Политика информационной безопасности
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
2. В настоящей Политике используются термины и определения:
Доступность – свойство нахождения в состоянии готовности и пригодности для использования по запросу авторизованного логического объекта (СТБ ISO/IEC 27000).
Информация, распространение и (или) предоставление которой ограничено – информация, к которой относится:
- информация о частной жизни физического лица и персональные данные;
- сведения, составляющие государственные секреты;
- служебная информация ограниченного распространения;
- информация, составляющая коммерческую, профессиональную, банковскую и иную охраняемую законом тайну;
- информация, содержащаяся в делах об административных правонарушениях, материалах и уголовных делах органов уголовного преследования и суда до завершения производства по делу;
- иная информация, доступ к которой ограничен законодательными актами (Закон №453-3).
Информационная безопасность – сохранение конфиденциальности, целостности и доступности информации (СТБ ISO/IEC 27000).
Инцидент информационной безопасности – одно или ряд нежелательных или непредвиденных событий в области информационной безопасности, при которых имеется значительная вероятность компрометации функционирования бизнеса и угрозы информационной безопасности (СТБ ISO/IEC 27000).
Конфиденциальность – свойство, указывающее, что информация остается недоступной или нераскрытой для неавторизованных лиц или процессов (СТБ ISO/IEC 27000).
Меры обеспечения информационной безопасности – совокупность действий, направленных на разработку и/или практическое применение способов и средств обеспечения информационной безопасности (ГОСТ Р 53114).
Обеспечение информационной безопасности организации – деятельность, направленная на устранение (нейтрализацию, парирование) внутренних и внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз (ГОСТ Р 53114).
Подлинность – свойство, указывающее, что объект представляет собой то, что он заявляет о себе (СТБ ISO/IEC 27000).
Политика информационной безопасности – общие намерения по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, документально закрепленные собственником (владельцем) информационной системы (Закон №453-3);
Принцип минимальных привилегий – принцип организации доступа к ресурсам, когда каждый пользователь должен иметь доступ к информации и ресурсам, которые минимально необходимы для успешного выполнения его рабочей цели.
Событие в области информационной безопасности – идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение требований информационной безопасности или отказ средств управления, а также возникновение ранее неизвестной ситуации, которая может быть связана с безопасностью (СТБ ISO/IEC 27000).
Угроза (безопасности информации) – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность нарушения безопасности информации (СТБ ГОСТ Р 50922).
Целостность – свойство сохранения точности и полноты (СТБ ISO/IEC 27000).
3. Политика представляет собой систематизированное изложение целей и задач защиты ИТ-услуг, ИТ-инфраструктуры ЗАО «АТЛАНТ» и обрабатываемой в них информации, основных принципов построения, организационных, технологических и процедурных аспектов ее обеспечения.
4. Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на корпоративных веб-сайтах https:\\atlant.by и https:\\bsz.by.
ГЛАВА 2
ЦЕЛИ И ЗАДАЧИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
5. Цель Политики – создание и постоянное соблюдение условий, при которых риски, связанные с нарушением целостности, доступности и конфиденциальности ИТ-услуг и информации, постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска.
6. Задачи Политики:
- снижение рисков ИБ, связанных с использованием ИТ-услуг;
- оптимизация затрат на обеспечение ИБ;
- своевременное выявление угроз ИБ;
- минимизация потерь ЗАО «АТЛАНТ» при возникновении угроз ИБ;
- обеспечение безопасности услуг и информации ЗАО «АТЛАНТ» в условиях неблагоприятных событий (атаки злоумышленников, сбои и отказы ИТ-услуг, неверные действия персонала, природные и техногенные катастрофы, террористические угрозы и др.).
ГЛАВА 3
ПРИНЦИПЫ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- соответствовать требованиям законодательства по защите информации;
- постоянно совершенствовать систему защиты информации.
8. Парольная политика:
- порядок генерации и смены идентификационных и аутентификационных данных пользователей определен и регламентирован.
9. Принцип минимальных привилегий:
- доступ работников к ИТ-услугам и операции по предоставлению доступа или назначению полномочий осуществляются в соответствии с установленными процедурами.
10. Документированность:
- процессы и процедуры обеспечения ИБ определяются и документируются.
11. Комплексность защиты:
- меры по обеспечению ИБ принимаются по всем идентифицированным видам угроз с учетом оценки рисков ИБ;
12. Непрерывность контроля обеспечения ИБ осуществляется посредством:
- ежедневного мониторинга событий ИБ;
- ежегодного аудита системы обеспечения ИБ;
- анализа эффективности мер обеспечения ИБ с учетом изменений ИT-среды, появления новых угроз, инцидентов и проблем;
- планирования и внедрения дополнительных мер защиты, реализация которых устанавливается в планы работ.
13. Контроль со стороны руководства:
- на регулярной основе рассматриваются отчеты о состоянии ИБ и фактах нарушений установленных требований, а также общие и частные вопросы ИБ, связанные с использованием технологий повышенного риска или существенно влияющие на процессы.
14. Повышение осведомленности пользователей в области ИБ выполняется посредством:
- ознакомления пользователей с ЛПА по обеспечению ИБ;
- публикации материалов на корпоративном портале ЗАО «АТЛАНТ»;
- массовой рассылки информации об угрозах ИБ;
- учений ИБ в виде фишинговых симуляций;
- дистанционного обучения на корпоративном портале обучения АтлантIQ;
- проведения разъяснительной работы работниками, ответственными за защиту информации.
15. персональная ответственность:
- ответственность за нарушения требований ИБ установлена в должностных инструкциях работников, в ЛПА по обеспечению ИБ.
ГЛАВА 4
ОБЛАСТЬ ДЕЙСТВИЯ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- информацию, обрабатываемую с помощью услуг;
- ИТ-инфраструктуру.
17. Основными объектами ИБ являются:
- информация, распространение и (или) предоставление которой ограничено;
- ИТ-услуги, при помощи которых обрабатывается информация – регламенты и процедуры сбора, обработки, хранения и передачи информации;
- ИТ-инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, системы и средства защиты информации, объекты и помещения, в которых размещены критические компоненты информационной системы;
- персонал разработчиков и персонал, обслуживающий ИТ-услуги.
18. Основными субъектами ИБ являются работники структурных подразделений – пользователи ИТ-услуг.
ГЛАВА 5
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
- технические – мероприятия по обеспечению ИБ;
- организационные – требования ИБ использования услуг.
20. Мероприятия по обеспечению ИБ:
- использование технических, программно-аппаратных и программных средств, в том числе средств защиты информации, размещенных на территории Республики Беларусь;
- применение средств защиты информации, прошедших подтверждение соответствия требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY), утвержденного постановлением Совета Министров Республики Беларусь от 15 мая 2013 г. № 375;
- наличие структурной и логической схем объектов информационной инфраструктуры, поддержание таких схем в актуальном состоянии;
- определение порядка генерации и смены идентификационных и аутентификационных данных пользователей (паролей), обновления программного обеспечения, в том числе к средствам защиты информации;
- изменение установленных по умолчанию идентификационных и аутентификационных данных (реквизитов доступа) к объектам информационной инфраструктуры, в том числе к средствам защиты информации, либо блокирование возможности их использования;
- использование модели управления доступом (разграничения доступа) к объектам информационной инфраструктуры, в том числе к средствам защиты информации;
- идентификация и аутентификация пользователей, своевременное блокирование неиспользуемых идентификационных данных пользователей;
- регламентированный доступ к настройкам (администрированию) объектов информационной инфраструктуры, в том числе средств защиты информации;
- организация резервного копирования информации, содержащейся в информационной системе;
- синхронизация системного времени от единого (общего) источника;
- межсетевое экранирование при внешнем информационном взаимодействии по портам протоколов сетевого и транспортного уровней;
- обнаружение и предотвращение вторжений при внешнем информационном взаимодействии;
- защита от воздействия вредоносных программ;
- централизованный сбор сведений о событиях информационной безопасности, а также хранение такой информации не менее одного года
- выявление, предупреждение и исследование кибератак и вызванных ими киберинцидентов в рамках регламента обеспечения кибербезопасности объекта информационной инфраструктуры (на основании договора на оказание услуг по обеспечению кибербезопасности с аттестованным центром кибербезопасности);
- контроль за соблюдением требований, установленных в нормативных правовых актах, документации на систему защиты информации собственника (владельца) информационной системы.
21. Требования ИБ использования ИТ-услуг:
- порядок использования информационной системы;
- защита от несанкционированного доступа;
- защита от воздействия вредоносных программ;
- порядок использования внешних носителей информации;
- порядок использования корпоративной электронной почты;
- порядок использования глобальной компьютерной сети Интернет, мессенджеров и социальных сетей;
- порядок использования удаленного доступа к ИТ-услугам.
