Политика информационной безопасности «Бессмертный полк»

1. Общие положения

1.1. Назначение документа

Политика информационной безопасности относится к административным мерам обеспечения информационной безопасности и определяют стратегию интернет-ресурса «Бессмертный полк» (далее − Ресурс) в области ИБ.

Политика информационной безопасности (далее – Политика, ПБ) регламентирует меры, направленные на обеспечение информационной безопасности Ресурса. Охватывая все особенности процесса обработки информации, ПБ определяет поведение ИС и ее пользователей в различных ситуациях. ПБ реализуется посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты.

Все документально оформленные решения, формирующие Политику, должны быть утверждены оператором Ресурса.

Целями Политики являются:

  • сохранение конфиденциальности персональных данных, обрабатываемых на Ресурсе;
  • обеспечение непрерывности доступа к Ресурсу для поддержания необходимой деятельности;
  • защита целостности информации с целью поддержания возможности оказания Ресурсом услуг высокого качества;
  • повышение осведомленности пользователей в области рисков, связанных с информационными процессами Ресурса;
  • определение степени ответственности и обязанностей администраторов Ресурса по обеспечению информационной безопасности.

1.2. Область применения

Требования настоящей Политики распространяются на всю информацию и процессы обработки информации Ресурса. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации Ресурса, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.

1.3. Основные принципы обеспечения информационной безопасности

Основными принципами обеспечения ИБ являются следующие:

  • Постоянный и всесторонний анализ информационного пространства Ресурса с целью выявления уязвимостей информационных активов.
  • Разработка и внедрение защитных мер, соответствующих характеру выявленных угроз, с учетом затрат на их реализацию. При этом меры, принимаемые для обеспечения ИБ, не должны усложнять достижение целей создания и функционирования Ресурса, а также повышать трудоемкость технологических процессов обработки информации.
  • Контроль эффективности принимаемых защитных мер.
  • Персонификация и соответствующее разделение ролей и ответственности между сотрудниками, исходя из принципа персональной и единоличной ответственности за совершаемые операции.

1.4. Основание для разработки документа

Правовую основу политик составляют законы Российской Федерации и другие нормативные правовые акты, определяющие права и ответственность граждан, сотрудников и государства в сфере защиты информации, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.

Основанием для создания документа являются:

  1. Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных».
  2. Постановление Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  3. Приказ Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 года № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».
  4. Приказ Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  5. Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности».

1.5. Порядок подготовки персонала по вопросам ИБ. Допуск к работе

Обучение сотрудников, обеспечивающих функционирование Ресурса, правилам обращения с конфиденциальной информацией, проводится путем самостоятельного изучения нормативных документов.

Допуск персонала к работе с защищаемыми информационными данными Ресурса осуществляется только после его ознакомления с настоящей Политикой, а также после ознакомления пользователей с другими внутренними документами, затрагивающими работу с информационной системой.

Правила допуска к работе с информационным ресурсом лиц, не являющихся сотрудниками оператора и заказчика: Министерства цифрового развития государственного управления Республики Башкортостан (далее − Организация), определяются на договорной основе с этими лицами или с организациями, представителями которых являются эти лица.

1.6. Ответственность за нарушение установленного порядка пользования ресурсами ИС

Сотрудники Организации несут ответственность по действующему законодательству за разглашение сведений, составляющих служебную тайну, персональных данных и сведений ограниченного распространения, ставших им известными по роду работы.

Нарушения установленных правил и требований по ИБ являются основанием для применения к сотруднику (исполнителю) мер дисциплинарной ответственности.

Мера ответственности сотрудников за действия, совершенные в нарушение установленных правил обеспечения безопасности информации, должна определяться с учетом нанесенного ущерба, наличия злого умысла и других факторов по усмотрению руководства Организации.

1.7. Основные термины и определения

Аудит информационной безопасности – процесс проверки выполнения установленных требований по обеспечению информационной безопасности. Может проводиться как самой Организацией (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита.

Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

Доступ к информации – возможность получения информации и ее использования.

Защищенный канал передачи данных – логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками сертифицированными средствами шифрования данных, либо путем их физической изоляции и размещения на охраняемой территории.

Идентификатор доступа – уникальный признак субъекта или объекта доступа.

Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация – это актив, который, подобно другим активам Организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов Организации в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов Организации.

Информационная система – совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач подразделений Организации. В Организации используются различные типы информационных систем для решения управленческих, учетных, обучающих и других задач.

Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационные средства – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

Инцидент информационной безопасности – действительное, предпринимаемое или вероятное нарушение информационной безопасности, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов Организации.

Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.

Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность – доступ к информации только авторизованных пользователей.

Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Программное обеспечение (ПО) – совокупность прикладных программ, установленных на сервере или ЭВМ.

Рабочая станция – персональный компьютер, посредством которого пользователь взаимодействует с Ресурсом.

Системный администратор – сотрудник Организации либо подрядчика, занимающийся сопровождениеми отвечающий за функционирование Ресурса.

Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности учреждения при реализации угроз в информационной сфере.

Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

1.8. Сокращения

АИБ – Администратор информационной безопасности

ИБ – Информационная безопасность.

ИС – Информационная система.

НСД – Несанкционированный доступ.

ПБ – Политика безопасности.

1.9. Доступ и периодичность пересмотра данного документа

Тип документа:

Политика

Аннотация

Политика информационной безопасности

Периодичность пересмотра

2 года

Доступ:

Для внутреннего использования

2. Объект защиты

Объектом системы информационной безопасности Ресурса являются:

  • информационные ресурсы с ограниченным доступом, составляющие служебную или иную тайну, персональные данные или иные чувствительные к нарушению их безопасности информационные ресурсы;
  • процессы обработки информации в информационной системе;
  • информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал;
  • информационная инфраструктура, включающая системы обработки, хранения и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные элементы информационной среды;

2.1. Формы информации, подлежащей защите

Подлежащая защите информация может находиться:

  • на бумажных носителях;
  • в электронном виде (обрабатываться и храниться средствами вычислительной техники);
  • передаваться по каналам связи.

2.2. Категория информационных ресурсов, подлежащих защите

Ресурс содержит информацию конфиденциального характера, включающие в себя сведения ограниченного распространения (служебная тайна, персональные данные), и открытые сведения.

Защите подлежит вся информация и информационные ресурсы, независимо от ее представления и местонахождения в информационной среде.

2.3. Контроль за реализацией политики безопасности

Ответственность за разработку мер и контроль обеспечения защиты информации несёт Оператор.

Ответственность за реализацию политик возлагается:

  • в части, касающейся разработки и актуализации правил внешнего доступа и управления доступом, антивирусной защиты, а также доведения правил политик до пользователей и сотрудников Организации – на специалиста по информационной безопасности Оператора (либо подрядной организации при наличии соответствующего договора);
  • в части, касающейся исполнения правил политики, – на каждого сотрудника Организации (либо подрядной организации), согласно их должностным и функциональным обязанностям, и иных лиц, попадающих под область действия настоящей политики.

Руководители подразделений Организации должны обеспечить регулярный контроль за соблюдением положений настоящей Политики. Кроме того, должна быть организована периодическая проверка соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки руководству Организации.

3. Цели и задачи обеспечения безопасности информации

Основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация рисков.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих основных свойств информации:

  • доступности информации для легальных пользователей (устойчивого функционирования информационной системы, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время);
  • целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в информационной системе и передаваемой по каналам связи;
  • конфиденциальности — сохранения в тайне определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;

Необходимый уровень доступности, целостности и конфиденциальности информации обеспечивается соответствующими множеству значимых угроз методами и средствами.

3.1. Основные задачи системы обеспечения безопасности информации

Для достижения основной цели защиты и обеспечения указанных свойств информации система обеспечения информационной безопасности должна обеспечивать эффективное решение следующих задач:

  • своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационной системы; создание механизма оперативного реагирования на угрозы безопасности информации;
  • создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;
  • защиту от вмешательства в процесс функционирования информационной системы посторонних лиц;
  • разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа;
  • обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
  • защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.