Палітыка інфармацыйнай бяспекі
ГЛАВА 1
АГУЛЬНЫЯ ПАЛАЖЭННІ
2. У сапраўднай Палітыцы выкарыстоўваюцца тэрміны і азначэнні:
Даступнасць – ўласцівасць знаходжання ў стане гатоўнасці і прыдатнасці для выкарыстання па запыце аўтарызаванага логического аб'екта (СТБ ISO/IEC 27000).
Інфармацыя, распаўсюджванне і (або) прадастаўленне якой абмежавана – інфармацыя, да якой адносіцца:
- інфармацыя аб прыватным жыцці фізічнай асобы і персанальныя даныя;
- звесткі, якія складаюць дзяржаўныя сакрэты;
- службовая інфармацыя абмежаванага распаўсюджвання;
- інфармацыя, складнік камерцыйную, прафесійную, банкаўскую і іншую ахоўную законам таямніцу;
- інфармацыя, якая ўтрымліваецца ў справах аб адміністрацыйных правапарушэннях, матэрыялах і крымінальных справах органаў крымінальнага праследавання і суда да завяршэння вытворчасці па справе;
- іншая інфармацыя, доступ да якой абмежаваны заканадаўчымі актамі (Закон №453-3).
Інфармацыйная бяспека – захаванне прыватнасці, цэласнасці і даступнасці інфармацыі (СТБ ISO/IEC 27000).
Інцыдэнт інфармацыйнай бяспекі – адна ці шэраг непажаданых або непрадбачаных падзей у вобласці інфармацыйнай бяспекі, пры якіх маецца значная верагоднасць кампраметацыі функцыянавання бізнесу і пагрозы інфармацыйнай бяспекі (СТБ ISO/IEC 27000).
Канфідэнцыяльнасць – ўласцівасць, якое паказвае, што інфармацыя застаецца недаступнай або нераскрытай для неаўтарызаваных асоб або працэсаў (СТБ ISO/IEC 27000).
Меры забеспячэння інфармацыйнай бяспекі – сукупнасць дзеянняў, накіраваных на распрацоўку і/або практычнае прымяненне спосабаў і сродкаў забеспячэння інфармацыйнай бяспекі (ДАСТ Р 53114).
Забеспячэнне інфармацыйнай бяспекі арганізацыі – дзейнасць, накіраваная на ліквідацыю (нейтралізацыю, парыраванне) унутраных і знешніх пагроз інфармацыйнай бяспекі арганізацыі або на мінімізацыю шкоды ад магчымай рэалізацыі такіх пагроз (ДАСТ Р 53114).
Сапраўднасць – ўласцівасць, якое паказвае, што аб'ект уяўляе сабой тое, што ён заяўляе аб сабе (СТБ ISO/IEC 27000).
Палітыка інфармацыйнай бяспекі – агульныя намеры па забеспячэнні прыватнасці, цэласнасці, дакладнасці, даступнасці і захаванасці інфармацыі, дакументальна замацаваныя ўласнікам (уладальнікам) інфармацыйнай сістэмы (Закон №453-3);
Прынцып мінімальных прывілеяў – прынцып арганізацыі доступу да рэсурсаў, калі кожны карыстальнік павінен мець доступ да інфармацыі і рэсурсаў, якія мінімальна неабходныя для паспяховага выканання яго працоўнай мэты.
Падзея ў вобласці інфармацыйнай бяспекі – идентифицированное ўзнікненне стану сістэмы, паслугі або сеткі, якое паказвае на магчымае парушэнне патрабаванняў інфармацыйнай бяспекі або адмова сродкаў кіравання, а таксама ўзнікненне раней невядомай сітуацыі, якая можа быць звязаная з бяспекай (СТБ ISO/IEC 27000).
Пагроза (бяспекі інфармацыі) – сукупнасць умоў і фактараў, якія ствараюць патэнцыйную або рэальную існуючую небяспеку парушэння бяспекі інфармацыі (СТБ ДАСТ Р 50922).
Цэласнасць – ўласцівасць захавання дакладнасці і паўнаты (СТБ ISO/IEC 27000).
3. Палітыка ўяўляе сабой сістэматызаванае выклад мэтаў і задач абароны ІТ-паслуг, ІТ-інфраструктуры ЗАТ «АТЛАНТ» і апрацоўванай у іх інфармацыі, асноўных прынцыпаў пабудовы, арганізацыйных, тэхналагічных і працэдурных аспектаў яе забеспячэння.
4. Палітыка публікуецца ў вольным доступе ў інфармацыйна-тэлекамунікацыйнай сеткі Інтэрнэт на карпаратыўных вэб-сайтах https:\\atlant.by і https:\\bsz.by.
ГЛАВА 2
МЭТЫ І ЗАДАЧЫ ПАЛІТЫКІ ІНФАРМАЦЫЙНАЙ БЯСПЕКІ
5. Мэта Палітыкі – стварэнне і пастаяннае выкананне ўмоў, пры якіх рызыкі, звязаныя з парушэннем цэласнасці, даступнасці і прыватнасці ІТ-паслуг і інфармацыі, якія пастаянна кантралююцца і выключаюцца, альбо знаходзяцца на дапушчальным (прымальным) ўзроўні рэшткавага рызыкі.
6. Задачы Палітыкі:
- зніжэнне рызык ІБ, звязаных з выкарыстаннем ІТ-паслуг;
- аптымізацыя выдаткаў на забеспячэнне ІБ;
- своечасовае выяўленне пагроз ІБ;
- мінімізацыя страт ЗАТ «АТЛАНТ» пры ўзнікненні пагроз ІБ;
- забеспячэнне бяспекі паслуг і інфармацыі ЗАТ «АТЛАНТ» ва ўмовах неспрыяльных падзей (атакі зламыснікаў, збоі і адмовы ІТ-паслуг, няправільныя дзеянні персаналу, прыродныя і тэхнагенныя катастрофы, тэрарыстычныя пагрозы і інш.).
ГЛАВА 3
ПРЫНЦЫПЫ ПАЛІТЫКІ ІНФАРМАЦЫЙНАЙ БЯСПЕКІ
- адпавядаць патрабаванням заканадаўства па абароне інфармацыі;
- пастаянна ўдасканальваць сістэму абароны інфармацыі.
8. Парольная палітыка:
- парадак стварэння і змены ідэнтыфікацыйных і аутентификационных дадзеных карыстальнікаў вызначаны і рэгламентаваны.
9. Прынцып мінімальных прывілеяў:
- доступ працаўнікоў да ІТ-паслуг і аперацыі па прадастаўленню доступу або прызначэнні паўнамоцтваў ажыццяўляюцца ў адпаведнасці з усталяванымі працэдурамі.
10. Документированность:
- працэсы і працэдуры забеспячэння ІБ вызначаюцца і дакументуюцца.
11. Комплекснасць абароны:
- меры па забеспячэнні ІБ прымаюцца па ўсім ідэнтыфікаваным відаў пагроз з улікам ацэнкі рызык ІБ;
12. Бесперапыннасць кантролю забеспячэння ІБ ажыццяўляецца з дапамогай:
- штодзённага маніторынгу падзей ІБ;
- штогадовага аўдыту сістэмы забеспячэння ІБ;
- аналізу эфектыўнасці мер забеспячэння ІБ з улікам змяненняў ІT-асяроддзя, з'яўлення новых пагроз, інцыдэнтаў і праблем;
- планавання і ўкаранення дадатковых мер абароны, рэалізацыя якіх устанаўліваецца ў планы работ.
13. Кантроль з боку кіраўніцтва:
- на рэгулярнай аснове разглядаюцца справаздачы аб стане ІБ і фактах парушэнняў устаноўленых патрабаванняў, а таксама агульныя і прыватныя пытанні ІБ, звязаныя з выкарыстаннем тэхналогій павышанага рызыкі або істотна ўплываюць на працэсы.
14. Павышэнне дасведчанасці карыстальнікаў у галіне ІБ выконваецца з дапамогай:
- азнаямлення карыстальнікаў з ЛПА па забеспячэнні ІБ;
- публікацыі матэрыялаў на карпаратыўным партале ЗАТ «АТЛАНТ»;
- масавай рассылкі інфармацыі аб пагрозах ІБ;
- вучэнняў ІБ ў выглядзе фішынгавых сімуляцый;
- дыстанцыйнага навучання на карпаратыўным партале навучання АтлантIQ;
- правядзення растлумачальнай працы работнікамі, адказнымі за абарону інфармацыі.
15. персанальная адказнасць:
- адказнасць за парушэнні патрабаванняў ІБ ўстаноўлена ў службовых інструкцыях работнікаў, у ЛПА па забеспячэнні ІБ.
ГЛАВА 4
ВОБЛАСЦЬ ДЗЕЯННЯ ПАЛІТЫКІ ІНФАРМАЦЫЙНАЙ БЯСПЕКІ
- інфармацыю, апрацоўваную з дапамогай паслуг;
- ІТ-інфраструктуру.
17. Асноўнымі аб'ектамі ІБ з'яўляюцца:
- інфармацыя, распаўсюджванне і (або) прадастаўленне якой абмежавана;
- ІТ-паслугі, пры дапамозе якіх апрацоўваецца інфармацыя – рэгламенты і працэдуры збору, апрацоўкі, захоўвання і перадачы інфармацыі;
- ІТ-інфраструктура, якая ўключае сістэмы апрацоўкі і аналізу інфармацыі, тэхнічныя і праграмныя сродкі яе апрацоўкі, перадачы і адлюстравання, сістэмы і сродкі абароны інфармацыі, аб'екты і памяшканні, у якіх размешчаны крытычныя кампаненты інфармацыйнай сістэмы;
- персанал распрацоўшчыкаў і персанал, які абслугоўвае ІТ-паслугі.
18. Асноўнымі суб'ектамі ІБ з'яўляюцца работнікі структурных падраздзяленняў – карыстальнікі ІТ-паслуг.
ГЛАВА 5
ЗАБЕСПЯЧЭННЕ ІНФАРМАЦЫЙНАЙ БЯСПЕКІ
- тэхнічныя – мерапрыемствы па забеспячэнні ІБ;
- арганізацыйныя – патрабаванні ІБ выкарыстання паслуг.
20. Мерапрыемствы па забеспячэнні ІБ:
- выкарыстанне тэхнічных, праграмна-апаратных і праграмных сродкаў, у тым ліку сродкаў абароны інфармацыі, размешчаных на тэрыторыі Рэспублікі Беларусь;
- ужыванне сродкаў абароны інфармацыі, якія прайшлі пацвярджэнне адпаведнасці патрабаванням тэхнічнага рэгламенту Рэспублікі Беларусь «Інфармацыйныя тэхналогіі. Сродкі абароны інфармацыі. Інфармацыйная бяспека» (ТР 2013/027/BY), зацверджанага пастановай Савета Міністраў Рэспублікі Беларусь ад 15 мая 2013 г. № 375;
- наяўнасць структурнай і лагічнай схем аб'ектаў інфармацыйнай інфраструктуры, падтрыманне такіх схем у актуальным стане;
- вызначэнне парадку генерацыі і змены ідэнтыфікацыйных і аутентификационных дадзеных карыстальнікаў (пароляў), абнаўлення праграмнага забеспячэння, у тым ліку да сродкаў абароны інфармацыі;
- змяненне устаноўленых па змаўчанні ідэнтыфікацыйных і аутентификационных дадзеных (рэквізітаў доступу) да аб'ектаў інфармацыйнай інфраструктуры, у тым ліку да сродкаў абароны інфармацыі, альбо блакаванне магчымасці іх выкарыстання;
- выкарыстанне мадэлі кіравання доступам (размежавання доступу) да аб'ектаў інфармацыйнай інфраструктуры, у тым ліку да сродкаў абароны інфармацыі;
- ідэнтыфікацыя і аўтэнтыфікацыя карыстальнікаў, своечасовае блакаванне невыкарыстоўваемых ідэнтыфікацыйных дадзеных карыстальнікаў;
- рэгламентаваны доступ да налад (адміністраванні) аб'ектаў інфармацыйнай інфраструктуры, у тым ліку сродкаў абароны інфармацыі;
- арганізацыя рэзервовага капіявання інфармацыі, якая змяшчаецца ў інфармацыйнай сістэме;
- сінхранізацыя сістэмнага часу ад адзінай (агульнай) крыніцы;
- міжсеткавае экранаванне пры знешнім інфармацыйным узаемадзеянні па партоў пратаколаў сеткавага і транспартнага узроўняў;
- выяўленне і прадухіленне ўварванняў пры знешнім інфармацыйным узаемадзеянні;
- абарона ад уздзеяння шкоднасных праграм;
- цэнтралізаваны збор звестак аб падзеях інфармацыйнай бяспекі, а таксама захоўванне такой інфармацыі не менш аднаго года
- выяўленне, папярэджанне і даследаванне кібератакі і выкліканых імі киберинцидентов у рамках рэгламенту забеспячэння кібербяспекі аб'екта інфармацыйнай інфраструктуры (на падставе дагавора на аказанне паслуг па забеспячэнні кібербяспекі з аттестованным цэнтрам кібербяспекі);
- кантроль за захаваннем патрабаванняў, устаноўленых у нарматыўных прававых актах, дакументацыі на сістэму абароны інфармацыі ўласніка (уладальніка) інфармацыйнай сістэмы.
21. Патрабаванні ІБ выкарыстання ІТ-паслуг:
- парадак выкарыстання інфармацыйнай сістэмы;
- абарона ад несанкцыянаванага доступу;
- абарона ад уздзеяння шкоднасных праграм;
- парадак выкарыстання вонкавых носьбітаў інфармацыі;
- парадак выкарыстання карпаратыўнай электроннай пошты;
- парадак выкарыстання глабальнай кампутарнай сеткі Інтэрнэт, мессенджеров і сацыяльных сетак;
- парадак выкарыстання аддаленага доступу да ІТ-паслуг.
