1. Термины и определения

• Риск — возможность возникновения финансовых потерь (убытков), незапланированных расходов или возможность снижения планируемых доходов.
• Операционные риски — это риски, связанные с финансово-экономической деятельностью (без учета рыночных и кредитных рисков), потери по которым связаны с результатами некомпетентного управления человеческими, технологическими факторами или внешними событиями.
• Служба автоматизации — Департамент ИТ и отдельные сотрудники, ответственные за обеспечение IT-сервиса (в том числе и организации, выполняющие данные работы по договору).
• Автоматизированная система обработки информации (АС) — организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи), методов и алгоритмов обработки в виде соответствующего программного обеспечения, массивов (наборов, баз) данных на различных носителях, персонала и пользователей, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных с целью удовлетворения информационных потребностей государственных органов, коммерческих или некоммерческих организаций (юридических лиц), граждан (физических лиц) и иных потребителей информации.
• Информационные средства — средства, предназначенные для хранения, обработки и передачи компьютерной информации, а именно: компьютеры и комплексы, терминалы доступа к ним, оборудование локальных вычислительных сетей и узлов связи, специальное оборудование на основе компьютеров, криптографическое оборудование.
• Информационный актив — различные виды информации (платежной, финансово-аналитической, служебной, управляющей, справочной и пр.) на всех этапах ее жизненного цикла, обеспечивающей деятельность и представляющей ценность с точки зрения достижения поставленных бизнес-целей.
• Владелец информационного актива — структурное подразделение, отдел, служба, реализующее полномочия владения, пользования и распоряжения информацией в соответствии со своими функциями и задачами. Владелец информационного актива определяется на этапе его создания.
• Информация — это сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (об их свойствах, характеристиках) в некоторой предметной области, необходимые для оптимизации принимаемых решений в процессе управления данными объектами.
• Инцидент информационной безопасности — действительное, предпринимаемое или вероятное нарушение информационной безопасности. Нарушение может быть вызвано ошибками персонала, неправильным функционированием технических средств, природными факторами, преднамеренными злоумышленными действиями, приводящими к нарушению доступности, целостности, конфиденциальности информации.
• ЛВС — локальная вычислительная сеть.
• Firewall (межсетевой экран) — программно-аппаратный комплекс, применяемый для разграничения доступа между сетями.
• НГМД — накопитель на гибких магнитных дисках.
• СУБД — система управления базами данных.
• Notebook — переносной персональный компьютер небольших размеров.
• ПРД (Правила разграничения доступа) — совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
• Доступ к информации — ознакомление с информацией, ее обработка, в частности: копирование, модификация или уничтожение информации.
• Санкционированный доступ к информации — доступ к информации, не нарушающий правила разграничения доступа.
• НСД (Несанкционированный доступ к информации) — доступ к информации, нарушающий правила разграничения доступа.
• Доступность информации — свойство системы, в которой циркулирует информация (средств и технологии ее обработки), характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия.
• Целостность информации — свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).
• Конфиденциальность информации — субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней.

2. Общие положения

С целью минимизации рисков Департамент ИТ обеспечивает выполнение требований целостности, конфиденциальности и доступности информации.

Разработкой требований и контролем их выполнения занимается Департамент ИТ.

Данные требования обязательны к исполнению всеми работниками структурных подразделений, отделов и служб.

Все требования по обеспечению информационной безопасности применимы к каждому работнику, а также к любому третьему лицу, включая лиц, работающих по договорам гражданско-правового характера и прикомандированных работников, имеющих доступ к информации и ее информационным ресурсам.

Каждый работник, а также любое третье лицо, включая лиц, работающих по договорам гражданско-правового характера и прикомандированных работников, имеющих доступ к информации и ее информационным ресурсам признает право на осуществление контроля их деятельности при работе с информационными средствами и информацией.

Вся деловая информация в любой форме, приобретенная или полученная, используемая для поддержки его законной производственно-хозяйственной деятельности, либо разработанная его работниками в ходе производственно-хозяйственной деятельности, принадлежит Организации. Это право собственности распространяется на голосовую и факсимильную связь с использованием аппаратуры, на лицензионное и разработанное программное обеспечение и отдельные программы, на электронные почтовые ящики, а также на бумажные и электронные файлы всех бизнес-направлений, бизнес-функций, и на всех работников.

Запрещается использование информации и информационных средств в личных целях.

3. Цели и задачи системы обеспечения информационной безопасности

3.1. Цель системы обеспечения информационной безопасности — создание и постоянное соблюдение условий, при которых риски, связанные с нарушением безопасности информационных активов, постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска.

Процессы обеспечения информационной безопасности являются составной и неотъемлемой частью процессов управления информационными технологиями и сопутствующими операционными рисками и осуществляются на основе циклической модели: "планирование - реализация - проверка совершенствование - планирование -...".

3.2. Безопасность информационных активов оценивается и обеспечивается по каждому из следующих аспектов:

• доступность,
• целостность,
• конфиденциальность.

При этом критерием оценки является вероятность, размер и последствия нанесения Организации любого вида ущерба (невыполнение имеющихся перед партнерами обязательств, финансовые потери, потеря репутации и пр.).

Состояние информационной безопасности оказывает непосредственное влияние на операционные риски деятельности в связи с чем любой факт (инцидент) нарушения информационной безопасности рассматривается как существенное событие.

3.3. Задачами системы обеспечения информационной безопасности являются:

• снижение операционных рисков, связанных с использованием информационных технологий;
• оптимизация затрат на обеспечение информационной безопасности;
• своевременное выявление новых угроз;
• контроль состояния информационной безопасности на всех этапах жизненного цикла автоматизированных систем;
• минимизация потерь Организации при возникновении угроз информационной безопасности;
• обеспечение жизнедеятельности и безопасности его информационных активов в условиях неблагоприятных событий (экономические и политические кризисы, природные и техногенные катастрофы, террористические угрозы и пр.).

4. Основные принципы обеспечения информационной безопасности

4.1. Осведомленность о риске информационной безопасности

Процессы обеспечения информационной безопасности затрагивают каждого работника, использующего его информационные активы, и накладывают на него соответствующие обязанности и ограничения.

4.2. Персональная ответственность

Ответственность за нарушения требований информационной безопасности возлагается непосредственно на работников, допустивших нарушения, и руководителя структурного подразделения, отдела, службы, в котором нарушения допущены.

4.3. Ограничение полномочий

Любому сотруднику доступ к информационным активам предоставляется только в том объеме, который необходим ему для выполнения служебных обязанностей. Все операции по предоставлению доступа или назначению полномочий осуществляются строго в соответствии с установленными процедурами (Процедура получения индивидуального доступа).

4.4. Комплексность защиты

Меры по обеспечению безопасности информационных активов принимаются по всем идентифицированным видам угроз с учетом результатов оценки рисков информационной безопасности.

4.5. Адекватность защиты

Принимаемые меры обеспечения информационной безопасности эффективны и соразмерны имеющим место рискам информационной безопасности.

4.6. Непрерывность процессов контроля и совершенствования системы обеспечения информационной безопасности

Постоянный мониторинг и аудит системы обеспечения информационной безопасности, по результатам которых осуществляется анализ эффективности принятых мер обеспечения информационной безопасности с учетом изменений IT-среды, появления новых угроз, инцидентов и проблем, планируются и внедряются дополнительные меры защиты.

4.7. Контроль со стороны руководства

Руководство на регулярной основе рассматривает отчеты о состоянии информационной безопасности в структурных подразделениях, отделах, службах и фактах нарушений установленных требований, а также общие и частные вопросы информационной безопасности, связанные с использованием технологий повышенного риска или существенно влияющие на бизнес-процессы.

4.8. Целевое финансирование мероприятий по обеспечению информационной безопасности

Бюджет предусматривает расходы на обеспечение информационной безопасности.

5. Общие требования по обеспечению информационной безопасности

В основе процессов управления информационной безопасностью лежат следующие общие требования:

5.1. Назначение и распределение ролей, и обеспечение доверия к персоналу

"Ролевое" управление является основным механизмом управления полномочиями пользователей и администраторов в автоматизированных системах.

Роли формируются с учетом принципа минимальности полномочий.

Критичные технологические процессы должны быть защищены от ошибочных и несанкционированных действий администраторов. Штатные процедуры администрирования, диагностики и восстановления должны выполняться через специальные роли в автоматизированных системах без непосредственного доступа к данным.

Должностные обязанности сотрудников и трудовые договоры предусматривают обязанности персонала по выполнению требований по обеспечению информационной безопасности, включая обязательства по неразглашению информации, составляющей коммерческую тайну.

Приказы и распоряжения, актуальная информация по вопросам обеспечения информационной безопасности, в том числе по выявленным нарушениям, доводятся до всех сотрудников под роспись.

Периодически проверяется и оценивается уровень компетентности и информированности работников в вопросах информационной безопасности.

При допуске к работе с критичными АС работники проходят проверку методами, разрешенными законодательством Российской Федерации.

5.2. Управление жизненным циклом автоматизированных систем

Процедуры по обеспечению информационной безопасности предусматриваются на всех стадиях жизненного цикла автоматизированных систем: при разработке (приобретении), эксплуатации, модернизации, снятии с эксплуатации.

В контрактах со сторонними разработчиками на поставку систем предусматривается их ответственность за наличие в системах скрытых недокументированных возможностей, а также соблюдение условий конфиденциальности,

Системы сторонней разработки проверяются на соответствие требованиям информационной безопасности. При несоответствии текущей версии ПО требованиям информационной безопасности, указанное ПО обновляется или закупается новое.

При выводе АС из эксплуатации или замене входящего в ее состав оборудования осуществляется обязательное гарантированное удаление информации с соответствующих машинных носителей и из памяти компьютеров.

5.3 Антивирусная защита

Каждый сотрудник обязан выполнять правила эксплуатации антивирусного ПО и требования антивирусной безопасности в отношении внешних источников и носителей информации, а также сети Интернет, немедленно прекращать работу и информировать службы автоматизации и безопасности при подозрениях на вирусное заражение.

Антивирусные средства должны быть установлены на все рабочие места работников и сервера в режиме постоянной защиты.

Запрещается отключать антивирусное ПО, без согласования со службами автоматизации (Департамента ИТ).

Пользователи на рабочих местах не должны иметь административных прав. Наличие административных прав на рабочих местах разрешается только пользователям, выполняющим специальные функции по управлению автоматизированной системой по согласованию ИТ Департаментом.

Все ПО устанавливается на рабочие станции сотрудниками службы автоматизации. Устанавливаемое ПО должно быть лицензионным. Запрещается самостоятельная установка ПО пользователями.

Техническая возможность подключения пользователями к рабочим станциям ЛВС внешних накопителей информации, модемов, мобильных телефонов, беспроводных интерфейсов, использование USB, CD-DVD-дисководов максимально ограничивается. Запрещается подключать любое оборудование без согласования с сотрудниками ИТ Департамента.

Антивирусная защита обеспечивается использованием специализированного лицензионного антивирусного программного обеспечения.

Для снижения влияния человеческого фактора, исключения возможности отключения или не обновления антивирусных средств, контроль и управление антивирусным программным обеспечением, а также устранение выявленных уязвимостей в системном программном обеспечении производится в автоматизированном режиме. При этом обеспечивается минимально возможный период обновления.

5.4. Использование ресурсов Интернет

Использование ресурсов Интернет разрешается исключительно в производственных целях.

Запрещается использование сети Интернет для информационного взаимодействия между подразделениями Организации без использования средств шифрования.

Использование канальных ресурсов Интернет для построения корпоративных сетей Организации допускается только при использовании средств шифрования (VPN-канал).

Взаимодействие с партнерами по сети Интернет осуществляется с использованием специализированных систем и средств защиты, аттестованных на соответствие требованиям информационной безопасности.

Использование сети Интернет для обработки и хранения информации (в том числе не конфиденциальной) запрещается. Запрещается использование ящиков электронной почты, заведенных не на ресурсах Организации (в частности использование публичных почтовых серверов).

Подключение к рабочим станциям ЛВС мобильных телефонов, беспроводных (радио) интерфейсов, модемов и прочего оборудования, позволяющего выходить в Интернет, запрещается.

Подключение к сети Интернет осуществляется с использованием телефонной сети Организации.

Обсуждение сотрудниками на форумах и в конференциях сети Интернет вопросов, касающихся их служебной деятельности, допускается только при наличии соответствующих указаний руководства.

Доступ сотрудников к ресурсам сети Интернет санкционируется руководством и согласовывается с Департаментом ИТ, которые осуществляют контроль соблюдения сотрудниками требований информационной безопасности, включая контентный анализ сообщений.

Работа сотрудников с web ресурсами Интернет разрешается только в режиме просмотра данных, исключая возможность передачи информации Организации в сеть Интернет.

5.5. Защита информационных и технологических процессов

Технологические процессы должны быть максимально автоматизированы и обеспечивать возможность выполнения массовых и потенциально опасных операций без участия персонала за счет реализации эффективных процедур контентного контроля и защиты.

Для защиты технологических процессов по результатам анализа рисков информационной безопасности применяются как штатные средства безопасности сетевых операционных систем, СУБД, так и дополнительные программные и программно-аппаратные комплексы и средства криптографической защиты, в совокупности, обеспечивающие достаточный уровень безопасности на всех участках и этапах технологического процесса.

5.6. Доступ к активам (информационным ресурсам)

Все информационные активы идентифицируются, категорируются и имеют своих владельцев. Доступ к информационным активам всем сотрудникам предоставляется только на основании документально оформленных заявок, согласованных с их владельцами и службой автоматизации (Департамента ИТ). По умолчанию определяется отсутствие доступа.

Доступ к информационным активам не предоставляется (прекращается) в случае отсутствия производственной необходимости, изменения функциональных и должностных обязанностей, увольнения сотрудника.

Департаментом ИТ проводится периодический контроль (не менее одного раза в полугодие) соответствия согласованных и реальных прав доступа к информационным активам, текущему статусу пользователя.

Доступ ко всем информационным активам осуществляется только после авторизации пользователя. В качестве процедуры авторизации используется предъявление уникального имени и пароля. Запрещается передавать свой пароль кому-либо. Запрещается сохранять свой пароль на любых носителях информации.

Журналы аудита действий пользователей и администраторов автоматизированных систем должны быть информативны, защищены от модификации и храниться в течение срока, потенциально необходимого для использования при расследовании возможных инцидентов, связанных с нарушением информационной безопасности.

Наиболее критичные активы могут выделяться в отдельные сегменты сети для ограничения доступа.

5.7. Обеспечение физической безопасности

Помещения категорируются в зависимости от критичности размещаемых в них информационных активов. В соответствии с категорией обеспечивается техническая укрепленность помещений, оснащение средствами видеоконтроля, контроля доступа, пожаротушения и сигнализации.

Каждый сотрудник, получивший в пользование портативный компьютер (Notebook), обязан принять надлежащие меры по обеспечению его сохранности, как в офисе, так и в иных местах (например, гостинице, конференц-зале, автомобиле или аэропорту). В случае утери (кражи) портативного компьютера ответственность возлагается на данного сотрудника

Портативные компьютеры (Notebooks), должны храниться в физически защищенном месте. Для их сохранности рекомендуется использовать механические замки (например, систему Kensington Lock).

6. Организация системы обеспечения информационной безопасности

6.1. Общее руководство системой обеспечения информационной безопасности осуществляет директор.

Директор:

• утверждает и пересматривает Политику информационной безопасности;
• организует процесс управления информационной безопасностью, включая определение подразделений, ответственных за управление отдельными процессами обеспечения информационной безопасности, утверждение положений о них;
• обеспечивает условия и утверждает бюджет для эффективной реализации политики информационной безопасности;
• рассматривает информацию и отчеты о состоянии информационной безопасности.

6.2. Все руководители структурных подразделений, отделов и служб отвечают за реализацию политики информационной безопасности и управление процессами ее обеспечения в рамках своей компетенции:

• разрабатывают требования по защите информационных активов в аспектах целостности и конфиденциальности и доступности на основе анализа рисков информационной безопасности;
• осуществляют контроль соответствия требованиям по защите информационных активов на всех стадиях жизненного цикла автоматизированных систем, от проектирования до снятия с эксплуатации;
• проводят расследования инцидентов и фактов нарушений информационной безопасности и информируют директора о результатах проведенного расследования;
• организуют инструктажи работников по вопросам информационной безопасности;
• осуществляют инструментальный контроль и мониторинг текущего состояния информационной безопасности;
• регулярно (не реже одного раза в полгода) информируют директора о состоянии информационной безопасности.

6.2.1. Служба автоматизации:

• обеспечивает выполнение требований информационной безопасности при подключении и администрировании коммуникационного оборудования, операционных систем, СУБД и систем доставки;
• проводит обновление системного ПО, связанное с устранением критичных уязвимостей;
• обеспечивает доступность информационных активов в условиях отказов и других неблагоприятных событий в части коммуникационного оборудования, операционных систем, СУБД и систем доставки;
• обеспечивает выполнение требований информационной безопасности при администрировании автоматизированных систем;
• осуществляет регистрацию и направление в службу безопасности информации об инцидентах, имеющих отношение к информационной безопасности;
• обеспечивает доступность информационных активов в условиях отказов и других неблагоприятных событий в части автоматизированных систем;
• участвует в формировании решений, связанных с организацией технологических процессов, разрабатывает предложения по использованию современных информационных технологий с учетом требований по обеспечению информационной безопасности;
• обеспечивает управление ключевыми системами средств криптографической защиты;
• эксплуатирует специализированные средства обеспечения безопасности информационных активов и обеспечивает соответствие характеристик данных средств необходимому подразделениям уровню доступности;
• организует проведение единой антивирусной политики.

6.2.2. Подразделения:

• совместно с Департаментом ИТ, участвуют в оценке рисков реализации угроз их информационным активам;
• устанавливают в пределах своей компетенции режим и порядок доступа, правила работы с информационными активами, владельцами которых они являются;
• обеспечивают выполнение требований и процедур информационной безопасности при работе сотрудников с информационными активами;
• оказывают содействие при проведении проверок и расследований инцидентов безопасности.

7. Ответственность

Сотрудники несут ответственность за не выполнение требований по обеспечению информационной безопасности на своих рабочих местах.

Руководители структурных подразделений, отделов и служб несут ответственность за не выполнение требований по обеспечению информационной безопасности их работниками.

Служба автоматизации несет ответственность за не выполнение требований по обеспечению информационной безопасности серверов, рабочих станций, оборудования.

В случае выявления нарушения требований информационной безопасности к сотруднику принимаются меры, предусмотренные внутренними документами Организации, а также действующим законодательством РФ.

Приложение 1 - Правила использования информационных ресурсов ЛВС (локальная вычислительная сеть)

1. Пользователь информационных ресурсов ЛВС обязан:

1.1. Использовать ресурсы ЛВС для служебных целей.

1.2. Знать и помнить имя компьютера, персональный логин и пароль (выдается памятка).

1.3. По требованию системного администратора производить выход из баз данных вплоть до полного отключения от сети.

1.4. При смене должности, рабочего места или уровня доступа к информации немедленно сообщать администратору ЛВС.

1.5. Иметь уникальный пароль соответствующий требованиям информационной безопасности.

Пароль должен иметь длину не менее 5-ми символов и удовлетворять любым 3-м из 4-х условий:

• в пароле должны присутствовать цифры;
• в пароле должны присутствовать специальные символы («?@ и.т.д.);
• в пароле должны присутствовать заглавные буквы;
• в пароле должны присутствовать строчные буквы.

Пароль не должен повторять пароли других пользователей и предыдущие пароли пользователя (в случае плановой смены пароля).

1.6. Сообщать о любых случаях использования другими пользователями ресурсов ЛВС в личных, не связанных с производственной деятельностью, целях.

1.7. Сохранять рабочую документацию (письма и т.д.) на сетевом диске.

2. Пользователю информационных ресурсов ЛВС запрещается:

2.1. Без согласования с системным администратором подключать к ЛВС любые устройства (компьютеры, принтеры, концентраторы и т.д.).

2.2. Использовать предоставляемые ресурсы ЛВС для хранения развлекательной информации, такой как: игры, картинки, музыку и др., не связанное с производственной необходимостью.

2.3. Самостоятельно изменять настройки компьютера подключенного к ЛВС (имя компьютера, IP- адрес, сетевые службы и протоколы и др.).

2.4. Открывать для общего доступа любые ресурсы закрепленного за пользователем компьютера.

2.5. Применять к информации, хранящейся в ЛВС, любые методы шифрования данных.

2.6. Хранить персональный пароль на любых материальных носителях и в электронном виде (бумага, диски компьютера и т.д.), сообщать кому либо свой пароль.

2.7. Хранить личную информации (фотографии, видео и т.д.) на ЛВС.

3. Особые условия

3.1. В случае не соблюдения правил использования информационных ресурсов ЛВС пользователь может быть отключен от ЛВС без предварительного уведомления.

3.2. Повторное подключение пользователя к информационным ресурсам ЛВС производится после предварительного предоставления пользователем объяснительной на имя директора компании.

Приложение 2 - Процедура получения индивидуального доступа к ресурсам

1. Оформляется письмо (e-mail) либо служебная записка на имя начальника отдела.

2. После согласования начальником отдела документ передается начальнику Департамента ИТ.

3. Начальником Департамента назначается:

• ответственное лицо за проведение анализа о необходимости предоставления индивидуального доступа к ресурсу;
• исполнитель.