Политика информационной безопасности компании
Политика информационной безопасности (Политика ИБ) – это основополагающий документ, который регламентирует процессы обеспечения информационной безопасности в организации. Он содержит комплекс принципов, правил, процедур и руководящих инструкций для защиты информационных активов компании от рисков, возникающих в результате реализации угроз информационной безопасности. Политика ИБ, как правило, разрабатывается в соответствии с положениями российских и международных стандартов, а также передовых практик.
Политика ИБ создает четкие правила, которые помогают защитить информационные активы и снизить уязвимость организации перед актуальными угрозам. Однако, прежде чем выстраивать эти правила, следует разобраться в нюансах формирования политики ИБ и ее реализации. Рассказываем, что такое политика информационной безопасности, какие положения она включает и как внедряется.
Понятие политики компании в области информационной безопасности
Политика ИБ — комплекс утвержденных принципов и практических мер, касающихся защиты информационных активов организации. Это ряд взаимосвязанных документов, регламентирующих работу с конфиденциальными сведениями и определяющих ответственность за ее нарушения.
Политика безопасности должна строиться на результатах детального анализа рисков. Исследованию подлежат текущая система защиты информационной инфраструктуры, материальные и человеческие ресурсы. Также при формировании политики необходимо учитывать специфику деятельности организации.
Компании имеют право самостоятельно решать, какую информацию и как защищать, если не предусмотрены конкретные требования законодательства. Главная цель политики — предугадать все риски и создать эффективную систему противостояния им.
Что такое формализация политики ИБ и зачем она нужна
Политика ИБ обычно формализуется, то есть предстает в виде четкого регламента. Правила «на словах» не работают, поскольку не являются утвержденными требованиями.
Важный момент — разработанная политика должна соответствовать стандартам документации. Их формируют внешние специалисты, которые регламентируют правила работы организаций в определенных сферах.
Эффективная политика информационной безопасности компании включает документацию трех уровней:
- Верхний уровень — это документы, содержащие перечень основных рисков и целей в сфере защиты конфиденциальной информации.
- Основной (средний) уровень — это документы с перечнем информации, которая подлежит защите (реестр информационных активов или их категорий). Некоторые организации детализируют их, перечисляя все разрешенные действия с данными. Также в документацию среднего уровня включают положения об ответственности персонала за несоблюдение требований.
- Технический уровень — это документы, определяющие меры по защите информации и обязанности конкретных сотрудников.
Второе правило корректной подачи политики — четкая формулировка каждого пункта. Соблюдение этого требования свидетельствует об ответственном отношении организации к вопросам обеспечения безопасности.
Отсутствие формализованной политики безопасности приводит не только к внутренним проблемам организации бизнес-процессов, но и негативно влияет на конкурентоспособность, деловую репутацию и ценность бизнеса для акционеров компании.
Несостоявшиеся политики информационной безопасности компании
Если политика существует только «на бумаге», и ее положения не реализуются на практике, она будет считаться несостоявшейся. Это может происходить по многим причинам, вот некоторые из них:
- Положения политики грамотно сформулированы, но на практике не соблюдаются. Чаще всего подобное происходит, если ответственное лицо берет за основу готовый документ (например, использует регламент другой организации или просто скачивает из интернета), а руководитель на доверии его утверждает. На первый взгляд, здесь нет ничего страшного, ведь принципы информационной безопасности разных предприятий похожи. Однако на практике оказывается, что без адаптации их невозможно применить.
- Положения политики не сформированы должным образом или не рассчитаны на долгий срок. Пример — в регламенте не учтена возможность внедрения каких-либо новых технологий. В таких случаях сотрудники иногда идут в обход правил, что неизменно сказывается на эффективности защиты информационного периметра.
Чтобы избежать подобных ситуаций, необходимо грамотно подойти к ее созданию, учитывая особенности деятельности компании и ее бизнес-процессов.
Какие положения включает политика информационной безопасности
Политика компании в области информационной безопасности включает следующие аспекты:
- Концепцию, которая определяет миссию и ключевые цели политики.
- Стандарты, то есть сами принципы обеспечения безопасности.
- Перечень конкретных действий, которые сотрудники должны совершать в процессе взаимодействия с конфиденциальными данными организации.
- Порядок работы с носителями данных.
- Правила доступа к корпоративным документам и другим важным ресурсам.
- Инструкции, касающиеся реализации методов защиты и применения принятых стандартов.
- Аварийные планы — порядок действий по реагированию и оперативному восстановлению информационных систем в случае непредвиденных обстоятельств (например, утечки, кибератаки, физических воздействий и т. д.).
Важно, чтобы все положения политики были связаны между собой и не противоречили друг другу.
Концепция защиты в рамках политики информационной безопасности компании
Важно различать понятия «концепция информационной безопасности» и «стратегия информационной безопасности»: первая не подлежит изменениям, а вторая является динамичной, то есть может дополняться.
Ключевые составляющие концепции информационной безопасности:
- Описание предмета защиты (в данном контексте – это информационная безопасность).
- Регламент прав доступа сотрудников к информационным активам.
- Описание обязанностей сотрудников, которые имеют отношение к информационной инфраструктуре компании.
- Степень защиты прикладных систем.
- Способы реализации утвержденных алгоритмов защиты.
- Перечень лиц, которые обязаны следить за соблюдением требований безопасности.
- Описание потенциальных рисков и критериев оценки результативности защиты.
- Ответственность за несоблюдение положений политики.
Подробнее остановимся на пункте о критериях оценки эффективности защиты. Это не обязательное положение, однако стоит включить его в документ, чтобы сотрудники службы безопасности знали, по каким параметрам будет оцениваться их работа.
Также концепция иногда предусматривает физическую охрану объекта (особенно это касается крупных предприятий) и другие организационные моменты, связанные с контролем персонала в рабочее время. Например, некоторые организации устанавливают правило отмечаться в журнале в начале и конце трудового дня.
Требования к составлению регламентирующей документации
При документировании политики информационной безопасности компании важно учитывать следующие нюансы:
- Не все сотрудники компании знают технические термины. Поэтому следует составлять регламент понятным и простым языком.
- Если политика будет слишком объемной, есть риск, что с ней не ознакомятся должным образом. Лучше формулировать коротко, но емко.
В документе должны фигурировать четкие цели, методы их достижения и меры ответственности за нарушение политики. Вся лишняя информация будет отвлекать сотрудников от сути, что приведет к несостоятельности концепции.
Если законодательство диктует какие-либо положения, применимые к деятельности организации, необходимо включить их в документ с указанием источника требований.
Внедрение политики компании в области информационной безопасности
К внедрению политики следует приступать только тогда, когда документация полностью сформирована и согласована. Ниже приведена последовательность шагов по внедрению политики ИБ в компании:
- Оценить информационную инфраструктуру компании на предмет уязвимости и принять меры, перечисленные в политике безопасности.
- Создать методические материалы и инструкции, регламентирующие работу с информацией. Например, прописать перечень разрешенных для использования интернет-ресурсов, правила доступа к защищаемым объектам и информационным активам и т. д.
- Внедрить утвержденные инструменты защиты данных, которые еще не используются компанией.
- Ознакомить персонал с утвержденными положениями. Например, можно провести инструктаж или семинар. В конце таких мероприятий сотрудники обычно ставят подписи в подтверждение, что ознакомлены с документами.
Для оценки эффективности внедренной политики ИБ следует регулярно проводить аудит. В ходе проверок выясняется, насколько качественно выполняются задачи по обеспечению безопасности информационного периметра.
Периодически принятую документацию следует актуализировать. Например, при необходимости расширить арсенал средств защиты.
Контроль соблюдения политики безопасности
К сожалению, некоторые сотрудники организаций не соблюдают требования политики информационной безопасности компании и совершают неправомерные или необдуманные действия, которые приводят к утечке данных. Чтобы выявить нарушения силами службы безопасности, потребуется достаточно много времени. Задачу упростят технические средства для мониторинга и предотвращения инцидентов — DLP-системы (Data Leak Prevention). Вот как они работают:
- Анализируют характер коммуникаций и поведение сотрудников, выявляют все виды контактов пользователей (личные, уникальные, рабочие).
- Формируют досье на сотрудников.
- Создают архив коммуникаций.
- Осуществляют мониторинг передачи конфиденциальной информации, проверяют все операции с конфиденциальными данными на предмет соответствия политикам.
- Блокируют передачу информации, если это нарушает политику безопасности.
- Визуализируют данные для формирования отчетности и проведения расследований инцидентов.
Благодаря DLP-системам значительно упрощается процесс расследования инцидентов. В службу безопасности попадает детальная информация обо всех действиях сотрудников на рабочих устройствах. В том числе записи с микрофонов и видеотрансляции рабочих экранов. Специалистам останется только проанализировать доказательную базу, соотнести события с положениями ИБ и предотвратить возможные инциденты.
Многие компании различных сфер деятельности выбирают Solar Dozor. Это российская DLP-система корпоративного класса, которая обладает высокой производительностью, масштабируемостью и отказоустойчивостью. Solar Dozor решает большой спектр задач по защите конфиденциальной информации от утечек, включая анализ связанных с хранением и движением данных процессов и деятельность сотрудников за рабочим компьютером.
Политика информационной безопасности компании необходима для выстраивания системы защиты информационных активов от различных видов угроз и их нейтрализации. При разработке политики ИБ мы рекомендуем обращать не меньшее внимание на этапы ее внедрения в компании и контроль их соблюдения всеми сторонами (участниками). В этом помогут DLP-системы, которые отслеживают действия сотрудников и формируют доказательную базу для расследования инцидентов.
DLP-системы видят взаимосвязь между положениями политики ИБ и событиями в информационном поле компании. Они оповещают о подозрительных событиях и помогают оперативно разобраться, какое именно правило было нарушено.
Создание политики ИБ и ее влияние на процесс управления безопасностью
Создание политики ИБ и ее влияние на процесс управления безопасностью
Создание политики ИБ и ее влияние на процесс управления безопасностью
Все мы, занимаясь ИБ, рано или поздно сталкиваемся с проблемой создания политики информационной безопасности. Ни у кого не возникнет сомнений в том, что этот документ является основой процесса управления ИБ. И если наша политика изначально некорректна, она лишь усугубит возникающие проблемы, связанные с безопасностью, на всех этапах жизненного цикла компании.
Дмитрий Дудко
Руководитель проектов по информационной безопасности
центра компетенции ИБ, ЗАО “Фирма АйТи. Информационные технологии»
Предположим, вам необходимо создать политику информационной безопасности (далее – ПИБ) с нуля либо существенно ее модернизировать. Вы устраиваетесь удобнее в рабочем кресле с кружечкой чая или кофе, открываете Word, настраиваетесь на работу и… Прежде всего, нам необходимо понять, что при создании ПИБ, безусловно, можно совершить ряд ошибок, которые повлекут за собой нарушение всех процессов управления ИБ (рис. 1).
Однако каждая компания индивидуальна, как и мы сами. И будет ли написанная вами ПИБ корректна для вашей компании с ее процессами, решать вам – как человеку, в этой компании работающему.
Планируем или импровизируем?
Существует два основополагающих стиля жизни, которые также применимы и для ПИБ – четкое планирование и постановка целей. Оба имеют свои недостатки и преимущества. Поясню на примере. Есть у меня коллега, который пропагандирует первый подход.
Он является «планировщиком» – строгим адептом планирования и учета рисков. У него есть глобальный план на ближайшие 100 лет, и в каждый момент времени он знает, где находится по отношению к своему плану.
Обязательно уделите внимание следующим принципам:
- непрерывность – для установления непрерывного контроля над защищаемыми объектами и их окружением;
- системность, что позволит охватить все сферы деятельности организации;
- своевременность – для получения гибкости в противодействии актуальным и потенциальным угрозам;
- контроль;
- экономическая целесообразность, которая позволит вам обосновывать достигнутые результаты или требуемые инвестиции.
Я же все больше отдаляюсь от подробного планирования. Как говорится, «знать бы направление». Вместо четких планов я предпочитаю ставить себе цели, для достижения которых в лучшем случае смогу сформулировать: шаг 1, шаг 2 и т.д. PROFIT. Для меня четкий план – это рамки, которые не позволяют достигнуть цели, т.к. план не может быть идеальным. А для того чтобы сделать его идеальным, мы должны обладать всей информацией мира, чтобы учесть все возможные риски. Разумеется, это невозможно. И мы приходим к тому, что начинаем бесконечно корректировать и дополнять планы, а не действовать.
Этим небольшим отступлением я хотел показать, что не бывает «неправильных убеждений». Каждое из них имеет право на жизнь, если приводит к успеху. Поэтому не стоит оглядываться на других, необходимо делать так, как вам подсказывает ваш разум и интуиция, ведь только вы знаете потребности своей компании. И только вам решать, будет ваша ПИБ обрисовывать основные направления деятельности по защите информации или же описывать каждый шаг в процессе управления ИБ.
Далее я углублюсь в тот подход создания ПИБ, который ближе лично мне.
С чего же начать?
Как правило, создание ПИБ начинается с постановки целей, которые должны быть достигнуты с помощью данного документа. И это логично, однако я предлагаю начать с другого свойства – с объема.
В идеале политика информационной безопасности должна охватывать всю организацию, дочерние предприятия, филиалы и подразделения. Если это по каким-то причинам невозможно, то в ПИБ необходимо предусмотреть раздел по контролю непротиворечивости ПИБ различных элементов организации.
По роду своей деятельности я часто занимаюсь разработкой или совершенствованием различных нормативных документов, и разнообразные политики тут не исключение. Первый вопрос, который я задаю, когда речь заходит о разработке ПИБ, – вы видите политику объемным документом или страничек на 5–10? Ответ на это вопрос позволяет задать вектор работы. Есть сильно бюрократизированные, дотошные организации, которые ближе к «букве документа». И это совсем не плохо, просто такова их корпоративная культура. Зачастую к этому склонны крупные государственные корпорации и западные компании. Другим полюсом являются политики небольшого размера, близкие по духу и содержанию к декларациям.
Объем прямо коррелирует с вашими предпочтениями, целью ПИБ и целевой аудиторией. Я не сторонник идеи политики как документа, написанного для пользователей простым языком о защите информации. Основная цель ПИБ – установление фарватера (тренда) защиты информации, который станет базисом для всех остальных документов, в том числе рассказывающих доступным языком пользователям, почему необходимо защищать информацию (для этого хорошо подходит политика (регламент) по работе с конфиденциальной информацией или с корпоративными ресурсами). Таким образом, определяясь с размерами вашей политики, вы задаете направление своей работы.
Следующий шаг – определение целей. Количество целей и конкретные формулировки остаются на ваше усмотрение. Но, на мой взгляд, не следует впадать в излишнюю детализацию (например, «снижение рисков вирусного заражения» или «соответствие стандарту СТО БР ИББС» – лучше оставить для нижестоящих документов).
Один из пунктов должен прямо связывать ваш процесс управления ИБ с деятельностью остальной организации. Он должен отвечать на вопрос – зачем вы здесь (для руководства). Криптография и защита ПДн – это, безусловно, хорошо, но лишняя деталь. Если подходить ко множеству решаемых задач по ИБ, то цель может быть сформулирована как «минимизация материального и другого вида ущерба организации от эксплуатации информационных систем, рисков информационной безопасности и требований законодательства в области защиты информации».
Остальные цели должны описывать меры по установлению процесса управления ИБ и его контролирующие функции. Так, в 3–5 предложениях вы последовательно отвечаете на вопросы: что это, зачем, из чего состоит.
Основная цель политики информационной безопасности – установление фарватера (тренда) защиты информации, который станет базисом для всех остальных документов, в том числе рассказывающих доступным языком пользователям, почему необходимо защищать информацию (для этого хорошо подходит политика (регламент) по работе с конфиденциальной информацией или с корпоративными ресурсами).
Следующий важный пункт – область действия политики. В идеале ПИБ должна охватывать всю организацию, дочерние предприятия, филиалы и подразделения. Если это по каким-то причинам невозможно, то в ПИБ необходимо предусмотреть раздел по контролю непротиворечивости ПИБ различных элементов организации.
Далее – содержание политики. Как я уже сказал, я являюсь сторонником ПИБ небольших размеров. Так можно быть уверенным, что ее прочитают. Если у вас не строго формалистская организация, то в политику необходимо включить принципы обеспечения ИБ. Однако дословное бездумное копирование принципов из международных стандартов (законность, комплексность, преемственность и т.д.) «убьет» ваш документ. Скорее всего, дальше его никто читать не будет.
Обязательно уделите внимание следующим принципам:
- непрерывность – для установления непрерывного контроля над защищаемыми объектами и их окружением;
- системность, что позволит охватить все сферы деятельности организации;
- своевременность – для получения гибкости в противодействии актуальным и потенциальным угрозам;
- контроль;
- экономическая целесообразность, которая позволит вам обосновывать достигнутые результаты или требуемые инвестиции.
Каждый из выбранных вами принципов должен внести за собой процесс, раскрывающий последовательность действий для реализации принципа. В политике для этого достаточно пары абзацев, а саму детализацию лучше вынести в нижестоящие политики или приложения.
В заключение политике необходимо уделить внимание собственно самому процессу управления информационной безопасностью. Здесь должен быть дан старт процессу, который будет описан в отдельном документе. Необходимо обозначить его главные этапы, например по Демингу – планирование, действие, контроль, совершенствование.
Это минимально необходимое содержание политики. Его можно бесконечно дополнять, например правовыми основаниями, рисками и угрозами, нарушителями, основными подсистемами системы защиты. Добавляйте то, что посчитаете нужным вашей компании.
В заключение я бы хотел вернуться к влиянию ПИБ на процесс управления ИБ.
Следуя моему практическому опыту, слишком детальные огромные политики затрудняют процесс управления ИБ, делая его негибким, уязвимым. Такие политики постоянно нуждаются в корректировке, а если она не производится – конкретно прописанные в политике действия накладывают рамки на динамично развивающуюся компанию, привносят неразбериху и материальные убытки.
Однако, повторюсь, все компании индивидуальны. Главное – иметь в итоге работающую ПИБ.
Опубликовано: Журнал «Information Security/ Информационная безопасность» #6, 2014
Политика информационной безопасности
Политика информационной безопасности (далее – Политика) федерального государственного бюджетного учреждения «Научно-исследовательский детский ортопедический институт имени Г.И. Турнера» Министерства здравоохранения Российской Федерации предполагает создание совокупности взаимоувязанных нормативных и организационно-распорядительных документов, определяющих порядок обеспечения безопасности информации в информационных системах, управления и контроля информационной безопасности, а также выдвигающих требования по поддержанию подобного порядка.
Политика информационной безопасности отражает позицию руководства по вопросу обеспечения информационной безопасности федерального государственного бюджетного учреждения «Научно-исследовательский детский ортопедический институт имени Г.И. Турнера» Министерства здравоохранения Российской Федерации (далее – Институт).
Политика информационной безопасности Института направлена на:
- нормативное регулирование процесса обмена защищаемой информацией Института с вышестоящими органами государственной и исполнительной власти, соответствующими министерствами, с взаимодействующими структурами, юридическими и физическими лицами;
- установление определенного организационно-правового режима
- использования информационных ресурсов Института;
- разработку системы нормативных документов Института, действующих на правах стандартов и определяющих степень конфиденциальности информации, требуемый уровень защищенности объектов информатизации Института, ответственность должностных лиц и сотрудников за соблюдение этих требований;
- реализацию комплекса организационных, инженерно-технических, технических и аппаратно-программных мероприятий по предупреждению несанкционированных действий с информацией и защиту ее от утечки по техническим каналам;
- предоставление пользователям необходимых сведений для сознательного поддержания установленного уровня защищенности объектов информатизации Института;
- организацию постоянного контроля эффективности принятых мер защиты и
- функционирования системы обеспечения информационной безопасности Института;
- создание резервов и возможностей по ликвидации последствий нарушения режима защиты информации и восстановления системы обеспечения информационной безопасности.
Настоящий документ разработан в соответствии с требованиями Федерального закона «О персональных данных» от 27 июля 2006 г. № 152-ФЗ и национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология. Методы и средства обеспечения безопасности. Свод норм и правил менеджмента информационной безопасности».
Цель обеспечения информационной безопасности
Основной целью является обеспечение информационной безопасности Института, что предполагает эффективное информационное обслуживание и управление всеми средствами комплексной защиты информации, адекватное отражение угроз информационной безопасности, подчиненное единому замыслу.
Главная цель принимаемых мер защиты информации Института состоит в том, чтобы гарантировать целостность, достоверность, доступность и конфиденциальность информации во всех ее видах и формах, включая документы и данные, обрабатываемые, хранимые и передаваемые в информационно-вычислительных и телекоммуникационных системах (далее — информационные системы) Института, независимо от типа носителя этих данных. Организация информационных ресурсов должна обеспечивать их достаточную полноту, точность и актуальность, чтобы удовлетворять потребности Института, не жертвуя при этом основными принципами информационной безопасности, описанными в данной Политике.
Ответственность за организацию и проведение работ по обеспечению информационной безопасности Института несет директор ФГБУ «НИДОИ им. Г.И. Турнера» Минздрава России. В Институте осуществляется разработка проектов объектов информатизации в защищенном исполнении и их эксплуатация с учетом требований по защите информации. Методическое руководство и контроль за эффективностью предусмотренных мер защиты осуществляет назначенный директором ФГБУ «НИДОИ им. Г.И. Турнера» Минздрава России ответственный за информационную безопасность Института.
Объекты информационной безопасности
Объектом защиты в контексте данной Политики являются информационные ресурсы ФГБУ «НИДОИ им. Г.И. Турнера» Минздрава России, обрабатываемые в информационных системах и ее функциональных подсистемах, содержащие сведения, доступ к которым ограничен, и используемые в процессах сбора, обработки, накопления, хранения и распространения в границах информационных систем Института.
Основными объектами защиты Института являются:
1. информационные ресурсы ограниченного распространения, в том числе содержащие конфиденциальные сведения;
2. программные информационные ресурсы, а именно:
2.1. прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты;
2.2. физические информационные ресурсы Института:
— компьютерное аппаратное обеспечение всех видов;
— носители информации всех видов (электронные, бумажные и прочие);
— все расходные материалы и аксессуары, которые прямо или косвенно
взаимодействуют с компьютерным аппаратным и программным обеспечением;
— технические сервисы Института (отопление, освещение, энергоснабжение, кондиционирование воздуха и т.п.).
Следует также отметить, что указанные выше основные объекты защиты являются наиболее ценными ресурсами, и, следовательно, по отношению к ним должны применяться самые эффективные правила и методы защиты. И доступность, целостность и конфиденциальность могут иметь особое значение для обеспечения имиджа Института, эффективности его функционирования и т.д. Доступность, целостность и конфиденциальность в обязательном порядке должны учитываться при разработке организационно распорядительной документации по обеспечению информационной безопасности для системы в целом и для каждого ее ресурса в отдельности.
Задачи обеспечения информационной безопасности
Основными задачами обеспечения информационной безопасности Института являются:
- Инвентаризация и систематизация всех информационных ресурсов Института;
- Обеспечение безопасности информационных ресурсов Института, уменьшение риска их случайной или намеренной порчи уничтожения или хищения;
- Сведение к минимуму финансовых, временных и прочих потерь, связанных с нарушением информационной безопасности и физическими неисправностями аппаратного и программного обеспечения, а также осуществление мониторинга и реагирование по случаям инцидентов;
- Обеспечение безопасной, четкой и эффективной работы сотрудников Института с его информационными ресурсами;
- Сведение к разумному минимуму финансовых затрат на поддержание функционирования аппаратного и программного обеспечения и автоматизированной системы в целом на должном уровне (сюда относятся крупные и мелкие обновления программного и аппаратного обеспечения, бесперебойное обеспечение системы расходными материалами и прочее);
- Сведение пользования информационными ресурсами к единой системе организационно-распорядительной документации.
Принципы обеспечения информационной безопасности
При построении системы защиты необходимо придерживаться следующих принципов:
- Применение разнородных систем обеспечения информационной безопасности;
- Достоинства одних частей системы обеспечения информационной безопасности должны перекрывать недостатки других;
- Система обеспечения информационной безопасности должна строиться многоуровневой;
- В зоне максимальной безопасности должны располагаться особо важные информационные ресурсы;
- Непрерывность и целенаправленность процесса обеспечения информационной безопасности;
- Усиление защиты информации во время нештатных ситуаций;
- Обеспечение возможности регулирования уровня информационной безопасности без изменения функциональной базы системы информационной безопасности;
- Обеспечение простоты в применении механизмов защиты для рядовых сотрудников Института.
Оценка рисков
Для оценки рисков при составлении и последующем пересмотре организационно-распорядительных документов необходимо систематически рассматривать следующие аспекты:
- ущерб, который может нанести деятельности Института серьезное нарушение информационной безопасности, с учетом возможных последствий нарушения конфиденциальности, целостности и доступности информации;
- реальную вероятность такого нарушения защиты в свете превалирующих угроз и средств контроля.
Требования в отношении обучения вопросам информационной безопасности
Основной целью обучения является:
- Обеспечение уверенности в осведомленности сотрудников Института об угрозах и проблемах, связанных с информационной безопасностью, об ответственности в соответствии с законодательством Российской Федерации;
- Знание сотрудниками правильного использования средств обработки информации прежде чем им будет предоставлен доступ к информации или услугам;
- Оснащение сотрудников Института всем необходимым для соблюдения требований политики безопасности Института при выполнении служебных обязанностей.
Сотрудники Института должны знать и выполнять требования организационно-распорядительных документов в области информационной безопасности, требования обеспечения безопасности обработки информации на средствах вычислительной техники, правила работы в сети Интернет.
Сотрудники Института должны уметь работать с системой электронного документооборота, операционными системами на уровне пользователя, антивирусным программным обеспечением, офисным программным обеспечением, средством архивации, должны уметь пользоваться почтовыми программами.
Специалист по информационной безопасности должен инструктировать сотрудников Института правильному использованию средств обработки защиты информации, чтобы свести к минимуму возможные риски безопасности.
Все сотрудники Института при необходимости должны проходить соответствующее обучение и получать на регулярной основе обновленные варианты политики информационной безопасности, принятые администрацией Института.
Правила физической защиты
- Перед внедрением и использованием нового аппаратного, программного обеспечения или иного ранее не использовавшегося информационного ресурса необходимо разработать для него правила обеспечения безопасности и использовать их наряду с правилами, изложенными в данном разделе.
- Перед установкой и использованием какого-либо компьютерного аппаратного обеспечения в обязательном порядке следует ознакомиться с информацией, предоставленной разработчиком (продавцом), и строго ей следовать.
- Перед проведением крупной модернизации или ремонта, перед выполнением манипуляций непосредственно с носителями информации необходимо выполнить резервное копирование данных.
- После выполнения процесса модернизации аппаратного и (или) программного обеспечения необходимо обязательно провести внеплановое техническое обслуживание всей системы.
Всю документацию на компьютерное оборудование и программное обеспечение (гарантийные обязательства производителей (продавцов), регистрационные карточки, кассовые и товарные чеки и прочее) должны обязательно сохраняться после покупки и храниться в надежном, защищенном от света и других вредоносных воздействий месте в упаковке.
Следует в полном объеме и неукоснительно соблюдать правила эксплуатации тех или иных аппаратных компьютерных компонентов.
Техническое обслуживание компьютерного оборудования и программного обеспечения (физическая чистка оборудования, поддержание программного обеспечения в работоспособном состоянии и т.д.) следует производить регулярно, желательно в соответствии с заранее составленным расписанием и с учетом рекомендаций разработчиков данного оборудования и программ (с данными рекомендациями следует внимательно ознакомиться до выполнения каких-либо действий по обслуживанию).
Техническим обслуживанием считаются также и мероприятия по резервному копированию данных, которые должны неукоснительно регулярно исполняться. Если это возможно, стоит сделать повторную копию данных и разместить ее на хранение отдельно от первой. Сразу же после проведения резервного копирования данных необходимо каким-либо способом убедиться в работоспособности и корректности полученной копии.
Резервному копированию в обязательном порядке подлежат:
- Все конфиденциальные данные сотрудников в автоматизированной системе;
- Все исходные материалы для разработки собственного программного обеспечения и прочих проектов;
- Такие данные системы, без которых невозможна ее нормальная работа;
- Все прочие важные данные, которые записаны на физически ненадежных носителях информации и носителях, поддерживающих операции перезаписи;
- Любые другие данные согласно решению уполномоченных должностных лиц Института.
Во время резервного копирования данных, а также во время записи любой информации на носители информации однократной записи, нельзя производить другие виды работ на той компьютерной системе, при помощи которой осуществляется эта запись.
Все носители (электронные, бумажные и др.) с конфиденциальной информацией и резервными копиями этой и другой информации сотрудника Института должны храниться в недоступном для посторонних, защищенном от света и других вредоносных воздействий месте с соблюдением правил безопасного хранения для данного вида носителя информации.
Носителям с особо ценной информацией следует уделять повышенное внимание.
Все расходные материалы следует использовать максимально эффективно, не допуская нерационального их использования. Все расходные материалы (используемые в данный момент и неиспользуемые) необходимо хранить в строгом соответствии с правилами их хранения.
Желательно предпринять ряд мер по энергосбережению для тех устройств, которые временно не используются или находятся в состоянии ожидания.
Запрещается курить, употреблять пищу и напитки непосредственно вблизи компьютера. Необходимо предпринять меры, чтобы обезопасить компьютерное оборудование от повреждения в данном случае.
В течение внедрения и использования нового аппаратного, программного обеспечения или иного ранее не использовавшегося информационного ресурса необходимо приложить все усилия к тому, чтобы научиться эффективно его применять.
Необходимо в обязательном порядке записать все наиболее важные установки и настройки системы в состоянии ее нормального (штатного) функционирования. Подобные записи приравниваются к аппаратной (программной) документации и должны соответствующим образом обслуживаться.
Необходимо размещать системы вывода информации (мониторы, дисплеи и т.д.) компьютеров так, чтобы они не были видны со стороны двери, окон и тех мест в помещениях, которые не контролируются.
Необходимо предпринять ряд мер, благодаря которым компьютерные системы пользователя будут обеспечены стабильным электропитанием. Обязательным является использование хотя бы самых простых средств по обеспечению надежности электропитания системы (сетевые фильтры, заземление и т.д.).
При возникновении какой-либо аварийной ситуации с компьютерным оборудованием необходимо немедленно прекратить эксплуатацию аварийного устройства. Немедленно поставить в известность начальника отдела информационных технологий (системного администратора).
Отделу информационных технологий (системному администратору) в кратчайшие сроки организовать мероприятия по его ремонту или замене.
Необходимо рассмотреть возможность применения различных систем автоматизированного мониторинга текущего состояния аппаратных информационных ресурсов, и при первой же возможности внедрить их, по крайней мере, на наиболее важных и ответственных участках.
В течение процесса списания компьютерной техники, носителей информации и др. необходимо позаботиться о том, чтобы после выполнения процедуры переноса основных информационных ресурсов со списываемой техники, было произведено полное и безвозвратное уничтожение содержащейся на ней конфиденциальной и любой другой информации.
Необходимо обязательно разработать план действий по продолжению работы и обеспечению безопасности данных на случай, если выйдут из строя какие-либо аппаратные и (или) программные части компьютерной системы. Данный план должен систематически проверяться на актуальность и при необходимости пересматриваться.
Правила внешнего доступа
После установки системы и перед первым выходом в сеть необходимо в обязательном порядке принять комплекс мер по установлению защиты от вредоносного воздействия сети.
В системе должны быть предприняты все возможные меры для предотвращения распространения в ней компьютерных вирусов, «червей» и прочей потенциально опасной для ее безопасности информации. Все сотрудники Института обязаны принимать участие в реализации этих мер и никакими своими действиями не должны препятствовать их проведению.
Необходимо строго контролировать с помощью соответствующего программного обеспечения (антивирус, брандмауэр и прочее) всю входящую и исходящую информацию на наличие вирусов и прочей потенциально опасной информации. Необходимо также тщательно настроить параметры безопасности того программного и аппаратного обеспечения, которое непосредственно будет иметь доступ в сеть.
Система должна подвергаться периодической проверке антивирусными средствами и другими средствами, обеспечивающими безопасность в системе (если таковые имеются). В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники Института обязаны: приостановить работу на компьютере, немедленно поставить в известность о факте обнаружения зараженных вирусом файлов руководителя отдела, владельца зараженных файлов, смежные отделы, использующие эти файлы в работе, а также специалиста по информационной безопасности.
Все внешние носители информации, полученные из сомнительных или неизвестных источников, должны подвергаться полному антивирусному сканированию перед использованием.
Необходимо регулярно обновлять версии программного обеспечения, связанного с обеспечением безопасности системы, устанавливать официальные обновления программ, которые имеют прямое или косвенное отношение к работе с сетью. Сюда же относятся и обновления, связанные с управлением аппаратным обеспечением системы (драйверы устройств и т.п.).
При обнаружении зараженных вирусами данных эти данные должны немедленно и безвозвратно удаляться. Исключение составляют лишь важные данные, для которых имеет смысл попробовать применить процедуры восстановления.
Следует с большой осторожностью относится к программам, в которых присутствуют определенного рода уязвимости для несанкционированного проникновения, или же в которых включены особые привилегии для их разработчиков.
Необходимо внимательно проанализировать систему данных сотрудника и обеспечить ее структурированное хранение на носителях информации. Все данные должны классифицироваться согласно их применению или же по другому, четко установленному сотрудником критерию (например, критериями могут служить соображения конфиденциальности данных, место из размещения и способ пересылки).
Правила доступа в Интернет
Программное обеспечение, обеспечивающее защиту системы от проникновения, должно быть задействовано в полном объеме на протяжении всего сеанса связи с Интернетом.
Допускается временное отключение части программного обеспечения, обеспечивающего защиту системы, в тех случаях, когда без этого невозможно выполнить какой-либо вид работы. После выполнения данного вида работ, отключенные части системы защиты должны быть вновь задействованы.
Сотрудники Института допускаются к использованию Интернета только после прохождения инструктажа, в котором разъяснялась бы Политика безопасности данной системы в отношении глобальной сети.
Сотрудники Института должны стараться предоставлять о себе как можно меньше информации в сеть, а тем более не должны разглашать любую конфиденциальную информацию.
Все файлы, полученные из Интернета, перед их использованием должны пройти дополнительную антивирусную проверку.
После каждого сеанса связи с Интернетом необходимо проводить очистку системы от ненужных служебных данных, которые появились в результате соединения с сетью.
Все данные, полученные из Интернета должны систематизироваться и сохраняться.
Правила безопасности электронной почты
Все наиболее важные сообщения электронной почты должны архивироваться, особенно те сообщения, которые присланы официальными группами технической поддержки каких-либо информационных ресурсов. Также регулярной архивации должна подвергаться информация, касающаяся данных о тех сотрудниках, с которыми осуществляется связь средствами электронной почты (адресные книги и т.д.).
Все ранее сохраненные почтовые сообщения, потерявшие свою актуальность, должны быть тщательным образом безвозвратно уничтожены со всех носителей информации.
Необходимо в обязательном порядке сканировать каждое исходящее и получаемое сообщение электронной почты на наличие потенциально опасного содержимого (вирусы, «черви» и т.д.). Почтовые сообщения, не удовлетворяющие установленным требованиям, должны немедленно и безвозвратно удаляться.
Необходимо на всех используемых почтовых ящиках установить, при необходимости, ограничения на содержимое и размер принимаемых сообщений и отсеивать те сообщения, которые не удовлетворяют установленным критериям.
После отправки письма по электронной почте необходимо хранить его до тех пор, пока не будет уверенности (подтверждения) в том, что оно достигло получателя. Это же касается и любых других способов передачи информации. Все файлы (особенно исполнимые файлы), полученные вместе с сообщением электронной почты без какого-либо запроса со стороны сотрудника Института (особенно от неизвестного адресата) должны немедленно и безвозвратно удаляться без оценки их полезности. При этом каждый подобный факт должен быть зарегистрирован. Если нет полной уверенности в необходимости удаления данного сообщения, необходимо, в случае если адресат известен и только в этом случае, дополнительно связаться с ним (не по электронной почте) и попросить у него подтверждения в посылке сообщения.
Сотрудники Института не должны участвовать в рассылке посланий, передаваемых по цепочке, не должны отвечать на оскорбительные и провокационные сообщения. Такие послания должны быть сначала переданы службам технической поддержки используемых почтовых сервисов для анализа, а после этого — безвозвратно удалены из системы. Также необходимо принять все возможные меры по обеспечению прекращения получения из данного источника подобной информации в будущем.
Правила управления доступом
В отношении всех основных и не основных (гости и прочее) сотрудников Института необходимо осуществлять комплекс мер по обеспечению их работы в автоматизированной системе Института, в частности регистрацию, выделение определенных информационных ресурсов и установление четких не избыточных, а только необходимых прав доступа к ним.
Служба регистрации должна обеспечить положительную аутентификацию. Это даст гарантию того, что законный пользователь получит доступ к системе.
При первой же необходимости работы с системой при помощи удаленного доступа или же с локальной сетью необходимо разработать правила безопасности, регламентирующие данные виды работ.
Использование имен и паролей для доступа к информационным ресурсам:
— необходимо использовать пароли везде, где это целесообразно;
— следует придерживаться следующих правил составления и использования паролей — пароль должен состоять не менее чем из шести символов, состоять из произвольных комбинаций букв, цифр и других символов или же представлять собой бессмысленную комбинацию слов, включающую буквы верхнего регистра;
— необходимо менять все пароли не реже чем раз в два месяца (желательно делать это не по графику), при этом использовать пароли повторно не разрешается;
— запрещено использовать одинаковые пароли для доступа к разным информационным ресурсам;
— пароли необходимо хранить в надежном, недоступном для посторонних месте или же использовать специальные аппаратные средства для их хранения;
— хранение паролей осуществляется операционной системой, и установленный ею уровень защиты не может быть ослаблен;
— запрещено сообщать свои пароли третьим лицам в какой бы то ни было форме;
— пароли запрещается писать на компьютерных терминалах, помещать в общедоступные места;
— необходимо заменить все пароли, назначенные системой по умолчанию, на собственные, а потом, если это возможно, отключить возможность доступа к данному ресурсу по стандартному паролю;
— все имена и пароли для доступа к каким-либо информационным ресурсам, которые не используются, подлежат надежной блокировке;
— система должна предотвращать попытки регистрации и перерегистрации тех сотрудников, чьи имена и пароли для входа в систему не соответствуют установленным правилам;
— при получении доступа к какому-либо информационному ресурсу при помощи процесса авторизации по имени и паролю сотрудник не должен произносить эти данные вслух при вводе их в систему;
— изменять пароли необходимо всякий раз, когда есть указания на возможную компрометацию систем или паролей.
Управление непрерывностью работы Института
Основной целью управления непрерывностью работы Института является противодействие прерывания работы и защита рабочих процессов от последствий при значительных сбоях или бедствиях.
Необходимо обеспечивать управление непрерывностью работы с целью минимизации отрицательных последствий, вызванных нарушениями безопасности. Последствия от нарушений безопасности и отказов в обслуживании необходимо анализировать, по результатам анализа разрабатывать и внедрять планы обеспечения непрерывности работы с целью восстановления рабочих процессов в течение требуемого времени при их нарушении. Такие планы следует поддерживать и применять на практике. Должна быть выработана стратегия непрерывности рабочего процесса в соответствии с согласованными целями и приоритетами. Необходимо чтобы планирование непрерывности работы начиналось с идентификации событий, которые могут быть причиной прерывания работы, например отказ оборудования, наводнение или пожар. Планирование должно сопровождаться оценкой рисков с целью определения последствий этих прерываний (как с точки зрения масштаба повреждения, так и периода восстановления). Оценка риска должна распространяться на все рабочие процессы и не ограничиваться только средствами обработки информации. В зависимости от результатов оценки рисков необходимо разработать стратегию для определения общего подхода к обеспечению непрерывности работы. Разработанный план должен быть утвержден директором Института.
Необходимо, чтобы план обеспечения непрерывности работы предусматривал следующие мероприятия по обеспечению информационной безопасности:
— определение и согласование всех обязанностей должностных лиц и процедур на случай чрезвычайных ситуаций;
— внедрение в случае чрезвычайных ситуаций процедур, обеспечивающих возможность восстановления рабочего процесса в течение требуемого времени;
— особое влияние следует уделять оценке зависимости работы от внешних факторов и существующих контактов;
— документирование согласованных процедур и процессов;
— соответствующее обучение сотрудников действиям при возникновении чрезвычайных ситуаций, включая кризисное управление.
Необходимо, чтобы план обеспечения непрерывности работы соответствовал требуемым целям работы.
Ответственность за нарушение политики безопасности
Все сотрудники Института несут персональную ответственность за нарушение требований настоящей Политики информационной безопасности согласно действующему законодательству Российской Федерации в области защиты информации.
Сопровождение правил
Все без исключения положения данного документа имеют одинаково равную силу и должны неукоснительно соблюдаться.
Политика информационной безопасности должна в обязательном порядке периодически перечитываться и пересматриваться (не реже чем один раз в год).
Ежемесячно должна проводиться оценка текущего состояния имеющихся у сотрудников информационных ресурсов. В результате этой оценки в соответствующие документы по безопасности должны вноситься необходимые изменения (если они есть).
При проведении каких-либо изменений в данных правилах соответствующие изменения, при необходимости, должны производиться и в других документах, касающихся обеспечения безопасности.
Если возникли непредвиденные обстоятельства, требующие срочного пересмотра Политики информационной безопасности, то такой пересмотр может быть осуществлен до планового пересмотра. При возникновении серьезных проблем с безопасностью системы (например, при успешном взломе системы безопасности) возникшая проблема должна быть немедленно проанализирована, а организационно-распорядительные документы по информационной безопасности пересмотрены в соответствии с проведенным анализом. При этом нужно рассматривать проблему в целом и излишне не фокусировать внимание на отдельных деталях.
Копия настоящей Политики должна находиться в доступном для сотрудников и пациентов (их законных представителей) ФГБУ «НИДОИ им. Г.И. Турнера» Минздрава России месте.
Политика в области информационной безопасности
Информация является ценным и жизненно важным ресурсом Федерального государственного бюджетного образовательного учреждения высшего образования «Кубанский государственный технологический университет» (далее — Университет).
Политика Университета в области информационной безопасности (далее -Политика) предусматривает принятие необходимых мер в целях защиты ресурсов от случайного или преднамеренного изменения, раскрытия или уничтожения, а также в целях соблюдения конфиденциальности, целостности и доступности информации, обеспечения процесса автоматизированной обработки данных в Университете.
Информация существует в различных формах: на бумажном носителе, в электронном виде при хранении на носителе, передается по почте или с использованием электронных устройств, передаваться устно в процессе общения. Информация должна быть защищена независимо от ее формы и способа ее распространения, передачи и хранения.
Информационная безопасность — это защита информации от различных угроз, призванная обеспечить непрерывность бизнес-процессов, минимизировать риски и обеспечить возможности служебной деятельности.
Главные цели Университета не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.
Ответственность за соблюдение информационной безопасности несет каждый сотрудник Университета. На лиц, работающих в Университете по договорам гражданско-правового характера, в том числе прикомандированных, положения настоящей Политики распространяются в случае, если это обусловлено в таком договоре.
2. Цель и назначение настоящей Политики
Целью Политики является создание условий, позволяющих предотвратить или минимизировать ущерб, который может быть нанесен в результате несанкционированного доступа, хищения служебной информации или нанесения ущерба техническим средствам обработки, хранения и передачи защищаемой информации.
Под защитой информационных ресурсов следует понимать:
- сохранение конфиденциальности информационных ресурсов;
- обеспечение непрерывности доступа к информационным ресурсам Университета в сферах его деятельности;
- защита целостности служебной информации с целью поддержания возможности Университета по оказанию услуг высокого качества и принятию эффективных управленческих решений;
- повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Университета;
- определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в Университете.
Руководители структурных подразделений Университета должны обеспечить регулярный контроль за соблюдением положений настоящей Политики, организовать периодические проверки соблюдения информационной безопасности с последующим представлением ежегодного отчета по результатам указанной проверки Руководству.
3. Область применения Политики
3.1. Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации Университета. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации Университета, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.
Данная политика применяется ко всем сотрудникам Университета.
3.2. Университету принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления его деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования Университета, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала Университета.
4. Требования Политики
4.1. Требования Политики направлены на предотвращение несанкционированного доступа к информационной инфраструктуре Университета.
4.2. Ответственность за информационные ресурсы
В отношении всех собственных информационных ресурсов Университета, используемых для получения доступа к инфраструктуре Университета, должна быть определена ответственность соответствующего сотрудника Университета.
Информация о смене владельцев информационных ресурсов, их распределении, изменениях в конфигурации и использовании за пределами Университета должна доводиться до сведения руководителя управления информатизации (далее — УИ).
4.3. Контроль доступа к информационным системам
4.3.1 Все работы в Университете выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в Университете.
4.3.2. Использование в служебных целях личных портативных компьютеров и внешних носителей информации не допускается.
4.3.3. Руководители подразделений должны периодически пересматривать права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.
В целях обеспечения санкционированного доступа к информационному ресурсу, любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.
Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим.
В процессе своей работы сотрудники обязаны постоянно использовать режим «Чистого стола (экранной заставки)» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.
4.3.5. Доступ третьих лиц к системам Университета
Каждый сотрудник обязан немедленно уведомить руководителя УИ обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.
Доступ третьих лиц к информационным системам Университета должен быть обусловлен производственной необходимостью. В связи с этим, порядок доступа к информационным ресурсам Университета должен быть четко определен, контролируем и защищен.
4.3.6. Удаленный доступ
Право удаленного доступа к информационным ресурсам Университета может быть предоставлено только сотрудникам территориально удаленных структурных подразделений и не имеющих прямых физических телекоммуникационных каналов связи компьютерной сети университета и исключительно со стационарных компьютеров, принадлежащих Университету.
4.3.7. Доступ к сети Интернет
Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности. Сотрудникам Университета:
- разрешается использовать сеть Интернет только в служебных целях;
- запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия/превосходства полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;
- запрещается использовать сеть Интернет, в том числе облачные хранилища, не принадлежащие Университету, для хранения корпоративных данных;
- допускается работа с Интернет-ресурсами, исключающими возможность передачи информации Университета в сеть Интернет;
- сотрудникам Университета, имеющим личные учетные записи, предоставленные публичными провайдерами, не разрешается пользоваться ими на оборудовании, принадлежащем Университету;
- необходимо перед открытием или распространением файлов, полученных через сеть Интернет, проверить их на наличие вирусов;
- запрещен доступ в Интернет через сеть Университета для всех лиц, не являющихся сотрудниками Университета.
Специалисты УИ имеют право контролировать содержание всего потока информации, проходящей через канал связи к сети Интернет в обоих направлениях.
4.3.8. Защита оборудования
Сотрудники Университета должны обеспечивать физическую безопасность оборудования, на котором хранятся информация Университета.
Сотрудникам запрещено самостоятельно изменять конфигурацию аппаратного и программного обеспечения. Все изменения могут производиться исключительно специалистами УИ.
4.3.9. Аппаратное обеспечение
Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (принтеры, сканеры, МФУ ), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для оптических дисков), коммуникационное оборудование (сетевые адаптеры, коммутаторы, концентраторы, шлюзы), для целей настоящей Политики вместе именуются «компьютерное оборудование». Компьютерное оборудование, предоставленное Университетом, является его собственностью и предназначено для использования исключительно в производственных целях.
Пользователи портативных компьютеров, содержащих служебную информацию Университета, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства, в случаях, когда данный компьютер не используется.
Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и по месту проживания. В ситуациях, когда возрастает степень риска кражи портативных компьютеров, например, в гостиницах, аэропортах, в офисах деловых партнеров и т.д., пользователи обязаны ни при каких обстоятельств не оставлять их без присмотра.
Во время поездки в автомобиле портативный компьютер должен находиться в багажнике. На ночь его следует перенести из автомобиля в гостиничный номер.
Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавише и после выхода из режима «Экранной заставки». Для установки режимов защиты пользователь должен обратиться в службу технической поддержки. Данные не должны быть скомпрометированы в случае халатности или небрежности приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.
При записи какой-либо информации на носитель для передачи его контрагентам или партнерам по бизнесу необходимо убедиться в том, что носитель чист, то есть не содержит никаких иных данных. Простое переформатирование носителя не дает гарантии полного удаления записанной на нем информации.
Карманные персональные компьютеры, а также мобильные телефоны, имеющие функцию электронной почты, и прочие переносные устройства не относятся к числу устройств, имеющих надежные механизмы защиты данных. В подобном устройстве не рекомендуется хранить конфиденциальную информацию.
Подключение портативных компьютеров к корпоративной сети Университета допускается в исключительных случаях и с ведома начальника УИ.
4.3.10. Программное обеспечение
Все программное обеспечение, установленное на предоставленном Университетом компьютерном оборудовании, является собственностью Университета и должно использоваться исключительно в производственных целях.
Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено неразрешенное к установке программное обеспечение, оно должно быть удалено, а сообщение о нарушении должно быть направлено непосредственному руководителю сотрудника и в УИ.
На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:
- персональный межсетевой экран;
- антивирусное программное обеспечение;
Все компьютеры, подключенные к корпоративной сети, должны быть оснащены системой антивирусной защиты, утвержденной руководителем УИ. Сотрудники Университета не должны:
- блокировать антивирусное программное обеспечение;
- устанавливать другое антивирусное программное обеспечение;
- изменять настройки и конфигурацию антивирусного программного обеспечения.
4.4. Правила пользования электронной почтой
Электронные сообщения (удаленные или не удаленные) могут быть доступны или получены государственными органами, иными организациями для их использования в качестве доказательств в процессе судебного разбирательства, финансовых или договорных обязательств. Поэтому содержание электронных сообщений должно строго соответствовать корпоративным стандартам в области деловой этики.
Использование электронной почты в личных целях допускается в случаях, когда получение/отправка сообщения не мешает работе других пользователей и не препятствует деятельности Университета.
Сотрудникам запрещается направлять партнерам конфиденциальную информацию Университета по электронной почте без использования систем шифрования. Секретная информация Университета, ни при каких обстоятельствах, не подлежит пересылке третьим лицам по электронной почте.
Сотрудникам Университета запрещается использовать публичные почтовые ящики электронной почты для осуществления какого-либо из видов корпоративной деятельности.
Использование сотрудниками Университета публичных почтовых ящиков электронной почты осуществляется только при согласовании со службой информационной безопасности при условии применения механизмов шифрования.
Сотрудники Университет для обмена документами с бизнес партнерами должны использовать только свой официальный адрес корпоративной электронной почты.
Сообщения, пересылаемые по электронной почте, представляют собой постоянно используемый инструмент для электронных коммуникаций, имеющих тот же статус, что и письма и факсимильные сообщения. Электронные сообщения подлежат такому же утверждению и хранению, что и прочие средства письменных коммуникаций.
В целях предотвращения ошибок при отправке сообщений пользователи перед отправкой должны внимательно проверить правильность написания имен и адресов получателей. В случае получения сообщения лицом, вниманию которого это сообщение не предназначается, такое сообщение необходимо переправить непосредственному получателю. Если полученная таким образом информация носит конфиденциальный характер, об этом следует незамедлительно проинформировать специалистов УИ.
Отправитель электронного сообщения, документа или лицо, которое его переадресовывает, должен указать свое имя и фамилию, служебный адрес и тему сообщения.
Недопустимые следующие действия и случаи использования электронной почты:
- рассылка сообщений личного характера, использующих значительные ресурсы электронной почты;
- групповая рассылка всем пользователям Университета сообщений/писем;
- рассылка рекламных материалов, не связанных с деятельностью Университета;
- подписка на рассылку, участие в дискуссиях и подобные услуги, использующие значительные ресурсы электронной почты в личных целях;
- поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);
- пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим или способствует действию, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит корпоративным стандартам в области этики.
Ко всем исходящим сообщениям, направляемым внешним пользователям, пользователь может добавлять уведомление о конфиденциальности.
Вложения, отправляемые вместе с сообщениями, следует использовать с должной осторожностью. Во вложениях всегда должна указываться дата их подготовки, и они должны оформляться в соответствии с установленными в Университете процедурами документооборота.
Пересылка значительных объемов данных в одном сообщении может отрицательно повлиять на общий уровень доступности сетевой инфраструктуры Компании для других пользователей. Объем вложений не должен превышать 10 Мбайт.
4.5. Сообщение об инцидентах информационной безопасности, реагирование и отчетность
Все пользователи должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности, а также должны быть проинформированы о том, что ни при каких обстоятельствах они не должны пытаться использовать ставшие им известными слабые стороны системы безопасности.
В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте начальнику УИ.
Пользователи должны быть известны способы информирования об известных или предполагаемых случаях нарушения информационной безопасности с использованием телефонной связи, электронной почты и других методов. Необходимо обеспечить контроль и учет сообщений об инцидентах и принятие соответствующих мер.
Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан:
- проинформировать специалистов УИ;
- не пользоваться и не выключать зараженный компьютер.
4.6. Помещения с техническими средствами информационной безопасности
Конфиденциальные встречи (совещания, заседания) должны проходить только в защищенных техническими средствами информационной безопасности помещениях.
Перечень помещений с техническими средствами информационной безопасности утверждается Ректором Университета.
Участникам заседаний запрещается входить в помещения с записывающей аудио/видео аппаратурой, фотоаппаратами, радиотелефонами и мобильными телефонами без предварительного согласования с УИ.
Аудио/видео запись, фотографирование во время конфиденциальных заседаний может вести только сотрудник Университета, который отвечает за подготовку мероприятия, после получения письменного разрешения руководителя группы организации встречи.
Доступ участников конфиденциального заседания в помещение для его проведения осуществляется на основании утвержденного перечня, контроль за которым ведет лицо, отвечающее за организацию встречи.
4.7. Управление сетью
Уполномоченные сотрудники управления информатизации контролируют содержание всех потоков данных проходящих через сеть Университета. Сотрудникам Университета запрещается:
- нарушать информационную безопасность и работу сети Университета;
- сканировать порты или систему безопасности;
- контролировать работу сети с перехватом данных;
- получать доступ к компьютеру, сети или учетной записи в обход системы идентификации пользователя или безопасности;
- использовать любые программы, скрипты, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя оконечного устройства;
- передавать информацию о сотрудниках или списки сотрудников Университета посторонним лицам;
- создавать, обновлять или распространять компьютерные вирусы и прочие разрушительное программное обеспечение.
4.7.1. Защита и сохранность данных
Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Специалисты УИ обязаны оказывать пользователям содействие в проведении резервного копирования данных на соответствующие носители.
Ответственные сотрудники должны регулярно делать резервные копии всех основных служебных данных и программного обеспечения.
Только специалисты УИ на основании заявок руководителей подразделений могут создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним.
Сотрудники имеют право создавать, модифицировать и удалять файлы и директории в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют санкционированный доступ.
Все заявки на проведение технического обслуживания компьютеров должны направляться в УИ.
4.8. Разработка систем и управление внесением изменений
Все операционные процедуры и процедуры внесения изменений в информационные системы и сервисы должны быть документированы, согласованны с руководителем управления информатизации.
5. Ответственность работников Университета
5.1. Работники Университета и сторонних организаций, допущенные к работе в информационной инфраструктуре Университета, отвечают за выполнение требований настоящей Политики и других локальных организационно-распорядительных документов Университета, регламентирующих правила обеспечения информационной безопасности.
-
- Приемная комиссия: (861) 255-25-32
- Коммутатор: (861) 255-10-45
- Центр комплексной безопасности университета: (861) 274-11-70
- Телефонный справочник
- Расписание занятий
- Расписание экзаменов
- Видеоархив КубГТУ
- Трудоустройство
- Часто задаваемые вопросы
- Схемы расположения корпусов
- Для предложений и обращений
- Проверить почту
- Приказы по КубГТУ
© 1999—2023 ФГБОУ ВО «КубГТУ»
Официальный сайт Федерального государственного бюджетного образовательного учреждения высшего образования «Кубанский государственный технологический университет» (ФГБОУ ВО «КубГТУ»)