Автоматизированная система - система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Авторизация - предоставление субъекту прав на доступ, а также предоставление доступа в соответствии с установленными правами на доступ.

Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.

Безопасность информации - защищённость информации от её нежелательного разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности, а также незаконного её тиражирования.

Бизнес-процесс - последовательность технологически связанных операций по предоставлению продуктов, услуг и/или осуществлению конкретного вида деятельности Учреждения.

Владелец актива - физическое или юридическое лицо, которое наделено административной ответственностью за руководство изготовлением, разработкой, хранением, использованием и безопасностью актива. Термин "владелец" не означает, что этот человек фактически имеет право собственности на этот актив.

Владелец информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, осуществляющий владение и пользование указанными объектами и реализующий полномочия распоряжения в пределах, установленных законом.

Документ - зафиксированная на материальном носителе информация с реквизитами, позволяющими её идентифицировать.

Доступность информации - состояние, характеризуемое способностью ИС обеспечивать беспрепятственный доступ к информации субъектов, имеющих на это полномочия.

Защита информации - деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию и средства доступа к ней. безопасность информационный защита

Идентификация - присвоение субъектам доступа, объектам доступа идентификаторов (уникальных имен) и (или) сравнение предъявленного идентификатора с перечнем присвоенных идентификаторов.

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

Информационная безопасность (ИБ) - состояние защищённости интересов Учреждения.

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

Информационный процесс - процессы сбора, обработки, накопления, хранения, поиска и распространения информации.

Информационный ресурс (актив) - всё, что имеет ценность и находится в распоряжении Учреждения.

Инцидент - непредвиденное или нежелательное событие (группа событий) безопасности, которое привело (могут привести) к нарушению функционирования информационной системы или возникновению угроз безопасности информации (нарушению конфиденциальности, целостности, доступности).

Инцидент информационной безопасности - одно или серия нежелательных или неожиданных событий ИБ, имеющих значительную вероятность нарушения бизнес-процессов или представляющих угрозу ИБ.

Коммерческая тайна - конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Контролируемая зона - пространство (территория, здание, часть здания), в котором неконтролируемое пребывание лиц, а также транспортных, технических или иных средств.

Конфиденциальная информация - информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность информации - состояние защищённости информации, характеризуемое способностью ИС обеспечивать сохранение в тайне информации от субъектов, не имеющих полномочий на ознакомление с ней.

Мобильный код - несамостоятельное программное обеспечение или компонент программного обеспечения (скрипты, макросы, иные компоненты) получаемые из мест распространения мобильного кода, передаваемые по сети и выполняемые на компонентах информационной системы (в местах использования мобильного кода) без предварительной установки (инсталляции) пользователем для расширения возможностей системного и (или) прикладного программного обеспечения. Политика - общие цели и указания, формально выраженные руководством.

Несанкционированный доступ - доступ к информации иди действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами. Обработка риска - процесс выбора и реализации мер по модификации (снижению) риска.

Привилегии - это права доверенного объекта на совершение каких-либо действий по отношению к объектам системы.

Риск - сочетание вероятности события и его последствий.

Система управления информационной безопасностью (СУИБ) - часть общей системы управления, основанная на оценке рисков, предназначенная для создания, внедрения, эксплуатации, мониторинга, анализа, сопровождения и совершенствования ИБ. Собственник информационных ресурсов, информационных систем, технологий и средств их обеспечения - субъект, в полном объёме реализующий полномочия владения, пользования, распоряжения указанными объектами.

События информационной безопасности - идентифицированное состояние системы, сервиса или сети, свидетельствующее о возможном нарушении политики безопасности или отсутствии механизмов защиты, либо прежде неизвестная ситуация, которая может иметь отношение к безопасности.

Угроза - Опасность, предполагающая возможность потерь (ущерба).

Целостность информации - устойчивость информации к несанкционированному доступу или случайному воздействию на неё в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.

Цель

Основной целью, на достижение которой направлены все положения настоящей Политики, является защита информационных ресурсов от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, её носители, процессы обработки и передачи, а также минимизация рисков ИБ.

Для достижения основной цели необходимо обеспечивать эффективное решение следующих задач:

- Своевременное выявление, оценка и прогнозирование источников угроз ИБ;

- создание механизма оперативного реагирования на угрозы ИБ и вмешательство посторонних;

- предотвращение и/или снижение ущерба от реализации угроз ИБ;

- соответствие требованиям Федерального законодательства, нормативно-методических документов ФСБ России, ФСТЭК России и договорным обязательствам в части ИБ;

- обеспечение непрерывности критических бизнес-процессов;

- достижение адекватности мер по защите от угроз ИБ;

- выявление, предупреждение и пресечение возможной противоправной и иной негативной деятельности сотрудников и кандидатов на работу;

Основания для разработки

Настоящая политика разработана на основе требований законодательства Российской Федерации, накопленного в Учреждении опыта в области обеспечения ИБ, интересов и целей Учреждения.

При написании отдельных положений настоящей политики использовались следующие нормативные документы:

- ГОСТ Р ИСО/МЭК 27001 "Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности";

- РС БР ИББС-2.0-2007 "Методические рекомендации по документации в области обеспечения информационной безопасности…";

- РС БР ИББС-2.2-2009 "Методика оценки рисков нарушения информационной безопасности";

- РС БР ИББС-2.5-2014 "Менеджмент инцидентов информационной безопасности";

- СТО БР ИББС-1.0-2014 "Обеспечение информационной безопасности организаций банковской системы РФ. Общие положения".

Область действия

Настоящая Политика распространяется на все бизнес-процессы Учреждения и обязательна для применения всеми сотрудниками и руководством Учреждения, а также пользователями его информационных ресурсов.

Настоящая политика распространяется на информационные системы учреждения. Лица, осуществляющие разработку внутренних документов Учреждения, регламентирующих вопросы информационной безопасности, обязаны руководствоваться настоящей Политикой.

Содержание политики

Система управления информационной безопасностью

Для достижения указанных целей и задач в Учреждении внедряется система управления информационной безопасностью.

СУИБ документирована в настоящей политике, в правилах, процедурах, рабочих инструкциях, которые являются обязательными для всех работников Учреждения в области действия системы. Документированные требования СУИБ доводятся до сведения работников Учреждения.

Средства управления информационной безопасностью внедряются по результатам проведения оценки рисков информационной безопасности.

Стоимость внедряемых средств управления информационной безопасностью не должна превышать возможный ущерб, возникающий при реализации угроз.

Структура документов

В целях создания взаимосвязанной структуры нормативных документов Учреждения в области обеспечения информационной безопасности, разрабатываемые и обновляемые нормативные документы должны соответствовать следующей иерархии:

1) Настоящая Политика является внутренним нормативным документом по ИБ первого уровня.

2) Документы второго уровня - инструкции водителей, порядки приема груза и го сдачи, регламенты перевозки и прочие документы, описывающие действия сотрудников Учреждения по реализации документов первого и второго уровня.

3) Документы третьего уровня - отчётные документы о выполнении требований документов верхних уровней, такие как накладные, квитанции об оплате и др.

Ответственность за обеспечение ИБ

Для непосредственной организации и эффективного функционирования системы обеспечения информационной безопасности в Учреждении функции обеспечения ИБ возложены на отдел безопасности. На это подразделение возлагается решение следующих основных задач:

- проведение в жизнь Политики ИБ;

- определение требований к защите информации;

- организация мероприятий и координация работ всех подразделений по вопросам комплексной защиты информации;

- контроль и оценка эффективности принятых мер и применяемых средств защиты;

- оказание методической помощи сотрудникам в вопросах обеспечения информационной безопасности;

- регулярная оценка и управление рисками информационной безопасности;

выбор и внедрение средств защиты информации, включая организационные, физические, технические, программные и программно-аппаратные средства обеспечения СУИБ;

- обеспечение минимально-необходимого доступа к информационным ресурсам, основываясь на требованиях бизнес-процессов;

- информирование, обучение и повышение квалификации работников Учреждения в сфере информационной безопасности;

- расследования инцидентов информационной безопасности;

- сбор, накопление, систематизация и обработка информации по вопросам информационной безопасности;

- обеспечение необходимого уровня отказоустойчивости ИТ-сервисов и доступности данных для подразделений.

Для решения задач, возложенных на отдел безопасности, его сотрудники имеют следующиеправа:

o определять необходимость и разрабатывать нормативные документы, касающиеся вопросов обеспечения безопасности информации, включая документы, регламентирующие деятельность пользователей информационной системы в указанной области;

o получать информацию от пользователей информационных систем Учреждения по любым аспектам применения информационных технологий в Учреждении;

o участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке новых информационных технологий;

o участвовать в испытаниях разработанных информационных технологий по вопросам оценки качества реализации требований по обеспечению безопасности;

o контролировать деятельность пользователей по вопросам обеспечения ИБ;

o готовить предложения руководству по обеспечению требований ИБ.

Объект защиты

Ответственность за ресурсы

В учреждении должны быть выявлены и оценены с точки зрения их важности все ресурсы. Для всех ценных ресурсов должен быть составлен реестр (перечень). Благодаря информации о ресурсах Учреждения реализуется защита информации, степень которой соразмерна ценности и важности ресурсов.

В ИС Учреждения присутствуют следующие типы ресурсов:

- информационные ресурсы, содержащие конфиденциальную информацию, и/или сведения ограниченного доступа, в том числе информацию о финансовой деятельности Учреждения. Это данные о заказчике, адреса доставки, личные данные водителей, других сотрудников, финансовые данные (банковские счета, наличность, которая есть на предприятии, расчетные квитанции);

- открыто распространяемая информация, необходимая для работы Учреждения, это стоимость перевозки, адрес организации, реквизиты ОГРН, рабочий телефон службы регистрации заявок справочная информация, устав, адреса главного офиса и филиалов. независимо от формы и вида её представления;

- информационная инфраструктура, включая системы обработки и анализа информации, технические и программные средства её обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы.

Для каждого ресурса должен быть назначен владелец, который отвечает за соответствующую классификацию информации и ресурсов, связанных со средствами обработки информации, а также за назначение и периодическую проверку прав доступа и категорий, определённых политиками управления доступа.

Классификация информации

Все информационные ресурсы, подлежащие защите, должны быть классифицированы в соответствии с важностью и степенью доступа. Классификация информации должна быть документирована и утверждена руководством Учреждения.

Информационная инфраструктура системы обработки информации: на сайте или по телефону оператором оформляется заявка, которая переносится в программу 1С. Анализируется там же, у водителей есть приложение, в котором отмечается его местоположение, а, следовательно, местоположение доставляемого груза, что позволяет отслеживать груз заказчику.

Средства защиты информации - пароли и логины индивидуальные для каждого работника системы. Вся информация хранится на удаленном арендуемом сервере и имеет резервную копию данных. У каждого ресурса есть владелец, который отвечает за классификацию информации, ее периодическую проверку и обработку. Периодически классификация должна пересматриваться для поддержания актуальности её соответствия с категорией ресурса.

Самая важная информация - это информационные ресурсы, все что к ним относится нуждается в защите высокого уровня. Финансовые данные доступны только гл. бухгалтеру. Данные персонала только отделу кадров, данные по отслеживанию грузов, их весе и заказчике доступны руководителю отдела логистики, вес и место назначения а так же имя получателя - одному только водителю, который ответственен за доставку груза - эта информация нуждается в средней степени защиты.

Гриф конфиденциальности имеют такие данные как данные заказчиков, их номера телефонов, счета и другая личная информация. А так же гриф конфиденциальности несет вся финансовая документация, доступная только для проверяющих служб типа налоговой.

1.1. Оценка и обработка рисков

В учреждении должны быть определены требования к безопасности путём методической оценки рисков. Оценки рисков должны выявить, определить количество и расположить по приоритетам риски в соответствии с критериями принятия рисков и бизнес-целями учреждения.

Перечень рисков:

1) Риски, связанные с работой персонала.

2) Риски организации режима и охраны складских помещений.

3) Риски в работе с документацией

4) Риски, связанные с работой технических средств Учреждения.

Результаты оценки должны определять соответствующую реакцию руководства, приоритеты управления рисками ИБ и набор механизмов контроля для защиты от этих рисков. Оценка рисков предполагает системное сочетание анализа рисков и оценивания рисков.

Кроме того, оценка рисков и выбор механизмов контроля должны производиться периодически, чтобы:

o учесть изменения бизнес-требований и приоритетов;

o принять во внимание новые угрозы и уязвимости;

o убедиться в том, что реализованные средства сохранили свою эффективность.

Перед обработкой каждого риска Учреждение должно выбрать критерии для определении возможности принятия этого риска. Риск может быть принят, если его величина достаточно мала и стоимость обработки нерентабельна для Учреждения. Такие решения должны регистрироваться.

Для каждого из оцененных рисков должно приниматься одно из решений по его обработке:

o применение соответствующих механизмов контроля для уменьшения величины риска до приемлемого уровня;

o сознательное и объективное принятие риска, если он точно удовлетворяет Политике

Учреждения и критериям принятия рисков;

o уклонение от риска путём недопущения действий, могущих быть его причиной;

o передача рисков другой стороне (аутсорсинг, страхование и т.п.).

Безопасность персонала

Роли и обязанности по обеспечению безопасности информационных ресурсов, описанные в соответствии с Политикой ИБ Учреждения, должны быть доведены до сотрудника при трудоустройстве и внесены в его должностные обязанности. Сюда должны входить как общие обязанности по реализации и поддержке политики безопасности, так и конкретные обязанности по защите ресурсов и по выполнению конкретных операций, связанных с безопасностью.

Условия найма

Все принимаемые на работу сотрудники должны одобрить и подписать свои трудовые договоры, в которых устанавливается их ответственность за ИБ. В договор должно быть включено согласие сотрудника на проведение контрольных мероприятий со стороны Учреждения по проверке выполнения требований ИБ, а также обязательства по неразглашению конфиденциальной информации. В договоре должны быть описаны меры, которые будут приняты в случае несоблюдения сотрудником требований ИБ.

Обязанности по обеспечению ИБ должны быть включены в должностные инструкции каждого сотрудника Учреждения. Все принимаемые сотрудники должны быть ознакомлены под роспись с перечнем информации, ограниченного доступа, с установленным режимом с ней и с мерами ответственности за нарушение этого режима.

При предоставлении сотруднику доступа к ИС Учреждения он должен ознакомиться под роспись с инструкцией пользователя ИС.

Ответственность руководства

Руководство Учреждения должно требовать от всех сотрудников, подрядчиков и пользователей сторонних организаций принятия мер безопасности в соответствии с установленными в Учреждении политиками и процедурами.

Уполномоченные руководством Учреждения сотрудники имеют право в установленном порядке, без уведомления пользователей, производить проверки:

? Выполнения действующих инструкций по вопросам ИБ;

? Данных, находящихся на носителях информации;

? Порядка использования сотрудниками информационных ресурсов;

? Содержания служебной переписки.

Обучение ИБ

Все сотрудники должны проходить периодическую подготовку в области политики и процедур ИБ, принятых в Учреждении.

Завершение или изменения трудовых отношений

При увольнении все предоставленные сотруднику права доступа к ресурсам ИС должны быть удалены. При изменении трудовых отношений удаляются только те права, необходимость в которых отсутствует в новых отношениях.

Физическая безопасность

Защищённые области

Средства обработки информации, поддерживающие критически важные и уязвимые ресурсы Учреждения, должны быть размещены в защищённых областях. Такими средствами являются: серверы, магистральное телекоммуникационное оборудование, телефонные станции, кроссовые панели, оборудование, обеспечивающее обработку и хранение конфиденциальной информации.

Защищённые области должны обеспечиваться соответствующими средствами контроля доступа, обеспечивающим возможность доступа только авторизованного персонала. Запрещается приём посетителей в помещениях, когда осуществляется обработка информации ограниченного доступа.

Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами, металлическими шкафами или шкафами, оборудованными замком.

Помещения должны быть обеспечены средствами уничтожения документов.

Вспомогательные службы

Все вспомогательные службы, такие как электропитание, водоснабжение, канализация, отопление, вентиляция и кондиционирование воздуха должны обеспечивать гарантированную и устойчивую работоспособность компонентов ИС Учреждения.

Утилизация или повторное использование оборудования

Со всех носителей информации, которыми укомплектовано утилизируемое оборудование, должны гарантированно удаляться все конфиденциальные данные и лицензионное ПО. Отсутствие защищаемой информации на носителях должно быть проверено отделом ИС СМТ Учреждения, о чём должна быть сделана отметка в акте списания.

Перемещение имущества

Оборудование, информация или ПО должны перемещаться за пределы Учреждения только при наличии письменного разрешения руководства. Сотрудники, имеющие право перемещать оборудование и носители информации за пределы Учреждения должны быть чётко определены. Время перемещения оборудования за пределы Учреждения и время его возврата должны регистрироваться.

Контроль доступа

Основными пользователями информации в информационной системе Учреждения являются сотрудники структурных подразделений. Уровень полномочий каждого пользователя определяется индивидуально. Каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходимо работать в соответствии с должностными обязанностями.

Допуск пользователей к работе с информационными ресурсами должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем должны производиться в установленном порядке, согласно регламента предоставления доступа пользователей.

Каждому пользователю, допущенному к работе с конкретным информационным активом Учреждения, должно быть сопоставлено персональное уникальное имя (учётная запись пользователя), под которым он будет регистрироваться и работать с ИА. В случае производственной необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имён (учётных записей).

Временная учетная запись может быть заведена для пользователя на ограниченный срок для выполнения задач, требующих расширенных полномочий, или для проведения настройки, тестирования информационной системы, для организации гостевого доступа (посетителям, сотрудникам сторонних организаций, стажерам и иным пользователям с временным доступом к информационной системе).

В общем случае запрещено создавать и использовать общую пользовательскую учётную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство), использование общей учётной записи должно сопровождаться отметкой в журнале учёта машинного времени, которая должна однозначно идентифицировать текущего владельца учётной записи в каждый момент времени. Одновременное использование одной общей пользовательской учётной записи разными пользователями запрещено.

Регистрируемые учётные записи подразделяются на:

- Пользовательские - предназначенные для аутентификации пользователей ИР Учреждения;

- Системные - используемые для нужд операционной системы;

- Служебные - предназначенные для функционирования отдельных процессов или приложений.

Системные учётные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.

Служебные учётные записи используются только для запуска и работы сервисов или приложений. Использование системных или служебных учётных записей для регистрации пользователей в системе категорически запрещено.

Процедуры регистрации и блокирования учётных записей пользователей должны применяться с соблюдением следующих правил:

o использование уникальных идентификаторов (ID) пользователей для однозначного определения и сопоставления личности с совершёнными ей действиями;

o предоставление и блокирование прав должны быть санкционированы и документированы;

o предоставление прав доступа к ИР, только после согласования с владельцем данного ИР;

o регистрация и блокирование учётных записей допускается с отдельного разрешения руководства Учреждения;

o уровень предоставленных полномочий должен соответствовать производственной необходимости и настоящей Политике и не ставить под угрозу разграничение режимов работы;

o документальная фиксация назначенных пользователю прав доступа;

o предоставление доступа с момента завершения процедуры регистрации;

o обеспечение создания и поддержания формального списка всех пользователей, зарегистрированных для работы с ИР или сервисом;

o немедленное удаление или блокирование прав доступа пользователей, сменивших

должность, форму занятости или уволившихся из Учреждения;

o аудит ID и учетных записей пользователей на наличие неиспользуемых, их удаление и блокировка;

Управление привилегиями

Доступ сотрудника к информационным ресурсам Учреждения должен быть санкционирован руководителем структурного подразделения, в котором числится согласно штатному расписанию данный сотрудник, и владельцами соответствующих информационных ресурсов. Управление доступом осуществляется в соответствии с установленными процедурами.

Наделение привилегиями и их использование должно быть строго ограниченным и управляемым. Распределение привилегий должно управляться с помощью процесса регистрации этих привилегий.

Контроль и периодический пересмотр прав доступа пользователей к информационным ресурсам Учреждения осуществляется в процессе аудита ИБ в соответствии с Правилами аудита ИБ и установленными процедурами.

Управление паролями

Пароли - средство проверки личности пользователя для доступа к ИС или сервису, обеспечивающее идентификацию и аутентификацию на основе сведений, известных только пользователю.

Предоставление паролей должно контролироваться посредством официальной процедуры, отвечающей следующим требованиям:

- все пользователи должны быть ознакомлены под подпись с требованием сохранения в тайне личных и групповых паролей;

- временные пароли должны назначаться пользователю только после его идентификации;

- пользователь должен подтвердить получение пароля;

- пароли должны храниться в электронном виде только в защищенной форме;

- назначенные производителем ПО пароли должны быть изменены сразу после завершения инсталляции;

- необходимо установить требования к длине пароля, набору символов и числу попыток ввода;

- необходимо изменять пароля пользователя не реже одного раза в 90 дней.

При необходимости можно рассмотреть возможность использования других технологий идентификации и аутентификации пользователей, в частности, биометрических технологий, проверки подписи и аппаратных средств (смарт-карты, e-Token/ruToken, чипы и т.п.).

Контроль прав доступа

Чтобы обеспечить эффективный контроль доступа необходимо ввести официальный процесс регулярной проверки прав доступа пользователей, отвечающий следующим требованиям:

? права доступа пользователей должны проверяться через регулярные интервалы (не реже одного раза в полгода), а также после внесения каких-либо изменений в ИС;

? права доступа пользователей должны проверяться и переназначаться при изменении их должностных обязанностей в Учреждении, а также при переходе с одной работы на другую в пределах Учреждения;

? проверка прав пользователей, имеющих особые привилегии для доступа в систему, должна проводиться чаще (не реже одного раза в 3 месяца);

? изменение привилегированных учетных записей должно протоколироваться. Контроль над выполнением процедур управления доступом пользователей должен включать:

? контроль над добавлением, удалением и изменением идентификаторов, аутентификационных данных и иных объектов идентификации;

? проверку подлинности пользователей перед сменой паролей;

? немедленное блокирование прав доступа при увольнении;

? блокирование учётных записей, неактивных более 45 дней;

? ознакомление с правилами и процедурами аутентификации всех пользователей, имеющих доступ к сведениям ограниченного распространения;

? использование механизмов аутентификации при доступе к любой базе данных, содержащей сведения ограниченного распространения, в том числе доступе со стороны приложений, администраторов и любых других пользователей;

? разрешение запросов и прямого доступа к базам данных только для администраторов баз данных;

? блокирование учётной записи на период равный 30 минутам действий пользователей, которые отнесены оператором к событиям нарушения безопасности информации. или до разблокировки учётной записи администратором;

Использование паролей

Идентификатор и пароль пользователя в ИС являются учётными данными, на основании которых сотруднику Учреждения предоставляются права доступа, протоколируются производимые им в системе действия и обеспечивается режим конфиденциальности, обрабатываемой (создаваемой, передаваемой и хранимой) сотрудником информации.

Не допускается использование различными пользователями одних и тех же учётных данных. Первоначальное значение пароля учетной записи пользователя устанавливает Администратор безопасности.

Личные пароли устанавливаются первый раз сотрудниками отдела ИС СМТ. После первого входа в систему и в дальнейшем пароли выбираются пользователями автоматизированной системы самостоятельно с учетом следующих требований:

? длина пароля должна быть не менее 8 символов;

? в числе символов пароля должны присутствовать три из четырёх видов символов:

- буквы в верхнем регистре;

- буквы в нижнем регистре;

- цифры;

- специальные символы (! @ # $ % ^ & * () - _ + = ~ [ ] { } | \ : ; ' " < >, . ? /);

? пароль не должен содержать легко вычисляемые сочетания символов, например,

- имена, фамилии, номера телефонов, даты;

- последовательно расположенные на клавиатуре символы ("12345678",

- "QWERTY", и т.д.);

- общепринятые сокращения ("USER", "TEST" и т.п.);

- повседневно используемое слово, например, имена или фамилии друзей,

- коллег, актёров или сказочных персонажей, клички животных;

- компьютерный термин, команда, наименование компаний, web сайтов,

- аппаратного или программного обеспечения;

- что-либо из вышеперечисленного в обратном написании;

- что-либо из вышеперечисленного с добавлением цифр в начале или конце;

? при смене пароля значение нового должно отличаться от предыдущего не менее

чем в 4 позициях;

? для различных ИС необходимо устанавливать собственные, отличающиеся пароли.

Сотруднику запрещается:

o сообщать свой пароль кому-либо;

o указывать пароль в сообщениях электронной почты;

o хранить пароли, записанные на бумаге, в легко доступном месте;

o использовать тот же самый пароль, что и для других систем (например, домашний интернет провайдер, бесплатная электронная почта, форумы и т.п.);

o использовать один и тот же пароль для доступа к различным корпоративным ИС.

Вход пользователя в систему не должен выполняться автоматически. Покидая рабочее место пользователь обязан заблокировать компьютер (используя комбинации Win + "L" или Ctrl + Alt + Delete > "Блокировать компьютер").

Сотрудник обязан:

- в случае подозрения на то, что пароль стал кому-либо известен, поменять пароль и сообщить о факте компрометации сотруднику отдела ИС СМТ;

- немедленно сообщить сотруднику отдела ИС СМТ в случае получения от кого-либо просьбы сообщить пароль;

- менять пароль каждые 90 дней;

- менять пароль по требованию Администратора ИБ.

После 20 неудачных попыток ввода пароля учётная запись блокируется на 10 минут. При систематической блокировке учётной записи работником (более 3 раз) оповещается Администратор ИБ.

Учреждение оставляет за собой право:

o осуществлять периодическую проверку стойкости паролей пользователей, используемых сотрудниками для доступа к ИС;

o принимать меры дисциплинарного характера к сотрудникам, нарушающим положения настоящей политики.

Пользовательское оборудование, оставляемое без присмотра

Пользователи должны обеспечивать необходимую защиту оборудования, остающегося без присмотра. Все пользователи должны быть осведомлены о требованиях ИБ и правилах защиты остающегося без присмотра оборудования, а также о своих обязанностях по обеспечению этой защиты.

Политика чистого стола

Сотрудники Учреждения обязаны:

? сохранять известные им пароли в тайне;

? закрывать активные сеансы по завершении работы, если только их нельзя защитить подходящим блокирующим механизмом, например, защищённый паролем хранитель экрана;

? по завершении сеанса выходить из системы у универсальных ЭВМ, серверов и офисных ПК.

Запрещается вести запись паролей (например, на бумаге, в программном файле или в карманном устройстве), за исключением случаев, когда запись может храниться безопасно, а метод хранения был утверждён.

Документы и носители с конфиденциальной информацией должны убираться в запираемые места (сейфы, шкафы и т.п.), особенно при уходе с рабочего места.

Компьютеры и терминалы должны быть оставлены в состоянии выполненного выхода из системы, когда они находятся без присмотра.

Политика допустимого использования информационных ресурсов

Общие обязанности пользователя:

- при работе с ПО руководствоваться нормативной документацией (руководством пользователя); обращаться в службу поддержки пользователей или к специалистам, назначенными ответственными за системное администрирование и информационную безопасность, по всем техническим вопросам, связанным с работой в корпоративной ИС (подключение к корпоративной ИС/домену, инсталляция и настройка ПО, удаление вирусов, предоставление доступа в сеть Интернет и к внутренним сетевым ресурсам, ремонт и техническое обслуживание и т.п.), а также за необходимой методологической/консультационной помощью по вопросам применения технических и программных средств корпоративной ИС;

- знать признаки правильного функционирования установленных программных продуктов и средств защиты информации;

- минимизировать вывод на печать обрабатываемой информации.

Пользователю запрещено производить несанкционированное распространение справочной информации, которая становится доступна при подключении к корпоративной ИС Учреждения.

Использование ПО

На АРМ "АТА" допускается использование только лицензионного программного обеспечения, утверждённого в перечне разрешённого программного обеспечения.

Запрещено незаконное хранение на жестких дисках АРМ "АТА" информации, являющейся объектом авторского права (ПО, фотографии, музыкальные файлы, игры, и т.д.).

Решение о приобретении и установке программного обеспечения, необходимого для реализации транспортных, финансовых, административно-хозяйственных и других задач принимает глава по представлении начальника безопасности.

Документы, подтверждающие покупку программного обеспечения, хранятся в бухгалтерии на протяжении всего времени использования лицензии, копии указанных документов вместе с лицензионными соглашениями на ПО, ключами защиты ПО и дистрибутивами хранятся в отделе безопасности.

Пользователи АРМ не имеют права удалять, изменять, дополнять, обновлять программную конфигурацию на АРМ "АТА". Указанные работы, а так же работы по установке, регистрации и активации приобретённого лицензионного ПО могут быть выполнены только сотрудниками отдела информационной безопасности.

Сведения о вновь приобретённом программном обеспечении должны быть внесены в перечень разрешённого программного обеспечения.

Использование АРМ и ИС

К работе в ИС Учреждения допускаются лица, назначенные на соответствующую должность и прошедшие инструктаж по вопросам информационной безопасности.

Каждому сотруднику Учреждения, которому необходим доступ к ИР в рамках его должностных обязанностей, выдаются под роспись необходимые средства автоматизации. Ответственность по установке и поддержке всех компьютерных систем, функционирующих в Учреждении, возложена на отдел ИС СМТ.

Каждый сотрудник Учреждения, обеспеченный АРМ, получает персональное сетевое имя, пароль, адрес электронной почты и личный каталог в сети, который предназначен для хранения рабочих файлов.

Работа в ИС сотрудникам разрешена только на закреплённых за ними АРМ, в определённое время и только с разрешенным программным обеспечением и сетевыми ресурсами.

Все АРМ, установленные в Учреждении, имеют унифицированный набор офисных программ, предназначенных для получения, обработки и обмена информацией, определённый в стандарте рабочих мест Учреждения. Изменение установленной конфигурации возможно после внесения соответствующих поправок в стандарт рабочих мест или по служебной записке, согласованной с отделом ИС СМТ. Комплектация персональных компьютеров аппаратными и программными средствами, а также расположение компьютеров контролируется отделом ИС СМТ.

Самостоятельная установка программного обеспечения на АРМ запрещена. Установка и удаление любого программного обеспечения производится только сотрудниками отдела ИС СМТ.

В случае обнаружения неисправности компьютерного оборудования или программного обеспечения, пользователь должен обратиться в отдел ИС СМТ.

Сотрудники отдела ИС СМТ имеют право осуществлять контроль над установленным на компьютере программным обеспечением, и принимать меры по ограничению возможностей несанкционированной установки программ.

Передача документов внутри Учреждения производится только посредством общих папок, а также средствами электронной почты.

При работе в ИС Учреждения сотрудник обязан:

o знать и выполнять требования внутренних организационно-распорядительных документов Учреждения;

o использовать ИС и АРМ Учреждения исключительно для выполнения своих служебных обязанностей;

o ставить в известность отдел ИС СМТ о любых фактах нарушения требований ИБ;

o ставить в известность отдел ИС СМТ о любых фактах сбоев ПО, некорректного завершения значимых операций, а также повреждения технических средств;

o незамедлительно выполнять предписания отдела ИС СМТ Учреждения.

o Предоставлять АРМ сотрудникам отдела ИС СМТ для контроля;

o При необходимости прекращения работы на некоторое время корректно закрывать все активные задачи, блокировать АРМ;

o В случае необходимости продолжения работы по окончании рабочего дня проинформировать об этом отдел ИС СМТ.

При использовании ИС Учреждения запрещено:

- использовать АРМ и ИС в личных целях;

- отключать средства управления и средства защиты, установленные на рабочей станции;

- передавать: конфиденциальную информацию; информацию, файлы или ПО, способные нарушить или ограничить функциональность любых программных и аппаратных средств, а также ссылки на вышеуказанные объекты; угрожающую, клеветническую, непристойную информацию;

- самовольно вносить изменения в конструкцию, конфигурацию, размещение АРМ и других узлов ИС Учреждения;

- предоставлять сотрудникам Учреждения (за исключением администраторов ИС и ИБ) и третьим лицам доступ к своему АРМ;

- запускать на АРМ ПО, не входящее в Реестр разрешенного к использованию ПО;

- защищать информацию, способами, не согласованными с отделом ИС СМТ заранее;

Информация о посещаемых ресурсах ИС протоколируется и, при необходимости, может быть представлена Руководителям структурных подразделений, а также Руководству Учреждения. Все электронные сообщения и документы в электронном виде, передаваемые посредством ИС Учреждения подлежат обязательной проверке на отсутствие вредоносного ПО.

Использование ресурсов локальной сети

Для выполнения своих служебных обязанностей каждый сотрудник обеспечивается доступом к соответствующим информационным ресурсам. Информационными ресурсами являются каталоги и файлы, хранящиеся на дисках серверов Учреждения, базы данных, электронная почта.

Основными рабочими каталогами являются личные каталоги сотрудников и каталоги подразделений, созданные в соответствии с особенностями их работы. Доступ сотрудников к ресурсам сети осуществляется согласно матрицы доступа. Временное расширение прав доступа осуществляется отделом ИС СМТ Учреждения в соответствии с Порядком предоставления (изменения) полномочий пользователя.

Обработка конфиденциальной информации

При обработке конфиденциальной информации сотрудники обязаны:

? знать и выполнять требования Инструкции по работе с конфиденциальной информацией;

? при необходимости размещать конфиденциальную информацию на открытом ресурсе корпоративной сети Учреждения применять средства защиты от неавторизованного доступа;

? размещать экран монитора таким образом, чтобы исключить просмотр обрабатываемой информации посторонними лицами;

? не отправлять на печать конфиденциальные документы, если отсутствует возможность контроля вывода на печать и изъятия отпечатанных документов из принтера сразу по окончании печати;

? обязательно проверять адреса получателей электронной почты на предмет правильности их выбора;

? не запускать исполняемые файлы на съемных накопителях, полученные не из доверенного источника;

? не передавать конфиденциальную информацию по открытым каналам связи, кроме сетей корпоративной ИС; не оставлять без личного присмотра на рабочем месте или где бы то ни было электронные носители информации (CD/DVD - диски, Flash - устройства и пр.), а также распечатки из принтера или бумажные копии документов, содержащие конфиденциальную информацию.

Работа в сети

Доступ к сети Интернет предоставляется сотрудникам Учреждения в целях выполнения ими своих служебных обязанностей, требующих непосредственного подключения к внешним информационным ресурсам.

Для доступа сотрудников Учреждения к сети Интернет допускается применение ПО, входящего в Реестр разрешённого к использованию ПО.

При использовании сети Интернет необходимо:

- соблюдать требования настоящей Политики;

- использовать сеть Интернет исключительно для выполнения своих служебных обязанностей;

- ставить в известность отдел ИС СМТ о любых фактах нарушения требований настоящей Политики;

При использовании сети Интернет запрещено:

- использовать предоставленный Учреждением доступ в сеть Интернет в личных целях;

- использовать несанкционированные аппаратные и программные средства, позволяющие получить несанкционированный доступ к сети Интернет;

- Совершать любые действия, направленные на нарушение нормального функционирования элементов ИС Учреждения;

- Публиковать, загружать и распространять материалы содержащие:

Конфиденциальную информацию, а также информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в должностные обязанности и способ передачи является безопасным, согласованным с отделом ИС СМТ;

угрожающую, клеветническую, непристойную информацию;

вредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности любых аппаратных и программных средств, для осуществления несанкционированного доступа, а также ссылки на него;

фальсифицировать свой IP- адрес, а также прочую служебную информацию.

Учреждение оставляет за собой право блокировать или ограничивать доступ пользователей к Интернет-ресурсам, содержание которых не имеет отношения к исполнению служебных обязанностей, а также к ресурсам, содержание и направленность которых запрещены законодательством.

Блокирование и ограничение доступа пользователей к Интернет-ресурсам осуществляется на основе Регламента применения категорий Интернет-ресурсов.

Использование мобильных устройств

Под использованием мобильных устройств и носителей информации в ИС Учреждения понимается их подключение к инфраструктуре ИС с целью обработки, приёма/передачи информации между ИС и мобильными устройствами, а также носителями информации.

На предоставленных Учреждением мобильных устройствах допускается использование ПО, входящего в Реестр разрешённого к использованию ПО.

К предоставленным Учреждением мобильным устройствам и носителям информации предъявляются те же требования ИБ, что и для стационарных АРМ. Целесообразность дополнительных мер обеспечения ИБ определяется отделом ИС СМТ.

При использовании предоставленных Учреждением мобильных устройств и носителей информации, сотрудник обязан:

§ соблюдать требования настоящей Политики;

§ использовать мобильные устройства и носители информации исключительно для выполнения своих служебных обязанностей;

§ ставить в известность отдел ИС СМТ о любых фактах нарушения требований настоящей Политики;

§ эксплуатировать и транспортировать мобильные устройства и носители информации в соответствии с требованиями производителей;

§ обеспечивать физическую безопасность мобильных устройств и носителей информации всеми разумными способами;

§ извещать отдел ИС СМТ о фактах утраты (кражи) мобильных устройств и носителей информации.

При использовании предоставленных сотрудника Учреждения мобильных устройств и носителей информации запрещено:

- передавать мобильные устройства и носители информации другим лицам (за исключением администраторов ИС и ИБ);

- оставлять мобильные устройства и носители информации без присмотра, если не предприняты действия по обеспечению их физической безопасности.

Любое взаимодействие (обработка, приём\передача информации) инициированное сотрудником Учреждения между ИС и неучтёнными (личными) мобильным и устройствами, а также носителями информации, рассматривается как несанкционированное (за исключением случаев, оговорённых с администраторами ИС заранее). Учреждение оставляет за собой право блокировать или ограничивать использование таких устройств и носителей информации;

Информация об использовании сотрудниками Учреждения мобильных устройств и носителей информации в ИС протоколируется и, при необходимости, может быть представлена Руководителям структурных подразделений, а также руководству Учреждения.

Информация, хранящаяся на предоставляемых Учреждением мобильных устройствах и носителях информации, подлежит обязательной проверке на отсутствие вредоносного ПО.

В случае увольнения, предоставленные ему мобильные устройства и носители информации изымаются.

Защита от вредоносного ПО

Отдел ИС СМТ регулярно проверяет сетевые ресурсы Учреждения антивирусным программным обеспечением и обеспечивает защиту входящей электронной почты от проникновения вирусов и другого вредоносного ПО.

При возникновении подозрения на наличие компьютерного вируса (нетипичная работа программ, появление графических и звуковых эффектов, искажений данных, пропадание файлов, частое появление о системных ошибках, увеличение исходящего/входящего трафика и т.п.) сотрудник Учреждения должен незамедлительно оповестить об этом отдел ИС СМТ. После чего администратор ИБ должен провести внеочередную полную проверку на вирусы рабочей станции пользователя, проверив, в первую очередь, работоспособность антивирусного ПО.

В случае обнаружения при проведении антивирусной проверки заражённых компьютерными вирусами файлов сотрудники подразделений обязаны:

- приостановить работу;

- немедленно поставить в известность о факте обнаружения заражения своего руководителя и отдел ИС СМТ, а также владельца файла и смежные подразделения, использующие эти файлы в работе.

- Совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования.

Приобретение, разработка и обслуживание систем

Требования безопасности для информационных систем

При описании требований к созданию новых систем или к усовершенствованию существующих необходимо учитывать потребность в средствах обеспечения безопасности.

Требования к безопасности и средства защиты должны соответствовать ценности используемых ИР и потенциальному ущербу для Учреждения в случае сбоя или нарушения безопасности. Основой для анализа требований к безопасности и выбору мер для поддержки безопасности является оценка рисков и управление рисками.

Системные требования к ИБ и процессам, обеспечивающим защиту информации, должны быть включены на ранних стадиях проектирования ИС.

Корректная обработка информации

Данные, вводимые в прикладные системы, необходимо проверять, чтобы гарантировать их правильность и соответствие поставленной задаче.

Безопасность системных файлов

Чтобы свести к минимуму риск повреждения ИС, в учреждении необходимо обеспечить контроль над внедрением ПО в рабочих системах.