциальной и порядок работы с конфиденциальными документами, определяются Положением о конфиденциальной информации, а также «Перечнем сведений конфиденциального характера».

Подходы к решению проблемы защиты информации в Учреждении, в общем виде, сводятся к исключению неправомерных или неосторожных действий со сведениями, относящимися к информации ограниченного распространения, а также с информационными ресурсами, являющимися критичными для обеспечения функционирования процессов Учреждения.

Для этого в Учреждении выполняются следующие мероприятия:

  • определяется порядок работы с документами, образцами изделиями и др., содержащими конфиденциальные сведения;
  • устанавливается круг лиц и порядок доступа к подобной информации;
  • вырабатываются меры по контролю обращения с документами, содержащими конфиденциальные сведения;
  • включаются в трудовые договоры с сотрудниками обязательства о неразглашении конфиденциальных сведений и определяются санкции за нарушения порядка работы с ними и их разглашение.

Форма подписки о неразглашении сведений конфиденциального характера подписывается при заключении трудового договора, который подписывается всеми сотрудниками Учреждения при приеме на работу. Защита конфиденциальной информации, принадлежащей третьей стороне, осуществляется на основании договоров, заключаемых Учреждением с другими организациями. Персональные данные сотрудника Учреждения — информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного сотрудника.

Согласно ст. 86 п.7 Трудового кодекса РФ защита персональных данных сотрудника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

Согласно ст.88 Трудового кодекса РФ при передаче персональных данных сотрудника работодатель должен соблюдать следующие требования:                             

  • осуществлять передачу персональных данных сотрудника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым сотрудник должен быть ознакомлен под расписку;
  • разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудника, которые необходимы для выполнения конкретных функций.

Согласно ст.90 Трудового кодекса РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

4.7 Профилактика нарушений политик информационной безопасности

Под профилактикой нарушений политик информационной безопасности понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений информационной безопасности в Учреждении и проведение разъяснительной работы по информационной безопасности среди пользователей.

Администратор (возможно, при помощи сторонней организации специализирующейся в области информационной безопасности) собирает и анализирует информацию о выявленных уязвимых местах в составе операционных систем и/или программного обеспечения Учреждения. Источниками подобного рода сведений могут служить официальные издания и публикации различных компаний, общественных объединений и других организаций, специализирующихся в области защиты информации.

Администратор (возможно, при помощи сторонней организации, специализирующейся в области информационной безопасности) организовывает периодическую проверку ресурсов Учреждения путем моделирования возможных попыток осуществления НСД к защищаемым информационным ресурсам.

Плановая разъяснительная работа по правилам настоящих политик, а также инструктаж сотрудников Учреждения по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Учреждении, проводится ежеквартально.

Внеплановая разъяснительная работа по правилам настоящих политик, а также инструктаж сотрудников Учреждения по соблюдению требований нормативных и регламентных документов по информационной безопасности, принятых в Учреждении, проводится при пересмотре настоящих политик, при возникновении инцидента нарушения правил настоящих политик.

Прием на работу новых сотрудников должен сопровождаться ознакомлением их с правилами и требованиями настоящих политик.

4.8 Ликвидация последствий нарушения политик информационной безопасности

Администратор, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения информационной безопасности, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению.

В случае обнаружения подсистемой защиты информации факта нарушения информационной безопасности или осуществления НСД к защищаемым информационным ресурсам ИС необходимо уведомить Администратора и далее следовать его указаниям.

Действия Администратора при признаках нарушения политик информационной безопасности регламентируются внутренними документами.

После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.

4.9 Ответственность нарушителей ПБ

Ответственность за выполнение правил Политик безопасности несет каждый сотрудник Учреждения в рамках своих должностных обязанностей и полномочий.

На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности Учреждения, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы.

Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный Учреждению в результате нарушения ими правил политики ИБ (Ст. 238 Трудового кодекса РФ).

За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой информации, сотрудники Учреждения несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.