Инструменты пользователя

Инструменты сайта


sharix:infosec_policy_highlevel

Политика безопасности верхнего уровня

1.1 Информация о документе

Нормативный документ на основании которого строится Политика информационной безопасности Предприятия.

1.2 Назначение документа Настоящая Политика устанавливает статус, структуру, сферы деятельности и ответственности, цели, задачи и функции

1.3 Доступ и периодичность пересмотра актуальности документа

1.4 Контроль версий документа

1.5 Список терминов и определений

  • АС/Автоматизированная система — состоит из персонала и комплекса средств автоматизации его деятельности, реализует информационную технологию выполнения установленных функций.
  • Атрибуты доступа — ключи, пароли, карты.
  • DLP/Data Loss Prevention system — системный комплекс мер, позволяющий предотвратить утечку данных.
  • SIEM — осуществляет сбор логов из различных программных и аппаратных источников и позволяет работать с ними в рамках единого интерфейса.
  • ИБ — Информационная безопасность.
  • Информационная среда — совокупность технических и программных средств хранения, обработки и передачи информации, а также социально-экономических и культурных условий реализации процессов информатизации.
  • ИС/Информационная система — система, предназначенная для хранения, обработки, поиска, распространения, передачи и предоставления информации пользователям - платформа ShariX.
  • Легальный авторизованный пользователь — субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия).
  • Методологическая основа — основные существующие по данной теме научные принципы и подходы.
  • НСД — несанкционированный доступ
  • Пользователь — субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации.
  • ПО — Программное обеспечение
  • ПИБ/Политика — Политика информационной безопасности.
  • Предприятие — ИП Панюкова Александра Анатольевна.
  • Средство защиты информации — техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
  • Разграничение доступа к ресурсам — порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами.

2. Общие положения

2.1. Политика информационной безопасности (далее — ПИБ или Политика) ИП Панюкова Александра Анатольевна (далее — Предприятие) представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми предприятие будет руководствоваться в ходе своей деятельности, а также определяет основные принципы построения организационных, технологических и процедурных аспектов обеспечения безопасности информации на Предприятии.

2.2. Политика учитывает современное состояние и ближайшие перспективы развития информационных технологий Предприятия — цели, задачи и правовые основы их эксплуатации, режимы функционирования, а также содержит методологические рекомендации по предотвращению потенциальных угроз безопасности объектов и субъектов информационных отношений Предприятия.

2.3. Основные положения и требования данного документа распространяются на все структурные подразделения Предприятия, включая территориально удаленные.

2.4. Политика также распространяется на другие организации и учреждения, взаимодействующие с Предприятием в качестве потребителей информационных ресурсов в рамках действующих отношений на договорных основаниях.

Законодательной основой настоящей Политики являются:

2.5. Конституция Российской Федерации;

2.6. Гражданский, Уголовный и Уголовно-процессуальный кодексы РФ;

2.7. Федеральный закон Российской Федерации от 27.07.2006 N 149-ФЗ (ред. от 03.04.2020) «Об информации, информационных технологиях и о защите информации»

2.8. Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция);

2.9. Указ Президента Российской Федерации от 05.12.2016 г. № 646 “Об утверждении Доктрины информационной безопасности Российской Федерации”

2.10. Указ Президента Российской Федерации от 6.03.1997 №188 (в ред. Указа Президента РФ от 23.09.2005 №1111) «Об утверждении перечня сведений конфиденциального характера».

2.11. Указ Президента РФ от 13 июля 2015 г. N 357 «О внесении изменений в перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 г. N 188»

2.12. Любые другие законы, указы, постановления, нормативные документы действующего законодательства Российской Федерации, а также законы, указы, постановления, нормативные документы субъектов Федерации на территории которых осуществляется деятельность Предприятия.

Документ настоящей Политики является методологической основой:

  • формирования и проведения единой политики в области обеспечения безопасности информации на Предприятии;

принятия управленческих решений и разработке практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации на Предприятии;

  • разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения безопасности информации на Предприятии.
  • защиты персональных данных, которые хранятся, обрабатываются и передаются Предприятием.

2.13. Политика информационной безопасности разработана в соответствии с рядом положений международного стандарта ISO/IEC 27001:2013.

2.14. Использование данной Политики позволит в достаточной мере оптимизировать затраты на построение системы безопасности для Предприятия и защитить персональные данные заинтересованных лиц.

2.15. Положения настоящей Политики базируются на качественном осмыслении вопросов обеспечения безопасности информации и не затрагивают вопросов экономического (количественного) анализа рисков и обоснования необходимых затрат на защиту информации.

2.16. Пересмотр Политики проводится на регулярной основе не реже одного раза в год.

2.17. Настоящая Политика является основополагающим документом, регулирующим деятельность Предприятия в области информационной безопасности.

3. Объекты защиты

Объектами системы информационной безопасности Предприятия являются:

3.1. Информационные ресурсы с ограниченным доступом, составляющие служебную, коммерческую тайну, персональные данные работников, клиентов, партнеров;

3.2. процессы обработки информации в информационной системе, информационные технологии, процедуры сбора, обработки, хранения и передачи информации;

3.3. информационная инфраструктура, включающая системы обработки, хранения и анализа информации, технические и программные средства ее обработки, передачи и отображения. Структура и особенности основных объектов защиты

3.3. Информационная среда является сосредоточенной структурой, которая имеет подключения к телекоммуникационным — информационным сетям международного информационного обмена. Помимо этого, также имеется локальная сеть.

Основными особенностями информационной среды являются:

3.4. Одновременное использование большого количества разнообразных технических средств обработки, хранения и передачи информации;

3.5. значительное расширение сферы использования автоматизированных систем обработки информации, широкое многообразие информационно-управляющих систем;

3.6. большое разнообразие решаемых задач и типов, обрабатываемых данных;

3.7. финансовая значимость решений, принимаемых на основе автоматизированной обработки данных;

3.8. объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности;

3.9. разнообразие категорий пользователей и обслуживающего персонала системы. Категории и типы информационных ресурсов, подлежащих защите

3.10. На Предприятии циркулирует информация конфиденциального характера, в основном содержащая сведения ограниченного распространения (служебная тайна, коммерческая тайна, персональные данные), и открытые сведения.

Защите подлежат:

3.11. Конфиденциальная информация и информационные ресурсы, независимо от их представления и местонахождения в информационной среде Предприятия;

3.12. сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации в соответствии с Федеральным законом «О коммерческой тайне»;

3.13. служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ;

3.14. сведения о частной жизни граждан, позволяющие идентифицировать его личность (ПД), доступ к которым ограничен в соответствии с ФЗ №152 “О персональных данных”;

3.15. открытые сведения, необходимые для обеспечения нормального функционирования Предприятия.

4. Цели и задачи по обеспечению ИБ

Цели защиты:

Целями, на достижение которых направлены положения настоящей Политики, являются:

4.1. защита субъектов информационных отношений от возможного нанесения им материального, физического, морального или иного ущерба;

4.2. предотвращение случайного или преднамеренного воздействия на хранимую, обрабатываемую, передаваемую информацию, ее носители, процессы обработки и передачи.

4.3. минимизация рисков возникновения подобных ситуаций.

Субъектами информационных отношений являются:

4.4. Предприятие, как собственник информационных ресурсов;

4.5. подразделения Предприятия, участвующие в информационном обмене;

4.6. руководство и сотрудники структурных подразделений, в соответствии с возложенными на них функциями;

4.7. юридические и физические лица, задействованные в обеспечении выполнения Предприятием своих функций (разработчики, служба поддержки, прочие лица, привлекаемые для оказания услуг);

4.8. юридические и физические лица, сведения о которых накапливаются, хранятся, обрабатываются и передаются в ИС Предприятия.

Дополнительные стратегические цели, которые преследует Предприятие:

  • Повышение конкурентоспособности бизнеса;
  • соответствие требованиям законодательства и договорным обязательствам в части информационной безопасности;
  • повышение деловой репутации и корпоративной культуры;
  • достижение адекватности мер по защите от угроз информационной безопасности
  • обеспечение безопасности корпоративных активов, включая персонал, материально-технические ценности, информационные ресурсы, бизнес-процессы.

Указанные цели должны быть достигнуты посредством обеспечения и постоянного поддержания перечисленных ниже основных свойств информации.

  • Конфиденциальность — сохранение в тайне части информации, которая хранится, обрабатывается и передается по каналам связи Предприятия.
  • Целостность и аутентичность — утверждение ЭЦП документа или информации хранимых, обрабатываемых и передаваемых по каналам связи Предприятием.
  • Доступность информации — для всех авторизованных пользователей, с учетом устойчивого и надежного функционирования ИС, которая позволит получить всю необходимую пользователю информацию и иные результаты решения задач за адекватное для пользователей время.

Задачи для обеспечения информационной безопасности Предприятия:

Для достижения основных целей защиты и обеспечения постоянного поддержания основных свойств информации, необходимо эффективное решение следующих задач:

4.9. применение экономически целесообразных мер: Предприятие стремится выбирать меры обеспечения информационной безопасности с учетом затрат на их реализацию, вероятности возникновения угроз информационной безопасности и объема возможных потерь от их реализации;

4.10. вовлечение руководства в процесс обеспечения информационной безопасности - деятельность по обеспечению информационной безопасности инициирована и должна контролироваться руководством;

4.11. соответствие требованиям законодательства РФ: меры обеспечения информационной безопасности в строгом соответствии с действующим законодательством и договорными обязательствами;

4.12. проверка будущих сотрудников и персонала: все кандидаты на вакантные должности в обязательном порядке проходят проверку в соответствии с установленными процедурами;

4.13. документированность требований информационной безопасности: на Предприятии все требования в области информационной безопасности фиксируются в разрабатываемых внутренних нормативных документах;

4.14. создание механизма оперативного реагирования на угрозы безопасности информации и иные негативные тенденции, чтобы своевременно выявлять, прогнозировать источники угроз ИБ - (Data Loss Prevention система в интеграции с SIEM);

4.15. создание условий для минимизации наносимого ущерба преднамеренными или непреднамеренными действиями физических и юридических лиц, ослабление негативного влияния и ликвидации последствий нарушения безопасности информации - (регулярное резервное копирование данных на носители или облачные хранилища, использование систем контроля версий, наличие юриста);

4.16. разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа - (распределение ролей пользователей в системе);

4.17. защита от вмешательства в процесс функционирования информационной системы посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);

4.18. обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);

4.19. защиту от несанкционированной модификации используемых в информационной системе программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы - (программные и аппаратные средства защиты информации);

4.20. защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи - (контроль корпоративной сети);

4.21. защита производственных отходов - документы, записи, договоры, которые не были уничтожены после;

4.22. обновление криптографических средств защиты информации.

4.23. постоянное совершенствование системы управления информационной безопасностью: совершенствование системы управления информационной безопасности является непрерывным процессом.

Решение задач для обеспечения информационной безопасности Предприятия

Поставленные задачи решаются следующим образом:

4.24. использованием DLP систем в интеграции со службой безопасности;

4.25. учетом всех подлежащих защите ресурсов ИС (документы, каналы связи, серверы, АРМ);

4.26. ведением журнала действий персонала, осуществляющего обслуживание и модификацию программных или технических средств корпоративной ИС;

4.27. выполнение требований организационно-распорядительных документов по вопросам обеспечения безопасности информации, если они обладают полнотой, реально выполнимы и не противоречат другим требованиям по обеспечению безопасности информации;

4.28. подготовкой должностных лиц, ответственных за организацию и проведение практических мероприятий по обеспечению безопасности информации или процессов ее обработки;

4.29. наделением каждого сотрудника или пользователя, минимальным набором функциональных обязанностей или полномочиями по доступу к информационным ресурсам согласно их уровню доступа;

4.30. знанием и строгим соблюдением всеми пользователями, требований организационно распорядительных документов по вопросам обеспечения информационной безопасности;

4.31. персональной ответственностью каждого сотрудника за свои действия согласно своим функциональным обязанностям;

4.32. применением физических и технических (программно—аппаратных) средств защиты и непрерывной поддержкой их со стороны администрации;

4.33. применением технических средств для защиты производственных отходов от третьих лиц (использование шредеров для уничтожения записей на физическом носителе вроде бумаги)

4.34. дополнительной юридической защитой интересов при взаимодействии с другими организациями (обмен информации), от действий противоправного характера, как со стороны этих организаций, так и от обслуживающего персонала и иных третьих лиц.

5. Угрозы ИБ

Потенциальные угрозы ИБ по степени мотивации

Преднамеренные:

5.1. по принуждению третьими лицами, со злым умыслом, действия допущенных к информационным ресурсам пользователей (в том числе обслуживающий персонал, отвечающий за администрирование компонентов корпоративной информационной системы, сотрудники);

5.2 деятельность различных преступных группировок и формирований, экономических и политических структур, а также иных отдельных лиц, занимающихся деятельностью по навязыванию ложной информации, нарушению работоспособности ИС, кражей информации;

5.3 несанкционированное вмешательство третьих лиц из территориально удаленных сегментов информационной системы и внешних сетей общего пользования - интернет, используя недостатки средств защиты и разграничения удаленного доступа к ресурсам;

5.4 ошибки, которые были допущены при разработке компонентов ИС и их систем защиты, ошибки в ПО, отказы и сбои технических средств защиты и ошибки в разграничении удаленного доступа к ресурсам. Подобные нарушения могут привести к серьезным финансовым затратам. затратам времени и ресурсов, срыву соглашений на договорной основе, репутационным потерям, потерям ценной информации или даже нарушению работоспособности компонентов ИС.

5.5. Непреднамеренные - ошибочные, случайные, без злого умысла и корыстных целей. Нарушения во время сбора, обработки и передачи информации, а также нарушение требований безопасности информации. Подобные нарушения могут привести к серьезным финансовым затратам, затратам времени и ресурсов, срыву соглашений на договорной основе, репутационным потерям, потерям ценной информации или даже нарушению работоспособности компонентов ИС.

5.6. Естественные - угрозы, вызванные воздействиями на ИС объективных физических процессов стихийных природных явлений или физических процессов техногенного характера, независящих от человека. Потенциальные угрозы ИБ по степени наносимого ущерба

5.7. Нарушение целостности - подмена, уничтожение, искажение информационных, программных и иных ресурсов, а также подделка (фальсификация) документов.

5.8. Нарушение конфиденциальности - разглашение, утечка сведений, составляющих служебную, коммерческую тайну, а также персональных данных.

5.9. Нарушение функциональности - блокирование информации и доступа к ней, срыв своевременного решения задач и нарушение технологических процессов (нарушение отказоустойчивости ИС). Возможные пути реализации преднамеренных угроз ИБ

  • перехват данных, передаваемых по каналам связи и их анализ;
  • незаконное получение атрибутов разграничения доступа (используя халатность пользователей, путем подделки, подбора, а также различных методов социальной инженерии);
  • применение технических средств для несанкционированного съема информации (попытка скопировать данные на внешний носитель);
  • внедрение закладок (программных или аппаратных) с целью скрытно осуществлять доступ к информационным ресурсам или для попытки дестабилизировать функционирование компонентов корпоративной информационной системы;
  • НСД к ресурсам ИС с рабочих станций авторизованных пользователей;
  • хищение производственных отходов (распечаток документов, записей, носителей информации и т.п.);
  • незаконное или несанкционированное копирование документов и носителей информации; намеренное искажение информации, ввод неверных данных;
  • действия, призванные дезорганизовать функционирование ИС;
  • хищение документов и иных носителей информации;
  • отключение или вывод из строя систем охлаждения, вентиляционных сооружений, нарушение электропитания, линий и аппаратуры связи.
  • действия, приводящие к частичному или полному нарушению функциональности компонентов информационной системы, а также к разрушению информационных или программно-технических ресурсов (применение вирусов или иного несущего угрозу ПО);

Возможные пути реализации непреднамеренных угроз ИБ

  • передача, разглашение или утрата атрибутов разграничения доступа (ключи, пароли);
  • передача данных или документов по ошибочному адресу (в ходе использования ПК или иного мобильного устройства);
  • ввод неверных данных;
  • неумышленная порча носителей информации;
  • заражение компьютеров вирусами или шпионским ПО;
  • проектирование технологий обработки данных, разработка ПО с возможностями, представляющими опасность для полноценного функционирования ИС и поддержки безопасности информации;

иные неосторожные действия, способные привести к частичному или полному разглашению информации ограниченного доступа, что приводит к ее общей доступности;

  • действия, приводящие к частичному или полному нарушению функциональности компонентов информационной системы, а также к разрушению информационных или программно-технических ресурсов

Возможные пути реализации естественных угроз ИБ

  • пожары, наводнения, иные стихийные бедствия;
  • неконтролируемый выход из строя или невозможность использования линий связи (без участия человека);
  • неконтролируемый выход из строя оборудования ИС и иного оборудования, обеспечивающего ее функционирование (без участия человека);

6. Модели нарушителей ИБ

Злоумышленник - нарушитель, действующий намеренно из корыстных, идейных, или каких-то иных побуждений, заинтересованный в нарушении деятельности Предприятия. Может действовать на договорных основаниях с третьими лицами.

Данный субъект можно разделить на два типа:

Внутренний - сотрудник Предприятия, или иное лицо, являющееся зарегистрированным легальным пользователем в ИС. Действует из своих собственных корыстных побуждений. может иметь навыки или помощь, чтобы модифицировать технические средства и подключаться к каналам передачи данных. Попробует внедрить закладки и иные программно аппаратные средства или специальные инструментальные и технологические программы в ИС. Может как представлять реальную угрозу, обладая всеми необходимыми инструментами и профессиональными навыками, так и быть абсолютно некомпетентным даже имея все необходимые инструменты (любителем).

Возможные мотивы лиц, которые могут быть внутренними нарушителями:

  • месть за личные или профессиональные обиды;
  • безответственность;
  • самоутверждение;
  • договор с третьей стороной;
  • реализация собственных амбиций;
  • финансовая выгода.

Возможные действия лиц, которые могут быть внутренними нарушителями:

  • сговор с другими сотрудниками;
  • помощь иным заинтересованным третьим лицам;
  • использование различных методов и средств для обхода защиты;
  • использование методов социальной инженерии для получения необходимых инструментов (атрибутов разграничения доступа) у ничего не подозревающих сотрудников;
  • установка технических средств для перехвата данных самостоятельно или с помощью других лиц;
  • внедряет закладки и иные программно аппаратные средства или специальные инструментальные и технологические программы в ИС;
  • имеет навыки или помощь извне, чтобы модифицировать технические средства и подключиться к технологическим каналам передачи данных.

Категории лиц, которые могут быть внутренними нарушителями:

  • администратор АС, имеющий практически неограниченный доступ к ресурсам компонентов ИС;

зарегистрированные конечные пользователи ИС (сотрудники подразделений организации); любой сотрудник Предприятия не являющийся зарегистрированным в ИС лицом, но имеющий доступ в здания и его помещения;

  • лица обслуживающие технические средства ИС Предприятия (инженеры, техники);
  • сотрудники подразделений Предприятия, задействованные в разработке и поддержке ПО (прикладные и системные программисты);
  • сотрудники отвечающие за обеспечение безопасности Предприятия;
  • персонал, обслуживающий здания (электрики, сантехники, уборщики, другие сотрудники, имеющие доступ к компонентам ИС;
  • руководители разных уровней.

Внешний - постороннее лицо, которое может не иметь никакого отношения ни к Предприятию, ни к его деятельности. Может быть, как в сговоре (или на договорных отношениях) с другими заинтересованными лицами, так и действовать в одиночку исходя из своих личных побуждений. Будет вынужден прибегнуть к попытке достать атрибуты разграничения доступа одним из известных ему методов, если не имеет связи с лицом, имеющим доступ к ИС.

Может как представлять реальную угрозу, обладая всеми необходимыми инструментами и профессиональными навыками, так и быть абсолютно некомпетентным даже имея все необходимые инструменты (любителем). Возможные действия лиц, которые могут быть внешними нарушителями:

  • сговор с другими сотрудниками;
  • помощь иным заинтересованным третьим лицам;
  • использование различных методов и средств для обхода защиты;
  • применяет агентурные методы получения атрибутов доступа;
  • устанавливает технические средства для перехвата данных самостоятельно или с помощью других лиц.
  • внедряет закладки и иные программно аппаратные средства или специальные инструментальные и технологические программы в ИС.
  • имеет навыки или помощь извне, чтобы модифицировать технические средства и подключиться к технологическим каналам передачи данных.

Категории лиц, которые могут быть внешними нарушителями:

  • любые уволенные недавно или очень давно сотрудники Предприятия;
  • лица из организаций, с которыми Предприятие взаимодействует по вопросам технического обеспечения;
  • посетители, представители различных фирм и организаций, предоставляющих услуги или ПО;
  • лица представляющие конкурирующие организации;
  • лица, которые проникли в корпоративную ИС случайно или умышленно из внешних телекоммуникационных сетей - интернет.

Возможные мотивы лиц, которые могут быть внешними нарушителями:

  • месть за личные или профессиональные обиды;
  • самоутверждение;
  • безответственность;
  • договор с третьей стороной;
  • реализация собственных амбиций;
  • финансовая выгода.

Помимо злоумышленников необходимо учитывать еще четыре модели:

  • Неквалифицированный — сотрудник Предприятия, или сотрудник иной организации, который является пользователем ИС. Может без злого умысла предпринимать попытки доступа к защищенным ресурсам ИС, выполнения запрещенных действий с превышением своих полномочий, нарушением основных правил обработки, хранения и передачи информации, действовать по ошибке, неосмотрительности, некомпетентности или простой халатности, но обладающий при этом только штатными доступными ему и любому другому сотруднику средствами.
  • Любитель — сотрудник организации или внешнее лицо пытающееся преодолеть систему защиты без корыстных целей и злого умысла, а только лишь для самоутверждения или из “спортивного интереса”. Может использовать различные методы получения дополнительных полномочий доступа к ресурсам. Будет использовать известные ему уязвимости в системе и доступные ему штатные, а в особых случаях и нештатные программы.
  • Мошенник — сотрудник организации, который может предпринимать попытки ввода подложных данных и иных действий исключительно в корыстных целях, из злого умысла, но использующий при этом только штатные программные или аппаратные средства от своего имени или имени другого сотрудника.
  • Спам и рассылка — анонимные не запрошенные массовые рассылки электронной почты, т.е. электронный эквивалент бумажной рекламной корреспонденции, засоряющей почтовые ящики. Могут быть как направленными, так и совершенно случайными. Имеют самый разный формат, начиная от рекламы и заканчивая попыткой имитации сообщения внутри корпоративной сети (это будет являться неопровержимым доказательством направленной атаки). Всегда содержат ссылку или файл, который сотрудник может по неосторожности загрузить. Представляет намного большую опасность, чем все предыдущие модели, так как очень сильно зависит от человеческого фактора - самой большой уязвимости в любой защите.

7. Принципы по обеспечению информационной безопасности

7.1. Принцип системности — система защиты строится с учетом не только уже известных каналов несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых методов для реализации угроз безопасности для Предприятия.

7.2. Принцип непрерывности — обеспечение безопасности остается непрерывным процессом для достижения цели ИБ Предприятия, предполагает собой принятие любых соответствующих мер на всех этапах ее жизненного цикла.

7.3. Принцип эшелонированной защиты — система обеспечения информационной безопасности должна иметь несколько защитных рубежей. Наиболее защищаемая зона должна находится внутри других защищаемых зон ИС Предприятия.

7.4. Принцип законности — строгое соблюдение законодательства Российской Федерации, любых требований нормативных, технических, правовых и иных документов из области обеспечения информационной безопасности Предприятия.

7.5. Принцип комплексности — для поддержания ИБ Предприятия, используется широкий набор средств защиты информации, мер и методов ее обеспечения. Комплексное использование позволяет перекрыть существующие каналы угроз и избежать уязвимостей на отдельных стыках ИС Предприятия.

7.6. Принцип экономической целесообразности — обеспечить абсолютную защиту ИС Предприятия невозможно. Выбор средств защиты остается адекватным реально существующим угрозам, на основе проведенного анализа рисков силами специалиста по безопасности или с помощью услуг доверенных аудиторских компаний.

7.7. Принцип управляемости — возможность мониторинга процессов и компонентов, выявление нарушений ИБ Предприятия, принятие соответствующих мер.

7.8. Принцип равной прочности - эффективность защиты не должна быть сведена на нет слабым сегментом, возникшим либо в результате недооценки реальных угроз, либо в результате переоценки таковых.

7.9. Принцип персональной ответственности — вся ответственность за обеспечение безопасности активов Предприятия возлагается на каждого работника строго в пределах его настоящих полномочий.

7.10. Принцип иерархии документов — Политика является нормативным документом первого уровня, на основе которого должны быть основаны документы ИБ всех остальных уровней. Инструкции, концепции, приказы, дополнения.

8. Ответственность за соблюдение положений настоящей Политики

8.1. Руководство принимает на себя ответственность за реализацию положений настоящей Политики.

8.2. Ответственность за обеспечение безопасности возлагается на каждого работника строго в пределах его полномочий и согласно положениям настоящей Политики.

8.3. В случае нарушения установленных правил работы с информацией, сотрудник может быть ограничен в правах доступа, а также привлечен к ответственности в соответствии с Трудовым кодексом, Кодексом об административных правонарушениях и Уголовным кодексом РФ.

8.4. Ответственность за общий контроль содержания настоящего документа и внесение в него изменений возлагается на начальника безопасности или иное лицо, отвечающее за информационную безопасность.

9. Заключительные положения

9.1. В случае вступления отдельных пунктов в противоречие с новыми законодательными актами, эти пункты утрачивают юридическую силу до момента внесения изменений в настоящую Политику.

9.2. Положения Политики должны быть пересмотрены досрочно в случае существенных изменений в развитии бизнеса, а также изменениях требований законодательства Российской Федерации и субъектов Российской Федерации, или их регулирующих органов.

9.3. Политика, а также все изменения в ней должны быть утверждены руководством.

9.4. Место размещения настоящей Политики и способы ее распространения определяются решением руководства или иным лицом обладающим необходимыми полномочиями.

9.5. Настоящая Политика вступает в законную силу с даты утверждения руководством.

sharix/infosec_policy_highlevel.txt · Последнее изменение: 2022/09/03 12:36 — sharixadmin

© 2022 ShariX