Забронировать место
Оставляя заявку, вы принимаете условия политики конфиденциальности
ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ
1. Введение
Политика информационной безопасности (далее – Политика) Индивидуального предпринимателя Линник Елена Анатольевна (далее – ИП Линник Е.А.) определяет систему взглядов на проблему обеспечения информационной безопасности (далее – ИБ). Представляет собой систематизированное изложение высокоуровневых целей и задач защиты, которыми необходимо руководствоваться в своей деятельности, а также основных принципов построения системы управления информационной безопасностью (далее - СУИБ) ИП Линник Е.А.
Обеспечение информационной безопасности - необходимое условие для успешного осуществления уставной деятельности ИП Линник Е.А.
Обеспечение информационной безопасности включает в себя любую деятельность, направленную на защиту информационных ресурсов и/или поддерживающей инфраструктуры. Политика охватывает все автоматизированные и телекоммуникационные системы, владельцем и пользователем которых является ИП Линник Е.А.
Реализация Политики должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищённости информационных ресурсов не только с помощью отдельного средства, но и с помощью их простой совокупности. Необходимо их системное, согласованное между собой применение, а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищённом исполнении при оптимальном соотношении технических и организационных мероприятий.
2.Обозначения и сокращения
3.Термины и определения
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Авторизация - предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами на доступ.
Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
Безопасность информации - защищённость информации от её нежелательного разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности, а также незаконного её тиражирования.
Бизнес-процесс - последовательность технологически связанных операций по предоставлению продуктов, услуг и/или осуществлению конкретного вида деятельности ИП Линник Е.А.
Владелец актива - физическое или юридическое лицо, которое наделено административной ответственностью за руководство изготовлением, разработкой, хранением, использованием и безопасностью актива. Термин «владелец» не означает, что этот человек фактически имеет право собственности на этот актив.
Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом.
Документ - зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.
Доступность информации - состояние, характеризуемое способностью ИС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию и средства доступа к ней.
Идентификация - присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Информационная безопасность (ИБ) - состояние защищённости интересов организации.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационный процесс - процессы сбора, обработки, накопления, хранения, поиска и распространения информации.
Информационный ресурс (актив) - всё, что имеет ценность и находится в распоряжении ИП Линник Е.А.
Инцидент - непредвиденное или нежелательное событие (группа событий) безопасности, которое привело (могут привести) к нарушению функционирования информационной системы или возникновению угроз безопасности информации (нарушению конфиденциальности, целостности, доступности).
Инцидент информационной безопасности - одно или серия нежелательных или неожиданных событий ИБ, имеющих значительную вероятность нарушения бизнес-процессов или представляющих угрозу ИБ.
Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Контролируемая зона - пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, а также транспортных, технических или иных средств.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Конфиденциальность информации - состояние защищённости информации, характеризуемое способностью ИС обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней.
Мобильный код - несамостоятельное программное обеспечение или компонент программного обеспечения (скрипты, макросы, иные компоненты) получаемые из мест распространения мобильного кода, передаваемые по сети и выполняемые на компонентах информационной системы (в местах использования мобильного кода) без предварительной установки (инсталляции) пользователем для расширения возможностей системного и (или) прикладного программного обеспечения.
Несанкционированный доступ - доступ к информации иди действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Обработка риска – процесс выбора и реализации мер по модификации (снижению) риска.
Политика – общие цели и указания, формально выраженные руководством.
Привилегии – это права доверенного объекта на совершение каких-либо действий по отношению к объектам системы.
Риск - сочетание вероятности события и его последствий.
Система управления информационной безопасностью (СУИБ) - часть общей системы управления, основанная на оценке рисков, предназначенная для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования ИБ.
Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объёме реализующий полномочия владения, пользования, распоряжения указанными объектами.
События информационной безопасности - идентифицированное состояние системы, сервиса или сети, свидетельствующее о возможном нарушении политики безопасности или отсутствии механизмов защиты, либо прежде неизвестная ситуация, которая может иметь отношение к безопасности.
Угроза - Опасность, предполагающая возможность потерь (ущерба).
Целостность информации - устойчивость информации к несанкционированному доступу или случайному воздействию на неё в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.
4.Цель
Основной целью, на достижение которой направлены все положения настоящей Политики, является защита информационных ресурсов от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, её носители, процессы обработки и передачи, а также минимизация рисков ИБ.
Для достижения основной цели необходимо обеспечивать эффективное решение следующих задач:
·своевременное выявление, оценка и прогнозирование источников угроз ИБ;
·создание механизма оперативного реагирования на угрозы ИБ;
·предотвращение и/или снижение ущерба от реализации угроз ИБ;
·защита от вмешательства в процесс функционирования ИС посторонних лиц;
·соответствие требованиям Федерального законодательства, нормативно-методических документов ФСБ России, ФСТЭК России и договорным обязательствам в части ИБ;
·обеспечение непрерывности критических бизнес-процессов;
·достижение адекватности мер по защите от угроз ИБ;
·изучение партнёров, клиентов, конкурентов и кандидатов на работу;
·недопущение проникновения структур организованной преступности и отдельных лиц с противоправными намерениями;
·выявление, предупреждение и пресечение возможной противоправной и иной негативной деятельности сотрудников;
·повышение деловой репутации и корпоративной культуры.
5.Область действия
Настоящая Политика распространяется на все бизнес-процессы ИП Линник Е.А. и обязательна для применения всеми сотрудниками и руководством ИП Линник Е.А., а также пользователями его информационных ресурсов.
Настоящая политика распространяется на информационные системы ИП Линник Е.А.
Лица, осуществляющие разработку внутренних документов ИП Линник Е.А., регламентирующих вопросы информационной безопасности, обязаны руководствоваться настоящей Политикой.
Политика информационной безопасности (далее – Политика) Индивидуального предпринимателя Линник Елена Анатольевна (далее – ИП Линник Е.А.) определяет систему взглядов на проблему обеспечения информационной безопасности (далее – ИБ). Представляет собой систематизированное изложение высокоуровневых целей и задач защиты, которыми необходимо руководствоваться в своей деятельности, а также основных принципов построения системы управления информационной безопасностью (далее - СУИБ) ИП Линник Е.А.
Обеспечение информационной безопасности - необходимое условие для успешного осуществления уставной деятельности ИП Линник Е.А.
Обеспечение информационной безопасности включает в себя любую деятельность, направленную на защиту информационных ресурсов и/или поддерживающей инфраструктуры. Политика охватывает все автоматизированные и телекоммуникационные системы, владельцем и пользователем которых является ИП Линник Е.А.
Реализация Политики должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищённости информационных ресурсов не только с помощью отдельного средства, но и с помощью их простой совокупности. Необходимо их системное, согласованное между собой применение, а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищённом исполнении при оптимальном соотношении технических и организационных мероприятий.
2.Обозначения и сокращения
АРМ | Автоматизированное рабочее место |
АС | Автоматизированная система |
ИБ | Информационная безопасность |
ИР | Информационный ресурс |
ИС | Информационная система |
ИТ | Информационные технологии |
НСД | Несанкционированный доступ |
ОКЗ | Орган криптографической защиты |
ПО | Программное обеспечение |
СКЗИ | Средство криптографической защиты информации |
СУИБ | Система управления информационной безопасностью |
3.Термины и определения
Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Авторизация - предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами на доступ.
Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
Безопасность информации - защищённость информации от её нежелательного разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности, а также незаконного её тиражирования.
Бизнес-процесс - последовательность технологически связанных операций по предоставлению продуктов, услуг и/или осуществлению конкретного вида деятельности ИП Линник Е.А.
Владелец актива - физическое или юридическое лицо, которое наделено административной ответственностью за руководство изготовлением, разработкой, хранением, использованием и безопасностью актива. Термин «владелец» не означает, что этот человек фактически имеет право собственности на этот актив.
Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом.
Документ - зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.
Доступность информации - состояние, характеризуемое способностью ИС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.
Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию и средства доступа к ней.
Идентификация - присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов.
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Информационная безопасность (ИБ) - состояние защищённости интересов организации.
Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационный процесс - процессы сбора, обработки, накопления, хранения, поиска и распространения информации.
Информационный ресурс (актив) - всё, что имеет ценность и находится в распоряжении ИП Линник Е.А.
Инцидент - непредвиденное или нежелательное событие (группа событий) безопасности, которое привело (могут привести) к нарушению функционирования информационной системы или возникновению угроз безопасности информации (нарушению конфиденциальности, целостности, доступности).
Инцидент информационной безопасности - одно или серия нежелательных или неожиданных событий ИБ, имеющих значительную вероятность нарушения бизнес-процессов или представляющих угрозу ИБ.
Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Контролируемая зона - пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание лиц, а также транспортных, технических или иных средств.
Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Конфиденциальность информации - состояние защищённости информации, характеризуемое способностью ИС обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней.
Мобильный код - несамостоятельное программное обеспечение или компонент программного обеспечения (скрипты, макросы, иные компоненты) получаемые из мест распространения мобильного кода, передаваемые по сети и выполняемые на компонентах информационной системы (в местах использования мобильного кода) без предварительной установки (инсталляции) пользователем для расширения возможностей системного и (или) прикладного программного обеспечения.
Несанкционированный доступ - доступ к информации иди действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Обработка риска – процесс выбора и реализации мер по модификации (снижению) риска.
Политика – общие цели и указания, формально выраженные руководством.
Привилегии – это права доверенного объекта на совершение каких-либо действий по отношению к объектам системы.
Риск - сочетание вероятности события и его последствий.
Система управления информационной безопасностью (СУИБ) - часть общей системы управления, основанная на оценке рисков, предназначенная для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования ИБ.
Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объёме реализующий полномочия владения, пользования, распоряжения указанными объектами.
События информационной безопасности - идентифицированное состояние системы, сервиса или сети, свидетельствующее о возможном нарушении политики безопасности или отсутствии механизмов защиты, либо прежде неизвестная ситуация, которая может иметь отношение к безопасности.
Угроза - Опасность, предполагающая возможность потерь (ущерба).
Целостность информации - устойчивость информации к несанкционированному доступу или случайному воздействию на неё в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.
4.Цель
Основной целью, на достижение которой направлены все положения настоящей Политики, является защита информационных ресурсов от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, её носители, процессы обработки и передачи, а также минимизация рисков ИБ.
Для достижения основной цели необходимо обеспечивать эффективное решение следующих задач:
·своевременное выявление, оценка и прогнозирование источников угроз ИБ;
·создание механизма оперативного реагирования на угрозы ИБ;
·предотвращение и/или снижение ущерба от реализации угроз ИБ;
·защита от вмешательства в процесс функционирования ИС посторонних лиц;
·соответствие требованиям Федерального законодательства, нормативно-методических документов ФСБ России, ФСТЭК России и договорным обязательствам в части ИБ;
·обеспечение непрерывности критических бизнес-процессов;
·достижение адекватности мер по защите от угроз ИБ;
·изучение партнёров, клиентов, конкурентов и кандидатов на работу;
·недопущение проникновения структур организованной преступности и отдельных лиц с противоправными намерениями;
·выявление, предупреждение и пресечение возможной противоправной и иной негативной деятельности сотрудников;
·повышение деловой репутации и корпоративной культуры.
5.Область действия
Настоящая Политика распространяется на все бизнес-процессы ИП Линник Е.А. и обязательна для применения всеми сотрудниками и руководством ИП Линник Е.А., а также пользователями его информационных ресурсов.
Настоящая политика распространяется на информационные системы ИП Линник Е.А.
Лица, осуществляющие разработку внутренних документов ИП Линник Е.А., регламентирующих вопросы информационной безопасности, обязаны руководствоваться настоящей Политикой.
6.Содержание политики
6.1.Система управления информационной безопасностью
Для достижения указанных целей и задач в ИП Линник Е.А. внедряется система управления информационной безопасностью.
СУИБ документирована в настоящей политике, в правилах, процедурах, рабочих инструкциях, которые являются обязательными для всех работников ИП Линник Е.А. в области действия системы. Документированные требования СУИБ доводятся до сведения работников ИП Линник Е.А.
Средства управления информационной безопасностью внедряются по результатам проведения оценки рисков информационной безопасности.
Стоимость внедряемых средств управления информационной безопасностью не должна превышать возможный ущерб, возникающий при реализации угроз.
6.1.1.Структура документов
В целях создания взаимосвязанной структуры нормативных документов ИП Линник Е.А. в области обеспечения информационной безопасности, разрабатываемые и обновляемые нормативные документы должны соответствовать следующей иерархии:
Политика информационной безопасности |
Инструкции, регламенты, порядки |
Документы, подтверждающие исполнение нормативных актов верхних уровней |
1)Настоящая Политика является внутренним нормативным документом по ИБ первого уровня.
2)Документы второго уровня - инструкции, порядки, регламенты и прочие документы, описывающие действия сотрудников ИП Линник Е.А. по реализации документов первого и второго уровня.
3)Документы третьего уровня - отчётные документы о выполнении требований документов верхних уровней.
6.1.2.Ответственность за обеспечение ИБ
Для непосредственной организации и эффективного функционирования системы обеспечения информационной безопасности в ИП Линник Е.А. функции обеспечения ИБ возложены на назначенного приказом руководителя организации сотрудника. На него возлагается решение следующих основных задач:
·проведение в жизнь Политики ИБ;
·определение требований к защите информации;
·организация мероприятий и координация работ всех подразделений по вопросам комплексной защиты информации;
·контроль и оценка эффективности принятых мер и применяемых средств защиты;
·оказание методической помощи сотрудникам в вопросах обеспечения информационной безопасности;
·регулярная оценка и управление рисками информационной безопасности в соответствии с установленными процедурами в области управления рисками;
·выбор и внедрение средств защиты информации, включая организационные, физические, технические, программные и программно-аппаратные средства обеспечения СУИБ;
·обеспечение минимально-необходимого доступа к информационным ресурсам, основываясь на требованиях бизнес-процессов;
·информирование, обучение и повышение квалификации работников ИП Линник Е.А. в сфере информационной безопасности;
·расследования инцидентов информационной безопасности;
·сбор, накопление, систематизация и обработка информации по вопросам информационной безопасности;
·обеспечение необходимого уровня отказоустойчивости ИТ-сервисов и доступности данных для подразделений.
Для решения задач, возложенных на назначенного приказом руководителя организации сотрудника, сотрудник имеет следующие права:
·определять необходимость и разрабатывать нормативные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность пользователей информационной системы в указанной области;
·получать информацию от пользователей информационных систем ИП Линник Е.А. по любым аспектам применения информационных технологий в ИП Линник Е.А.;
·участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке новых информационных технологий;
·участвовать в испытаниях разработанных информационных технологий по вопросам оценки качества реализации требований по обеспечению безопасности информации;
·контролировать деятельность пользователей по вопросам обеспечения ИБ;
·готовить предложения руководству по обеспечению требований ИБ.
6.2.Объект защиты
6.2.1.Ответственность за ресурсы
В ИП Линник Е.А. должны быть выявлены и оценены с точки зрения их важности все ресурсы. Для всех ценных ресурсов должен быть составлен реестр (перечень). Благодаря информации о ресурсах ИП Линник Е.А. реализуется защита информации, степень которой соразмерна ценности и важности ресурсов.
В ИС ИП Линник Е.А. присутствуют следующие типы ресурсов:
·информационные ресурсы, содержащие конфиденциальную информацию, и/или сведения ограниченного доступа, в том числе информацию о финансовой деятельности ИП Линник Е.А.;
·открыто распространяемая информация, необходимая для работы ИП Линник Е.А., независимо от формы и вида её представления;
·информационная инфраструктура, включая системы обработки и анализа информации, технические и программные средства её обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы.
Для каждого ресурса должен быть назначен владелец, который отвечает за соответствующую классификацию информации и ресурсов, связанных со средствами обработки информации, а также за назначение и периодическую проверку прав доступа и категорий, определённых политиками управления доступа.
6.2.2.Классификация информации
Все информационные ресурсы, подлежащие защите, должны быть классифицированы в соответствии с важностью и степенью доступа. Классификация информации должна быть документирована и утверждена руководством ИП Линник Е.А.
Классификация информации должна проводиться владельцем ресурса, хранящего или обрабатывающего информацию, для определения категории ресурса. Периодически классификация должна пересматриваться для поддержания актуальности её соответствия с категорией ресурса.
Ресурсы, содержащие конфиденциальную или критичную информацию, должны иметь соответствующую пометку (гриф).
6.3.Оценка и обработка рисков
В ИП Линник Е.А. должны быть определены требования к безопасности путём методической оценки рисков. Оценки рисков должны выявить, определить количество и расположить по приоритетам риски в соответствии с критериями принятия рисков и бизнес-целями ИП Линник Е.А. Результаты оценки должны определять соответствующую реакцию руководства, приоритеты управления рисками ИБ и набор механизмов контроля для защиты от этих рисков.
Оценка рисков предполагает системное сочетание анализа рисков и оценивания рисков.
Кроме того, оценка рисков и выбор механизмов контроля должны производиться периодически, чтобы:
·учесть изменения бизнес-требований и приоритетов;
·принять во внимание новые угрозы и уязвимости;
·убедиться в том, что реализованные средства сохранили свою эффективность.
Перед обработкой каждого риска назначенный приказом руководителя организации сотрудник должен выбрать критерии для определения возможности принятия этого риска. Риск может быть принят, если его величина достаточно мала и стоимость обработки нерентабельна для ИП Линник Е.А. Такие решения должны регистрироваться.
Для каждого из оцененных рисков должно приниматься одно из решений по его обработке:
·применение соответствующих механизмов контроля для уменьшения величины риска до приемлемого уровня;
·сознательное и объективное принятие риска, если он точно удовлетворяет Политике ИП Линник Е.А. и критериям принятия рисков;
·уклонение от риска путём недопущения действий, могущих быть его причиной;
·передача рисков другой стороне (аутсорсинг, страхование и т.п.).
6.4.Безопасность персонала
Роли и обязанности по обеспечению безопасности информационных ресурсов, описанные в соответствии с Политикой ИБ ИП Линник Е.А., должны быть доведены до сотрудника при трудоустройстве и внесены в его должностные обязанности. Сюда должны входить как общие обязанности по реализации и поддержке политики безопасности, так и конкретные обязанности по защите ресурсов и по выполнению конкретных операций, связанных с безопасностью.
6.4.1.Условия найма
Все принимаемые на работу сотрудники должны одобрить и подписать свои трудовые договоры, в которых устанавливается их ответственность за ИБ. В договор должно быть включено согласие сотрудника на проведение контрольных мероприятий со стороны ИП Линник Е.А. по проверке выполнения требований ИБ, а также обязательства по неразглашению конфиденциальной информации. В договоре должны быть описаны меры, которые будут приняты в случае несоблюдения сотрудником требований ИБ.
Обязанности по обеспечению ИБ должны быть включены в должностные инструкции каждого сотрудника ИП Линник Е.А.
Все принимаемые сотрудники должны быть ознакомлены под роспись с перечнем информации, ограниченного доступа, с установленным режимом с ней и с мерами ответственности за нарушение этого режима.
При предоставлении сотруднику доступа к ИС ИП Линник Е.А. он должен ознакомиться под роспись с инструкцией пользователя ИС.
6.4.2.Ответственность руководства
Руководство ИП Линник Е.А. должно требовать от всех сотрудников, подрядчиков и пользователей сторонних организаций принятия мер безопасности в соответствии с установленными в ИП Линник Е.А. политиками и процедурами.
Комиссия по проверке обеспечения ИБ имеет право в установленном порядке, без уведомления пользователей, производить проверки:
·Выполнения действующих инструкций по вопросам ИБ;
·Данных, находящихся на носителях информации;
·Порядка использования сотрудниками информационных ресурсов;
·Содержания служебной переписки.
6.4.3.Обучение ИБ
Все сотрудники должны проходить периодическую подготовку в области политики и процедур ИБ, принятых в ИП Линник Е.А.
6.4.4.Завершение или изменения трудовых отношений
При увольнении все предоставленные сотруднику права доступа к ресурсам ИС должны быть удалены. При изменении трудовых отношений удаляются только те права, необходимость в которых отсутствует в новых отношениях.
6.5.Физическая безопасность
6.5.1.Защищённые области
Средства обработки информации, поддерживающие критически важные и уязвимые ресурсы ИП Линник Е.А., должны быть размещены в защищённых областях. Такими средствами являются: серверы, магистральное телекоммуникационное оборудование, телефонные станции, кроссовые панели, оборудование, обеспечивающее обработку и хранение конфиденциальной информации.
Защищённые области должны обеспечиваться соответствующими средствами контроля доступа, обеспечивающим возможность доступа только авторизованного персонала.
Запрещается приём посетителей в помещениях, когда осуществляется обработка информации ограниченного доступа.
Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами, металлическими шкафами или шкафами, оборудованными замком.
Помещения должны быть обеспечены средствами уничтожения документов.
6.5.2.Области общего доступа
Места доступа, через которые неавторизованные лица могут попасть в помещения ИП Линник Е.А., должны контролироваться и, если это возможно, должны быть изолированы от средств обработки информации с целью предотвращения несанкционированного доступа.
6.5.3.Вспомогательные службы
Все вспомогательные службы, такие как электропитание, водоснабжение, канализация, отопление, вентиляция и кондиционирование воздуха должны обеспечивать гарантированную и устойчивую работоспособность компонентов ИС ИП Линник Е.А.
6.5.4.Утилизация или повторное использование оборудования
Со всех носителей информации, которыми укомплектовано утилизируемое оборудование, должны гарантированно удаляться все конфиденциальные данные и лицензионное ПО. Отсутствие защищаемой информации на носителях должно быть проверено назначенным приказом руководителя организации сотрудником ИП Линник Е.А., о чём должна быть сделана отметка в акте списания.
6.5.5.Перемещение имущества
Оборудование, информация или ПО должны перемещаться за пределы ИП Линник Е.А. только при наличии письменного разрешения руководства. Сотрудники, имеющие право перемещать оборудование и носители информации за пределы ИП Линник Е.А. должны быть чётко определены. Время перемещения оборудования за пределы ИП Линник Е.А. и время его возврата должны регистрироваться.
6.6.Контроль доступа
Основными пользователями информации в информационной системе ИП Линник Е.А. являются сотрудники структурных подразделений. Уровень полномочий каждого пользователя определяется индивидуально. Каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходимо работать в соответствии с должностными обязанностями.
Допуск пользователей к работе с информационными ресурсами должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем должны производиться в установленном порядке, согласно регламенту предоставления доступа пользователей.
Каждому пользователю, допущенному к работе с конкретным информационным активом ИП Линник Е.А., должно быть сопоставлено персональное уникальное имя (учётная запись пользователя), под которым он будет регистрироваться и работать с ИС.
В случае производственной необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имён (учётных записей).
Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).
В общем случае запрещено создавать и использовать общую пользовательскую учётную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство), использование общей учётной записи должно сопровождаться отметкой в журнале учёта машинного времени, которая должна однозначно идентифицировать текущего владельца учётной записи в каждый момент времени. Одновременное использование одной общей пользовательской учётной записи разными пользователями запрещено.
Регистрируемые учётные записи подразделяются на:
·Пользовательские – предназначенные для аутентификации пользователей ИР ИП Линник Е.А.;
·Системные - используемые для нужд операционной системы;
·Служебные - предназначенные для функционирования отдельных процессов или приложений.
Системные учётные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.
Служебные учётные записи используются только для запуска и работы сервисов или приложений.
Использование системных или служебных учётных записей для регистрации пользователей в системе категорически запрещено.
Процедуры регистрации и блокирования учётных записей пользователей должны применяться с соблюдением следующих правил:
·использование уникальных идентификаторов (ID) пользователей для однозначного определения и сопоставления личности с совершёнными ей действиями;
·использование групповых ID разрешать только в случае, если это необходимо для выполнения задачи;
·предоставление и блокирование прав должны быть санкционированы и документированы;
·предоставление прав доступа к ИР, только после согласования с владельцем данного ИР;
·регистрация и блокирование учётных записей допускается с отдельного разрешения руководства ИП Линник Е.А.;
·уровень предоставленных полномочий должен соответствовать производственной необходимости и настоящей Политике и не ставить под угрозу разграничение режимов работы;
·согласование изменения прав доступа с назначенным приказом руководителя организации сотрудником;
·документальная фиксация назначенных пользователю прав доступа;
·ознакомление пользователей под подпись с письменными документами, в которых регламентируются их права доступа;
·предоставление доступа с момента завершения процедуры регистрации;
·обеспечение создания и поддержания формального списка всех пользователей, зарегистрированных для работы с ИР или сервисом;
·немедленное удаление или блокирование прав доступа пользователей, сменивших должность, форму занятости или уволившихся из ИП Линник Е.А.;
·аудит ID и учетных записей пользователей на наличие неиспользуемых, их удаление и блокировка;
·обеспечение того, чтобы лишние ID пользователей не были доступны другим пользователям;
·обеспечить возможность предоставления пользователям доступа в соответствии с их должностями, основанными на производственных требованиях, путем суммирования некоторого числа прав доступа в типовые профили доступа пользователей.
6.6.1.Управление привилегиями
Доступ сотрудника к ИР ИП Линник Е.А. должен быть санкционирован ИП Линник Е.А., и владельцами соответствующих информационных ресурсов. Управление доступом осуществляется в соответствии с установленными процедурами.
Наделение привилегиями и их использование должно быть строго ограниченным и управляемым. Распределение привилегий должно управляться с помощью процесса регистрации этих привилегий. Должны быть рассмотрены следующие этапы:
·должны быть идентифицированы привилегии доступа, связанные с каждым системным продуктом, например, с операционной системой, системой управления базой данных и каждым приложением, а также пользователи, которым они должны быть предоставлены;
·привилегии должны предоставляться пользователям на основании «производственной необходимости» и только на период времени, необходимый для достижения поставленных целей, например, привилегии, минимально необходимые для выполнения их функциональных обязанностей, только тогда, когда эти привилегии необходимы;
·должен быть обеспечен процесс санкционирования всех предоставленных привилегий и создание отчетов по ним, привилегии нельзя предоставлять до завершения процесса их регистрации;
·уникальные привилегии должны присваиваться на другой ID пользователя, не тот, который используется при обычной работе пользователя.
Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам ИП Линник Е.А. осуществляется в процессе аудита ИБ в соответствии с Правилами аудита ИБ и установленными процедурами.
6.6.2.Управление паролями
Пароли – средство проверки личности пользователя для доступа к ИС или сервису, обеспечивающее идентификацию и аутентификацию на основе сведений, известных только пользователю.
Предоставление паролей должно контролироваться посредством официальной процедуры, отвечающей следующим требованиям:
·все пользователи должны быть ознакомлены под роспись с требованием сохранения в тайне личных и групповых паролей;
·при наличии возможности, необходимо настроить систему таким образом, чтобы при первом входе пользователя с назначенным ему временным паролем система сразу же требовала его сменить;
·временные пароли должны назначаться пользователю только после его идентификации;
·необходимо избегать передачи паролей с использованием третьих лиц или незашифрованной электронной почтой;
·временные пароли не должны быть угадываемыми и повторяющимися от пользователя к пользователю;
·пользователь должен подтвердить получение пароля;
·пароли должны храниться в электронном виде только в защищенной форме;
·назначенные производителем ПО пароли должны быть изменены сразу после завершения инсталляции;
·необходимо установить требования к длине пароля, набору символов и числу попыток ввода;
·необходимо изменять пароля пользователя не реже одного раза в 90 дней.
При необходимости можно рассмотреть возможность использования других технологий идентификации и аутентификации пользователей, в частности, биометрических технологий, проверки подписи и аппаратных средств (смарт-карты, е-Тоkеn/ruТоkеn, чипы и т.п.).
6.6.3.Контроль прав доступа
Чтобы обеспечить эффективный контроль доступа необходимо ввести официальный процесс регулярной проверки прав доступа пользователей, отвечающий следующим требованиям:
·права доступа пользователей должны проверяться через регулярные интервалы (не реже одного раза в полгода), а также после внесения каких-либо изменений в ИС;
·права доступа пользователей должны проверяться и переназначаться при изменении их должностных обязанностей в ИП Линник Е.А., а также при переходе с одной работы на другую в пределах ИП Линник Е.А.;
·проверка прав пользователей, имеющих особые привилегии для доступа в систему, должна проводиться чаще (не реже одного раза в 3 месяца);
·необходимо регулярно проверять адекватность назначенных привилегий, во избежание получения кем-либо из пользователей излишних прав;
·изменение привилегированных учетных записей должно протоколироваться.
Контроль над выполнением процедур управления доступом пользователей должен включать:
·контроль над добавлением, удалением и изменением идентификаторов, аутентификационных данных и иных объектов идентификации;
·проверку подлинности пользователей перед сменой паролей;
·немедленное блокирование прав доступа при увольнении;
·блокирование учётных записей, неактивных более 45 дней;
·включение учётных записей, используемых поставщиками для удалённой поддержки, только на время выполнения работ;
·отслеживание удалённых учётных записей, используемых поставщиками, во время работ;
·предотвращение повторного использования идентификатора пользователя и (или) устройства в течение не менее трёх лет;
·ознакомление с правилами и процедурами аутентификации всех пользователей, имеющих доступ к сведениям ограниченного распространения;
·использование механизмов аутентификации при доступе к любой базе данных, содержащей сведения ограниченного распространения, в том числе доступе со стороны приложений, администраторов и любых других пользователей;
·разрешение запросов и прямого доступа к базам данных только для администраторов баз данных;
·блокирование учётной записи на период равный 30 минутам или до разблокировки учётной записи администратором;
·блокирование учетных записей пользователей при выявлении по результатам мониторинга (просмотра, анализа) журналов регистрации событий безопасности действий пользователей, которые отнесены оператором к событиям нарушения безопасности информации.
6.6.4.Использование паролей
Идентификатор и пароль пользователя в ИС являются учётными данными, на основании которых сотруднику ИП Линник Е.А. предоставляются права доступа, протоколируются производимые им в системе действия и обеспечивается режим конфиденциальности, обрабатываемой (создаваемой, передаваемой и хранимой) сотрудником информации.
Не допускается использование различными пользователями одних и тех же учётных данных.
Первоначальное значение пароля учетной записи пользователя устанавливает назначенный приказом руководителя организации сотрудник.
Личные пароли устанавливаются первый раз назначенным приказом руководителя организации сотрудником. После первого входа в систему и в дальнейшем пароли выбираются пользователями автоматизированной системы самостоятельно с учетом следующих требований:
·длина пароля должна быть не менее 8 символов;
·в числе символов пароля должны присутствовать три из четырёх видов символов:
oбуквы в верхнем регистре;
oбуквы в нижнем регистре;
oцифры;
o специальные символы (! @ # $ % ^ & * ( ) - _ + = ~ [ ] { } | \ : ; ' " < > , . ? /);
·пароль не должен содержать легко вычисляемые сочетания символов, например,
oимена, фамилии, номера телефонов, даты;
oпоследовательно расположенные на клавиатуре символы («12345678», «QWERTY», и т.д.);
oобщепринятые сокращения («USER», «ТЕSТ» и т.п.);
oповседневно используемое слово, например, имена или фамилии друзей, коллег, актёров или сказочных персонажей, клички животных;
oкомпьютерный термин, команда, наименование компаний, web сайтов, аппаратного или программного обеспечения;
oчто-либо из вышеперечисленного в обратном написании;
oчто-либо из вышеперечисленного с добавлением цифр в начале или конце;
·при смене пароля значение нового должно отличаться от предыдущего не менее чем в 4 позициях;
·для различных ИС необходимо устанавливать собственные, отличающиеся пароли.
·Сотруднику рекомендуется выбирать пароль с помощью следующей процедуры:
·выбрать фразу, которую легко запомнить. Например, «Три мудреца в одном тазу пустились по морю в грозу»;
·Выбрать первые буквы из каждого слова «тмвотппмвг»;
·Набрать полученную последовательность, переключившись на английскую раскладку клавиатуры: «nvdjnggvdu»;
·Выбрать номер символа, который будет записываться в верхнем регистре и после которого будет специальный символ. Например, это будет пятый символ, а в качестве специального символа выбран «#». Получаем: «nvdjN#ggvdu».
Сотруднику запрещается:
·сообщать свой пароль кому-либо;
·указывать пароль в сообщениях электронной почты;
·хранить пароли, записанные на бумаге, в легко доступном месте;
·использовать тот же самый пароль, что и для других систем (например, домашний интернет провайдер, бесплатная электронная почта, форумы и т.п.);
·использовать один и тот же пароль для доступа к различным корпоративным ИС.
Вход пользователя в систему не должен выполняться автоматически. Покидая рабочее место, пользователь обязан заблокировать компьютер (используя комбинации Win + «L» или Сtrl + Аlt + Delete → «Блокировать компьютер»).
Сотрудник обязан:
·в случае подозрения на то, что пароль стал кому-либо известен, поменять пароль и сообщить о факте компрометации назначенному приказом руководителя организации сотруднику;
·немедленно сообщить назначенному приказом руководителя организации сотруднику в случае получения от кого-либо просьбы сообщить пароль;
·менять пароль каждые 90 дней;
·менять пароль по требованию назначенного приказом руководителя организации сотрудника.
После 20 неудачных попыток ввода пароля учётная запись блокируется на 10 минут. При систематической блокировке учётной записи работником (более 3 раз) назначенный приказом руководителя организации сотрудник.
ИП Линник Е.А. оставляет за собой право:
·осуществлять периодическую проверку стойкости паролей пользователей, используемых сотрудниками для доступа к ИС;
·принимать меры дисциплинарного характера к сотрудникам, нарушающим положения настоящей политики.
6.6.5.Пользовательское оборудование, оставляемое без присмотра
Пользователи должны обеспечивать необходимую защиту оборудования, остающегося без присмотра. Все пользователи должны быть осведомлены о требованиях ИБ и правилах защиты остающегося без присмотра оборудования, а также о своих обязанностях по обеспечению этой защиты.
6.6.6.Политика чистого стола
Сотрудники ИП Линник Е.А. обязаны:
·сохранять известные им пароли в тайне;
·закрывать активные сеансы по завершении работы, если только их нельзя защитить подходящим блокирующим механизмом, например, защищённый паролем хранитель экрана;
·по завершении сеанса выходить из системы у универсальных ЭВМ, серверов и офисных ПК.
Запрещается вести запись паролей (например, на бумаге, в программном файле или в карманном устройстве), за исключением случаев, когда запись может храниться безопасно, а метод хранения был утверждён.
Документы и носители с конфиденциальной информацией должны убираться в запираемые места (сейфы, шкафы и т.п.), особенно при уходе с рабочего места.
Компьютеры и терминалы должны быть оставлены в состоянии выполненного выхода из системы, когда они находятся без присмотра.
Вход пользователя в систему не должен выполняться автоматически. Покидая рабочее место, пользователь обязан заблокировать компьютер (используя комбинации Win + «L» или Сtrl + Аlt + Delete → «Блокировать компьютер»).
Документы, содержащие конфиденциальную информацию, должны изыматься из печатающих устройств немедленно.
В конце рабочего дня сотрудник должен привести в порядок письменный стол и убрать все офисные документы в запираемый шкаф или сейф.
Для утилизации конфиденциальных документов, должны использоваться уничтожители бумаги.
По окончании рабочего дня и в случае длительного отсутствия на рабочем месте необходимо запирать на замок все шкафы и сейфы.
6.6.7.Мобильное компьютерное оборудование
При использовании мобильных средств (например, ноутбуков, планшетов и мобильных телефонов) необходимо соблюдать особые меры предосторожности, чтобы не допустить компрометацию информации, принадлежащей ИП Линник Е.А. Необходимо принять официальную политику, учитывающую риск, связанный с использованием мобильных компьютеров, и, в частности, с работой в незащищённой среде.
6.7.Политика допустимого использования информационных ресурсов
Общие обязанности пользователя:
·при работе с ПО руководствоваться нормативной документацией (руководством пользователя);
·обращаться в службу поддержки пользователей или к специалистам, назначенными ответственными за системное администрирование и информационную безопасность, по всем техническим вопросам, связанным с работой в корпоративной ИС (подключение к корпоративной ИС / домену, инсталляция и настройка ПО, удаление вирусов, предоставление доступа в сеть Интернет и к внутренним сетевым ресурсам, ремонт и техническое обслуживание и т.п.), а также за необходимой методологической/консультационной помощью по вопросам применения технических и программных средств корпоративной ИС;
·знать признаки правильного функционирования установленных программных продуктов и средств защиты информации;
·минимизировать вывод на печать обрабатываемой информации.
Пользователю запрещено производить несанкционированное распространение справочной информации, которая становится доступна при подключении к корпоративной ИС ИП Линник Е.А.
6.7.1.Использование ПО
На АРМ ИП Линник Е.А. допускается использование только лицензионного программного обеспечения, утверждённого в перечне разрешённого программного обеспечения.
Запрещено незаконное хранение на жестких дисках АРМ ИП Линник Е.А. информации, являющейся объектом авторского права (ПО, фотографии, музыкальные файлы, игры, и т.д.).
Решение о приобретении и установке программного обеспечения, необходимого для реализации задач ИП Линник Е.А. принимает Линник Елена Анатольевна лично.
Документы, подтверждающие покупку программного обеспечения, хранятся в бухгалтерии на протяжении всего времени использования лицензии, копии указанных документов вместе с лицензионными соглашениями на ПО, ключами защиты ПО и дистрибутивами хранятся в бухгалтерии.
Пользователи АРМ не имеют права удалять, изменять, дополнять, обновлять программную конфигурацию на АРМ ИП Линник Е.А. Указанные работы, а также работы по установке, регистрации и активации приобретённого лицензионного ПО могут быть выполнены только назначенным приказом руководителя организации сотрудником.
Сведения о вновь приобретённом программном обеспечении должны быть внесены в перечень разрешённого программного обеспечения.
6.7.2.Использование АРМ и ИС
К работе в ИС ИП Линник Е.А. допускаются лица, назначенные на соответствующую должность и прошедшие инструктаж по вопросам информационной безопасности.
Каждому сотруднику ИП Линник Е.А., которому необходим доступ к ИР в рамках его должностных обязанностей, выдаются под роспись необходимые средства автоматизации. Ответственность по установке и поддержке всех компьютерных систем, функционирующих в ИП Линник Е.А., возложена на назначенного приказом руководителя организации сотрудника.
Каждый сотрудник ИП Линник Е.А., обеспеченный АРМ, получает персональное сетевое имя, пароль, адрес электронной почты и личный каталог в сети, который предназначен для хранения рабочих файлов.
Работа в ИС сотрудникам разрешена только на закреплённых за ними АРМ, в определённое время и только с разрешенным программным обеспечением и сетевыми ресурсами.
Все АРМ, установленные в ИП Линник Е.А., имеют унифицированный набор офисных программ, предназначенных для получения, обработки и обмена информацией, определённый в стандарте рабочих мест ИП Линник Е.А. Изменение установленной конфигурации возможно после внесения соответствующих поправок в стандарт рабочих мест или по служебной записке, согласованной с назначенным приказом руководителя организации сотрудником. Комплектация персональных компьютеров аппаратными и программными средствами, а также расположение компьютеров контролируется назначенным приказом руководителя организации сотрудником.
Самостоятельная установка программного обеспечения на АРМ запрещена. Установка и удаление любого программного обеспечения производится только назначенным приказом руководителя организации сотрудником.
В случае обнаружения неисправности компьютерного оборудования или программного обеспечения, пользователь должен обратиться к назначенному приказом руководителя организации сотруднику.
Назначенный приказом руководителя организации сотрудник имеет право осуществлять контроль над установленным на компьютере программным обеспечением, и принимать меры по ограничению возможностей несанкционированной установки программ.
Передача документов внутри ИП Линник Е.А. производится только посредством общих папок, а также средствами электронной почты.
При работе в ИС ИП Линник Е.А. сотрудник обязан:
·знать и выполнять требования внутренних организационно-распорядительных документов ИП Линник Е.А.;
·использовать ИС и АРМ ИП Линник Е.А. исключительно для выполнения своих служебных обязанностей;
·ставить в известность назначенного приказом руководителя организации сотрудника о любых фактах нарушения требований ИБ;
·ставить в известность назначенного приказом руководителя организации сотрудника о любых фактах сбоев ПО, некорректного завершения значимых операций, а также повреждения технических средств;
·незамедлительно выполнять предписания назначенного приказом руководителя организации сотрудника ИП Линник Е.А.
·предоставлять АРМ назначенному приказом руководителя организации сотруднику для контроля;
·при необходимости прекращения работы на некоторое время корректно закрывать все активные задачи, блокировать АРМ;
·в случае необходимости продолжения работы по окончании рабочего дня проинформировать об этом назначенного приказом руководителя организации сотрудника.
При использовании ИС ИП Линник Е.А. запрещено:
·использовать АРМ и ИС в личных целях;
·отключать средства управления и средства защиты, установленные на рабочей станции;
·передавать:
oконфиденциальную информацию за исключением случаев, когда это входит в служебные обязанности и способ передачи является безопасным, согласованным с назначенным приказом руководителя организации сотрудником;
oинформацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также ссылки на вышеуказанные объекты;
oугрожающую, клеветническую, непристойную информацию;
·самовольно вносить изменения в конструкцию, конфигурацию, размещение АРМ и других узлов ИС ИП Линник Е.А.;
·предоставлять сотрудникам ИП Линник Е.А. (за исключением администраторов ИС и ИБ) и третьим лицам доступ к своему АРМ;
·запускать на АРМ ПО, не входящее в Реестр разрешенного к использованию ПО;
·защищать информацию, способами, не согласованными с назначенным приказом руководителя организации сотрудником заранее;
·самостоятельно подключать рабочую станцию и прочие технические средства к корпоративной ИС ИП Линник Е.А.;
·осуществлять поиск средств и путей повреждения, уничтожения технических средств и ресурсов ИС или осуществлять попытки несанкционированного доступа к ним;
·использовать для выполнения служебных обязанностей локальные (не доменные) учетные записи АРМ.
Информация о посещаемых ресурсах ИС протоколируется и, при необходимости, может быть представлена ИП Линник Е.А.
Все электронные сообщения и документы в электронном виде, передаваемые посредством ИС ИП Линник Е.А., подлежат обязательной проверке на отсутствие вредоносного ПО.
6.7.3.Использование ресурсов локальной сети
Для выполнения своих служебных обязанностей каждый сотрудник обеспечивается доступом к соответствующим информационным ресурсам. Информационными ресурсами являются каталоги и файлы, хранящиеся на дисках серверов ИП Линник Е.А., базы данных, электронная почта.
Основными рабочими каталогами являются личные каталоги сотрудников и каталоги подразделений, созданные в соответствии с особенностями их работы. Доступ сотрудников к ресурсам сети осуществляется согласно матрице доступа. Временное расширение прав доступа осуществляется назначенным приказом руководителя организации сотрудником ИП Линник Е.А. в соответствии с Порядком предоставления (изменения) полномочий пользователя.
6.7.4.Обработка конфиденциальной информации
При обработке конфиденциальной информации сотрудники обязаны:
·знать и выполнять требования Инструкции по работе с конфиденциальной информацией;
·при необходимости размещать конфиденциальную информацию на открытом ресурсе корпоративной сети ИП Линник Е.А. применять средства защиты от неавторизованного доступа;
·размещать экран монитора таким образом, чтобы исключить просмотр обрабатываемой информации посторонними лицами;
·не отправлять на печать конфиденциальные документы, если отсутствует возможность контроля вывода на печать и изъятия отпечатанных документов из принтера сразу по окончании печати;
·обязательно проверять адреса получателей электронной почты на предмет правильности их выбора;
·не запускать исполняемые файлы на съемных накопителях, полученные не из доверенного источника;
·не передавать конфиденциальную информацию по открытым каналам связи, кроме сетей корпоративной ИС;
не оставлять без личного присмотра на рабочем месте или где бы то ни было электронные носители информации (СD/DVD - диски, Flash - устройства и пр.), а также распечатки из принтера или бумажные копии документов, содержащие конфиденциальную информацию.
Основными пользователями информации в информационной системе ИП Линник Е.А. являются сотрудники структурных подразделений. Уровень полномочий каждого пользователя определяется индивидуально. Каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходимо работать в соответствии с должностными обязанностями.
Допуск пользователей к работе с информационными ресурсами должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем должны производиться в установленном порядке, согласно регламенту предоставления доступа пользователей.
Каждому пользователю, допущенному к работе с конкретным информационным активом ИП Линник Е.А., должно быть сопоставлено персональное уникальное имя (учётная запись пользователя), под которым он будет регистрироваться и работать с ИС.
В случае производственной необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имён (учётных записей).
Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).
В общем случае запрещено создавать и использовать общую пользовательскую учётную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство), использование общей учётной записи должно сопровождаться отметкой в журнале учёта машинного времени, которая должна однозначно идентифицировать текущего владельца учётной записи в каждый момент времени. Одновременное использование одной общей пользовательской учётной записи разными пользователями запрещено.
Регистрируемые учётные записи подразделяются на:
·Пользовательские – предназначенные для аутентификации пользователей ИР ИП Линник Е.А.;
·Системные - используемые для нужд операционной системы;
·Служебные - предназначенные для функционирования отдельных процессов или приложений.
Системные учётные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.
Служебные учётные записи используются только для запуска и работы сервисов или приложений.
Использование системных или служебных учётных записей для регистрации пользователей в системе категорически запрещено.
Процедуры регистрации и блокирования учётных записей пользователей должны применяться с соблюдением следующих правил:
·использование уникальных идентификаторов (ID) пользователей для однозначного определения и сопоставления личности с совершёнными ей действиями;
·использование групповых ID разрешать только в случае, если это необходимо для выполнения задачи;
·предоставление и блокирование прав должны быть санкционированы и документированы;
·предоставление прав доступа к ИР, только после согласования с владельцем данного ИР;
·регистрация и блокирование учётных записей допускается с отдельного разрешения руководства ИП Линник Е.А.;
·уровень предоставленных полномочий должен соответствовать производственной необходимости и настоящей Политике и не ставить под угрозу разграничение режимов работы;
·согласование изменения прав доступа с назначенным приказом руководителя организации сотрудником;
·документальная фиксация назначенных пользователю прав доступа;
·ознакомление пользователей под подпись с письменными документами, в которых регламентируются их права доступа;
·предоставление доступа с момента завершения процедуры регистрации;
·обеспечение создания и поддержания формального списка всех пользователей, зарегистрированных для работы с ИР или сервисом;
·немедленное удаление или блокирование прав доступа пользователей, сменивших должность, форму занятости или уволившихся из ИП Линник Е.А.;
·аудит ID и учетных записей пользователей на наличие неиспользуемых, их удаление и блокировка;
·обеспечение того, чтобы лишние ID пользователей не были доступны другим пользователям;
·обеспечить возможность предоставления пользователям доступа в соответствии с их должностями, основанными на производственных требованиях, путем суммирования некоторого числа прав доступа в типовые профили доступа пользователей.
6.6.1.Управление привилегиями
Доступ сотрудника к ИР ИП Линник Е.А. должен быть санкционирован ИП Линник Е.А., и владельцами соответствующих информационных ресурсов. Управление доступом осуществляется в соответствии с установленными процедурами.
Наделение привилегиями и их использование должно быть строго ограниченным и управляемым. Распределение привилегий должно управляться с помощью процесса регистрации этих привилегий. Должны быть рассмотрены следующие этапы:
·должны быть идентифицированы привилегии доступа, связанные с каждым системным продуктом, например, с операционной системой, системой управления базой данных и каждым приложением, а также пользователи, которым они должны быть предоставлены;
·привилегии должны предоставляться пользователям на основании «производственной необходимости» и только на период времени, необходимый для достижения поставленных целей, например, привилегии, минимально необходимые для выполнения их функциональных обязанностей, только тогда, когда эти привилегии необходимы;
·должен быть обеспечен процесс санкционирования всех предоставленных привилегий и создание отчетов по ним, привилегии нельзя предоставлять до завершения процесса их регистрации;
·уникальные привилегии должны присваиваться на другой ID пользователя, не тот, который используется при обычной работе пользователя.
Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам ИП Линник Е.А. осуществляется в процессе аудита ИБ в соответствии с Правилами аудита ИБ и установленными процедурами.
6.6.2.Управление паролями
Пароли – средство проверки личности пользователя для доступа к ИС или сервису, обеспечивающее идентификацию и аутентификацию на основе сведений, известных только пользователю.
Предоставление паролей должно контролироваться посредством официальной процедуры, отвечающей следующим требованиям:
·все пользователи должны быть ознакомлены под роспись с требованием сохранения в тайне личных и групповых паролей;
·при наличии возможности, необходимо настроить систему таким образом, чтобы при первом входе пользователя с назначенным ему временным паролем система сразу же требовала его сменить;
·временные пароли должны назначаться пользователю только после его идентификации;
·необходимо избегать передачи паролей с использованием третьих лиц или незашифрованной электронной почтой;
·временные пароли не должны быть угадываемыми и повторяющимися от пользователя к пользователю;
·пользователь должен подтвердить получение пароля;
·пароли должны храниться в электронном виде только в защищенной форме;
·назначенные производителем ПО пароли должны быть изменены сразу после завершения инсталляции;
·необходимо установить требования к длине пароля, набору символов и числу попыток ввода;
·необходимо изменять пароля пользователя не реже одного раза в 90 дней.
При необходимости можно рассмотреть возможность использования других технологий идентификации и аутентификации пользователей, в частности, биометрических технологий, проверки подписи и аппаратных средств (смарт-карты, е-Тоkеn/ruТоkеn, чипы и т.п.).
6.6.3.Контроль прав доступа
Чтобы обеспечить эффективный контроль доступа необходимо ввести официальный процесс регулярной проверки прав доступа пользователей, отвечающий следующим требованиям:
·права доступа пользователей должны проверяться через регулярные интервалы (не реже одного раза в полгода), а также после внесения каких-либо изменений в ИС;
·права доступа пользователей должны проверяться и переназначаться при изменении их должностных обязанностей в ИП Линник Е.А., а также при переходе с одной работы на другую в пределах ИП Линник Е.А.;
·проверка прав пользователей, имеющих особые привилегии для доступа в систему, должна проводиться чаще (не реже одного раза в 3 месяца);
·необходимо регулярно проверять адекватность назначенных привилегий, во избежание получения кем-либо из пользователей излишних прав;
·изменение привилегированных учетных записей должно протоколироваться.
Контроль над выполнением процедур управления доступом пользователей должен включать:
·контроль над добавлением, удалением и изменением идентификаторов, аутентификационных данных и иных объектов идентификации;
·проверку подлинности пользователей перед сменой паролей;
·немедленное блокирование прав доступа при увольнении;
·блокирование учётных записей, неактивных более 45 дней;
·включение учётных записей, используемых поставщиками для удалённой поддержки, только на время выполнения работ;
·отслеживание удалённых учётных записей, используемых поставщиками, во время работ;
·предотвращение повторного использования идентификатора пользователя и (или) устройства в течение не менее трёх лет;
·ознакомление с правилами и процедурами аутентификации всех пользователей, имеющих доступ к сведениям ограниченного распространения;
·использование механизмов аутентификации при доступе к любой базе данных, содержащей сведения ограниченного распространения, в том числе доступе со стороны приложений, администраторов и любых других пользователей;
·разрешение запросов и прямого доступа к базам данных только для администраторов баз данных;
·блокирование учётной записи на период равный 30 минутам или до разблокировки учётной записи администратором;
·блокирование учетных записей пользователей при выявлении по результатам мониторинга (просмотра, анализа) журналов регистрации событий безопасности действий пользователей, которые отнесены оператором к событиям нарушения безопасности информации.
6.6.4.Использование паролей
Идентификатор и пароль пользователя в ИС являются учётными данными, на основании которых сотруднику ИП Линник Е.А. предоставляются права доступа, протоколируются производимые им в системе действия и обеспечивается режим конфиденциальности, обрабатываемой (создаваемой, передаваемой и хранимой) сотрудником информации.
Не допускается использование различными пользователями одних и тех же учётных данных.
Первоначальное значение пароля учетной записи пользователя устанавливает назначенный приказом руководителя организации сотрудник.
Личные пароли устанавливаются первый раз назначенным приказом руководителя организации сотрудником. После первого входа в систему и в дальнейшем пароли выбираются пользователями автоматизированной системы самостоятельно с учетом следующих требований:
·длина пароля должна быть не менее 8 символов;
·в числе символов пароля должны присутствовать три из четырёх видов символов:
oбуквы в верхнем регистре;
oбуквы в нижнем регистре;
oцифры;
o специальные символы (! @ # $ % ^ & * ( ) - _ + = ~ [ ] { } | \ : ; ' " < > , . ? /);
·пароль не должен содержать легко вычисляемые сочетания символов, например,
oимена, фамилии, номера телефонов, даты;
oпоследовательно расположенные на клавиатуре символы («12345678», «QWERTY», и т.д.);
oобщепринятые сокращения («USER», «ТЕSТ» и т.п.);
oповседневно используемое слово, например, имена или фамилии друзей, коллег, актёров или сказочных персонажей, клички животных;
oкомпьютерный термин, команда, наименование компаний, web сайтов, аппаратного или программного обеспечения;
oчто-либо из вышеперечисленного в обратном написании;
oчто-либо из вышеперечисленного с добавлением цифр в начале или конце;
·при смене пароля значение нового должно отличаться от предыдущего не менее чем в 4 позициях;
·для различных ИС необходимо устанавливать собственные, отличающиеся пароли.
·Сотруднику рекомендуется выбирать пароль с помощью следующей процедуры:
·выбрать фразу, которую легко запомнить. Например, «Три мудреца в одном тазу пустились по морю в грозу»;
·Выбрать первые буквы из каждого слова «тмвотппмвг»;
·Набрать полученную последовательность, переключившись на английскую раскладку клавиатуры: «nvdjnggvdu»;
·Выбрать номер символа, который будет записываться в верхнем регистре и после которого будет специальный символ. Например, это будет пятый символ, а в качестве специального символа выбран «#». Получаем: «nvdjN#ggvdu».
Сотруднику запрещается:
·сообщать свой пароль кому-либо;
·указывать пароль в сообщениях электронной почты;
·хранить пароли, записанные на бумаге, в легко доступном месте;
·использовать тот же самый пароль, что и для других систем (например, домашний интернет провайдер, бесплатная электронная почта, форумы и т.п.);
·использовать один и тот же пароль для доступа к различным корпоративным ИС.
Вход пользователя в систему не должен выполняться автоматически. Покидая рабочее место, пользователь обязан заблокировать компьютер (используя комбинации Win + «L» или Сtrl + Аlt + Delete → «Блокировать компьютер»).
Сотрудник обязан:
·в случае подозрения на то, что пароль стал кому-либо известен, поменять пароль и сообщить о факте компрометации назначенному приказом руководителя организации сотруднику;
·немедленно сообщить назначенному приказом руководителя организации сотруднику в случае получения от кого-либо просьбы сообщить пароль;
·менять пароль каждые 90 дней;
·менять пароль по требованию назначенного приказом руководителя организации сотрудника.
После 20 неудачных попыток ввода пароля учётная запись блокируется на 10 минут. При систематической блокировке учётной записи работником (более 3 раз) назначенный приказом руководителя организации сотрудник.
ИП Линник Е.А. оставляет за собой право:
·осуществлять периодическую проверку стойкости паролей пользователей, используемых сотрудниками для доступа к ИС;
·принимать меры дисциплинарного характера к сотрудникам, нарушающим положения настоящей политики.
6.6.5.Пользовательское оборудование, оставляемое без присмотра
Пользователи должны обеспечивать необходимую защиту оборудования, остающегося без присмотра. Все пользователи должны быть осведомлены о требованиях ИБ и правилах защиты остающегося без присмотра оборудования, а также о своих обязанностях по обеспечению этой защиты.
6.6.6.Политика чистого стола
Сотрудники ИП Линник Е.А. обязаны:
·сохранять известные им пароли в тайне;
·закрывать активные сеансы по завершении работы, если только их нельзя защитить подходящим блокирующим механизмом, например, защищённый паролем хранитель экрана;
·по завершении сеанса выходить из системы у универсальных ЭВМ, серверов и офисных ПК.
Запрещается вести запись паролей (например, на бумаге, в программном файле или в карманном устройстве), за исключением случаев, когда запись может храниться безопасно, а метод хранения был утверждён.
Документы и носители с конфиденциальной информацией должны убираться в запираемые места (сейфы, шкафы и т.п.), особенно при уходе с рабочего места.
Компьютеры и терминалы должны быть оставлены в состоянии выполненного выхода из системы, когда они находятся без присмотра.
Вход пользователя в систему не должен выполняться автоматически. Покидая рабочее место, пользователь обязан заблокировать компьютер (используя комбинации Win + «L» или Сtrl + Аlt + Delete → «Блокировать компьютер»).
Документы, содержащие конфиденциальную информацию, должны изыматься из печатающих устройств немедленно.
В конце рабочего дня сотрудник должен привести в порядок письменный стол и убрать все офисные документы в запираемый шкаф или сейф.
Для утилизации конфиденциальных документов, должны использоваться уничтожители бумаги.
По окончании рабочего дня и в случае длительного отсутствия на рабочем месте необходимо запирать на замок все шкафы и сейфы.
6.6.7.Мобильное компьютерное оборудование
При использовании мобильных средств (например, ноутбуков, планшетов и мобильных телефонов) необходимо соблюдать особые меры предосторожности, чтобы не допустить компрометацию информации, принадлежащей ИП Линник Е.А. Необходимо принять официальную политику, учитывающую риск, связанный с использованием мобильных компьютеров, и, в частности, с работой в незащищённой среде.
6.7.Политика допустимого использования информационных ресурсов
Общие обязанности пользователя:
·при работе с ПО руководствоваться нормативной документацией (руководством пользователя);
·обращаться в службу поддержки пользователей или к специалистам, назначенными ответственными за системное администрирование и информационную безопасность, по всем техническим вопросам, связанным с работой в корпоративной ИС (подключение к корпоративной ИС / домену, инсталляция и настройка ПО, удаление вирусов, предоставление доступа в сеть Интернет и к внутренним сетевым ресурсам, ремонт и техническое обслуживание и т.п.), а также за необходимой методологической/консультационной помощью по вопросам применения технических и программных средств корпоративной ИС;
·знать признаки правильного функционирования установленных программных продуктов и средств защиты информации;
·минимизировать вывод на печать обрабатываемой информации.
Пользователю запрещено производить несанкционированное распространение справочной информации, которая становится доступна при подключении к корпоративной ИС ИП Линник Е.А.
6.7.1.Использование ПО
На АРМ ИП Линник Е.А. допускается использование только лицензионного программного обеспечения, утверждённого в перечне разрешённого программного обеспечения.
Запрещено незаконное хранение на жестких дисках АРМ ИП Линник Е.А. информации, являющейся объектом авторского права (ПО, фотографии, музыкальные файлы, игры, и т.д.).
Решение о приобретении и установке программного обеспечения, необходимого для реализации задач ИП Линник Е.А. принимает Линник Елена Анатольевна лично.
Документы, подтверждающие покупку программного обеспечения, хранятся в бухгалтерии на протяжении всего времени использования лицензии, копии указанных документов вместе с лицензионными соглашениями на ПО, ключами защиты ПО и дистрибутивами хранятся в бухгалтерии.
Пользователи АРМ не имеют права удалять, изменять, дополнять, обновлять программную конфигурацию на АРМ ИП Линник Е.А. Указанные работы, а также работы по установке, регистрации и активации приобретённого лицензионного ПО могут быть выполнены только назначенным приказом руководителя организации сотрудником.
Сведения о вновь приобретённом программном обеспечении должны быть внесены в перечень разрешённого программного обеспечения.
6.7.2.Использование АРМ и ИС
К работе в ИС ИП Линник Е.А. допускаются лица, назначенные на соответствующую должность и прошедшие инструктаж по вопросам информационной безопасности.
Каждому сотруднику ИП Линник Е.А., которому необходим доступ к ИР в рамках его должностных обязанностей, выдаются под роспись необходимые средства автоматизации. Ответственность по установке и поддержке всех компьютерных систем, функционирующих в ИП Линник Е.А., возложена на назначенного приказом руководителя организации сотрудника.
Каждый сотрудник ИП Линник Е.А., обеспеченный АРМ, получает персональное сетевое имя, пароль, адрес электронной почты и личный каталог в сети, который предназначен для хранения рабочих файлов.
Работа в ИС сотрудникам разрешена только на закреплённых за ними АРМ, в определённое время и только с разрешенным программным обеспечением и сетевыми ресурсами.
Все АРМ, установленные в ИП Линник Е.А., имеют унифицированный набор офисных программ, предназначенных для получения, обработки и обмена информацией, определённый в стандарте рабочих мест ИП Линник Е.А. Изменение установленной конфигурации возможно после внесения соответствующих поправок в стандарт рабочих мест или по служебной записке, согласованной с назначенным приказом руководителя организации сотрудником. Комплектация персональных компьютеров аппаратными и программными средствами, а также расположение компьютеров контролируется назначенным приказом руководителя организации сотрудником.
Самостоятельная установка программного обеспечения на АРМ запрещена. Установка и удаление любого программного обеспечения производится только назначенным приказом руководителя организации сотрудником.
В случае обнаружения неисправности компьютерного оборудования или программного обеспечения, пользователь должен обратиться к назначенному приказом руководителя организации сотруднику.
Назначенный приказом руководителя организации сотрудник имеет право осуществлять контроль над установленным на компьютере программным обеспечением, и принимать меры по ограничению возможностей несанкционированной установки программ.
Передача документов внутри ИП Линник Е.А. производится только посредством общих папок, а также средствами электронной почты.
При работе в ИС ИП Линник Е.А. сотрудник обязан:
·знать и выполнять требования внутренних организационно-распорядительных документов ИП Линник Е.А.;
·использовать ИС и АРМ ИП Линник Е.А. исключительно для выполнения своих служебных обязанностей;
·ставить в известность назначенного приказом руководителя организации сотрудника о любых фактах нарушения требований ИБ;
·ставить в известность назначенного приказом руководителя организации сотрудника о любых фактах сбоев ПО, некорректного завершения значимых операций, а также повреждения технических средств;
·незамедлительно выполнять предписания назначенного приказом руководителя организации сотрудника ИП Линник Е.А.
·предоставлять АРМ назначенному приказом руководителя организации сотруднику для контроля;
·при необходимости прекращения работы на некоторое время корректно закрывать все активные задачи, блокировать АРМ;
·в случае необходимости продолжения работы по окончании рабочего дня проинформировать об этом назначенного приказом руководителя организации сотрудника.
При использовании ИС ИП Линник Е.А. запрещено:
·использовать АРМ и ИС в личных целях;
·отключать средства управления и средства защиты, установленные на рабочей станции;
·передавать:
oконфиденциальную информацию за исключением случаев, когда это входит в служебные обязанности и способ передачи является безопасным, согласованным с назначенным приказом руководителя организации сотрудником;
oинформацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также ссылки на вышеуказанные объекты;
oугрожающую, клеветническую, непристойную информацию;
·самовольно вносить изменения в конструкцию, конфигурацию, размещение АРМ и других узлов ИС ИП Линник Е.А.;
·предоставлять сотрудникам ИП Линник Е.А. (за исключением администраторов ИС и ИБ) и третьим лицам доступ к своему АРМ;
·запускать на АРМ ПО, не входящее в Реестр разрешенного к использованию ПО;
·защищать информацию, способами, не согласованными с назначенным приказом руководителя организации сотрудником заранее;
·самостоятельно подключать рабочую станцию и прочие технические средства к корпоративной ИС ИП Линник Е.А.;
·осуществлять поиск средств и путей повреждения, уничтожения технических средств и ресурсов ИС или осуществлять попытки несанкционированного доступа к ним;
·использовать для выполнения служебных обязанностей локальные (не доменные) учетные записи АРМ.
Информация о посещаемых ресурсах ИС протоколируется и, при необходимости, может быть представлена ИП Линник Е.А.
Все электронные сообщения и документы в электронном виде, передаваемые посредством ИС ИП Линник Е.А., подлежат обязательной проверке на отсутствие вредоносного ПО.
6.7.3.Использование ресурсов локальной сети
Для выполнения своих служебных обязанностей каждый сотрудник обеспечивается доступом к соответствующим информационным ресурсам. Информационными ресурсами являются каталоги и файлы, хранящиеся на дисках серверов ИП Линник Е.А., базы данных, электронная почта.
Основными рабочими каталогами являются личные каталоги сотрудников и каталоги подразделений, созданные в соответствии с особенностями их работы. Доступ сотрудников к ресурсам сети осуществляется согласно матрице доступа. Временное расширение прав доступа осуществляется назначенным приказом руководителя организации сотрудником ИП Линник Е.А. в соответствии с Порядком предоставления (изменения) полномочий пользователя.
6.7.4.Обработка конфиденциальной информации
При обработке конфиденциальной информации сотрудники обязаны:
·знать и выполнять требования Инструкции по работе с конфиденциальной информацией;
·при необходимости размещать конфиденциальную информацию на открытом ресурсе корпоративной сети ИП Линник Е.А. применять средства защиты от неавторизованного доступа;
·размещать экран монитора таким образом, чтобы исключить просмотр обрабатываемой информации посторонними лицами;
·не отправлять на печать конфиденциальные документы, если отсутствует возможность контроля вывода на печать и изъятия отпечатанных документов из принтера сразу по окончании печати;
·обязательно проверять адреса получателей электронной почты на предмет правильности их выбора;
·не запускать исполняемые файлы на съемных накопителях, полученные не из доверенного источника;
·не передавать конфиденциальную информацию по открытым каналам связи, кроме сетей корпоративной ИС;
не оставлять без личного присмотра на рабочем месте или где бы то ни было электронные носители информации (СD/DVD - диски, Flash - устройства и пр.), а также распечатки из принтера или бумажные копии документов, содержащие конфиденциальную информацию.
6.7.5.Использование электронной почты
Электронная почта используется для обмена в рамках ИС ИП Линник Е.А. и общедоступных сетей информацией в виде электронных сообщений и документов в электронном виде.
Для обеспечения функционирования электронной почты допускается применение ПО, входящего в реестр разрешённого к использованию ПО.
При работе с корпоративной электронной почтой ИП Линник Е.А. пользователь должен учитывать:
·электронная почта не является средством гарантированной доставки отправленного сообщения до адресата;
·электронная почта не является средством передачи информации, гарантирующим конфиденциальность передаваемой информации (передачу конфиденциальной информации вне локальной сети ИП Линник Е.А. необходимо осуществлять только в зашифрованном виде);
·электронная почта не является средством передачи информации, гарантированно идентифицирующим отправителя сообщения.
Организацией и обеспечением порядка работы электронной почты в ИП Линник Е.А. занимается назначенный приказом руководителя организации сотрудник.
Каждый сотрудник ИП Линник Е.А. получает почтовый адрес видаname@incolink.ru в домене incolink.ru. Адрес электронной почты выдаётся назначенным приказом руководителя организации сотрудником при начальной регистрации пользователя в домене ИП Линник Е.А.
Корпоративная электронная почта ИП Линник Е.А. предназначена исключительно для использования в служебных целях.
Функционирование электронной почты обеспечивается оборудованием, каналами связи и иными ресурсами, принадлежащими ИП Линник Е.А. Все почтовые сообщения, переданные или принятые с использованием корпоративной электронной почты, принадлежат ИП Линник Е.А. и являются неотъемлемой частью его производственного процесса.
Любые сообщения корпоративной электронной почты могут быть прочитаны, использованы в интересах ИП Линник Е.А. либо удалены уполномоченными сотрудниками ИП Линник Е.А.
Пользователям корпоративной электронной почты ИП Линник Е.А. запрещено вести частную переписку с использованием средств корпоративной электронной почты ИП Линник Е.А. К частной переписке относится переписка, не связанная с исполнением сотрудником своих должностных обязанностей.
Использование корпоративной электронной почты ИП Линник Е.А. для частной переписки сотрудником, надлежащим образом, ознакомленным с данной Политикой, является нарушением трудовой дисциплины ИП Линник Е.А. Подписываясь в ознакомлении с настоящей Политикой, сотрудник даёт согласие на ознакомление и иное использование в интересах ИП Линник Е.А. его переписки, осуществляемой с использованием корпоративной электронной почты, и соглашается с тем, что любое использование его переписки, осуществляемой с использованием корпоративной электронной почты, не может рассматриваться как нарушение тайны связи.
Каждый сотрудник ИП Линник Е.А. имеет право на просмотр либо иное использование в интересах ИП Линник Е.А. сообщений корпоративной электронной почты, которые направлены или получены им, соответственно, с его или на его корпоративный электронный адрес.
Использование сообщений корпоративной электронной почты осуществляется уполномоченными сотрудниками ИП Линник Е.А. в соответствии с их функциями, определёнными в данной Политике и в иных локальных нормативных актах ИП Линник Е.А. Просмотр и иное использование сообщений электронной почты в интересах ИП Линник Е.А. осуществляется сотрудниками ИП Линник Е.А. в целях обеспечения защиты конфиденциальных сведений, обеспечения нормальной работоспособности системы электронной почты, в рамках обслуживания сервисов электронной почты, при выполнении ручной пересылки сообщений, приходящих на корпоративные электронные адреса ИП Линник Е.А. сотрудникам или группам сотрудников, а также по мотивированным запросам прямых или непосредственных руководителей любых сотрудников, чью почту необходимо использовать в интересах ИП Линник Е.А.
Использование сообщений корпоративной электронной почты в интересах ИП Линник Е.А., в том числе ознакомление с содержанием сообщений, осуществляется в соответствии с правами доступа к информации, установленными внутренними Положениями о конфиденциальной информации и иными правовыми актами, регламентирующими порядок обращения с информацией ограниченного доступа.
Исходящие электронные сообщения сотрудников ИП Линник Е.А. должны содержать следующие поля:
·адрес получателя;
·тема электронного сообщения;
·текст электронного сообщения (вложенные файлы);
·подпись отправителя;
·предупреждение о служебном характере сообщения и его конфиденциальности.
Формат подписи отправителя:
С уважением,
<Фамилия имя>
<Должность>
<Структурное подразделение>
<Наименование ИП Линник Е.А.>
<Адрес>
<номера контактов: телефон, мессенджеры, адреса электронной почты>
<сайт>
Формат предупреждения о служебном характере сообщения и его конфиденциальности:
«Это электронное сообщение и любые документы, приложенные к нему, содержат конфиденциальную информацию. Настоящим уведомляем Вас о том, что если это сообщение не предназначено Вам, использование, копирование, распространение информации, содержащейся в настоящем сообщении, а также осуществление любых действий на основе этой информации, строго запрещено и защищается законодательством Российской Федерации. Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю по электронной почте и удалите это сообщение. CONFIDENTIALITY NOTICE: This email and any files attached to it are confidential. If you are not the intended recipient you are notified that using, copying, distributing or taking any action in reliance on the contents of this information is strictly prohibited and protected by the laws of the Russian Federation. If you have received this email in error please notify the sender and delete this email.»
При формировании ответов на полученные электронные сообщения можно использовать следующую упрощённую подпись:
С уважением,
<Фамилия имя>
<Номера телефонов, мессенджеры, адреса электронной почты>
В случае получения служебного сообщения о невозможности доставки сообщения адресату или получения извещения от адресата о том, что он не получил отправленное ему сообщение, необходимо связаться с назначенным приказом руководителя организации сотрудником.
Отказ от дальнейшего предоставления сотруднику ИП Линник Е.А. услуг электронной почты может быть вызван нарушениями требований настоящей политики.
Прекращение предоставления сотруднику ИП Линник Е.А. услуг электронной почты наступает при прекращении действия трудового договора (контракта) сотрудника.
6.7.6.Работа в сети
Доступ к сети Интернет предоставляется сотрудникам ИП Линник Е.А. в целях выполнения ими своих служебных обязанностей, требующих непосредственного подключения к внешним информационным ресурсам.
Для доступа сотрудников ИП Линник Е.А. к сети Интернет допускается применение ПО, входящего в Реестр разрешённого к использованию ПО.
При использовании сети Интернет необходимо:
·соблюдать требования настоящей Политики;
·использовать сеть Интернет исключительно для выполнения своих служебных обязанностей;
·ставить в известность назначенного приказом руководителя организации сотрудника о любых фактах нарушения требований настоящей Политики;
При использовании сети Интернет запрещено:
·использовать предоставленный ИП Линник Е.А. доступ в сеть Интернет в личных целях;
·использовать несанкционированные аппаратные и программные средства, позволяющие получить несанкционированный доступ к сети Интернет;
·совершать любые действия, направленные на нарушение нормального функционирования элементов ИС ИП Линник Е.А.;
·публиковать, загружать и распространять материалы, содержащие:
oконфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в должностные обязанности и способ передачи является безопасным, согласованным с назначенным приказом руководителя организации сотрудником;
oугрожающую, клеветническую, непристойную информацию;
oвредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности любых аппаратных и программных средств, для осуществления несанкционированного доступа, а также ссылки на него;
oфальсифицировать свой IР- адрес, а также прочую служебную информацию.
ИП Линник Е.А. оставляет за собой право блокировать или ограничивать доступ пользователей к Интернет-ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены законодательством.
Блокирование и ограничение доступа пользователей к Интернет-ресурсам осуществляется на основе Регламента применения категорий Интернет-ресурсов.
Информация о посещаемых сотрудниками ИП Линник Е.А. Интернет-ресурсах протоколируется для последующего анализа и, при необходимости, может быть представлена руководителям структурных подразделений, а также руководству ИП Линник Е.А. для контроля.
Содержание Интернет-ресурсов, а также файлы, загружаемые из сети Интернет, подлежат обязательной проверке на отсутствие вредоносного ПО.
6.7.7.Использование мобильных устройств
Под использованием мобильных устройств и носителей информации в ИС ИП Линник Е.А. понимается их подключение к инфраструктуре ИС с целью обработки, приёма/передачи информации между ИС и мобильными устройствами, а также носителями информации.
На предоставленных ИП Линник Е.А. мобильных устройствах допускается использование ПО, входящего в Реестр разрешённого к использованию ПО.
К предоставленным ИП Линник Е.А. мобильным устройствам и носителям информации предъявляются те же требования ИБ, что и для стационарных АРМ. Целесообразность дополнительных мер обеспечения ИБ определяется назначенным приказом руководителя организации сотрудником.
При использовании предоставленных ИП Линник Е.А. мобильных устройств и носителей информации, сотрудник обязан:
·соблюдать требования настоящей Политики;
·использовать мобильные устройства и носители информации исключительно для выполнения своих служебных обязанностей;
·ставить в известность назначенного приказом руководителя организации сотрудника о любых фактах нарушения требований настоящей Политики;
·эксплуатировать и транспортировать мобильные устройства и носители информации в соответствии с требованиями производителей;
·обеспечивать физическую безопасность мобильных устройств и носителей информации всеми разумными способами;
·извещать назначенного приказом руководителя организации сотрудника о фактах утраты (кражи) мобильных устройств и носителей информации.
При использовании предоставленных сотрудникам ИП Линник Е.А. мобильных устройств и носителей информации запрещено:
·использовать мобильные устройства и носители информации в личных целях;
·передавать мобильные устройства и носители информации другим лицам (за исключением администраторов ИС и ИБ);
·оставлять мобильные устройства и носители информации без присмотра, если не предприняты действия по обеспечению их физической безопасности.
Любое взаимодействие (обработка, приём/передача информации), инициированное сотрудником ИП Линник Е.А. между ИС и неучтёнными (личными) мобильным и устройствами, а также носителями информации, рассматривается как несанкционированное (за исключением случаев, оговорённых с администраторами ИС заранее). ИП Линник Е.А. оставляет за собой право блокировать или ограничивать использование таких устройств и носителей информации;
Информация об использовании сотрудниками ИП Линник Е.А. мобильных устройств и носителей информации в ИС протоколируется и, при необходимости, может быть представлена Руководителям структурных подразделений, а также руководству ИП Линник Е.А.
Информация, хранящаяся на предоставляемых ИП Линник Е.А. мобильных устройствах и носителях информации, подлежит обязательной проверке на отсутствие вредоносного ПО.
В случае увольнения, предоставленные ему мобильные устройства и носители информации изымаются.
6.7.8.Защита от вредоносного ПО
Назначенный приказом руководителя организации сотрудник регулярно проверяет сетевые ресурсы ИП Линник Е.А. антивирусным программным обеспечением и обеспечивает защиту входящей электронной почты от проникновения вирусов и другого вредоносного ПО.
При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление о системных ошибках, увеличение исходящего/входящего трафика и т.п.) сотрудник ИП Линник Е.А. должен незамедлительно оповестить об этом назначенного приказом руководителя организации сотрудника. После чего администратор ИБ должен провести внеочередную полную проверку на вирусы рабочей станции пользователя, проверив, в первую очередь, работоспособность антивирусного ПО.
В случае обнаружения при проведении антивирусной проверки заражённых компьютерными вирусами файлов сотрудники подразделений обязаны:
·приостановить работу;
·немедленно поставить в известность о факте обнаружения заражения назначенного приказом руководителя организации сотрудника, а также владельца файла и смежные подразделения, использующие эти файлы в работе.
·совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования.
Для предупреждения вирусного заражения рекомендуется:
•никогда не открывать файлы и не выполнять макросы, полученные в почтовых сообщениях от неизвестного или подозрительного отправителя. Удалять подозрительные вложения, не открывая их, и очищать корзину, где хранятся удаленные сообщения;
•удалять спам, рекламу и другие бесполезные сообщения;
•никогда не загружать файлы и программное обеспечение из подозрительных или неизвестных источников;
·периодически резервировать важные данные и системную конфигурацию, хранить резервные копии в безопасном месте.
6.8.Приобретение, разработка и обслуживание систем
6.8.1.Требования безопасности для информационных систем
При описании требований к созданию новых систем или к усовершенствованию существующих необходимо учитывать потребность в средствах обеспечения безопасности.
Требования к безопасности и средства защиты должны соответствовать ценности используемых ИР и потенциальному ущербу для ИП Линник Е.А. в случае сбоя или нарушения безопасности. Основой для анализа требований к безопасности и выбору мер для поддержки безопасности является оценка рисков и управление рисками.
Системные требования к ИБ и процессам, обеспечивающим защиту информации, должны быть включены на ранних стадиях проектирования ИС.
6.8.2.Корректная обработка информации
Данные, вводимые в прикладные системы, необходимо проверять, чтобы гарантировать их правильность и соответствие поставленной задаче.
6.8.3.Криптографические средства
Все, поступающие в ИП Линник Е.А., СКЗИ должны быть учтены в соответствующем журнале поэкземплярного учёта СКЗИ.
В ИП Линник Е.А. должно осуществляться управление ключами для эффективного применения криптографических методов. Компрометация или потеря криптографических ключей может привести к нарушению конфиденциальности, подлинности и/или целостности информации.
Все ключи должны быть защищены от изменения, утери и уничтожения. Кроме того, секретные и закрытые ключи должны быть защищены от несанкционированного раскрытия. Оборудование, используемое для генерации, хранения и архивирования ключей должно быть физически защищено.
Соглашения с внешними поставщиками криптографических услуг (например, удостоверяющими центрами) об уровне предоставляемого сервиса должны охватывать вопросы ответственности, надёжности сервиса и времени реакции при предоставлении сервиса.
Криптографические системы и методы следует использовать для защиты конфиденциальной информации, когда другие средства контроля не обеспечивают адекватной защиты.
Для критической информации должно использоваться шифрование при их хранении в базах данных или передаче по коммерческим или открытым сетям, таким как Интернет. Шифрование любой другой информации в ИС ИП Линник Е.А. должно осуществляться только после получения письменного разрешения на это.
СКЗИ должны поставляться разработчиками с полным комплектом эксплуатационной документации, включающей описание ключевой системы, правила работы с ней и обоснование необходимого организационно-штатного обеспечения.
Порядок применения СКЗИ определяется руководством ИП Линник Е.А. и должен включать:
·порядок ввода в действие, включая процедуры встраивания СКЗИ в ИС;
·порядок эксплуатации;
·порядок восстановления работоспособности в аварийных случаях;
·порядок внесения изменений;
·порядок снятия с эксплуатации;
·порядок управления ключевой информацией;
·порядок обращения с ключевой информацией, включая действия при смене и компрометации ключей.
Для шифрования конфиденциальной информации минимально допустимой длинной ключа является 128 бит.
При использовании шифрования в ИС ИП Линник Е.А. должны применяться только утверждённые стандартные алгоритмы и сертифицированные ФСБ России продукты, их реализующие.
6.8.3.2.Электронные цифровые подписи
ЭЦП обеспечивают защиту аутентификации и целостности электронных документов.
ЭЦП могут применяться для любой формы документа, обрабатываемого электронным способом. ЭЦП должны быть реализованы при использовании криптографического метода, основывающегося на однозначно связанной паре ключей, где один ключ используется для создания подписи (секретный/личный ключ), а другой - для проверки подписи (открытый ключ).
Необходимо с особой тщательностью обеспечивать конфиденциальность личного ключа, который следует хранить в секрете, так как любой, имеющий к нему доступ, может подписывать документы (платежи, контракты), тем самым фальсифицируя подпись владельца ключа. Защиты целостности открытого ключа должна обеспечиваться при использовании сертификата открытого ключа.
Криптографические ключи, используемые для цифровых подписей, должны отличаться от тех, которые используются для шифрования.
При использовании ЭЦП, необходимо учитывать требования действующего законодательства Российской Федерации, определяющего условия, при которых цифровая подпись имеет юридическую силу.
6.8.3.3.Управление ключами
Управление криптографическими ключами важно для эффективного использования криптографических средств.
Любая компрометация или потеря криптографических ключей может привести к компрометации конфиденциальности, подлинности и/или целостности информации. Следует применять систему защиты для обеспечения использования в ИС ИП Линник Е.А. криптографических методов в отношении открытых ключей, где каждый пользователь имеет пару ключей, открытый ключ (который может быть показан любому) и личный ключ (который должен храниться в секрете). Методы с открытыми ключами должны использоваться для шифрования и для генерации цифровых подписей.
Ключи необходимо защищать от изменения и разрушения, а секретным и личным ключам необходима защита от неавторизованного раскрытия. Криптографические методы могут также использоваться для этой цели. Физическую защиту следует применять для защиты оборудования, используемого для изготовления, хранения и архивирования ключей.
Для безопасного взаимодействия с внешними пользователями ИС ИП Линник Е.А. необходимо использовать электронные сертификаты только из утверждённого списка сертифицированных центров.
Секретные ключи пользователей должны храниться так же, как и пароли. О любом подозрении на компрометацию секретного ключа пользователь должен немедленно доложить назначенному приказом руководителя организации сотруднику.
Необходимо, чтобы система обеспечения безопасности использования ключей основывалась на согласовании способов, процедур и безопасных методов для:
·генерации ключей при использовании различных криптографических систем и приложений;
·генерации и получения сертификатов открытых ключей;
·рассылки ключей, предназначенных пользователям, включая инструкции по их активации при получении;
·хранения ключей (при этом необходимо наличие инструкции авторизованным пользователям для получения доступа к ключам);
·смены или обновления ключей, включая правила порядка и сроков смены ключей;
·порядка действий в отношении скомпрометированных ключей;
·аннулирования ключей, в том числе способы аннулирования или дезактивации ключей, если ключи были скомпрометированы или пользователь уволился из организации (в этом случае ключи необходимо архивировать);
·восстановление ключей, которые были утеряны или испорчены, для рассекречивания зашифрованной информации;
·архивирования и резервного копирования ключей;
·разрушения ключей;
·регистрация ключей и аудита действий, связанных с управлением ключами.
Для уменьшения вероятности компрометации, для ключей необходимо определить даты начала и конца действия, чтобы их можно было использовать лишь в течении ограниченного периода времени, который зависит от обстоятельств использования криптографических средств, контроля и от степени риска раскрытия информации.
Может потребоваться наличие процедур обработки юридических запросов, касающихся доступа к криптографическим ключам, например, чтобы зашифрованная информация стала доступной в незашифрованном виде для доказательств в суде.
Необходимо обеспечивать защиту открытых ключей от угроз подделывания цифровой подписи и замены открытого ключа пользователя своим. Эта проблема решается с помощью сертификата открытых ключей. Сертификаты необходимо изготавливать таким способом, который однозначно связывал бы информацию, относящуюся к владельцу пары открытого/секретного ключей, с открытым ключом. Поэтом важно, чтобы процессу управления, в рамках которого формируются эти сертификаты, можно было доверять.
Соглашения с внешними поставщиками криптографических услуг (например, с удостоверяющими центрами) об уровне предоставляемого сервиса должны охватывать вопросы ответственности, надёжности сервиса и времени реакции при предоставлении сервиса.
6.8.4.Безопасность системных файлов
Чтобы свести к минимуму риск повреждения ИС, в ИП Линник Е.А. необходимо обеспечить контроль над внедрением ПО в рабочих системах.
Тестовые данные должны находиться под контролем и защитой. Для испытаний обычно требуются значительные объёмы тестовых данных, максимально близко соответствующие рабочим данным. Необходимо избегать использования рабочих баз данных, содержащих конфиденциальную информацию. Если эти базы всё же будут использоваться, то конфиденциальные данные должны быть удалены или изменены.
6.8.5.Безопасность процесса разработки и обслуживания систем
Чтобы свести к минимуму вероятность повреждения ИС ИП Линник Е.А., следует ввести строгий контроль над внесением изменений. Необходимо установить официальные правила внесения изменений. Эти правила должны гарантировать, что процедуры, связанные с безопасностью и контролем, не будут нарушены, что программисты, занимающиеся поддержкой, получат доступ только к тем частям системы, которые необходимы для их работы, и что для выполнения любого изменения требуется получить официальное разрешение и подтверждение.
После внесения изменений в ИС критичные для бизнес-процессов ИП Линник Е.А. приложения должны анализироваться и тестироваться, чтобы гарантировать отсутствие вредных последствий для безопасности ИП Линник Е.А.
Следует препятствовать внесению изменений в пакеты ПО, за исключением необходимых изменений. Все изменения должны строго контролироваться.
6.9. Управление инцидентами информационной безопасности
В ИП Линник Е.А. должна быть разработана и утверждена формальная процедура уведомления о происшествиях в области ИБ, а также процедура реагирования на такие происшествия, включающая в себя действия, которые должны выполняться при поступлении сообщений о происшествии.
Все сотрудники должны быть ознакомлены с процедурой уведомления, а в их обязанности должна входить максимально быстрая передача информации о происшествиях.
В дополнение к уведомлению о происшествиях ИБ и недостатках безопасности должен использоваться мониторинг систем, сообщений и уязвимостей для обнаружения инцидентов ИБ.
Цели управления инцидентами ИБ должны быть согласованы с руководством для учёта приоритетов ИП Линник Е.А. при обращении с инцидентами.
Необходимо создать механизмы, позволяющие оценивать и отслеживать типы инцидентов, их масштаб и связанные с ними затраты.
6.10.Управление непрерывностью и восстановлением
Необходимо разработать контролируемый процесс для обеспечения и поддержки непрерывности бизнес-процессов ИП Линник Е.А. Данный процесс должен объединять в себе основные элементы поддержки непрерывности бизнес-процессов.
В ИП Линник Е.А. должны быть разработаны и реализованы планы, которые позволят продолжить или восстановить операции и обеспечить требуемый уровень доступности информации в установленные сроки после прерывания или сбоя критически важных бизнес- процессов.
В каждом плане поддержки непрерывности бизнеса должны быть чётко указаны условия начала его исполнения и сотрудники, ответственные за выполнение каждого фрагмента плана. При появлении новых требований необходимо внести поправки в принятые планы действия в нештатных ситуациях.
Для каждого плана должен быть назначен определённый владелец. Правила действия в нештатных ситуациях, планы ручного аварийного восстановления и планы возобновления деятельности должны находиться в ведении владельцев соответствующих ресурсов или процессов, к которым они имеют отношение.
6.11.Соблюдение требований законодательства
Все значимые требования, установленные действующим законодательством, подзаконными актами и договорными отношениями, а также подход ИП Линник Е.А. к обеспечению соответствия этим требованиям должны быть явным образом определены, документированы и поддерживаться в актуальном состоянии.
Необходимо соблюдение регламентированного процесса, предупреждающего нарушение целостности, достоверности и конфиденциальности ИР, содержащих персональные данные, начиная от стадии сбора и ввода данных до их хранения. Персональные данные конкретного сотрудника и процесс их обработки должен быть открытым для этого сотрудника.
В ИП Линник Е.А. должны быть внедрены соответствующие процедуры для обеспечения соблюдения законодательных ограничений, подзаконных актов и контрактных обязательств по использованию материалов, охраняемых авторским правом, а также по использованию лицензионного ПО.
Важная документация ИП Линник Е.А. должна быть защищена от утери, уничтожения и фальсификации в соответствии с требованиями законодательства, подзаконных актов, контрактных обязательств и бизнес-требований.
Система хранения и обработки должна обеспечивать чёткую идентификацию записей и их периода хранения в соответствии с требованиями законов и нормативных актов. Эта система должна иметь возможность уничтожения записей по истечении периода хранения, если эти записи больше не требуются ИП Линник Е.А.
Криптографические средства должны использоваться в соответствии со всеми имеющимися соглашениями, законодательными и нормативными актами.
6.12.Аудит информационной безопасности
ИП Линник Е.А. должно проводить внутренние проверки СУИБ через запланированные интервалы времени.
Основные цели проведения таких проверок:
·оценка текущего уровня защищённости ИС;
·выявление и локализация уязвимостей в системе защиты ИС;
·анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ИР;
·оценка соответствия ИС требованиям настоящей Политики;
·выработка рекомендаций по совершенствованию СУИБ за счёт внедрения новых и повышения эффективности существующих мер защиты информации.
В число задач, решаемых при проведении проверок и аудитов СУИБ, входят:
·сбор и анализ исходных данных об организационной и функциональной структуре ИС, необходимых для оценки состояния ИБ;
·анализ существующей политики безопасности и других организационнораспорядительных документов по защите информации на предмет их полноты и эффективности, а также формирование рекомендаций по их разработке (или доработке);
·технико-экономическое обоснование механизмов безопасности;
·проверка правильности подбора и настройки средств защиты информации, формирование предложений по использованию существующих и установке дополнительных средств защиты для повышения уровня надёжности и безопасности ИС;
·разбор инцидентов ИБ и минимизация возможного ущерба от их проявления.
Руководство и сотрудники ИП Линник Е.А. при проведении у них аудита СУИБ обязаны оказывать содействие аудиторам и предоставлять всю необходимую для проведения аудита информацию.
6.13.Предоставление услуг сторонним организациям
6.13.1.Соглашения о предоставлении услуг
В соглашения о предоставлении услуг сторонним организациям должны быть включены требования безопасности, описание, объёмы и характеристики качества предоставляемых услуг.
6.13.2.Анализ предоставления услуг
Услуги, отчёты и записи, предоставляемые сторонним организациям, должны постоянно проверяться и анализироваться. В отношениях со сторонней организацией должны присутствовать следующие процессы:
·контроль объёма и качества услуг, оговоренных в соглашениях;
·предоставление сторонней организации информации об инцидентах ИБ, связанных с предоставляемыми услугами, и совместное изучение этой информации;
·анализ предоставленных сторонними организациями отчётов о предоставленных услугах;
·управление любыми обнаруженными проблемами.
6.13.3.Приёмка систем
В учреждении должен быть разработан и утверждён порядок приёмки новых ИС, обновления и новых версий ПО.
7.Ответственность
ИП Линник Е.А. определяет приоритетные направления деятельности в области обеспечения ИБ, меры по реализации настоящей Политики, утверждает списки объектов и сведений, подлежащих защите, а также осуществляет общее руководство обеспечением ИБ ИП Линник Е.А.
Ответственность за поддержание положений настоящей Политики в актуальном состоянии, создание, внедрение, координацию и внесение изменений в процессы СУИБ ИП Линник Е.А. лежит на назначенном приказом руководителя организации сотруднике.
Все руководители несут прямую ответственность за реализацию Политики и её соблюдение персоналом в соответствующих подразделениях.
Работники ИП Линник Е.А. несут персональную ответственность за соблюдение требований документов СУИБ и обязаны сообщать обо всех выявленных нарушениях в области информационной безопасности назначенному приказом руководителя организации сотруднику.
В трудовых договорах и должностных инструкциях работников устанавливается ответственность за сохранность служебной информации, ставшей известной в силу выполнения своих обязанностей.
Руководство ИП Линник Е.А. регулярно проводит совещания, посвящённые проблемам обеспечения информационной безопасности с целью формирования чётких указаний по этому вопросу, осуществления контроля их выполнения, а также оказания административной поддержки инициативам по обеспечению ИБ.
Нарушение требований нормативных актов ИП Линник Е.А. по обеспечению ИБ является чрезвычайным происшествием и будет служить поводом и основанием для проведения служебного расследования.
8.Контроль и пересмотр
Общий контроль состояния ИБ ИП Линник Е.А. осуществляется назначенным приказом руководителя организации сотрудником.
Текущий контроль соблюдения настоящей Политики осуществляет назначенный приказом руководителя организации сотрудник. Контроль осуществляется путем проведения мониторинга и менеджмента инцидентов ИБ ИП Линник Е.А., по результатам оценки ИБ, а также в рамках иных контрольных мероприятий.
Назначенный приказом руководителя организации сотрудник ежегодно пересматривает положения настоящей политики. Изменения и дополнения вносятся по инициативе назначенного приказом руководителя организации сотрудника или ИП Линник Е.А. и утверждаются ИП Линник Е.А.
Электронная почта используется для обмена в рамках ИС ИП Линник Е.А. и общедоступных сетей информацией в виде электронных сообщений и документов в электронном виде.
Для обеспечения функционирования электронной почты допускается применение ПО, входящего в реестр разрешённого к использованию ПО.
При работе с корпоративной электронной почтой ИП Линник Е.А. пользователь должен учитывать:
·электронная почта не является средством гарантированной доставки отправленного сообщения до адресата;
·электронная почта не является средством передачи информации, гарантирующим конфиденциальность передаваемой информации (передачу конфиденциальной информации вне локальной сети ИП Линник Е.А. необходимо осуществлять только в зашифрованном виде);
·электронная почта не является средством передачи информации, гарантированно идентифицирующим отправителя сообщения.
Организацией и обеспечением порядка работы электронной почты в ИП Линник Е.А. занимается назначенный приказом руководителя организации сотрудник.
Каждый сотрудник ИП Линник Е.А. получает почтовый адрес видаname@incolink.ru в домене incolink.ru. Адрес электронной почты выдаётся назначенным приказом руководителя организации сотрудником при начальной регистрации пользователя в домене ИП Линник Е.А.
Корпоративная электронная почта ИП Линник Е.А. предназначена исключительно для использования в служебных целях.
Функционирование электронной почты обеспечивается оборудованием, каналами связи и иными ресурсами, принадлежащими ИП Линник Е.А. Все почтовые сообщения, переданные или принятые с использованием корпоративной электронной почты, принадлежат ИП Линник Е.А. и являются неотъемлемой частью его производственного процесса.
Любые сообщения корпоративной электронной почты могут быть прочитаны, использованы в интересах ИП Линник Е.А. либо удалены уполномоченными сотрудниками ИП Линник Е.А.
Пользователям корпоративной электронной почты ИП Линник Е.А. запрещено вести частную переписку с использованием средств корпоративной электронной почты ИП Линник Е.А. К частной переписке относится переписка, не связанная с исполнением сотрудником своих должностных обязанностей.
Использование корпоративной электронной почты ИП Линник Е.А. для частной переписки сотрудником, надлежащим образом, ознакомленным с данной Политикой, является нарушением трудовой дисциплины ИП Линник Е.А. Подписываясь в ознакомлении с настоящей Политикой, сотрудник даёт согласие на ознакомление и иное использование в интересах ИП Линник Е.А. его переписки, осуществляемой с использованием корпоративной электронной почты, и соглашается с тем, что любое использование его переписки, осуществляемой с использованием корпоративной электронной почты, не может рассматриваться как нарушение тайны связи.
Каждый сотрудник ИП Линник Е.А. имеет право на просмотр либо иное использование в интересах ИП Линник Е.А. сообщений корпоративной электронной почты, которые направлены или получены им, соответственно, с его или на его корпоративный электронный адрес.
Использование сообщений корпоративной электронной почты осуществляется уполномоченными сотрудниками ИП Линник Е.А. в соответствии с их функциями, определёнными в данной Политике и в иных локальных нормативных актах ИП Линник Е.А. Просмотр и иное использование сообщений электронной почты в интересах ИП Линник Е.А. осуществляется сотрудниками ИП Линник Е.А. в целях обеспечения защиты конфиденциальных сведений, обеспечения нормальной работоспособности системы электронной почты, в рамках обслуживания сервисов электронной почты, при выполнении ручной пересылки сообщений, приходящих на корпоративные электронные адреса ИП Линник Е.А. сотрудникам или группам сотрудников, а также по мотивированным запросам прямых или непосредственных руководителей любых сотрудников, чью почту необходимо использовать в интересах ИП Линник Е.А.
Использование сообщений корпоративной электронной почты в интересах ИП Линник Е.А., в том числе ознакомление с содержанием сообщений, осуществляется в соответствии с правами доступа к информации, установленными внутренними Положениями о конфиденциальной информации и иными правовыми актами, регламентирующими порядок обращения с информацией ограниченного доступа.
Исходящие электронные сообщения сотрудников ИП Линник Е.А. должны содержать следующие поля:
·адрес получателя;
·тема электронного сообщения;
·текст электронного сообщения (вложенные файлы);
·подпись отправителя;
·предупреждение о служебном характере сообщения и его конфиденциальности.
Формат подписи отправителя:
С уважением,
<Фамилия имя>
<Должность>
<Структурное подразделение>
<Наименование ИП Линник Е.А.>
<Адрес>
<номера контактов: телефон, мессенджеры, адреса электронной почты>
<сайт>
Формат предупреждения о служебном характере сообщения и его конфиденциальности:
«Это электронное сообщение и любые документы, приложенные к нему, содержат конфиденциальную информацию. Настоящим уведомляем Вас о том, что если это сообщение не предназначено Вам, использование, копирование, распространение информации, содержащейся в настоящем сообщении, а также осуществление любых действий на основе этой информации, строго запрещено и защищается законодательством Российской Федерации. Если Вы получили это сообщение по ошибке, пожалуйста, сообщите об этом отправителю по электронной почте и удалите это сообщение. CONFIDENTIALITY NOTICE: This email and any files attached to it are confidential. If you are not the intended recipient you are notified that using, copying, distributing or taking any action in reliance on the contents of this information is strictly prohibited and protected by the laws of the Russian Federation. If you have received this email in error please notify the sender and delete this email.»
При формировании ответов на полученные электронные сообщения можно использовать следующую упрощённую подпись:
С уважением,
<Фамилия имя>
<Номера телефонов, мессенджеры, адреса электронной почты>
В случае получения служебного сообщения о невозможности доставки сообщения адресату или получения извещения от адресата о том, что он не получил отправленное ему сообщение, необходимо связаться с назначенным приказом руководителя организации сотрудником.
Отказ от дальнейшего предоставления сотруднику ИП Линник Е.А. услуг электронной почты может быть вызван нарушениями требований настоящей политики.
Прекращение предоставления сотруднику ИП Линник Е.А. услуг электронной почты наступает при прекращении действия трудового договора (контракта) сотрудника.
6.7.6.Работа в сети
Доступ к сети Интернет предоставляется сотрудникам ИП Линник Е.А. в целях выполнения ими своих служебных обязанностей, требующих непосредственного подключения к внешним информационным ресурсам.
Для доступа сотрудников ИП Линник Е.А. к сети Интернет допускается применение ПО, входящего в Реестр разрешённого к использованию ПО.
При использовании сети Интернет необходимо:
·соблюдать требования настоящей Политики;
·использовать сеть Интернет исключительно для выполнения своих служебных обязанностей;
·ставить в известность назначенного приказом руководителя организации сотрудника о любых фактах нарушения требований настоящей Политики;
При использовании сети Интернет запрещено:
·использовать предоставленный ИП Линник Е.А. доступ в сеть Интернет в личных целях;
·использовать несанкционированные аппаратные и программные средства, позволяющие получить несанкционированный доступ к сети Интернет;
·совершать любые действия, направленные на нарушение нормального функционирования элементов ИС ИП Линник Е.А.;
·публиковать, загружать и распространять материалы, содержащие:
oконфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в должностные обязанности и способ передачи является безопасным, согласованным с назначенным приказом руководителя организации сотрудником;
oугрожающую, клеветническую, непристойную информацию;
oвредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности любых аппаратных и программных средств, для осуществления несанкционированного доступа, а также ссылки на него;
oфальсифицировать свой IР- адрес, а также прочую служебную информацию.
ИП Линник Е.А. оставляет за собой право блокировать или ограничивать доступ пользователей к Интернет-ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены законодательством.
Блокирование и ограничение доступа пользователей к Интернет-ресурсам осуществляется на основе Регламента применения категорий Интернет-ресурсов.
Информация о посещаемых сотрудниками ИП Линник Е.А. Интернет-ресурсах протоколируется для последующего анализа и, при необходимости, может быть представлена руководителям структурных подразделений, а также руководству ИП Линник Е.А. для контроля.
Содержание Интернет-ресурсов, а также файлы, загружаемые из сети Интернет, подлежат обязательной проверке на отсутствие вредоносного ПО.
6.7.7.Использование мобильных устройств
Под использованием мобильных устройств и носителей информации в ИС ИП Линник Е.А. понимается их подключение к инфраструктуре ИС с целью обработки, приёма/передачи информации между ИС и мобильными устройствами, а также носителями информации.
На предоставленных ИП Линник Е.А. мобильных устройствах допускается использование ПО, входящего в Реестр разрешённого к использованию ПО.
К предоставленным ИП Линник Е.А. мобильным устройствам и носителям информации предъявляются те же требования ИБ, что и для стационарных АРМ. Целесообразность дополнительных мер обеспечения ИБ определяется назначенным приказом руководителя организации сотрудником.
При использовании предоставленных ИП Линник Е.А. мобильных устройств и носителей информации, сотрудник обязан:
·соблюдать требования настоящей Политики;
·использовать мобильные устройства и носители информации исключительно для выполнения своих служебных обязанностей;
·ставить в известность назначенного приказом руководителя организации сотрудника о любых фактах нарушения требований настоящей Политики;
·эксплуатировать и транспортировать мобильные устройства и носители информации в соответствии с требованиями производителей;
·обеспечивать физическую безопасность мобильных устройств и носителей информации всеми разумными способами;
·извещать назначенного приказом руководителя организации сотрудника о фактах утраты (кражи) мобильных устройств и носителей информации.
При использовании предоставленных сотрудникам ИП Линник Е.А. мобильных устройств и носителей информации запрещено:
·использовать мобильные устройства и носители информации в личных целях;
·передавать мобильные устройства и носители информации другим лицам (за исключением администраторов ИС и ИБ);
·оставлять мобильные устройства и носители информации без присмотра, если не предприняты действия по обеспечению их физической безопасности.
Любое взаимодействие (обработка, приём/передача информации), инициированное сотрудником ИП Линник Е.А. между ИС и неучтёнными (личными) мобильным и устройствами, а также носителями информации, рассматривается как несанкционированное (за исключением случаев, оговорённых с администраторами ИС заранее). ИП Линник Е.А. оставляет за собой право блокировать или ограничивать использование таких устройств и носителей информации;
Информация об использовании сотрудниками ИП Линник Е.А. мобильных устройств и носителей информации в ИС протоколируется и, при необходимости, может быть представлена Руководителям структурных подразделений, а также руководству ИП Линник Е.А.
Информация, хранящаяся на предоставляемых ИП Линник Е.А. мобильных устройствах и носителях информации, подлежит обязательной проверке на отсутствие вредоносного ПО.
В случае увольнения, предоставленные ему мобильные устройства и носители информации изымаются.
6.7.8.Защита от вредоносного ПО
Назначенный приказом руководителя организации сотрудник регулярно проверяет сетевые ресурсы ИП Линник Е.А. антивирусным программным обеспечением и обеспечивает защиту входящей электронной почты от проникновения вирусов и другого вредоносного ПО.
При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление о системных ошибках, увеличение исходящего/входящего трафика и т.п.) сотрудник ИП Линник Е.А. должен незамедлительно оповестить об этом назначенного приказом руководителя организации сотрудника. После чего администратор ИБ должен провести внеочередную полную проверку на вирусы рабочей станции пользователя, проверив, в первую очередь, работоспособность антивирусного ПО.
В случае обнаружения при проведении антивирусной проверки заражённых компьютерными вирусами файлов сотрудники подразделений обязаны:
·приостановить работу;
·немедленно поставить в известность о факте обнаружения заражения назначенного приказом руководителя организации сотрудника, а также владельца файла и смежные подразделения, использующие эти файлы в работе.
·совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования.
Для предупреждения вирусного заражения рекомендуется:
•никогда не открывать файлы и не выполнять макросы, полученные в почтовых сообщениях от неизвестного или подозрительного отправителя. Удалять подозрительные вложения, не открывая их, и очищать корзину, где хранятся удаленные сообщения;
•удалять спам, рекламу и другие бесполезные сообщения;
•никогда не загружать файлы и программное обеспечение из подозрительных или неизвестных источников;
·периодически резервировать важные данные и системную конфигурацию, хранить резервные копии в безопасном месте.
6.8.Приобретение, разработка и обслуживание систем
6.8.1.Требования безопасности для информационных систем
При описании требований к созданию новых систем или к усовершенствованию существующих необходимо учитывать потребность в средствах обеспечения безопасности.
Требования к безопасности и средства защиты должны соответствовать ценности используемых ИР и потенциальному ущербу для ИП Линник Е.А. в случае сбоя или нарушения безопасности. Основой для анализа требований к безопасности и выбору мер для поддержки безопасности является оценка рисков и управление рисками.
Системные требования к ИБ и процессам, обеспечивающим защиту информации, должны быть включены на ранних стадиях проектирования ИС.
6.8.2.Корректная обработка информации
Данные, вводимые в прикладные системы, необходимо проверять, чтобы гарантировать их правильность и соответствие поставленной задаче.
6.8.3.Криптографические средства
Все, поступающие в ИП Линник Е.А., СКЗИ должны быть учтены в соответствующем журнале поэкземплярного учёта СКЗИ.
В ИП Линник Е.А. должно осуществляться управление ключами для эффективного применения криптографических методов. Компрометация или потеря криптографических ключей может привести к нарушению конфиденциальности, подлинности и/или целостности информации.
Все ключи должны быть защищены от изменения, утери и уничтожения. Кроме того, секретные и закрытые ключи должны быть защищены от несанкционированного раскрытия. Оборудование, используемое для генерации, хранения и архивирования ключей должно быть физически защищено.
Соглашения с внешними поставщиками криптографических услуг (например, удостоверяющими центрами) об уровне предоставляемого сервиса должны охватывать вопросы ответственности, надёжности сервиса и времени реакции при предоставлении сервиса.
Криптографические системы и методы следует использовать для защиты конфиденциальной информации, когда другие средства контроля не обеспечивают адекватной защиты.
Для критической информации должно использоваться шифрование при их хранении в базах данных или передаче по коммерческим или открытым сетям, таким как Интернет. Шифрование любой другой информации в ИС ИП Линник Е.А. должно осуществляться только после получения письменного разрешения на это.
6.8.3.1.Требования по обеспечению ИБ при использовании СКЗИ
Шифрование – это криптографический метод, который может использоваться для обеспечения защиты конфиденциальной, важной или критичной информации.СКЗИ должны поставляться разработчиками с полным комплектом эксплуатационной документации, включающей описание ключевой системы, правила работы с ней и обоснование необходимого организационно-штатного обеспечения.
Порядок применения СКЗИ определяется руководством ИП Линник Е.А. и должен включать:
·порядок ввода в действие, включая процедуры встраивания СКЗИ в ИС;
·порядок эксплуатации;
·порядок восстановления работоспособности в аварийных случаях;
·порядок внесения изменений;
·порядок снятия с эксплуатации;
·порядок управления ключевой информацией;
·порядок обращения с ключевой информацией, включая действия при смене и компрометации ключей.
Для шифрования конфиденциальной информации минимально допустимой длинной ключа является 128 бит.
При использовании шифрования в ИС ИП Линник Е.А. должны применяться только утверждённые стандартные алгоритмы и сертифицированные ФСБ России продукты, их реализующие.
6.8.3.2.Электронные цифровые подписи
ЭЦП обеспечивают защиту аутентификации и целостности электронных документов.
ЭЦП могут применяться для любой формы документа, обрабатываемого электронным способом. ЭЦП должны быть реализованы при использовании криптографического метода, основывающегося на однозначно связанной паре ключей, где один ключ используется для создания подписи (секретный/личный ключ), а другой - для проверки подписи (открытый ключ).
Необходимо с особой тщательностью обеспечивать конфиденциальность личного ключа, который следует хранить в секрете, так как любой, имеющий к нему доступ, может подписывать документы (платежи, контракты), тем самым фальсифицируя подпись владельца ключа. Защиты целостности открытого ключа должна обеспечиваться при использовании сертификата открытого ключа.
Криптографические ключи, используемые для цифровых подписей, должны отличаться от тех, которые используются для шифрования.
При использовании ЭЦП, необходимо учитывать требования действующего законодательства Российской Федерации, определяющего условия, при которых цифровая подпись имеет юридическую силу.
6.8.3.3.Управление ключами
Управление криптографическими ключами важно для эффективного использования криптографических средств.
Любая компрометация или потеря криптографических ключей может привести к компрометации конфиденциальности, подлинности и/или целостности информации. Следует применять систему защиты для обеспечения использования в ИС ИП Линник Е.А. криптографических методов в отношении открытых ключей, где каждый пользователь имеет пару ключей, открытый ключ (который может быть показан любому) и личный ключ (который должен храниться в секрете). Методы с открытыми ключами должны использоваться для шифрования и для генерации цифровых подписей.
Ключи необходимо защищать от изменения и разрушения, а секретным и личным ключам необходима защита от неавторизованного раскрытия. Криптографические методы могут также использоваться для этой цели. Физическую защиту следует применять для защиты оборудования, используемого для изготовления, хранения и архивирования ключей.
Для безопасного взаимодействия с внешними пользователями ИС ИП Линник Е.А. необходимо использовать электронные сертификаты только из утверждённого списка сертифицированных центров.
Секретные ключи пользователей должны храниться так же, как и пароли. О любом подозрении на компрометацию секретного ключа пользователь должен немедленно доложить назначенному приказом руководителя организации сотруднику.
Необходимо, чтобы система обеспечения безопасности использования ключей основывалась на согласовании способов, процедур и безопасных методов для:
·генерации ключей при использовании различных криптографических систем и приложений;
·генерации и получения сертификатов открытых ключей;
·рассылки ключей, предназначенных пользователям, включая инструкции по их активации при получении;
·хранения ключей (при этом необходимо наличие инструкции авторизованным пользователям для получения доступа к ключам);
·смены или обновления ключей, включая правила порядка и сроков смены ключей;
·порядка действий в отношении скомпрометированных ключей;
·аннулирования ключей, в том числе способы аннулирования или дезактивации ключей, если ключи были скомпрометированы или пользователь уволился из организации (в этом случае ключи необходимо архивировать);
·восстановление ключей, которые были утеряны или испорчены, для рассекречивания зашифрованной информации;
·архивирования и резервного копирования ключей;
·разрушения ключей;
·регистрация ключей и аудита действий, связанных с управлением ключами.
Для уменьшения вероятности компрометации, для ключей необходимо определить даты начала и конца действия, чтобы их можно было использовать лишь в течении ограниченного периода времени, который зависит от обстоятельств использования криптографических средств, контроля и от степени риска раскрытия информации.
Может потребоваться наличие процедур обработки юридических запросов, касающихся доступа к криптографическим ключам, например, чтобы зашифрованная информация стала доступной в незашифрованном виде для доказательств в суде.
Необходимо обеспечивать защиту открытых ключей от угроз подделывания цифровой подписи и замены открытого ключа пользователя своим. Эта проблема решается с помощью сертификата открытых ключей. Сертификаты необходимо изготавливать таким способом, который однозначно связывал бы информацию, относящуюся к владельцу пары открытого/секретного ключей, с открытым ключом. Поэтом важно, чтобы процессу управления, в рамках которого формируются эти сертификаты, можно было доверять.
Соглашения с внешними поставщиками криптографических услуг (например, с удостоверяющими центрами) об уровне предоставляемого сервиса должны охватывать вопросы ответственности, надёжности сервиса и времени реакции при предоставлении сервиса.
6.8.4.Безопасность системных файлов
Чтобы свести к минимуму риск повреждения ИС, в ИП Линник Е.А. необходимо обеспечить контроль над внедрением ПО в рабочих системах.
Тестовые данные должны находиться под контролем и защитой. Для испытаний обычно требуются значительные объёмы тестовых данных, максимально близко соответствующие рабочим данным. Необходимо избегать использования рабочих баз данных, содержащих конфиденциальную информацию. Если эти базы всё же будут использоваться, то конфиденциальные данные должны быть удалены или изменены.
6.8.5.Безопасность процесса разработки и обслуживания систем
Чтобы свести к минимуму вероятность повреждения ИС ИП Линник Е.А., следует ввести строгий контроль над внесением изменений. Необходимо установить официальные правила внесения изменений. Эти правила должны гарантировать, что процедуры, связанные с безопасностью и контролем, не будут нарушены, что программисты, занимающиеся поддержкой, получат доступ только к тем частям системы, которые необходимы для их работы, и что для выполнения любого изменения требуется получить официальное разрешение и подтверждение.
После внесения изменений в ИС критичные для бизнес-процессов ИП Линник Е.А. приложения должны анализироваться и тестироваться, чтобы гарантировать отсутствие вредных последствий для безопасности ИП Линник Е.А.
Следует препятствовать внесению изменений в пакеты ПО, за исключением необходимых изменений. Все изменения должны строго контролироваться.
6.9. Управление инцидентами информационной безопасности
В ИП Линник Е.А. должна быть разработана и утверждена формальная процедура уведомления о происшествиях в области ИБ, а также процедура реагирования на такие происшествия, включающая в себя действия, которые должны выполняться при поступлении сообщений о происшествии.
Все сотрудники должны быть ознакомлены с процедурой уведомления, а в их обязанности должна входить максимально быстрая передача информации о происшествиях.
В дополнение к уведомлению о происшествиях ИБ и недостатках безопасности должен использоваться мониторинг систем, сообщений и уязвимостей для обнаружения инцидентов ИБ.
Цели управления инцидентами ИБ должны быть согласованы с руководством для учёта приоритетов ИП Линник Е.А. при обращении с инцидентами.
Необходимо создать механизмы, позволяющие оценивать и отслеживать типы инцидентов, их масштаб и связанные с ними затраты.
6.10.Управление непрерывностью и восстановлением
Необходимо разработать контролируемый процесс для обеспечения и поддержки непрерывности бизнес-процессов ИП Линник Е.А. Данный процесс должен объединять в себе основные элементы поддержки непрерывности бизнес-процессов.
В ИП Линник Е.А. должны быть разработаны и реализованы планы, которые позволят продолжить или восстановить операции и обеспечить требуемый уровень доступности информации в установленные сроки после прерывания или сбоя критически важных бизнес- процессов.
В каждом плане поддержки непрерывности бизнеса должны быть чётко указаны условия начала его исполнения и сотрудники, ответственные за выполнение каждого фрагмента плана. При появлении новых требований необходимо внести поправки в принятые планы действия в нештатных ситуациях.
Для каждого плана должен быть назначен определённый владелец. Правила действия в нештатных ситуациях, планы ручного аварийного восстановления и планы возобновления деятельности должны находиться в ведении владельцев соответствующих ресурсов или процессов, к которым они имеют отношение.
6.11.Соблюдение требований законодательства
Все значимые требования, установленные действующим законодательством, подзаконными актами и договорными отношениями, а также подход ИП Линник Е.А. к обеспечению соответствия этим требованиям должны быть явным образом определены, документированы и поддерживаться в актуальном состоянии.
Необходимо соблюдение регламентированного процесса, предупреждающего нарушение целостности, достоверности и конфиденциальности ИР, содержащих персональные данные, начиная от стадии сбора и ввода данных до их хранения. Персональные данные конкретного сотрудника и процесс их обработки должен быть открытым для этого сотрудника.
В ИП Линник Е.А. должны быть внедрены соответствующие процедуры для обеспечения соблюдения законодательных ограничений, подзаконных актов и контрактных обязательств по использованию материалов, охраняемых авторским правом, а также по использованию лицензионного ПО.
Важная документация ИП Линник Е.А. должна быть защищена от утери, уничтожения и фальсификации в соответствии с требованиями законодательства, подзаконных актов, контрактных обязательств и бизнес-требований.
Система хранения и обработки должна обеспечивать чёткую идентификацию записей и их периода хранения в соответствии с требованиями законов и нормативных актов. Эта система должна иметь возможность уничтожения записей по истечении периода хранения, если эти записи больше не требуются ИП Линник Е.А.
Криптографические средства должны использоваться в соответствии со всеми имеющимися соглашениями, законодательными и нормативными актами.
6.12.Аудит информационной безопасности
ИП Линник Е.А. должно проводить внутренние проверки СУИБ через запланированные интервалы времени.
Основные цели проведения таких проверок:
·оценка текущего уровня защищённости ИС;
·выявление и локализация уязвимостей в системе защиты ИС;
·анализ рисков, связанных с возможностью осуществления угроз безопасности в отношении ИР;
·оценка соответствия ИС требованиям настоящей Политики;
·выработка рекомендаций по совершенствованию СУИБ за счёт внедрения новых и повышения эффективности существующих мер защиты информации.
В число задач, решаемых при проведении проверок и аудитов СУИБ, входят:
·сбор и анализ исходных данных об организационной и функциональной структуре ИС, необходимых для оценки состояния ИБ;
·анализ существующей политики безопасности и других организационнораспорядительных документов по защите информации на предмет их полноты и эффективности, а также формирование рекомендаций по их разработке (или доработке);
·технико-экономическое обоснование механизмов безопасности;
·проверка правильности подбора и настройки средств защиты информации, формирование предложений по использованию существующих и установке дополнительных средств защиты для повышения уровня надёжности и безопасности ИС;
·разбор инцидентов ИБ и минимизация возможного ущерба от их проявления.
Руководство и сотрудники ИП Линник Е.А. при проведении у них аудита СУИБ обязаны оказывать содействие аудиторам и предоставлять всю необходимую для проведения аудита информацию.
6.13.Предоставление услуг сторонним организациям
6.13.1.Соглашения о предоставлении услуг
В соглашения о предоставлении услуг сторонним организациям должны быть включены требования безопасности, описание, объёмы и характеристики качества предоставляемых услуг.
6.13.2.Анализ предоставления услуг
Услуги, отчёты и записи, предоставляемые сторонним организациям, должны постоянно проверяться и анализироваться. В отношениях со сторонней организацией должны присутствовать следующие процессы:
·контроль объёма и качества услуг, оговоренных в соглашениях;
·предоставление сторонней организации информации об инцидентах ИБ, связанных с предоставляемыми услугами, и совместное изучение этой информации;
·анализ предоставленных сторонними организациями отчётов о предоставленных услугах;
·управление любыми обнаруженными проблемами.
6.13.3.Приёмка систем
В учреждении должен быть разработан и утверждён порядок приёмки новых ИС, обновления и новых версий ПО.
7.Ответственность
ИП Линник Е.А. определяет приоритетные направления деятельности в области обеспечения ИБ, меры по реализации настоящей Политики, утверждает списки объектов и сведений, подлежащих защите, а также осуществляет общее руководство обеспечением ИБ ИП Линник Е.А.
Ответственность за поддержание положений настоящей Политики в актуальном состоянии, создание, внедрение, координацию и внесение изменений в процессы СУИБ ИП Линник Е.А. лежит на назначенном приказом руководителя организации сотруднике.
Все руководители несут прямую ответственность за реализацию Политики и её соблюдение персоналом в соответствующих подразделениях.
Работники ИП Линник Е.А. несут персональную ответственность за соблюдение требований документов СУИБ и обязаны сообщать обо всех выявленных нарушениях в области информационной безопасности назначенному приказом руководителя организации сотруднику.
В трудовых договорах и должностных инструкциях работников устанавливается ответственность за сохранность служебной информации, ставшей известной в силу выполнения своих обязанностей.
Руководство ИП Линник Е.А. регулярно проводит совещания, посвящённые проблемам обеспечения информационной безопасности с целью формирования чётких указаний по этому вопросу, осуществления контроля их выполнения, а также оказания административной поддержки инициативам по обеспечению ИБ.
Нарушение требований нормативных актов ИП Линник Е.А. по обеспечению ИБ является чрезвычайным происшествием и будет служить поводом и основанием для проведения служебного расследования.
8.Контроль и пересмотр
Общий контроль состояния ИБ ИП Линник Е.А. осуществляется назначенным приказом руководителя организации сотрудником.
Текущий контроль соблюдения настоящей Политики осуществляет назначенный приказом руководителя организации сотрудник. Контроль осуществляется путем проведения мониторинга и менеджмента инцидентов ИБ ИП Линник Е.А., по результатам оценки ИБ, а также в рамках иных контрольных мероприятий.
Назначенный приказом руководителя организации сотрудник ежегодно пересматривает положения настоящей политики. Изменения и дополнения вносятся по инициативе назначенного приказом руководителя организации сотрудника или ИП Линник Е.А. и утверждаются ИП Линник Е.А.