корпоративная политика обеспечения информационной
advertisement
КОРПОРАТИВНАЯ ПОЛИТИКА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ГОСУДАРСТВЕННОЙ АССОЦИАЦИИ КОЖЕВЕННО-ОБУВНЫХ ПРЕДПРИЯТИЙ «УЗБЕКЧАРМПОЙАБЗАЛИ» Корпоративная политика обеспечения информационной безопасности СОДЕРЖАНИЕ 1. Общие положения 2 2. Нормативные ссылки 3 3. Термины и определения 3 4. Основные цели и задачи Политики 4 5. Анализ и оценка рисков информационной безопасности 5 6. Обязанности сотрудников 6 7. Положение по парольной защите 7 8. Положение по антивирусной защите 8 9. Положения по использованию сети Интернет и электронной почты 10 10. Категоризация ресурсов 11 11. Инструкция администратора корпоративной сети 11 12. Администратор по безопасности 15 13. Аудит информационной безопасности 17 14. Ответственность 17 1 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» Данная корпоративная политика обеспечения информационной безопасности Государственной хлебной инспекции при Кабинете Министров Республики Узбекистан, разработана в соответствии с Законами Республики Узбекистан «О защите государственных секретов», «Об информатизации» а также с учетом требований действующих государственных стандартов в области обеспечения информационной безопасности Республики Узбекистан. 1. Общие положения 1.1 Настоящая корпоративная политика обеспечения информационной безопасности (далее - Политика) определяет общие требования по обеспечению информационной безопасности (ИБ) к сотрудникам ассоциации кожевеннообувных предприятий «Узбекчармпойабзали» (далее - Ассоциация), также устанавливает общие принципы и стратегию в области информационной безопасности, направленные на обеспечение защиты информации, информационных ресурсов, персональных компьютеров, баз данных и корпоративной компьютерной сети Ассоциации. 1.2 Политика предусматривает обеспечение информационной безопасности на основе использования совокупности организационных, режимных, технических, программных и других методов и средств защиты информации, а также осуществления всестороннего непрерывного контроля за эффективностью реализованных мер по обеспечению информационной безопасности. 1.3 В процессе реализации Политики с целью приведения в соответствие ее реальным условиям, а также с учетом возникновения новых угроз ИБ, в Политику могут быть внесены изменения и дополнения. 2 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» 2. Нормативные ссылки 2.1 В настоящем документе использованы ссылки на следующие нормативные документы: Постановление Президента Республики Узбекистан № ПП-1572 от 8 июля 2011 г. «О дополнительных мерах по защите национальных информационных ресурсов»; постановление Кабинета Министров Республики Узбекистан 6 декабря 2006 г. «О порядке учета, обращения и хранения документов, дел и изданий, содержащих несекретные сведения ограниченного распространения»; O’z Dst 1047:2003 Информационные технологии. Термины и определения.; RH Положение 45-065:2002 о классификации информационных ресурсов предприятий и организаций сферы почты и телекоммуникаций по требованиям информационной безопасности»; Y 099:2002 Инструкция по организации парольной и антивирусной защиты в системах телекоммуникаций. 3. Термины и определения 3.1 Информационная безопасность (ИБ) - совокупность свойств информации и поддерживающей инфраструктуры быть защищенной от случайных или преднамеренных воздействий естественного или искусственного характера; 3.2 Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах); 3.3 Политика информационной безопасности - совокупность правил, определяющих и ограничивающих виды деятельности объектов и участников, системы ИБ; 3 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» 3.4 Несанкционированный доступ (НСД) - доступ к аппаратнопрограммному обеспечению и циркулирующим в сети данным пользователя и данным управления сетью без санкции ответственных лиц с целью незаконного использования ресурсов или несанкционированного воздействия на объекты сети (в том числе и информацию управления сетью) или передаваемые через них данные для дезорганизации процесса передачи данных (например, его блокирования); 3.5 Парольная защита - управление процессом доступа к системе, ее ресурсам посредством паролей; 3.6 Антивирусная защита - комплекс мер, направленных на предотвращение, обнаружение и обезвреживание действий компьютерного вируса при помощи антивирусных программ; 3.7 Антивирусная программа - программа, обнаруживающая и обезвреживающая действие компьютерного вируса посредством удаления его из ресурсов компьютерных систем, сетей и т.п.; 3.8 Угроза информационной безопасности - потенциальное действие или событие, которое может привести к нарушению одного или более аспектов безопасности информационной системы. 3.9 Для служебного пользования (ДСП) - гриф ограничения доступа к документу, содержащую служебную информацию ограниченного распространения, разглашение (передача, утечка) которых может нанести материальный, моральный и иной ущерб интересам республики, а также организаций, предприятий, компаний и обществ. 4. Основные цели и задачи Политики 4.1 Основными целями Политики являются: • формирование комплекса организационно-технических мероприятий по обеспечению информационной безопасности; 4 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» • обеспечение целостности и доступности информации и информационных ресурсов, циркулирующих в Сети, хранящихся в базах данных (БД) и обрабатываемых в персональном компьютере (ПК); • предотвращение утечки конфиденциальной информации; • защита от несанкционированного доступа к информации и информационным ресурсам; • повышение ответственности сотрудников при работе с информационными ресурсами. • классификация информационных ресурсов и контроль их целостности; • защита программного обеспечения от несанкционированной модификации и уничтожения; • обеспечение физической безопасности информационных ресурсов, средств и сетей связи, ПК и аппаратных средств Сети. 5. Анализ и оценка рисков информационной безопасности 5.1 Для определения необходимого уровня обеспечения информационной безопасности Инспекции необходимо проведение анализа и оценка рисков. Риск определяется вероятностью причинения ущерба и величиной ущерба в случае реализации угроз безопасности. Наиболее опасными (значимыми) угрозами безопасности информации и информационным ресурсам сети, БД и ПК Ассоциации являются: • действия, приводящие к частичному или полному отказу сети, разрушению ее аппаратных, программных и информационных ресурсов (порча оборудования, удаление и/или искажение файлов с важной информацией); • неправомерное отключение оборудования или изменение режимов работы систем электропитания, охлаждения, вентиляции и т.п.; • порча и/или умышленное уничтожение электронных и бумажных носителей информации; 5 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» • нелегальное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения сотрудником своих служебных обязанностей); • заражение сети и/или ПК вирусами. Анализ рисков состоит в том, чтобы выявить существующие риски и оценить их величину (дать им количественную оценку). 5.2 Объектами защиты являются информация, информационные ресурсы сети, система информационного обеспечения деятельности Инспекции, БД и ПК, прикладное и системное программное обеспечение, информация в виде файлов и баз данных на электронных носителях и бумажных носителях, а также аппаратные средства. 6. Обязанности сотрудников 6.1 Категорически запрещается отключать программные и аппаратные средства защиты, которые обеспечивают информационную защиту компьютера. 6.2 При пользовании компьютерами, локально-вычислительными и корпоративными сетями, информационными системами Ассоциации в обязательном порядке соблюдать утвержденные правила пользования. 6.3 Исходя из приоритетов выполняемых работ, к начальникам отделов предъявляются дополнительные требования помимо вышеуказанных. В целях обеспечения информационной безопасности отдела, начальник отдела должен взять под личный контроль оборот всех документов отдела. Необходимо периодически самостоятельно, администратору менять если сети. пароли позволяет доступа данный Начальник к персональному сервис, отдела либо должен компьютеру обращаться к информировать администраторов сети об изменении статуса каждого из подчиненных (отпуск, переход на другую работу, увольнение и т.п.). 6 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» 7. Положение по парольной защите 7.1 Личные централизованно пароли либо должны выбираться генерироваться пользователями и распределяться автоматизированной системы самостоятельно с учетом следующих требований: • длина пароля должна быть не менее 8 символов; • в числе символов пароля обязательно должны присутствовать буквы в верхнем и нижнем регистрах, цифры и специальные символы (@, #, $, &, *, % и т.п.); • пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, номера телефонов, дата рождений и т.д.), а также общепринятые сокращения (ЭВМ, ЛВС, USER и т.п.); • при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях; • личный пароль пользователь не имеет права сообщать никому; • владельцы паролей перечисленными должны выше быть ознакомлены требованиями и под роспись предупреждены с об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации. 7.2 В случае, если формирование личных паролей пользователей осуществляется централизованно, ответственность за правильность их формирования и распределения возлагается на администраторов сети. Для генерации «стойких» значений паролей могут применяться специальные программные средства. 7.3 При форс-мажорных обстоятельствах, возникновения нештатных ситуаций и наличии технологической необходимости использования имен и паролей некоторых сотрудников в их отсутствии, сотрудники обязаны сразу же после смены своих паролей их новые значения (вместе с именами соответствующих учетных записей) в запечатанном конверте передавать на хранение руководителю своего отдела или прямому руководителю. Опечатанные конверты с паролями исполнителей должны храниться в сейфе. 7 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» 7.4. Полная плановая смена паролей пользователей должна проводиться регулярно, не реже одного раза в месяц. 7.5 Внеплановая смена личного пароля или удаление учетной записи пользователя информационной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться администратором сети. 7.6 Внеплановая полная смена паролей всех пользователей должна производиться в случае прекращения полномочий (увольнение, переход на другую работу и другие обстоятельства) администраторов сети, безопасности и других сотрудников, которым по роду работы были предоставлены полномочия по управлению парольной защитой информационной системы. 7.7 Хранение сотрудником значений своих паролей на бумажном носителе допускается только в личном, опечатанном владельцем пароля сейфе. 7.8. Регулярный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены, хранения и использования возлагается на администратора безопасности. 8. Положение по антивирусной защите 8.1 В ПК каждого сотрудника устанавливается антивирусная защита системы. 8.2 Ежедневно в начале работы при загрузке компьютера в автоматическом режиме должен проводиться антивирусный контроль всех дисков и файлов. 8.3 Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD-ROM и т.п.). 8 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» 8.4 Файлы, помещаемые в электронный архив должны в обязательном порядке проходить антивирусный контроль. Периодические проверки электронных архивов должны проводиться не реже одного раза в год. Контроль исходящей информации необходимо проводить непосредственно перед архивированием и отправкой (записью на съемный носитель). 8.5 Установка (изменение) системного и прикладного программного обеспечения на компьютере осуществляется только Администратором. Непосредственно после установки (изменения) программного обеспечения компьютера (локальной вычислительной сети), должна быть выполнена антивирусная проверка. 8.6 В случае обнаружения при проведении антивирусной проверки зараженных компьютерными вирусами файлов сотрудники отделов обязаны: • приостановить работу; • немедленно поставить в известность о факте обнаружения зараженных вирусом файлов администратора сети; • совместно с владельцем зараженных вирусом файлов провести анализ необходимости дальнейшего их использования; • провести лечение или уничтожение зараженных файлов (при необходимости для выполнения требований данного пункта привлечь администраторов); • в случае обнаружения нового вируса, не поддающегося лечению применяемыми антивирусными средствами, необходимо сообщить администратору для дальнейшей передачи его в организацию, с которой заключен договор на антивирусную поддержку; • составить по факту обнаружения зараженных вирусом файлов служебную записку администратору и в отдел обеспечения информационной безопасности, в которой необходимо указать предположительный источник (отправителя, владельца) зараженного файла, тип зараженного файла, характер содержащейся в файле информации, тип вируса. 9 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» 9. Положения по использованию сети Интернет и электронной почты 9.1 Соединение с Интернетом и системой электронной почты - это ресурс организации. Деятельность сотрудников организации в Интернете может наблюдаться, протоколироваться и периодически проверяться для того, чтобы организация имела гарантии того, что сотрудники работают правильно и могла защититься от неавторизованного использования Интернет. 9.2 Соединение с всемирной сетью Интернет предназначен для получения сотрудниками Ассоциации информации по вопросам, связанным с рабочей деятельностью. Для обеспечения нормального функционирования Интернет сервиса от сотрудников требуется: • использовать Интернет только для служебных целей; • не заходить на веб-сайты, предоставляющие платные услуги, без согласования с руководством; • не распространять в Интернете информацию, касающуюся деятельности Инспекции или его сотрудников, в том числе о себе; • не осуществлять подписку на получение Интернет информации и услуг, без согласования с руководством; • не создавать и не использовать собственные почтовые ящики, вебстраницы и другие информационные активы в Интернете; • не заходить на веб-сайты, содержащие эротико-порнографические материалы и игровые программы; • не переносить (копировать) на свой компьютер картинки, музыкальные и видео файлы, а также любое программное обеспечение, не связанные со служебной деятельностью сотрудника. 9.3 Для всех компьютеров организации, на которых размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации должно быть запрещено взаимодействие с Интернет. 10 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» 9.4 При работе с электронной почтой необходимо помнить, что электронная почта Ассоциации предоставляется сотрудникам в целях оказания помощи при выполнении ими своих обязанностей. Использовать электронную почту можно исключительно для выполнения своих служебных обязанностей. 10. Категоризация ресурсов 10.1 При работе с бумажными документами сотрудник должен обеспечить надежную защиту документов. Нельзя оставлять документы с грифом ДСП на рабочем столе во время отсутствия на рабочем месте. Бланки с государственными знаками, штампы, печати необходимо хранить в сейфах. 10.2 Порядок учета, обращения и хранения документов с грифом ДСП осуществляется согласно инструкции «О порядке учета, обращения и хранения документов, дел и изданий, содержащих несекретные сведения ограниченного распространения», утвержденного 6 декабря 2006 года Кабинетом Министров Республики Узбекистан. 11. Инструкция администратора корпоративной сети 11.1 Основной задачей администратора является управление всеми компонентами корпоративной сети Ассоциации. 11.2 На администратора возлагается персональная ответственность за программно-технические средства защиты информации. 11.3 Администратор обладает правами доступа к любым программным и аппаратным ресурсам сети Ассоциации. 11.4 Решение вопросов обеспечения безопасности корпоративной сети Ассоциации входит в прямые служебные обязанности администратора. 11.5 Администратор несет ответственность за разглашение сведений, составляющих тайну, и сведений ограниченного распространения, ставших известными ему по роду работы, согласно законодательству. 11 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» 11.6 Администратор должен иметь достаточный опыт работы и знать в совершенстве используемые в сети информационные технологии. 11.7 Администратор корпоративной сети должен знать: • порядок установки и конфигурирования операционной системы и периодического обновления необходимых используемых программ в сети; • аппаратное и программное обеспечение сетей; • технико-эксплуатационные характеристики, конструктивные особенности, назначение и режимы работы оборудования, правила его технической эксплуатации; • порядок осуществления контроля за процессом резервирования и дублирования информационных ресурсов сети; • порядок создания и поддержания в актуальном состоянии пользовательских учётных записей; • устранение неполадок в системе; • системы организации предупреждения комплексной предотвращения защиты информации, несанкционированного способы доступа к информации; • порядок осуществления контроля за функционированием систем парольной и антивирусной защиты, их параметрами; • порядок документирования своей работы; • правила и нормы охраны труда, техники безопасности, производственной санитарии и противопожарной защиты. 11.8 Администратор корпоративной сети Ассоциации обязан: • вносить предложения по совершенствованию уровня парольной и антивирусной защиты корпоративной сети Ассоциации; • периодически представлять информационной руководству безопасности отчет о и в отдел состоянии обеспечения парольной и антивирусной защиты сети Ассоциации; 12 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» • устанавливать на серверы и рабочие станции сетевое программное обеспечение; • конфигурировать систему на сервере; • обеспечивать интегрирование программного обеспечения на файл- серверах, серверах систем управления базами данных и на рабочих станциях; • поддерживать рабочее состояние программного обеспечения сервера; • регистрировать пользователей, назначать идентификаторы и пароли; • обучать пользователей работе в сети, ведению архивов, отвечать на вопросы пользователей, связанные с работой в сети, составлять инструкции по работе с сетевым программным обеспечением и доводить их до сведения пользователей; • контролировать использование сетевых ресурсов; • организовывать доступ к локальной и глобальной сетям; • устанавливать ограничения для пользователей: - по использованию рабочей станции или сервера; - по времени; - по степени использования ресурсов; • устанавливать многофакторные проверки подлинности для удаленных пользователей, использующих для подключения к локальным ресурсам Интернет. Следует проводить регулярную проверку списка доступа для всех пользователей на устройстве в сети VPN; • обеспечивать своевременное копирование и резервирование данных; • участвовать в восстановлении работоспособности системы при сбоях и выходе из строя сетевого оборудования; • выявлять ошибки пользователей и сетевого программного обеспечения и восстанавливать работоспособность системы; 13 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» • проводить мониторинг сети, разрабатывать предложения по развитию инфраструктуры сети; • обеспечивать: - сетевую безопасность (защиту от несанкционированного доступа к информации, просмотра или изменения системных файлов и данных); - безопасность межсетевого взаимодействия; • подготавливать предложения по модернизации и приобретению сетевого оборудования; • осуществлять контроль над монтажом оборудования специалистами сторонних организаций; • сообщать своему непосредственному руководителю о случаях злоупотребления сетью и принятых мерах; • при выявлении инцидента, модернизации или изменение сети и т.п., необходимо составить акт. Администратору корпоративной сети Ассоциации запрещается: 11.8 • допускать к работе в сеть посторонних лиц; • сообщать учетные данные сотрудников Ассоциации (пароли, идентификаторы, ключи и др.) кому бы то ни было, кроме самого сотрудника. Администраторы 11.9 ответственны за реализацию программно- аппаратных средств защиты сети (антивирусная программа, межсетевой экран (МСЭ) и т.п.). Администраторы выполняют установку и настройку программноаппаратных средств защиты на компьютерах и серверах сети Ассоциации. К использованию в корпоративной сети Ассоциации допускаются только лицензированные программно-аппаратные средства защиты. В случае необходимости использования программно-аппаратных средств защиты, не вошедших в перечень рекомендованных, их применение необходимо согласовать с отделом обеспечения информационной безопасности. 14 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» 11.10 Антивирусный контроль всех дисков и файлов персонального компьютера должен проводится ежедневно в начале работы при загрузке компьютера (для серверов - при перезапуске) в автоматическом режиме. Обязательному антивирусному контролю подлежит любая информация (текстовые файлы любых форматов, файлы данных, исполняемые файлы), получаемая и передаваемая по телекоммуникационным каналам, а также информация на съемных носителях (магнитных дисках, лентах, CD-ROM и.т.д.). 11.11 Периодический контроль за состоянием парольной и программно-аппаратной защиты, а также за соблюдением установленного порядка парольного и программно-аппаратного контроля и выполнением требований настоящей Политики осуществляется отделом обеспечения информационной безопасности. 12. Администратор по безопасности 12.1 Администратор по безопасности должен: • знать перечень установленных в Ассоциации информационных систем и специальных программных обеспечений, а также перечень задач, решаемых с их использованием; • осуществлять учет и периодический контроль за составом и полномочиями пользователей различных информационных систем; • осуществлять оперативный контроль за работой пользователей, анализировать содержимое системных журналов информационных систем и адекватно реагировать на возникающие нештатные ситуации. Обеспечивать своевременное архивирование системных журналов и надлежащий режим хранения данных архивов; • осуществлять непосредственное управление режимами работы и административную поддержку функционирования применяемых на ПК Ассоциации специальных технических и программных средств защиты от НСД; 15 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» • присутствовать (модификации) при внесении изменений аппаратно-программных средств в конфигурацию ПК и серверов, устанавливать и осуществлять настройку средств защиты ПК; • периодически проверять состояние используемых средств защиты информации от НСД, осуществлять проверку правильности их настройки (выборочное тестирование); • периодически контролировать целостность печатей (пломб, наклеек) на устройствах, ПК и серверов; • докладывать руководству Ассоциации об имевших место попытках несанкционированного доступа к информации и техническим средствам ПК; • по указанию руководства своевременно и точно отражать изменения в организационно-распорядительных и нормативных документах по управлению средствами защиты от НСД, установленных на рабочей станции автоматизированной системы; • участвовать в расследовании причин совершения нарушений и возникновения серьезных кризисных ситуаций в результате НСД; • участвовать в работе комиссий по пересмотру корпоративной политики обеспечения информационной безопасности Ассоциации; • ознакомлять корпоративной политикой обеспечения информационной безопасности сотрудников Ассоциации, а также внедрять политику в жизнь и повышение эффективности политики; • блокировать доступ, по согласованию с руководством Ассоциации, развлекательные (Социальные сети, развлекательные веб-сайты и т.д.) Интернет ресурсы, и закрыть доступ на скачивание ненужного контента (музыка, фильмы, рисунки и т.д.). 16 Корпоративная политика обеспечения информационной безопасности ассоциации кожевенно-обувных предприятий «Узбекчармпойабзали» 13. Аудит информационной безопасности 13.1 Аудит информационной безопасности информационной системы Ассоциации, осуществляется один раз в год. Аудит информационной безопасности осуществляется Службой реагирования на компьютерные инциденты при Центре «Узинфоком». 13.2 Аудит информационной безопасности информационной системы Ассоциации, осуществляется на основе утвержденного технического задания. Техническое задание разрабатывается со стороны Службы реагирования на компьютерные инциденты и утверждается со стороны руководства Ассоциации. 13.3 Результатом аудита информационной безопасности информационной системы Ассоциации, является рекомендации по повышению состояния информационной безопасности Ассоциации. 14. Ответственность 14.1 Руководители отделов и подразделений несут ответственность за выполнение данной Политики информационной безопасности внутри отдела и подразделений. 14.2 Каждый сотрудник несет ответственность за выполнение и соблюдение требований данной Политики. Сотрудники, допустившие нарушения требований настоящей Политики, привлекаются к ответственности в порядке, установленном законодательством. 14.3 В случае обнаружения инцидента нарушений требований настоящей Политики, составляется комиссия по его устранению под руководством начальника Ассоциации или его заместителя. 17