Ім'я файлу: politika-informatsionnoy-bezopasnosti-komitet-sotsialnoy-podderz
Розширення: doc
Розмір: 212кб.
Дата: 23.12.2020
скачати
Розширення: doc
Розмір: 212кб.
Дата: 23.12.2020
скачати
Область действия
Настоящая Политика распространяется на все структурные подразделения Комитета и обязательна для исполнения всеми его сотрудниками и должностными лицами. Положения настоящей Политики применимы для использования во внутренних нормативных и методических документах Комитета, а также в договорах.
Период действия и порядок внесения изменений
Настоящая политика вводится в действие после утверждения ее председателем комитета.
Политика признается утратившей силу после отмены председателем комитета ее утверждения.
Изменения в политику вносятся по решению председателя комитета. Инициаторами внесения изменений в политику информационной безопасности являются:
специалист отдела информатизации комитета информационной политики, который выполняет функции администратора информационной безопасности.
Плановая актуализация настоящей политики производится ежегодно и имеет целью приведение в соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к защите информации.
Внеплановая актуализация политики информационной безопасности производится в обязательном порядке в следующих случаях:
при изменении политики РФ в области информационной безопасности, указов и законов РФ в области защиты информации;
при изменении внутренних нормативных документов (инструкций, положений, руководств), касающихся информационной безопасности Комитета;
при происшествии и выявлении инцидента (инцидентов) по нарушению информационной безопасности, влекущего ущерб Комитета.
Ответственным за актуализацию политики информационной безопасности (плановую и внеплановую) несет специалист комитета по соцподдержке, который выполняет функции администратора информационной безопасности.
Контроль за исполнением требований настоящей политики и поддержанием ее в актуальном состоянии возлагается на специалиста комитета по соцподдержке, который выполняет функции администратора информационной безопасности.
Термины и определения
Автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
Администратор информационной безопасности – специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.
Администратор сети – сотрудник или группа сотрудников организации, осуществляющие непосредственную организацию и выполнение работ по созданию (модернизации), техническому обслуживанию и управлению (администрированию) информационной управляющей ЛВС, включая технические аспекты информационной безопасности.
Актив – что-либо, что имеет ценность для организации.
Анализ риска –систематическое использование информации для определения источников и оценки риска.
Аудит информационной безопасности – процесс проверки выполнения установленных требований по обеспечению информационной безопасности. Может проводиться как самой организацией (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита.
Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера.
Внутренняя сеть – внутренний участок корпоративной сети, отделенный от внешней сети (сети Интернет) и демилитаризованной зоны (DMZ) межсетевым экраном. Внутренняя сеть объединяет производственные, тестовые, административные сети и сети разработчиков.
Доступ к информации – возможность получения информации и ее использования.
Доступность – доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости.
Доступность информации – состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов имеющих на это полномочия.
Защищенный канал передачи данных – логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории.
Идентификатор доступа – уникальный признак субъекта или объекта доступа.
Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Информация – это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом.
Информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов организации в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов организации.
Информационная среда – совокупность информационно-телекоммуникационной системы Комитета, процессов, источников и потребителей информации, обслуживающего персонала и пользователей информационных систем, обеспечивающего автоматизацию производственных процессов Комитета.
Информационная система – совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения производственных задач подразделений Комитета. В Комитете используются различные типы информационных систем для решения производственных, управленческих, учетных и других задач.
Информационно-телекоммуникационная система – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники, а также информационные системы, обеспечивающие автоматизацию процессов Комитета, и средства защиты информации.
Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.
Информационные активы – информационные системы, информационные средства, информационные ресурсы.
Информационные средства – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.
Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий, используемая в рабочих процессах Комитета.
Инфраструктура открытых ключей (ИОК, PKI) – технологическая инфраструктура и сервисы, обеспечивающие безопасность информационных и коммуникационных систем на основе использования криптографических алгоритмов и сертификатов ключей подписей.
Инцидент информационной безопасности – действительное, предпринимаемое или вероятное нарушение информационной безопасности, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов организации.
Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.
Код аутентификации электронного сообщения – данные, используемые для установления подлинности и контроля целостности электронного сообщения.
Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
Конфиденциальность – доступ к информации только санкционированных пользователей.
Корпоративная сеть – объединение информационных систем, компьютерного, телекоммуникационного и офисного оборудования всех подразделений Комитета, посредством их подключения к единой компьютерной сети передачи данных с использованием различных физических и логических каналов связи.
Критичная информация – информация, нарушение доступности, целостности, либо конфиденциальности которой, может оказать негативное влияние на функционирование подразделений Комитета, нанести Комитету материальный или иной ущерб.
Криптопровайдер – программный или программно-аппаратный модуль, реализующий алгоритмы шифрования.
Локальная вычислительная сеть (ЛВС) – группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.
Межсетевой экран (МЭ) – программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав корпоративной сети, а также между корпоративной сетью и внешними сетями (сетью Интернет).
Менеджмент риска – скоординированные действия по руководству и управлению учреждением в отношении риска.
Мониторинг информационной безопасности – постоянное наблюдение за объектами, влияющими на обеспечение информационной безопасности, сбор, анализ и обобщение результатов наблюдения под заданные цели. Объектом мониторинга в зависимости от целей может быть автоматизированная система или ее часть, информационные технологические процессы организации, информационные услуги организации и пр.
Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.
Обработка риска – процесс выбора и осуществления мер по модификации риска.
Операционная система – системная программа, осуществляющая взаимодействие пользователя и прикладных программ с аппаратной частью ЭВМ.
Остаточный риск – риск, остающийся после обработки риска.
Владелец информационных активов – сотрудник Комитета, получивший на основании соответствующего распорядительного документа права обладателя информации, обрабатываемой в информационной системе.
Оценивание риска – процесс сравнения оцененного риска с данными критериями риска для определения значимости риска.
Оценка риска – общий процесс анализа риска и оценивания риска.
Пароль – идентификатор субъекта доступа, который является его (субъекта) секретом.
Периметральное средство защиты информации (СЗИ) – шлюз информационной безопасности, обеспечивающий межсетевое экранирование и защиту данных пересылаемых по открытым каналам связи (шифрование), а так же фильтрацию вредоносного ПО и блокирование внешних атак.
Политика информационной безопасности – комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его информационной безопасности.
Пользователь ЛВС – сотрудник Комитета (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в корпоративной сети в установленном порядке и получивший права на доступ к ресурсам корпоративной сети в соответствии со своими функциональными обязанностями.
Принятие риска – решение принять риск.
Программное обеспечение – совокупность системных и прикладных программ, установленных на сервере или ЭВМ.
Рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.
Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название подразделения, телефоны, E-mail и т.п.
Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.
Сервер – выделенный компьютер, имеющий разделяемые ресурсы, выполняющий определенный перечень задач и предоставляющий пользователям ЛВС ряд сервисов.
Сетевые (информационные) сервисы – сетевые приложения, предоставляющие различные виды сервисов для внутренних и внешних пользователей корпоративной сети, включая DNS, FTP, HTTP, Telnet, и другие.
Система менеджмента информационной безопасности (СМИБ) – та часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и совершенствовании информационной безопасности.
Системный администратор – сотрудник организации, занимающийся сопровождением автоматизированных систем, отвечающий за функционирование локальной сети организации и ПК.
Список контроля доступа (ACL) – правила фильтрации сетевых пакетов, настраиваемые на маршрутизаторах и МЭ, определяющие критерии фильтрации и действия, производимые над пакетами.
Собственник – лицо или организация, которые имеют утвержденные обязательства по менеджменту для контроля производства, разработки, поддержки, использования и безопасности активов. Термин «собственник» не означает, что лицо действительно имеет какие-либо права собственности на актив.
Средства криптографической защиты информации – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).
Структурное подразделение – структурное подразделение организации с самостоятельными функциями, задачами и ответственностью.
Угрозы информационным данным – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.
Управление информационной безопасностью – совокупность целенаправленных действий, осуществляемых в рамках политики информационной безопасности в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер).
Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности организации при реализации угроз в информационной сфере.
Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность информации ограниченного доступа при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.
ЭВМ – электронная - вычислительная машина, персональный компьютер.
Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе.
VPN (Virtual Private Network) – «Виртуальная частная сеть»: технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях.