Порядок обеспечения информационной безопасности

Под порядком (режимом) обеспечения информационной безопасности в Организации понимается свод правил, требований, описание мер и средств, регламентирующих и используемых при реализации положений данной Политики и других нормативных документов.

Порядок обеспечения информационной безопасности разрабатывается на основе положений данной Политики, результатов анализа рисков, требований законодательных документов, стандартов, общепринятых практик и профессиональных знаний сотрудников отдела информационной безопасности в области защиты информации.

4.1 Классификация информации

С целью унификации порядка работы с информационными активами Организации вводится следующая схема классификации информационных активов:

· Открытый;

· Конфиденциальный;

· Коммерческая тайна;

· Персональные данные.

Порядок обработки конфиденциальной информации и сведений, составляющих коммерческую тайну, устанавливается в соответствии с Федеральным законом РФ от 29 июня 2004 г. № 98-ФЗ «О коммерческой тайне», Гражданским и Трудовым кодексами РФ, нормативными документами Организации:

· «Положение о конфиденциальной информации ООО «Торговый Дом ЛФЗ»

· «Соглашения о конфиденциальности с контрагентами»;

· «Перечень сведений, составляющих коммерческую тайну ООО «Торговый Дом ЛФЗ»

· «Перечень конфиденциальных сведений ООО «Торговый Дом ЛФЗ»

· «Политика конфиденциальности ООО «Торговый Дом ЛФЗ» (декларация о защите конфиденциальной информации)».

Порядок обработки персональных данных, регламентируется Федеральным законом РФ от 27 июля 2006 года N 152-ФЗ «О персональных данных», нормативными документами Организации:

· «Положение об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных ООО «Торговый Дом ЛФЗ» «Соглашение об обеспечении безопасности персональных данных».

4.2 Обеспечение непрерывности бизнес процессов

Стратегическим приоритетом в развитии Организации является реализация программы обеспечения непрерывности бизнеса и восстановления после аварий.

При разработке и реализации программы обеспечения непрерывности бизнеса и восстановления после аварий должны соблюдаться требования к обеспечению информационной безопасности активов Организации.

Все ситуации, в рамках процессов обеспечения непрерывности бизнеса и восстановления после аварий, в которых происходит нарушение установленного режима обеспечения информационной безопасности, должны быть доведены до сведения руководства Организации, курирующего ИТ и информационную безопасность, при этом должно быть принято решение по обработке рисков, возникающих в подобных ситуациях.

Порядок обеспечения непрерывности бизнес-процессов и восстановления после аварий регламентируется документом «План обеспечения непрерывности бизнеса».

4.3 Инциденты информационной безопасности

Для эффективного управления инцидентами ИБ в Организации применяется ряд процессов по управлению инцидентами ИБ. Управление инцидентами ИБ строится в соответствии с рекомендациями международных стандартов PCI DSS, COBIT и другими специализированными стандартами. Основными задачами процесса реагирования на инциденты ИБ являются:

· координация реагирования на инцидент ИБ;

· подтверждение/опровержение факта возникновения инцидента ИБ;

· обеспечение сохранности и целостности доказательств возникновения инцидента ИБ, создание условий для накопления и хранения точной информации об имевших место инцидентах ИБ, о полезных рекомендациях;

· минимизация нарушений нормальной работы и повреждения данных автоматизированных систем, восстановление в кратчайшие сроки работоспособности автоматизированных систем;

· минимизация последствий нарушения конфиденциальности, целостности и доступности информации;

· защита информационных ресурсов Организации и ее репутации;

· обучение персонала Организации действиям по обнаружению, устранению последствий и предотвращению инцидентов ИБ.

При обработке инцидентов ИБ должны учитываться ценность активов, задействованных в инциденте, возможный ущерб имиджу Организации.

Весь штатный персонал, временные работники и другие сотрудники подразделений Организации, в том числе выполняющие работу по гражданско-правовому договору, а также сотрудники подрядных организаций, имеющих доступ к активам Организации должны максимально быстро сообщать об инцидентах ИБ сотрудникам отдела информационной безопасности.

Информация об инциденте ИБ должна доводиться отделом информационной безопасности до всех заинтересованных сторон (до руководства Организации, владельцев активов, задействованных в инциденте и др.).

При расследовании инцидентов ИБ необходимо уделять внимание сбору документированных свидетельств.

Порядок реагирования на инциденты ИБ регламентируется документом «Положение об управлении инцидентами информационной безопасности».

4.4 Безопасность ресурсов, связанная с персоналом

Весь персонал Организации должен проходить процедуры проверки службой безопасности в соответствии с критичностью активов, к работе с которыми он допущен. В отдельных случаях, возможно проведение дополнительных проверок перед приемом на работу, в рамках законодательства РФ.

Порядок допуска персонала к работе с активами Организации определяется следующими нормативными документами:

· «Регламент управления доступом к информационным ресурсам и сервисам».

Организацией прилагаются все усилия, для доведения до персонала значимости вопросов обеспечения информационной безопасности в повседневной деятельности. Эти усилия предпринимаются для того, чтобы персонал осознавал важность информационной безопасности, свою ответственность в части выполнения требований по информационной безопасности и влияние информационной безопасности на успешность достижения целей Организации.

Департамент по работе с персоналом должен своевременно доводить до всего персонала требования по информационной безопасности, положения данной Политики и других нормативных документов, в части необходимой для выполнения служебных обязанностей.

С целью обеспечения понимания персоналом выдвигаемых требований отделом информационной безопасности должны с периодичностью не реже 1 раза в пол года проводиться мероприятия, направленные на повышение осведомленности персонала в вопросах угроз информационной безопасности и противодействия этим угрозам.

Сотрудники Организации обязаны информировать своё руководство и отдел информационной безопасности департамента информационных технологий обо всех известных им случаях нарушения данной политики или других нормативных документов по информационной безопасности.

Все информационные ресурсы Организации предназначены исключительно для достижения бизнес-целей Организации. Информационные ресурсы Организации не могут использоваться для достижения иных целей, не связанных с деятельностью Организации.

4.5 Физическая безопасность

Физическая безопасность сотрудников, зданий, помещений и других активов критически важна для деятельности Организации.

Должны применяться усиленные меры по обеспечению физической безопасности центров обработки данных. Применяемые меры помимо организационных положений, должны включать в себя использование специализированных технических средств.

Физическая безопасность средств обработки и хранения информации также может влиять на бизнес-процессы Организации. Ответственность за обеспечение физической безопасности ноутбуков, съемных носителей данных и других мобильных ресурсов возлагается на пользователей этих ресурсов и их руководителей. Ответственность за обеспечение охраны помещений Организации и установленных в них средств обработки информации возлагается на Службу безопасности Организации. В случае привлечения сторонних организаций к охране помещений, центров обработки данных, средств обработки и хранения информации Организации ответственность за нарушение физической безопасности данных активов и обязательства возмещения ущерба должны быть определены в договоре об оказании услуг.

Персонал Организации не должен допускать несанкционированного доступа к информации, указанной в «Перечне конфиденциальных сведений ООО «Торговый Дом ЛФЗ» и «Перечне сведений, составляющих коммерческую тайну ООО «Торговый Дом ЛФЗ», к персональным данным, обрабатываемым в Организации, а также оставлять носители, содержащие подобную информацию в общедоступных принтерах, на рабочих столах, размещать такую информацию в общедоступных сетевых папках, передавать ее лицам, неуполномоченным на ее обработку.

Порядок обеспечения физической защиты ресурсов определяется нормативным документом: «Политика обеспечения физической защиты помещений и средств вычислительной техники».

4.6 Безопасность при коммуникациях и эксплуатации систем и сервисов

Все средства коммуникаций Организации предназначены для решения бизнес-задач Организации. Для всех информационных потоков, выходящих из Организации, должны предприниматься меры по обеспечению целостности и конфиденциальности передаваемой информации. Состав предпринимаемых мер должен определяться критичностью передаваемой информации.

Организация оставляет за собой право просматривать все информационные потоки, как пересекающие границы локальной вычислительной сети Организации, так и находящиеся внутри этих границ. Подобные действия направлены исключительно на выявление угроз информационной безопасности активов Организации.

Во всех информационных системах должны применяться меры противодействия вредоносным программам.

Должна быть предусмотрена многоуровневая система противодействия распространению вредоносных программ.

Порядок обеспечения защиты от вредоносных программ определяется нормативным документом: «Политика защиты от вредоносных программ».

Должны быть обеспечены процедуры резервного копирования для всех критичных информационных активов.

Должно быть обеспечено дублирование всех критичных компонентов автоматизированных систем и инфраструктуры.

Процедуры эксплуатации средств информационных технологий должны быть документированы.

Должен быть предусмотрен формальный процесс внесения изменений в состав средств информационных технологий Организации.

Необходимо реализовывать принцип разделения промышленной и тестовой информационной среды, а также среды разработки.

Все события автоматизированных систем, связанные с информационной безопасностью, должны протоколироваться соответствующим образом. Данные протоколы должны регулярно анализироваться и использоваться в процессе расследования инцидентов ИБ.

При уничтожении и снятии с эксплуатации средств вычислительной техники, носителей информации должны учитываться требования по обеспечению информационной безопасности.

Внутренние сети Организации должны быть защищены от несанкционированного доступа и других угроз со стороны сетей партнеров и публичных сетей. Все коммуникации с внешними сетями должны контролироваться специализированными шлюзами безопасности.

Использование любых форм подключения внешних автоматизированных систем возможно только по согласованию с руководством Организации, курирующим процессы обеспечения информационной безопасности, и отделом информационной безопасности.

Порядок обеспечения безопасности при подключении к локальной вычислительной сети Организации внешних информационных систем и удаленного доступа к ней регламентируется следующими документами:

«Политика межсетевого экранирования»;

«Политика использования мобильных и удаленных компьютеров, персональных устройств и технологий».

Для выявления и своевременного устранения недостатков (уязвимостей) в средствах защиты информационных системах Организации сотрудниками отдела информационной безопасности или внешними организациями должны регулярно проводиться тестирования систем и процессов обеспечения информационной безопасности (тестирование на проникновение), а также сканирования уязвимостей в информационных системах. Данные процессы регламентируются документами:

«Политика управления уязвимостями»;

«Регламент сканирования уязвимостей»;

«Регламент тестирования систем и процессов обеспечения информационной безопасности».

По результатам тестирований систем и процессов обеспечения информационной безопасности, а также на основе данных о выявленных при сканировании уязвимостях должны быть реализованы меры по устранению недостатков в средствах защиты информационных систем Организации.

4.7 Контроль доступа

Во всех информационных системах Организации должны быть реализованы механизмы контроля доступа.

Каждому пользователю информационной системы должен быть предоставлен уникальный идентификатор.

Доступ к информационным системам и ресурсам Организации должен осуществляется на основании безопасной процедуры входа. В рамках данной процедуры пользователь должен как минимум предъявить свой уникальный идентификатор и пароль. Для всех критичных информационных систем и ресурсам должна выполняться регистрация событий доступа к ним пользователей.

Доступ к информационным системам предоставляется в соответствии с формальной процедурой, описанной в нормативном документе «Регламент управления доступом к информационным ресурсам и сервисам».

Права доступа должны назначаться в соответствии с критичностью обрабатываемой информации и необходимостью доступа к информации для выполнения служебных обязанностей и регулярно пересматриваться.

4.8 Безопасность при приобретении, разработке и сопровождении информационных систем

Процессы по приобретению, разработке и сопровождению информационных систем должны быть формализованы и документально оформлены. При приобретении и разработке информационных систем должны учитываться требования по информационной безопасности.

При выборе информационных систем и сервисов по их поддержке необходимо учитывать жизненный цикл информации, обрабатываемой в данных системах.

При приобретении и разработке информационных систем должна учитываться совместимость с используемыми в Организации средствами защиты информации.

При эксплуатации информационных систем должны учитываться требования по безопасности для всех компонент системы: обрабатываемой информации, файлов системных данных и конфигураций, прикладному и системному программному обеспечению.

4.9 Безопасность при использовании услуг сторонних организаций

При использовании сервисов, предоставляемых сторонними организациями, необходимо учитывать требования по обеспечению информационной безопасности.

Все договоры на предоставление сервиса, касающиеся создания, обработки, хранения и передачи информации должны проходить согласование в отделе информационной безопасности.

В состав договоров должны быть включены разделы с требованиями к показателям информационной безопасности предоставляемых сервисов, неразглашении конфиденциальной информации и информировании об инцидентах ИБ.

Отдел информационной безопасности несет ответственность за наличие в договорах данных разделов и их соответствие требованиям Организации по обеспечению инфомационной безопасности.

Ответственность

Нарушением порядка обеспечения информационной безопасности является действие или бездействие, в результате которого нарушаются утвержденные требования к режиму обеспечения информационной безопасности активов Организации.

Ответственность за нарушение порядка обеспечения информационной безопасности несет персонально каждый работник Организации, допустивший данное нарушение.

При выявлении нарушения порядка обеспечения информационной безопасности, к лицу, допустившему нарушение, могут быть применены меры дисциплинарного взыскания.

Руководство Организации принимает решение о применении к виновным лицам мер ответственности в соответствии с действующим законодательством Российской Федерации и внутренними нормативными актами Организации.

При наличии в действиях лица, нарушившего порядок обеспечения информационной безопасности, признаков административного правонарушения или преступления, руководство Организации имеет право обращаться в правоохранительные органы для привлечения его к ответственности в соответствии с действующим законодательством.

При причинении лицом, нарушившим порядок обеспечения информационной безопасности, ущерба (экономического, морального и др.) и при отказе добровольно возместить причиненный ущерб, Организация имеет право обратиться в суд за защитой своих интересов.

Предыдущая123456789101112131415Следующая

Поделиться:

Популярное:

1. III. Обеспечение безопасности участников и зрителей
2. III. Обеспечение безопасности участников и зрителей,
3. А.5.2 Краткое описание программного обеспечения анализатора
4. Анализ безубыточной деятельности и запаса финансовой безопасности предприятия
5. Анализ показателей безопасности и качества колбасы в/с Докторской ПГН ЗАО «Микоян».
6. Анализ ТР ТС 034/2013 «О безопасности мяса и мясной продукции»
7. Ведущий специалист-эксперт-инженер по охране труда и технике безопасности Управления сельского хозяйства
8. Вопрос 187. Обеспечение доказательств до и после предъявления иска (основания и порядок). Судебные поручения в гражданском процессе. Процедура нотариального обеспечения доказательств.
9. Вопрос 365. Гражданский иск в уголовном деле: порядок заявления и обеспечения. Решения по гражданскому иску.
10. Вопрос 77. Общая характеристика и виды преступлений против мира и безопасности человечества
11. Вопрос 92. Способы обеспечения исполнения обязательств (залог, поручительство, банковская гарантия, неустойка, задаток, удержание).
12. Выбор комплекса задач обеспечения информационной безопасности и защиты информации исходя из выполняемых предприятием задач и существующих рисков.