Политика
информационной безопасности
Сократ - друг, но самый
близкий друг - истина.
Платон (428 или 427-348 или 347 до
н.э.)
1. Общие положения.
Настоящая Политика регламентирует
единый подход в организации (далее по
тексту Компания) к защите информации,
составляющей коммерческую тайну, и устанавливает
режим охраны таких сведений (перечень
таких сведений приведен в приложении
№ 1).
Положения Политики распространяются
на информацию, составляющую коммерческую
тайну Организации, независимо
от вида носителя, на котором она зафиксирована.
Информационная безопасность Организации, заключается в неукоснительном соблюдении
всеми структурными подразделениями Организации требований
и принципов, изложенных Политикеинформационной безопасности (далее
по тексту Политика).
Информационная безопасность обеспечивается комплексной системой
организационно-управленческих, административно-правовых,
инженерно-технических и других мер защиты
информации, определенныхПолитикой.
Для более полного отражения
в Политике изменений в инфраструктуре Организации и приведению
в соответствие с действующим законодательством
раз в год Политика подлежит
пересмотру.
2. Формирование Перечня
сведений, составляющих коммерческую
тайну Организации.
Перечень сведений, составляющих коммерческую
тайну Организации (далее по тексту
Перечень), формируется путем обобщения
предложений, поступающих от руководителей
структурных подразделенийОрганизации.
Перечень рассматривается и утверждается
на Административном совете Организации.
В Перечень включаются сведения позволяющие Организации при существующих
или возможных обстоятельствах увеличить
доходы, избежать неоправданных расходов,
сохранить положение на рынке товаров,
работ, услуг или получить иную коммерческую
выгоду, а также сведения, которые имеет
действительную или потенциальную коммерческую
ценность в силу неизвестности их третьим
лицам.
Сведениям, вошедшим в Перечень, присваивается
гриф "Конфиденциально".
Сведения, включенные в Перечень, имеют
ограничительный характер на использование
(применение). Ограничения, вводимые на
использование таких сведений, направлены
на защиту интересов Организации,
ее клиентов и партнеров.
3. Анализ угроз информационной безопасности Организации и
модель действия нарушителя.
Угрозами информационной безопасности Организации являются
потенциально возможные действия по отношению
к информационным ресурсам, носителям
сведений и технологическим ресурсам,
связанным с обработкой и хранением сведений,
составляющими коммерческую тайну Организации.
К таким действиям относятся:
- Несанкционированная модификация информации как частичное или полное изменение ее состава и содержания;
- Разрушение (уничтожение) информации;
- Несанкционированный доступ к сведениям составляющим коммерческую тайну;
- Разглашение информации - это умышленные или неосторожные действия со сведениями, составляющими коммерческую тайну, приведшие к ознакомлению с ними лиц, не имеющими к ним допуска;
- Выход из строя оборудования, отвечающего за хранение или обработку сведений, составляющих коммерческую тайну.
3. Модель действия нарушителя информационной безопасности.
При построении модели нарушителя информационной безопасности используется
неформальная модель злоумышленника (нарушителя),
отражающая причины и мотивы действий,
его возможности, априорные знания, преследуемые
цели, основные пути достижения поставленных
целей, способы реализации исходящих от
него угроз, место и характер действия,
возможная тактика.
По отношению к Организации потенциальных
нарушителей информационной безопасности условно
можно разделить на внутренних и внешних.
К внутренним нарушителям относятся:
- Сотрудники Организации, имеющие доступ к охраняемой информации с правами администратора;
- Сотрудники организации, имеющие доступ к охраняемой информации на уровне пользователей;
- Технический персонал по обслуживанию здания;
К внешним нарушителям относятся:
- Клиенты и посетители организации;
- Сотрудники органов ведомственного надзора;
- Нарушители пропускного режима;
- Представители конкурирующих организаций;
Компетентность и техническая
подготовка возможных нарушителей
может быть самой различной от
низкой квалификации до специалистов
уровня программистов и системного
администратора.
Возможные варианты действия внутренних
нарушителей режима информационной безопасности:
- Непроизводственная активность сотрудников Организации (пользователей компьютеров), которая может выражаться в нецелевом использовании ресурсов Интернет и электронной почты, самостоятельная установка и использование не разрешенного программного обеспечения. Такие действия могут стать причиной и способствовать распространению компьютерных вирусов и других вредоносных программ, что может привести к потере данных на рабочих станциях и серверахОрганизации, несанкционированному доступу посторонних лиц к конфиденциальной информации;
- Вход легального пользователя в компьютерную сеть Организации с реквизитами другого пользователя может использоваться для выполнения запрещенных действий в корпоративной сети Организации или хищению информации;
- Установка на компьютер, подключенный к сети Организации, специального программного обеспечения позволяющего проводить исследование трафика сети и/или осуществлять атаки на ресурсы сети;
- Нерегламентированное использование компьютеров сотрудниками Организации, по роду своей деятельности, не имеющие доступа к ресурсам сети;
- Несанкционированное копирование конфиденциальной информации;
- Уничтожение информации на серверах и рабочих станциях;
- Внесение нерегламентированных изменений в данные и программное обеспечение;
- Кража носителей конфиденциальной информации;
- Кража или вывод из строя оборудования, отвечающего за обработку и хранение конфиденциальной информации.
Возможные варианты действия внешних
нарушителей режима информационной безопасности:
- Атака на сервисы удаленного доступа и публичные Интернет сервисы Организации. Целью может являться захват управления сервисом, получение полномочий администратора, доступ в корпоративную сеть Организации;
- Заражение клиентской рабочей станции компьютерным вирусом или другой вредоносной программой через сообщения электронной почты;
- Несанкционированное копирование конфиденциальной информации;
- Уничтожение информации на серверах и рабочих станциях;
- Внесение нерегламентированных изменений в данные и программное обеспечение;
- Кража носителей конфиденциальной информации;
- Кража или вывод из строя оборудования, отвечающего за обработку и хранение конфиденциальной информации.
4. Требования к системе
защиты информации.
Основной задачей системы информационной безопасности Организации является
управление информационными рисками и
минимизация их для всех видов потенциальных
угроз.
Система защиты информации в Организации строится
на следующих принципах:
- Непрерывность во времени;
- Комплексность;
- Целенаправленность;
- Универсальность и надежность;
- Плановость мероприятий по защите информации;
- Адекватность уровню важности защищаемых ресурсов;
- Все структурные подразделения организации принимают участие в процессе защиты информации в сфере своей деятельности и в рамках своей компетенции;
- Комплексный контроль функционирования системы защиты информации.
Система защиты информации Организации должна
обеспечивать:
- Персональный допуск сотрудников Организации к работе с конфиденциальной информацией в рамках необходимых для выполнения своих служебных обязанностей;
- Управление информационными потоками;
- Возможность аутентификации и идентификации сотрудников Организации, обращающихся к защищаемой информации;
- Регулярное создание страховых копий критичных информационных ресурсов Организации;
- Регулярное осуществление контроля целостности программного обеспечения;
- Регулярное проведение мероприятий по борьбе с компьютерными вирусами и другими вредоносными программами;
- Безопасное подключение корпоративной сети Организации к Интернет;
- Возможность контроля над действиями сотрудников Организации в корпоративной сети;
Объекты информационной системы Организации, подлежащие
защите.
Объектами информационной защиты
являются носители конфиденциальных сведений,
вошедших в Перечень, технологические
процессы и оборудование, связанные с
обработкой таких сведений.
К защищаемым объектам относятся:
- Документы на бумажных носителях, содержащие сведения, вошедшие в Перечень;
- Съемные машинные носители информации, на которых в электронном виде хранятся сведения, вошедшие в Перечень;
- Рабочие станции и сервера Организации;
- Сетевое оборудование (маршрутизаторы, коммутаторы);
- Программно-аппаратные средства защиты информации (межсетевые экраны, средства шифрования);
- Каналы связи, по которым передаются в электронном виде сведения, вошедшие в Перечень.
6. Подбор персонала и
ответственность за нарушение
режима информационной безопасности.
Подбор кандидатов и прием на
работу в Компанию осуществляется на
конкурсной основе. Организация подбора
и проведение конкурсов на вакантные
должности находится в компетенции
менеджера по персоналу.
Кандидаты на работу в Компанию проходят
собеседование в Службе безопасности.
При приеме на работу работник подписывает
обязательство о неразглашении
коммерческой тайны и проходит инструктаж
по информационной безопасности у
системного администратора.
В письменном трудовом договоре с
сотрудником и его должностных
обязанностях должны указываться его
обязанности по соблюдению режима информационной безопасности.
Руководители структурных подразделений Организации несут персональную
ответственность за соблюдение режима информационной безопасности сотрудниками
своих подразделений.
Сотрудник несет ответственность
за разглашение коммерческой тайны
во время трудовых отношений и
в течении двух лет после их
прекращения в порядке, установленном
законодательством.
Разглашение сведений ограниченного
распространения и нарушение
режима информационнойбезопасности является
чрезвычайным происшествием. По всем фактам
проводится служебное расследование комиссией,
назначаемой приказом Генерального директора.
Задачи служебного расследования:
- выяснение обстоятельств разглашения коммерческой тайны или потери носителей таких сведений;
- выявление виновных в разглашении сведений составляющих коммерческую тайну Организации;
- выявление причин и условий, при которых стало возможно разглашение сведений ограниченного распространения или потеря носителей таких сведений;
- принятие действенных мер по недопущению подобных происшествий;
Служебное расследование проводиться
в минимально короткий срок.
Одновременно с работой комиссии
должны проводиться мероприятия
по локализации нежелательных последствий
из-за разглашения сведений составляющих
коммерческую тайну.
Результаты работы комиссии письменно
докладываются Генеральному директору Организации.
7. Доступ сотрудников Организации к
сведениям, составляющим Коммерческую
тайну.
Допуск сотрудников Организации к
сведениям ограниченного распространения
осуществляется в соответствии с их должностными
инструкциями, в рамках необходимых для
выполнения служебных обязанностей на
основании заявки подаваемой руководителем
структурного подразделения и утверждаемой
Генеральным директором.
Выделение прав и полномочий сотрудникам Организации для работы
со сведениями ограниченного распространения
в системах электронного документооборота Организации производят
администраторы соответствующих информационных
систем.
Лица, допущенные к работе со сведениями
ограниченного распространения, обязаны:
- знать и строго выполнять требования настоящей Политики и других инструкций, регламентирующих мероприятия режима информационной безопасности;
- немедленно докладывать своему непосредственному начальнику о возможных причинах или фактах утечки конфиденциальной информации;
- знакомиться с конфиденциальными сведениями только в объемах своих служебных обязанностей;
- немедленно сообщать непосредственному начальнику об утрате или недостаче носителей конфиденциальных сведений;
- о попытке посторонних лиц получить доступ к конфиденциальной информации немедленно докладывать руководителю подразделения и начальнику Службы безопасности.
Сотрудникам Организации,
допущенным к работе с конфиденциальной
информацией, запрещается:
- использовать конфиденциальные сведения в открытой переписке, публичных выступлениях;
- использовать конфиденциальные сведения в личных целях;
- вести обсуждение вопросов безопасности конфиденциального характера в общественных местах;
- выносить с территории Организации носители конфиденциальных сведений без разрешения непосредственного начальника;
8. Работа с документами,
содержащими Коммерческую тайну.