1 2 3 4 5 6 7 8 9 10 11 Ім'я файлу: politika-informatsionnoy-bezopasnosti-komitet-sotsialnoy-podderz Розширення: doc Розмір: 212кб. Дата: 23.12.2020 скачати Область действияНастоящая Политика распространяется на все структурные подразделения Комитета и обязательна для исполнения всеми его сотрудниками и должностными лицами. Положения настоящей Политики применимы для использования во внутренних нормативных и методических документах Комитета, а также в договорах. Период действия и порядок внесения измененийНастоящая политика вводится в действие после утверждения ее председателем комитета. Политика признается утратившей силу после отмены председателем комитета ее утверждения. Изменения в политику вносятся по решению председателя комитета. Инициаторами внесения изменений в политику информационной безопасности являются: специалист отдела информатизации комитета информационной политики, который выполняет функции администратора информационной безопасности. Плановая актуализация настоящей политики производится ежегодно и имеет целью приведение в соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к защите информации. Внеплановая актуализация политики информационной безопасности производится в обязательном порядке в следующих случаях: при изменении политики РФ в области информационной безопасности, указов и законов РФ в области защиты информации; при изменении внутренних нормативных документов (инструкций, положений, руководств), касающихся информационной безопасности Комитета; при происшествии и выявлении инцидента (инцидентов) по нарушению информационной безопасности, влекущего ущерб Комитета. Ответственным за актуализацию политики информационной безопасности (плановую и внеплановую) несет специалист комитета по соцподдержке, который выполняет функции администратора информационной безопасности. Контроль за исполнением требований настоящей политики и поддержанием ее в актуальном состоянии возлагается на специалиста комитета по соцподдержке, который выполняет функции администратора информационной безопасности. Термины и определенияАвтоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций. Администратор информационной безопасности – специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации. Администратор сети – сотрудник или группа сотрудников организации, осуществляющие непосредственную организацию и выполнение работ по созданию (модернизации), техническому обслуживанию и управлению (администрированию) информационной управляющей ЛВС, включая технические аспекты информационной безопасности. Актив – что-либо, что имеет ценность для организации. Анализ риска –систематическое использование информации для определения источников и оценки риска. Аудит информационной безопасности – процесс проверки выполнения установленных требований по обеспечению информационной безопасности. Может проводиться как самой организацией (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита. Аутентификация – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера. Внутренняя сеть – внутренний участок корпоративной сети, отделенный от внешней сети (сети Интернет) и демилитаризованной зоны (DMZ) межсетевым экраном. Внутренняя сеть объединяет производственные, тестовые, административные сети и сети разработчиков. Доступ к информации – возможность получения информации и ее использования. Доступность – доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости. Доступность информации – состояние информации, характеризуемое способностью АС обеспечивать беспрепятственный доступ к информации субъектов имеющих на это полномочия. Защищенный канал передачи данных – логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории. Идентификатор доступа – уникальный признак субъекта или объекта доступа. Идентификация – присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов. Информация – это актив, который, подобно другим активам организации, имеет ценность и, следовательно, должен быть защищен надлежащим образом. Информационная безопасность – механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов организации в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т.п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов организации. Информационная среда – совокупность информационно-телекоммуникационной системы Комитета, процессов, источников и потребителей информации, обслуживающего персонала и пользователей информационных систем, обеспечивающего автоматизацию производственных процессов Комитета. Информационная система – совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения производственных задач подразделений Комитета. В Комитете используются различные типы информационных систем для решения производственных, управленческих, учетных и других задач. Информационно-телекоммуникационная система – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники, а также информационные системы, обеспечивающие автоматизацию процессов Комитета, и средства защиты информации. Информационные технологии – процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов. Информационные активы – информационные системы, информационные средства, информационные ресурсы. Информационные средства – программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию. Информационные ресурсы – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий, используемая в рабочих процессах Комитета. Инфраструктура открытых ключей (ИОК, PKI) – технологическая инфраструктура и сервисы, обеспечивающие безопасность информационных и коммуникационных систем на основе использования криптографических алгоритмов и сертификатов ключей подписей. Инцидент информационной безопасности – действительное, предпринимаемое или вероятное нарушение информационной безопасности, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов организации. Источник угрозы – намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость. Код аутентификации электронного сообщения – данные, используемые для установления подлинности и контроля целостности электронного сообщения. Конфиденциальная информация – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Конфиденциальность – доступ к информации только санкционированных пользователей. Корпоративная сеть – объединение информационных систем, компьютерного, телекоммуникационного и офисного оборудования всех подразделений Комитета, посредством их подключения к единой компьютерной сети передачи данных с использованием различных физических и логических каналов связи. Критичная информация – информация, нарушение доступности, целостности, либо конфиденциальности которой, может оказать негативное влияние на функционирование подразделений Комитета, нанести Комитету материальный или иной ущерб. Криптопровайдер – программный или программно-аппаратный модуль, реализующий алгоритмы шифрования. Локальная вычислительная сеть (ЛВС) – группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий. Межсетевой экран (МЭ) – программно-аппаратный комплекс, используемый для контроля доступа между ЛВС, входящими в состав корпоративной сети, а также между корпоративной сетью и внешними сетями (сетью Интернет). Менеджмент риска – скоординированные действия по руководству и управлению учреждением в отношении риска. Мониторинг информационной безопасности – постоянное наблюдение за объектами, влияющими на обеспечение информационной безопасности, сбор, анализ и обобщение результатов наблюдения под заданные цели. Объектом мониторинга в зависимости от целей может быть автоматизированная система или ее часть, информационные технологические процессы организации, информационные услуги организации и пр. Несанкционированный доступ к информации (НСД) – доступ к информации, нарушающий правила разграничения уровней полномочий пользователей. Обработка риска – процесс выбора и осуществления мер по модификации риска. Операционная система – системная программа, осуществляющая взаимодействие пользователя и прикладных программ с аппаратной частью ЭВМ. Остаточный риск – риск, остающийся после обработки риска. Владелец информационных активов – сотрудник Комитета, получивший на основании соответствующего распорядительного документа права обладателя информации, обрабатываемой в информационной системе. Оценивание риска – процесс сравнения оцененного риска с данными критериями риска для определения значимости риска. Оценка риска – общий процесс анализа риска и оценивания риска. Пароль – идентификатор субъекта доступа, который является его (субъекта) секретом. Периметральное средство защиты информации (СЗИ) – шлюз информационной безопасности, обеспечивающий межсетевое экранирование и защиту данных пересылаемых по открытым каналам связи (шифрование), а так же фильтрацию вредоносного ПО и блокирование внешних атак. Политика информационной безопасности – комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его информационной безопасности. Пользователь ЛВС – сотрудник Комитета (штатный, временный, работающий по контракту и т.п.), а также прочие лица (подрядчики, аудиторы и т.п.), зарегистрированный в корпоративной сети в установленном порядке и получивший права на доступ к ресурсам корпоративной сети в соответствии со своими функциональными обязанностями. Принятие риска – решение принять риск. Программное обеспечение – совокупность системных и прикладных программ, установленных на сервере или ЭВМ. Рабочая станция – персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности. Регистрационная (учетная) запись пользователя – включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т.п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т.п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название подразделения, телефоны, E-mail и т.п. Роль – совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей. Сервер – выделенный компьютер, имеющий разделяемые ресурсы, выполняющий определенный перечень задач и предоставляющий пользователям ЛВС ряд сервисов. Сетевые (информационные) сервисы – сетевые приложения, предоставляющие различные виды сервисов для внутренних и внешних пользователей корпоративной сети, включая DNS, FTP, HTTP, Telnet, и другие. Система менеджмента информационной безопасности (СМИБ) – та часть общей системы менеджмента, которая основана на подходе бизнес-рисков при создании, внедрении, функционировании, мониторинге, анализе, поддержке и совершенствовании информационной безопасности. Системный администратор – сотрудник организации, занимающийся сопровождением автоматизированных систем, отвечающий за функционирование локальной сети организации и ПК. Список контроля доступа (ACL) – правила фильтрации сетевых пакетов, настраиваемые на маршрутизаторах и МЭ, определяющие критерии фильтрации и действия, производимые над пакетами. Собственник – лицо или организация, которые имеют утвержденные обязательства по менеджменту для контроля производства, разработки, поддержки, использования и безопасности активов. Термин «собственник» не означает, что лицо действительно имеет какие-либо права собственности на актив. Средства криптографической защиты информации – средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации). Структурное подразделение – структурное подразделение организации с самостоятельными функциями, задачами и ответственностью. Угрозы информационным данным – потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т.е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы. Управление информационной безопасностью – совокупность целенаправленных действий, осуществляемых в рамках политики информационной безопасности в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта управления (например, оценку и управление рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер). Уязвимость – недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности организации при реализации угроз в информационной сфере. Целостность информации – состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность информации ограниченного доступа при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения. ЭВМ – электронная - вычислительная машина, персональный компьютер. Электронная цифровая подпись – реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе. VPN (Virtual Private Network) – «Виртуальная частная сеть»: технология и организация систематической удаленной связи между выбранными группами узлов в крупных распределенных сетях. |