С целью минимизации рисков Департамент ИТ обеспечивает выполнение требований целостности, конфиденциальности и доступности информации.
Разработкой требований и контролем их выполнения занимается Департамент ИТ.
Данные требования обязательны к исполнению всеми работниками структурных подразделений, отделов и служб.
Все требования по обеспечению информационной безопасности применимы к каждому работнику, а также к любому третьему лицу, включая лиц, работающих по договорам гражданско-правового характера и прикомандированных работников, имеющих доступ к информации и ее информационным ресурсам.
Каждый работник, а также любое третье лицо, включая лиц, работающих по договорам гражданско-правового характера и прикомандированных работников, имеющих доступ к информации и ее информационным ресурсам признает право на осуществление контроля их деятельности при работе с информационными средствами и информацией.
Вся деловая информация в любой форме, приобретенная или полученная, используемая для поддержки его законной производственно-хозяйственной деятельности, либо разработанная его работниками в ходе производственно-хозяйственной деятельности, принадлежит Организации. Это право собственности распространяется на голосовую и факсимильную связь с использованием аппаратуры, на лицензионное и разработанное программное обеспечение и отдельные программы, на электронные почтовые ящики, а также на бумажные и электронные файлы всех бизнес-направлений, бизнес-функций, и на всех работников.
Запрещается использование информации и информационных средств в личных целях.
3.1. Цель системы обеспечения информационной безопасности — создание и постоянное соблюдение условий, при которых риски, связанные с нарушением безопасности информационных активов, постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска.
Процессы обеспечения информационной безопасности являются составной и неотъемлемой частью процессов управления информационными технологиями и сопутствующими операционными рисками и осуществляются на основе циклической модели: «планирование - реализация - проверка совершенствование - планирование -…».
3.2. Безопасность информационных активов оценивается и обеспечивается по каждому из следующих аспектов:
При этом критерием оценки является вероятность, размер и последствия нанесения Организации любого вида ущерба (невыполнение имеющихся перед партнерами обязательств, финансовые потери, потеря репутации и пр.).
Состояние информационной безопасности оказывает непосредственное влияние на операционные риски деятельности в связи с чем любой факт (инцидент) нарушения информационной безопасности рассматривается как существенное событие.
3.3. Задачами системы обеспечения информационной безопасности являются:
Процессы обеспечения информационной безопасности затрагивают каждого работника, использующего его информационные активы, и накладывают на него соответствующие обязанности и ограничения.
Ответственность за нарушения требований информационной безопасности возлагается непосредственно на работников, допустивших нарушения, и руководителя структурного подразделения, отдела, службы, в котором нарушения допущены.
Любому сотруднику доступ к информационным активам предоставляется только в том объеме, который необходим ему для выполнения служебных обязанностей. Все операции по предоставлению доступа или назначению полномочий осуществляются строго в соответствии с установленными процедурами (Процедура получения индивидуального доступа).
Меры по обеспечению безопасности информационных активов принимаются по всем идентифицированным видам угроз с учетом результатов оценки рисков информационной безопасности.
Принимаемые меры обеспечения информационной безопасности эффективны и соразмерны имеющим место рискам информационной безопасности.
Постоянный мониторинг и аудит системы обеспечения информационной безопасности, по результатам которых осуществляется анализ эффективности принятых мер обеспечения информационной безопасности с учетом изменений IT-среды, появления новых угроз, инцидентов и проблем, планируются и внедряются дополнительные меры защиты.
Руководство на регулярной основе рассматривает отчеты о состоянии информационной безопасности в структурных подразделениях, отделах, службах и фактах нарушений установленных требований, а также общие и частные вопросы информационной безопасности, связанные с использованием технологий повышенного риска или существенно влияющие на бизнес-процессы.
Бюджет предусматривает расходы на обеспечение информационной безопасности.
В основе процессов управления информационной безопасностью лежат следующие общие требования:
«Ролевое» управление является основным механизмом управления полномочиями пользователей и администраторов в автоматизированных системах.
Роли формируются с учетом принципа минимальности полномочий.
Критичные технологические процессы должны быть защищены от ошибочных и несанкционированных действий администраторов. Штатные процедуры администрирования, диагностики и восстановления должны выполняться через специальные роли в автоматизированных системах без непосредственного доступа к данным.
Должностные обязанности сотрудников и трудовые договоры предусматривают обязанности персонала по выполнению требований по обеспечению информационной безопасности, включая обязательства по неразглашению информации, составляющей коммерческую тайну.
Приказы и распоряжения, актуальная информация по вопросам обеспечения информационной безопасности, в том числе по выявленным нарушениям, доводятся до всех сотрудников под роспись.
Периодически проверяется и оценивается уровень компетентности и информированности работников в вопросах информационной безопасности.
При допуске к работе с критичными АС работники проходят проверку методами, разрешенными законодательством Российской Федерации.
Процедуры по обеспечению информационной безопасности предусматриваются на всех стадиях жизненного цикла автоматизированных систем: при разработке (приобретении), эксплуатации, модернизации, снятии с эксплуатации.
В контрактах со сторонними разработчиками на поставку систем предусматривается их ответственность за наличие в системах скрытых недокументированных возможностей, а также соблюдение условий конфиденциальности,
Системы сторонней разработки проверяются на соответствие требованиям информационной безопасности. При несоответствии текущей версии ПО требованиям информационной безопасности, указанное ПО обновляется или закупается новое.
При выводе АС из эксплуатации или замене входящего в ее состав оборудования осуществляется обязательное гарантированное удаление информации с соответствующих машинных носителей и из памяти компьютеров.
Каждый сотрудник обязан выполнять правила эксплуатации антивирусного ПО и требования антивирусной безопасности в отношении внешних источников и носителей информации, а также сети Интернет, немедленно прекращать работу и информировать службы автоматизации и безопасности при подозрениях на вирусное заражение.
Антивирусные средства должны быть установлены на все рабочие места работников и сервера в режиме постоянной защиты.
Запрещается отключать антивирусное ПО, без согласования со службами автоматизации (Департамента ИТ).
Пользователи на рабочих местах не должны иметь административных прав. Наличие административных прав на рабочих местах разрешается только пользователям, выполняющим специальные функции по управлению автоматизированной системой по согласованию ИТ Департаментом.
Все ПО устанавливается на рабочие станции сотрудниками службы автоматизации. Устанавливаемое ПО должно быть лицензионным. Запрещается самостоятельная установка ПО пользователями.
Техническая возможность подключения пользователями к рабочим станциям ЛВС внешних накопителей информации, модемов, мобильных телефонов, беспроводных интерфейсов, использование USB, CD-DVD-дисководов максимально ограничивается. Запрещается подключать любое оборудование без согласования с сотрудниками ИТ Департамента.
Антивирусная защита обеспечивается использованием специализированного лицензионного антивирусного программного обеспечения.
Для снижения влияния человеческого фактора, исключения возможности отключения или не обновления антивирусных средств, контроль и управление антивирусным программным обеспечением, а также устранение выявленных уязвимостей в системном программном обеспечении производится в автоматизированном режиме. При этом обеспечивается минимально возможный период обновления.
Использование ресурсов Интернет разрешается исключительно в производственных целях.
Запрещается использование сети Интернет для информационного взаимодействия между подразделениями Организации без использования средств шифрования.
Использование канальных ресурсов Интернет для построения корпоративных сетей Организации допускается только при использовании средств шифрования (VPN-канал).
Взаимодействие с партнерами по сети Интернет осуществляется с использованием специализированных систем и средств защиты, аттестованных на соответствие требованиям информационной безопасности.
Использование сети Интернет для обработки и хранения информации (в том числе не конфиденциальной) запрещается. Запрещается использование ящиков электронной почты, заведенных не на ресурсах Организации (в частности использование публичных почтовых серверов).
Подключение к рабочим станциям ЛВС мобильных телефонов, беспроводных (радио) интерфейсов, модемов и прочего оборудования, позволяющего выходить в Интернет, запрещается.
Подключение к сети Интернет осуществляется с использованием телефонной сети Организации.
Обсуждение сотрудниками на форумах и в конференциях сети Интернет вопросов, касающихся их служебной деятельности, допускается только при наличии соответствующих указаний руководства.
Доступ сотрудников к ресурсам сети Интернет санкционируется руководством и согласовывается с Департаментом ИТ, которые осуществляют контроль соблюдения сотрудниками требований информационной безопасности, включая контентный анализ сообщений.
Работа сотрудников с web ресурсами Интернет разрешается только в режиме просмотра данных, исключая возможность передачи информации Организации в сеть Интернет.
Технологические процессы должны быть максимально автоматизированы и обеспечивать возможность выполнения массовых и потенциально опасных операций без участия персонала за счет реализации эффективных процедур контентного контроля и защиты.
Для защиты технологических процессов по результатам анализа рисков информационной безопасности применяются как штатные средства безопасности сетевых операционных систем, СУБД, так и дополнительные программные и программно-аппаратные комплексы и средства криптографической защиты, в совокупности, обеспечивающие достаточный уровень безопасности на всех участках и этапах технологического процесса.
Все информационные активы идентифицируются, категорируются и имеют своих владельцев. Доступ к информационным активам всем сотрудникам предоставляется только на основании документально оформленных заявок, согласованных с их владельцами и службой автоматизации (Департамента ИТ). По умолчанию определяется отсутствие доступа.
Доступ к информационным активам не предоставляется (прекращается) в случае отсутствия производственной необходимости, изменения функциональных и должностных обязанностей, увольнения сотрудника.
Департаментом ИТ проводится периодический контроль (не менее одного раза в полугодие) соответствия согласованных и реальных прав доступа к информационным активам, текущему статусу пользователя.
Доступ ко всем информационным активам осуществляется только после авторизации пользователя. В качестве процедуры авторизации используется предъявление уникального имени и пароля. Запрещается передавать свой пароль кому-либо. Запрещается сохранять свой пароль на любых носителях информации.
Журналы аудита действий пользователей и администраторов автоматизированных систем должны быть информативны, защищены от модификации и храниться в течение срока, потенциально необходимого для использования при расследовании возможных инцидентов, связанных с нарушением информационной безопасности.
Наиболее критичные активы могут выделяться в отдельные сегменты сети для ограничения доступа.
Помещения категорируются в зависимости от критичности размещаемых в них информационных активов. В соответствии с категорией обеспечивается техническая укрепленность помещений, оснащение средствами видеоконтроля, контроля доступа, пожаротушения и сигнализации.
Каждый сотрудник, получивший в пользование портативный компьютер (Notebook), обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и в иных местах (например, гостинице, конференц-зале, автомобиле или аэропорту). В случае утери (кражи) портативного компьютера ответственность возлагается на данного сотрудника
Портативные компьютеры (Notebooks), должны храниться в физически защищенном месте. Для их сохранности рекомендуется использовать механические замки (например, систему Kensington Lock).
6.1. Общее руководство системой обеспечения информационной безопасности осуществляет директор.
Директор:
6.2. Все руководители структурных подразделений, отделов и служб отвечают за реализацию политики информационной безопасности и управление процессами ее обеспечения в рамках своей компетенции:
6.2.1. Служба автоматизации:
6.2.2. Подразделения:
Сотрудники несут ответственность за не выполнение требований по обеспечению информационной безопасности на своих рабочих местах.
Руководители структурных подразделений, отделов и служб несут ответственность за не выполнение требований по обеспечению информационной безопасности их работниками.
Служба автоматизации несет ответственность за не выполнение требований по обеспечению информационной безопасности серверов, рабочих станций, оборудования.
В случае выявления нарушения требований информационной безопасности к сотруднику принимаются меры, предусмотренные внутренними документами Организации, а также действующим законодательством РФ.
1. Пользователь информационных ресурсов ЛВС обязан:
1.1. Использовать ресурсы ЛВС для служебных целей.
1.2. Знать и помнить имя компьютера, персональный логин и пароль (выдается памятка).
1.3. По требованию системного администратора производить выход из баз данных вплоть до полного отключения от сети.
1.4. При смене должности, рабочего места или уровня доступа к информации немедленно сообщать администратору ЛВС.
1.5. Иметь уникальный пароль соответствующий требованиям информационной безопасности.
Пароль должен иметь длину не менее 5-ми символов и удовлетворять любым 3-м из 4-х условий:
Пароль не должен повторять пароли других пользователей и предыдущие пароли пользователя (в случае плановой смены пароля).
1.6. Сообщать о любых случаях использования другими пользователями ресурсов ЛВС в личных, не связанных с производственной деятельностью, целях.
1.7. Сохранять рабочую документацию (письма и т.д.) на сетевом диске.
2. Пользователю информационных ресурсов ЛВС запрещается:
2.1. Без согласования с системным администратором подключать к ЛВС любые устройства (компьютеры, принтеры, концентраторы и т.д.).
2.2. Использовать предоставляемые ресурсы ЛВС для хранения развлекательной информации, такой как: игры, картинки, музыку и др., не связанное с производственной необходимостью.
2.3. Самостоятельно изменять настройки компьютера подключенного к ЛВС (имя компьютера, IP- адрес, сетевые службы и протоколы и др.).
2.4. Открывать для общего доступа любые ресурсы закрепленного за пользователем компьютера.
2.5. Применять к информации, хранящейся в ЛВС, любые методы шифрования данных.
2.6. Хранить персональный пароль на любых материальных носителях и в электронном виде (бумага, диски компьютера и т.д.), сообщать кому либо свой пароль.
2.7. Хранить личную информации (фотографии, видео и т.д.) на ЛВС.
3. Особые условия
3.1. В случае не соблюдения правил использования информационных ресурсов ЛВС пользователь может быть отключен от ЛВС без предварительного уведомления.
3.2. Повторное подключение пользователя к информационным ресурсам ЛВС производится после предварительного предоставления пользователем объяснительной на имя директора компании.
1. Оформляется письмо (e-mail) либо служебная записка на имя начальника отдела.
2. После согласования начальником отдела документ передается начальнику Департамента ИТ.
3. Начальником Департамента назначается: