1.1 Информация о документе
Нормативный документ на основании которого строится Политика информационной безопасности Предприятия.
1.2 Назначение документа Настоящая Политика устанавливает статус, структуру, сферы деятельности и ответственности, цели, задачи и функции
1.3 Доступ и периодичность пересмотра актуальности документа
1.4 Контроль версий документа
1.5 Список терминов и определений
2.1. Политика информационной безопасности (далее — ПИБ или Политика) ИП Панюкова Александра Анатольевна (далее — Предприятие) представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми предприятие будет руководствоваться в ходе своей деятельности, а также определяет основные принципы построения организационных, технологических и процедурных аспектов обеспечения безопасности информации на Предприятии.
2.2. Политика учитывает современное состояние и ближайшие перспективы развития информационных технологий Предприятия — цели, задачи и правовые основы их эксплуатации, режимы функционирования, а также содержит методологические рекомендации по предотвращению потенциальных угроз безопасности объектов и субъектов информационных отношений Предприятия.
2.3. Основные положения и требования данного документа распространяются на все структурные подразделения Предприятия, включая территориально удаленные.
2.4. Политика также распространяется на другие организации и учреждения, взаимодействующие с Предприятием в качестве потребителей информационных ресурсов в рамках действующих отношений на договорных основаниях.
Законодательной основой настоящей Политики являются:
2.5. Конституция Российской Федерации;
2.6. Гражданский, Уголовный и Уголовно-процессуальный кодексы РФ;
2.7. Федеральный закон Российской Федерации от 27.07.2006 N 149-ФЗ (ред. от 03.04.2020) «Об информации, информационных технологиях и о защите информации»
2.8. Федеральный закон Российской Федерации «О персональных данных» от 27.07.2006 N 152-ФЗ (последняя редакция);
2.9. Указ Президента Российской Федерации от 05.12.2016 г. № 646 “Об утверждении Доктрины информационной безопасности Российской Федерации”
2.10. Указ Президента Российской Федерации от 6.03.1997 №188 (в ред. Указа Президента РФ от 23.09.2005 №1111) «Об утверждении перечня сведений конфиденциального характера».
2.11. Указ Президента РФ от 13 июля 2015 г. N 357 «О внесении изменений в перечень сведений конфиденциального характера, утвержденный Указом Президента Российской Федерации от 6 марта 1997 г. N 188»
2.12. Любые другие законы, указы, постановления, нормативные документы действующего законодательства Российской Федерации, а также законы, указы, постановления, нормативные документы субъектов Федерации на территории которых осуществляется деятельность Предприятия.
Документ настоящей Политики является методологической основой:
принятия управленческих решений и разработке практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации на Предприятии;
2.13. Политика информационной безопасности разработана в соответствии с рядом положений международного стандарта ISO/IEC 27001:2013.
2.14. Использование данной Политики позволит в достаточной мере оптимизировать затраты на построение системы безопасности для Предприятия и защитить персональные данные заинтересованных лиц.
2.15. Положения настоящей Политики базируются на качественном осмыслении вопросов обеспечения безопасности информации и не затрагивают вопросов экономического (количественного) анализа рисков и обоснования необходимых затрат на защиту информации.
2.16. Пересмотр Политики проводится на регулярной основе не реже одного раза в год.
2.17. Настоящая Политика является основополагающим документом, регулирующим деятельность Предприятия в области информационной безопасности.
Объектами системы информационной безопасности Предприятия являются:
3.1. Информационные ресурсы с ограниченным доступом, составляющие служебную, коммерческую тайну, персональные данные работников, клиентов, партнеров;
3.2. процессы обработки информации в информационной системе, информационные технологии, процедуры сбора, обработки, хранения и передачи информации;
3.3. информационная инфраструктура, включающая системы обработки, хранения и анализа информации, технические и программные средства ее обработки, передачи и отображения. Структура и особенности основных объектов защиты
3.3. Информационная среда является сосредоточенной структурой, которая имеет подключения к телекоммуникационным — информационным сетям международного информационного обмена. Помимо этого, также имеется локальная сеть.
Основными особенностями информационной среды являются:
3.4. Одновременное использование большого количества разнообразных технических средств обработки, хранения и передачи информации;
3.5. значительное расширение сферы использования автоматизированных систем обработки информации, широкое многообразие информационно-управляющих систем;
3.6. большое разнообразие решаемых задач и типов, обрабатываемых данных;
3.7. финансовая значимость решений, принимаемых на основе автоматизированной обработки данных;
3.8. объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности;
3.9. разнообразие категорий пользователей и обслуживающего персонала системы. Категории и типы информационных ресурсов, подлежащих защите
3.10. На Предприятии циркулирует информация конфиденциального характера, в основном содержащая сведения ограниченного распространения (служебная тайна, коммерческая тайна, персональные данные), и открытые сведения.
Защите подлежат:
3.11. Конфиденциальная информация и информационные ресурсы, независимо от их представления и местонахождения в информационной среде Предприятия;
3.12. сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации в соответствии с Федеральным законом «О коммерческой тайне»;
3.13. служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом РФ;
3.14. сведения о частной жизни граждан, позволяющие идентифицировать его личность (ПД), доступ к которым ограничен в соответствии с ФЗ №152 “О персональных данных”;
3.15. открытые сведения, необходимые для обеспечения нормального функционирования Предприятия.
Цели защиты:
Целями, на достижение которых направлены положения настоящей Политики, являются:
4.1. защита субъектов информационных отношений от возможного нанесения им материального, физического, морального или иного ущерба;
4.2. предотвращение случайного или преднамеренного воздействия на хранимую, обрабатываемую, передаваемую информацию, ее носители, процессы обработки и передачи.
4.3. минимизация рисков возникновения подобных ситуаций.
Субъектами информационных отношений являются:
4.4. Предприятие, как собственник информационных ресурсов;
4.5. подразделения Предприятия, участвующие в информационном обмене;
4.6. руководство и сотрудники структурных подразделений, в соответствии с возложенными на них функциями;
4.7. юридические и физические лица, задействованные в обеспечении выполнения Предприятием своих функций (разработчики, служба поддержки, прочие лица, привлекаемые для оказания услуг);
4.8. юридические и физические лица, сведения о которых накапливаются, хранятся, обрабатываются и передаются в ИС Предприятия.
Дополнительные стратегические цели, которые преследует Предприятие:
Указанные цели должны быть достигнуты посредством обеспечения и постоянного поддержания перечисленных ниже основных свойств информации.
Задачи для обеспечения информационной безопасности Предприятия:
Для достижения основных целей защиты и обеспечения постоянного поддержания основных свойств информации, необходимо эффективное решение следующих задач:
4.9. применение экономически целесообразных мер: Предприятие стремится выбирать меры обеспечения информационной безопасности с учетом затрат на их реализацию, вероятности возникновения угроз информационной безопасности и объема возможных потерь от их реализации;
4.10. вовлечение руководства в процесс обеспечения информационной безопасности - деятельность по обеспечению информационной безопасности инициирована и должна контролироваться руководством;
4.11. соответствие требованиям законодательства РФ: меры обеспечения информационной безопасности в строгом соответствии с действующим законодательством и договорными обязательствами;
4.12. проверка будущих сотрудников и персонала: все кандидаты на вакантные должности в обязательном порядке проходят проверку в соответствии с установленными процедурами;
4.13. документированность требований информационной безопасности: на Предприятии все требования в области информационной безопасности фиксируются в разрабатываемых внутренних нормативных документах;
4.14. создание механизма оперативного реагирования на угрозы безопасности информации и иные негативные тенденции, чтобы своевременно выявлять, прогнозировать источники угроз ИБ - (Data Loss Prevention система в интеграции с SIEM);
4.15. создание условий для минимизации наносимого ущерба преднамеренными или непреднамеренными действиями физических и юридических лиц, ослабление негативного влияния и ликвидации последствий нарушения безопасности информации - (регулярное резервное копирование данных на носители или облачные хранилища, использование систем контроля версий, наличие юриста);
4.16. разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа - (распределение ролей пользователей в системе);
4.17. защита от вмешательства в процесс функционирования информационной системы посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);
4.18. обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
4.19. защиту от несанкционированной модификации используемых в информационной системе программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы - (программные и аппаратные средства защиты информации);
4.20. защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи - (контроль корпоративной сети);
4.21. защита производственных отходов - документы, записи, договоры, которые не были уничтожены после;
4.22. обновление криптографических средств защиты информации.
4.23. постоянное совершенствование системы управления информационной безопасностью: совершенствование системы управления информационной безопасности является непрерывным процессом.
Решение задач для обеспечения информационной безопасности Предприятия
Поставленные задачи решаются следующим образом:
4.24. использованием DLP систем в интеграции со службой безопасности;
4.25. учетом всех подлежащих защите ресурсов ИС (документы, каналы связи, серверы, АРМ);
4.26. ведением журнала действий персонала, осуществляющего обслуживание и модификацию программных или технических средств корпоративной ИС;
4.27. выполнение требований организационно-распорядительных документов по вопросам обеспечения безопасности информации, если они обладают полнотой, реально выполнимы и не противоречат другим требованиям по обеспечению безопасности информации;
4.28. подготовкой должностных лиц, ответственных за организацию и проведение практических мероприятий по обеспечению безопасности информации или процессов ее обработки;
4.29. наделением каждого сотрудника или пользователя, минимальным набором функциональных обязанностей или полномочиями по доступу к информационным ресурсам согласно их уровню доступа;
4.30. знанием и строгим соблюдением всеми пользователями, требований организационно распорядительных документов по вопросам обеспечения информационной безопасности;
4.31. персональной ответственностью каждого сотрудника за свои действия согласно своим функциональным обязанностям;
4.32. применением физических и технических (программно—аппаратных) средств защиты и непрерывной поддержкой их со стороны администрации;
4.33. применением технических средств для защиты производственных отходов от третьих лиц (использование шредеров для уничтожения записей на физическом носителе вроде бумаги)
4.34. дополнительной юридической защитой интересов при взаимодействии с другими организациями (обмен информации), от действий противоправного характера, как со стороны этих организаций, так и от обслуживающего персонала и иных третьих лиц.
Потенциальные угрозы ИБ по степени мотивации
Преднамеренные:
5.1. по принуждению третьими лицами, со злым умыслом, действия допущенных к информационным ресурсам пользователей (в том числе обслуживающий персонал, отвечающий за администрирование компонентов корпоративной информационной системы, сотрудники);
5.2 деятельность различных преступных группировок и формирований, экономических и политических структур, а также иных отдельных лиц, занимающихся деятельностью по навязыванию ложной информации, нарушению работоспособности ИС, кражей информации;
5.3 несанкционированное вмешательство третьих лиц из территориально удаленных сегментов информационной системы и внешних сетей общего пользования - интернет, используя недостатки средств защиты и разграничения удаленного доступа к ресурсам;
5.4 ошибки, которые были допущены при разработке компонентов ИС и их систем защиты, ошибки в ПО, отказы и сбои технических средств защиты и ошибки в разграничении удаленного доступа к ресурсам. Подобные нарушения могут привести к серьезным финансовым затратам. затратам времени и ресурсов, срыву соглашений на договорной основе, репутационным потерям, потерям ценной информации или даже нарушению работоспособности компонентов ИС.
5.5. Непреднамеренные - ошибочные, случайные, без злого умысла и корыстных целей. Нарушения во время сбора, обработки и передачи информации, а также нарушение требований безопасности информации. Подобные нарушения могут привести к серьезным финансовым затратам, затратам времени и ресурсов, срыву соглашений на договорной основе, репутационным потерям, потерям ценной информации или даже нарушению работоспособности компонентов ИС.
5.6. Естественные - угрозы, вызванные воздействиями на ИС объективных физических процессов стихийных природных явлений или физических процессов техногенного характера, независящих от человека. Потенциальные угрозы ИБ по степени наносимого ущерба
5.7. Нарушение целостности - подмена, уничтожение, искажение информационных, программных и иных ресурсов, а также подделка (фальсификация) документов.
5.8. Нарушение конфиденциальности - разглашение, утечка сведений, составляющих служебную, коммерческую тайну, а также персональных данных.
5.9. Нарушение функциональности - блокирование информации и доступа к ней, срыв своевременного решения задач и нарушение технологических процессов (нарушение отказоустойчивости ИС). Возможные пути реализации преднамеренных угроз ИБ
Возможные пути реализации непреднамеренных угроз ИБ
иные неосторожные действия, способные привести к частичному или полному разглашению информации ограниченного доступа, что приводит к ее общей доступности;
Возможные пути реализации естественных угроз ИБ
Злоумышленник - нарушитель, действующий намеренно из корыстных, идейных, или каких-то иных побуждений, заинтересованный в нарушении деятельности Предприятия. Может действовать на договорных основаниях с третьими лицами.
Данный субъект можно разделить на два типа:
Внутренний - сотрудник Предприятия, или иное лицо, являющееся зарегистрированным легальным пользователем в ИС. Действует из своих собственных корыстных побуждений. может иметь навыки или помощь, чтобы модифицировать технические средства и подключаться к каналам передачи данных. Попробует внедрить закладки и иные программно аппаратные средства или специальные инструментальные и технологические программы в ИС. Может как представлять реальную угрозу, обладая всеми необходимыми инструментами и профессиональными навыками, так и быть абсолютно некомпетентным даже имея все необходимые инструменты (любителем).
Возможные мотивы лиц, которые могут быть внутренними нарушителями:
Возможные действия лиц, которые могут быть внутренними нарушителями:
Категории лиц, которые могут быть внутренними нарушителями:
зарегистрированные конечные пользователи ИС (сотрудники подразделений организации); любой сотрудник Предприятия не являющийся зарегистрированным в ИС лицом, но имеющий доступ в здания и его помещения;
Внешний - постороннее лицо, которое может не иметь никакого отношения ни к Предприятию, ни к его деятельности. Может быть, как в сговоре (или на договорных отношениях) с другими заинтересованными лицами, так и действовать в одиночку исходя из своих личных побуждений. Будет вынужден прибегнуть к попытке достать атрибуты разграничения доступа одним из известных ему методов, если не имеет связи с лицом, имеющим доступ к ИС.
Может как представлять реальную угрозу, обладая всеми необходимыми инструментами и профессиональными навыками, так и быть абсолютно некомпетентным даже имея все необходимые инструменты (любителем). Возможные действия лиц, которые могут быть внешними нарушителями:
Категории лиц, которые могут быть внешними нарушителями:
Возможные мотивы лиц, которые могут быть внешними нарушителями:
Помимо злоумышленников необходимо учитывать еще четыре модели:
7.1. Принцип системности — система защиты строится с учетом не только уже известных каналов несанкционированного доступа к информации, но и с учетом возможности появления принципиально новых методов для реализации угроз безопасности для Предприятия.
7.2. Принцип непрерывности — обеспечение безопасности остается непрерывным процессом для достижения цели ИБ Предприятия, предполагает собой принятие любых соответствующих мер на всех этапах ее жизненного цикла.
7.3. Принцип эшелонированной защиты — система обеспечения информационной безопасности должна иметь несколько защитных рубежей. Наиболее защищаемая зона должна находится внутри других защищаемых зон ИС Предприятия.
7.4. Принцип законности — строгое соблюдение законодательства Российской Федерации, любых требований нормативных, технических, правовых и иных документов из области обеспечения информационной безопасности Предприятия.
7.5. Принцип комплексности — для поддержания ИБ Предприятия, используется широкий набор средств защиты информации, мер и методов ее обеспечения. Комплексное использование позволяет перекрыть существующие каналы угроз и избежать уязвимостей на отдельных стыках ИС Предприятия.
7.6. Принцип экономической целесообразности — обеспечить абсолютную защиту ИС Предприятия невозможно. Выбор средств защиты остается адекватным реально существующим угрозам, на основе проведенного анализа рисков силами специалиста по безопасности или с помощью услуг доверенных аудиторских компаний.
7.7. Принцип управляемости — возможность мониторинга процессов и компонентов, выявление нарушений ИБ Предприятия, принятие соответствующих мер.
7.8. Принцип равной прочности - эффективность защиты не должна быть сведена на нет слабым сегментом, возникшим либо в результате недооценки реальных угроз, либо в результате переоценки таковых.
7.9. Принцип персональной ответственности — вся ответственность за обеспечение безопасности активов Предприятия возлагается на каждого работника строго в пределах его настоящих полномочий.
7.10. Принцип иерархии документов — Политика является нормативным документом первого уровня, на основе которого должны быть основаны документы ИБ всех остальных уровней. Инструкции, концепции, приказы, дополнения.
8.1. Руководство принимает на себя ответственность за реализацию положений настоящей Политики.
8.2. Ответственность за обеспечение безопасности возлагается на каждого работника строго в пределах его полномочий и согласно положениям настоящей Политики.
8.3. В случае нарушения установленных правил работы с информацией, сотрудник может быть ограничен в правах доступа, а также привлечен к ответственности в соответствии с Трудовым кодексом, Кодексом об административных правонарушениях и Уголовным кодексом РФ.
8.4. Ответственность за общий контроль содержания настоящего документа и внесение в него изменений возлагается на начальника безопасности или иное лицо, отвечающее за информационную безопасность.
9.1. В случае вступления отдельных пунктов в противоречие с новыми законодательными актами, эти пункты утрачивают юридическую силу до момента внесения изменений в настоящую Политику.
9.2. Положения Политики должны быть пересмотрены досрочно в случае существенных изменений в развитии бизнеса, а также изменениях требований законодательства Российской Федерации и субъектов Российской Федерации, или их регулирующих органов.
9.3. Политика, а также все изменения в ней должны быть утверждены руководством.
9.4. Место размещения настоящей Политики и способы ее распространения определяются решением руководства или иным лицом обладающим необходимыми полномочиями.
9.5. Настоящая Политика вступает в законную силу с даты утверждения руководством.