Нарушения информационной безопасности

24.3. Угрозы, риски, правонарушения в области информационной безопасности

Понятия угроз, рисков, правонарушений

Наиболее общим понятием, объединяющим все виды на­рушений безопасности информационных ресурсов, инфор­мационных технологий и прав субъекта на информацию, является понятие «несанкционированный доступ» к объ­екту защиты от факторов нарушения безопасного функцио­нирования. Причинами нарушения безопасности являются: неудовлетворительная работа по организации охраны, за­щиты и использования соответствующего ресурса самим субъектом, ответственным за обеспечение информацион­ной безопасности.

Нарушениями в области информационной безопасно­сти могут быть угрозы, риски, правонарушения — проступ­ки и преступления, различаемые по степени общественной опасности, последствий и виновности нарушителя.

К угрозам обычно относят умышленные воздействия, включая и несанкционированный доступ со стороны внеш­них сил, относительно конкретной организации или инфор­мационной системы.

Угрозы в интернет-среде могут исходить от ряда субъек­тов. В отношениях по обеспечению информационной без­опасности в этом случае участвуют: операторы интернет-связи, абоненты, другие пользователи, правоохранительные органы. Например, к угрожающим действиям оператора относятся такие действия, как: незаконный сбор сведений об информационном общении абонента, умышленное изме­нение времени и скорости обмена информацией, фильтра­ция содержимого текста в сети и т.д.

К классификации угроз в области обеспечения безопас­ности могут быть применены различные подходы. Обра­тим внимание на два из них: во-первых, угрозы состоянию всего комплекса ИКТ и его составляющих, угрозы внутри­системные и внешние; во-вторых, угрозы от самой инфор­мации и средств ее обработки и передачи для сфер, в ко­торых используют эти ресурсы. Это области национальной безопасности: оборонная, экономическая, производствен­ная, социальная, научная, управленческая и т.п. Особенно чувствительными являются области обращения социально значимой, личной информации, а также области использо­вания информации и информационных технологий двойно­го назначения и критически важных объектов.

Риск как возможное наступление неблагоприятных по­следствий возникает, чаще всего, в результате отступлений от установленных правил поведения и организации отно­шений субъектов, самостоятельно обеспечивающих без­опасность своих информационных систем, допускающих нарушение правового режима информационных ресурсов, информационных технологий. Распространение, например, информации порнографического характера, о наркотиках и т.п. влечет неотвратимость уголовной ответственности за нарушение закона для тех, кто распространяет такую ин­формацию и создает угрозы для общества в целом.

К области рисков следует отнести и промахи в законо­дательной практике. Федеральный закон «О персональных данных», принятый в 2006 г., не имел подготовленной базы для его исполнения. Соответственно, в 2009 г. возник риск того, что он не будет действовать в полной мере, так как ин­формационные системы персональных данных, созданные до вступления его в силу, не могут быть до 1 января 2010 г. приведены в соответствие с этим законом. Поэтому указан­ный срок продлен до 1 января 2011 г. Такое явление объ­ясняется поспешностью принятия закона, но одновременно с этим и неготовностью системы отношений и инфраструк­туры к его реализации.

Упущения в правовом обеспечении мер безопасности, небрежность в оформлении документов и их баз данных, неправильное оформление трудовых отношений с работ­никами, соприкасающимися с информацией ограниченного доступа, обязательно создают возможность возникновения угроз, идущих изнутри самой организации. Эти же ситуа­ции могут возникнуть и в результате небрежного оформ­ления отношений с контрагентами или иными субъектами информационного взаимодействия.

Правонарушения могут быть реализованы в форме должностного проступка, административного правонару­шения, преступления. Напомним, что административным правонарушением признается противоправное, виновное действие (бездействие) физического или юридического лица, за которое устанавливается административная ответ­ственность в соответствии с действующим КоЛП РФ. Уго­ловные преступления в информационной ссрере предусмо­трены УК РФ.

Для осмысления того, какое значение имеет ситуация нарушения обеспечения информационной безопасности, может быть интересен тот факт, что только 27% организа­ций используют системы защиты от утечки информации, 47% — не используют, а 24,7% — не знают об этом, что дает основания говорить об их безразличном отношении к данному вопросу. Все же создание центров управления безопасностью (SOS—SecurityOperationCenter) является весьма полезным для предупреждения угроз, рисков и пра­вонарушений в информационной сфере.

Конфликты в области информационных отношений — причина нарушения информационной безопасности

Исследования проблем обеспечения информационной безопасности и методов предотвращения нарушений в этой области обозначили необходимость более глубоко разо­браться в вопросах информационных конфликтов, часто приводящих к более серьезным последствиям, чем просто фиксация очевидного конфликта и ожидание его затухания или перерастания в правонарушение. В этой связи в 2008 г. в ИГП РАН был проведен теоретический семинар на тему «Конфликты в информационной сфере», материалы кото­рого опубликованы в одноименном сборнике статей и вы­ступлений его участников.

«Конфликт в переводе с латинского, — говорила про­фессор Т. А. Полякова, — это столкновение противополож­но направленных целей, интересов, позиций, мнений или взглядов оппонентов или субъектов взаимодействия». Та­кие противоречия при построении информационного обще­ства неизбежны, многообразны и всеобъемлющи.

Рассматривая конфликты как объективированную в от­ношениях субъектов форму противоречий, мы обратили внимание на то, что конфликты возникают как в области социальной сферы, так и в системе информатизации, в информационной инфраструктуре. Они могут быть по значи­мости и отрицательными относительно решаемых обще­ством задач, и позитивными, наталкивая ответственных субъектов на поиск новых или более совершенных реше­ний. Конфликт может выполнять роль мотива правонару­шения, если он не учтен в процессе его выявления. Чаще всего конфликты проявляются в самом законодательстве в силу его слабой согласованности и недостаточно тщатель­ной подготовленности проектов нормативных актов, а так­же упущений в процессах правоприменения и исполнения законодательных актов.

Весьма существенны конфликты в области правотвор­чества в условиях культурного разнообразия и игнорирова­ния исторических факторов при реализации установленных правил, непонимания баланса и согласованности действий в области отношений органов государственной власти и местного самоуправления, юридических лиц и граждан. Конфликты возникают по причинам несоблюдения правил работы с информационными технологиями, информаци­онными ресурсами, невыполнения требований к системам коммуникаций. Способы разрешения конфликтов различ­ны и зависят от причин и области их возникновения. Они могут быть погашены в административном, служебном порядке, путем мирного взаимодействия сторон, но могут быть доведены и до судебного рассмотрения. В любом слу­чае наличие конфликта, выявленного и зафиксированного, является условием предотвращения более серьезных ситуа­ций. Можно сказать, что за каждой формой нарушения пра­вил обеспечения информационной безопасности скрыты выявленные или невыявленные конфликты объективного или субъективного характера.

С учетом значимости конфликта в рассматриваемой об­ласти общественных отношений важно сформулировать по­нятие юридически значимого конфликта в информационной среде (сфере) следующим образом. Юридически значимым конфликтом является создание ситуации нестабильности законных прав и интересов граждан, государства, общества, отдельных организаций в их информационной среде, ситуа­ции, снижающей уровень обеспечения безопасности, в том числе ведущей к созданию угроз, рисков и разрушений в самой информационной инфраструктуре или в области прав субъектов — участников информационных отношений и процессов. Отметим, что конфликты ведут к подрыву зна­чимости информации в процессе развития информацион­ного, гражданского, демократического, социального, устой­чивого правового и гуманного общества.

Внешние и внутренние угрозы и их источники

Информационное развитие стран в XX и XXI вв. сфор­мировало два направления деятельности в области обеспе­чения информационной безопасности. Это деятельность по обеспечению безопасности информационной инфраструк­туры в масштабе государства и деятельность по проведе­нию мер информационного противоборства с другими госу­дарствами.

Например, в США Национальный план обеспечения безопасности информационных систем сопровождается из­данием книг с разноцветной обложкой, где излагаются тре­бования к обеспечению безопасности в информационной сфере. Они содержат от 8 до 10 конкретных программ. Ана­логичная книга («Зеленая») была одобрена в ФРГ, Велико­британии, Франции, Голландии. На ее основе в ЕС создана система критериев оценки угроз ITSE(Критерии оценки защищенности информационных технологий). В более поздней книге — «Белой» - перечислены восемь компо­нентов безопасности.

Как правило, они касаются таких направлений деятель­ности, как: определение критически важных ресурсов ин­фраструктуры, их взаимосвязей и стоящих перед ними угроз; обнаружение нападений и несанкционированных вторжений; разработка разведывательного обеспечения и правовых актов по защите критических информационных систем; своевременный обмен информацией предупрежде­ния; создание возможностей по реагированию, реконфигу­рации и восстановлению. Более подробно эти вопросы рас­смотрены в работах А. А. Стрельцова и В. Н. Лопатина.

Аналогичные программы существуют и в других странах. Их реализация мобилизует государственные и обществен­ные структуры, субъектов корпоративных и персональных информационных систем на выработку концепций и мер борьбы с внутренними угрозами и рисками в сфере их ин­формационной безопасности.

Наряду с программами обеспечения информационной безопасности разрабатываются и планы информационного противоборства. В зарубежной практике эта часть работ на­зывается «информационными операциями». Печать и теле­радиовещание середины 2008 г. сообщают об ужесточении таможенных правил и правил контроля за багажом авиа­пассажиров в США. Контроль касается всех средств ин­формационных технологий и связи (ноутбуков, мобильных телефонов, других носителей информации). Ноутбуки из­ымаются на две-три недели, и в каком состоянии они будут возвращены владельцу, не ясно. Все это делается во имя борьбы с угрозами так называемого терроризма. Контролю подлежат носители информации, принадлежащие не толь­ко туристам, но и гражданам США.

В процессе реализации программ и законодательства в этой области обосновываются системы внешних угроз для других стран и субъектов. Это могут быть реализуемые в разных формах информационные войны, спам, распростра­нение ложной или незаконной рекламы, ложных сведений и т.д. В этом плане весьма показательны ситуации, пред­ставленные в публикации немецкого журнала «DerSpiegel» о практике конфликтов китайских пользователей с амери­канским интернет-концерномGoogleпо поводу использо­вания его продукта в китайской информационной практике. Выявляются двусторонние нарушения и просчеты, а также меры по выходу из сложившегося критического положения. Одновременно этот инцидент обнаружил и наличие жестко соблюдаемого режима конкуренции между разными компа­ниями, обеспечивающими функционирование Интернета.

В уже упомянутой коллективной работе, посвященной «информационным операциям», упоминается документ США 1998 г. «Объединенная доктрина борьбы с система­ми управления» и директива S3600. «Информационные операции». В соответствии с этими и подобными докумен­тами предполагается, что американские вооруженные силы могут получить в свое распоряжение интегрированную си­стему принятия решений, базирующуюся на технологиях искусственного интеллекта, использовании нанотехнологий, эффективном анализе информации и т.п., что позволит обе­спечить к 2020 г. принятие решений в реальном времени. Естественно, что подобные планы, и особенно в военной об­ласти, должны вызвать соответствующую реакцию защиты.

Меры по противостоянию внешним информационным угрозам должны быть дифференцированы относительно степени их вредности в области реализации конституци­онных прав и свобод человека и гражданина, в сфере за­щиты интересов государства и общества в целом. При этом важно сосредоточить внимание не столько на прямом уча­стии в информационных войнах, сколько на профилактике противостояния, предотвращении внешних угроз. Прежде всего — на укреплении правовой основы пресечения, пре­дотвращения вредных для общества форм информацион­ной борьбы — «холодных» и «горячих» войн. А для этого необходимо уделять наибольшее внимание правовому, ор­ганизационному и техническому уровню обеспечения ин­формационной безопасности национальных систем инфор­матизации, организации каждой информационной системы в отдельности.

При организации и оценке деятельности в области обе­спечения информационной безопасности важно учитывать следующие условия: 1) точное определение информацион­ного объекта, безопасность которого обеспечивается; 2) ин­формационный статус субъекта, безопасность прав которо­го обеспечивается; 3) правовой статус субъектов, которые обеспечивают информационную безопасность; 4) знание угроз, рисков, правонарушений в зоне обеспечения инфор­мационной безопасности, а также источников, от которых эти угрозы исходят; 5) наличие установки, как, какими спо­собами (мерами) может быть обеспечен необходимый уро­вень безопасности конкретного информационного объекта и прав субъектов, которые связаны с этим информацион­ным объектом.

Основные направления повышения уровня защищен­ности объектов общей информационно-технологической инфраструктуры федеральных органов государствен­ной власти на основе распоряжения Правительства РФ от 27.09.2004 № 1244-р освещены в работе Л. В. Короткова и его соавторов. Они включают:

1) обеспечение комплексного подхода к решению задач информационной безопасности с учетом необходимости дифференциации ее уровня в различных федеральных ор­ганах государственной власти;

2) разработку модели угроз информационной безопас­ности;

3) определение технических требований и критери­ев установления критических объектов информационно-технологической инфраструктуры, создание реестра критиче­ски важных объектов, разработку мер по их защите и средств надзора за соблюдением соответствующих требований;

4) обеспечение эффективного мониторинга состояния информационной безопасности;

5) совершенствование нормативной правовой и мето­дической базы в области защиты государственных инфор­мационных систем и ресурсов, формирование единого по­рядка согласования технических заданий на обеспечение информационной безопасности государственных информа­ционных систем и ресурсов;

6) проведение уполномоченными федеральными орга­нами государственной власти аттестации государственных информационных систем и ресурсов, используемых в дея­тельности федеральных органов государственной власти, и контроль их соответствия требованиям информационной безопасности;

7) создание физически обособленного телекоммуника­ционного сегмента специального назначения, обеспечиваю­щего возможность обмена в электронном виде информаци­ей, содержащей государственную тайну, для ограниченного круга органов государственной власти;

8) развитие средств защиты информации систем обеспе­чения безопасности электронного документооборота, систе­мы контроля действия государственных служащих по работе с информацией; развитие и совершенствование защищенных средств обработки информации общего применения, систем удостоверяющих центров в области электронной цифровой подписи, а также систем их сертификации и аудита

.

Нарушение безопасности информации - это... Что такое Нарушение безопасности информации?

• нарушитель безопасности информации — Физическое лицо, случайно или преднамеренно совершающее действия, следствием которых является нарушение безопасности информации при ее обработке техническими средствами в информационных системах. [Р 50.1.056 2005 ] Тематики защита информации …   Справочник технического переводчика

• Угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реальную опасность, связанную с утечкой информации или несанкционированными, непреднамеренными воздействиями на нее. Основными У.б.и. могут являться: противоправные сбор и использование …   Словарь черезвычайных ситуаций

• нарушение информационной безопасности организации — нарушение ИБ организации Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении активов организации, следствием которых является нарушение безопасности информации при ее обработке техническими… …   Справочник технического переводчика

• нарушение информационной безопасности организации — 3.2.4 нарушение информационной безопасности организации; нарушение ИБ организации: Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении активов организации, следствием которых является нарушение… …   Словарь-справочник терминов нормативно-технической документации

• ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения — Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении ; АС в защищенном исполнении:… …   Словарь-справочник терминов нормативно-технической документации

• ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… …   Словарь-справочник терминов нормативно-технической документации

• ГОСТ Р ИСО ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… …   Словарь-справочник терминов нормативно-технической документации

• Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка) — Терминология Базовая модель угроз безопасности персональных данных при их обработке, в информационных системах персональных данных (выписка): Автоматизированная система система, состоящая из персонала и комплекса средств автоматизации его… …   Словарь-справочник терминов нормативно-технической документации

• ГОСТ Р 50922-2006: Защита информации. Основные термины и определения — Терминология ГОСТ Р 50922 2006: Защита информации. Основные термины и определения оригинал документа: 2.8.9 анализ информационного риска: Систематическое использование информации для выявления угроз безопасности информации, уязвимостей… …   Словарь-справочник терминов нормативно-технической документации

• Каналы утечки информации, передаваемой по оптическим линиям связи — Проверить информацию. Необходимо проверить точность фактов и достоверность сведений, изложенных в этой статье. На странице обсуждения должны быть пояснения …   Википедия

нарушение информационной безопасности организации - это... Что такое нарушение информационной безопасности организации?

• нарушение информационной безопасности организации — нарушение ИБ организации Случайное или преднамеренное неправомерное действие физического лица (субъекта, объекта) в отношении активов организации, следствием которых является нарушение безопасности информации при ее обработке техническими… …   Справочник технического переводчика

• нарушитель информационной безопасности организации — 3.3.5 нарушитель информационной безопасности организации; нарушитель ИБ организации: Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности… …   Словарь-справочник терминов нормативно-технической документации

• нарушитель информационной безопасности организации — нарушитель ИБ организации Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации. [ГОСТ Р 53114 2008] Тематики защита информации… …   Справочник технического переводчика

• инцидент информационной безопасности организации банковской системы Российской Федерации — 3.11. инцидент информационной безопасности организации банковской системы Российской Федерации: событие, вызывающее действительное, предпринимаемое или вероятное нарушение информационной безопасности организации банковской системы Российской… …   Словарь-справочник терминов нормативно-технической документации

• Инцидент информационной безопасности организации банковской системы РФ — 3.46. Инцидент информационной безопасности; инцидент ИБ: Событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы ИБ. Примечания. 1. Реализация угрозы ИБ реализация нарушения свойств ИБ информационных активов… …   Официальная терминология

• ГОСТ Р 53114-2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения — Терминология ГОСТ Р 53114 2008: Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения оригинал документа: 3.1.19 автоматизированная система в защищенном исполнении ; АС в защищенном исполнении:… …   Словарь-справочник терминов нормативно-технической документации

• инцидент информационной безопасности — 2.10 инцидент информационной безопасности (information security incident): Любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность. Примечание Инцидентами информационной безопасности… …   Словарь-справочник терминов нормативно-технической документации

• СТО БР ИББС 1.0-2006: Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения — Терминология СТО БР ИББС 1.0 2006: Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения: 3.3. автоматизированная банковская система : автоматизированная система, реализующая банковский… …   Словарь-справочник терминов нормативно-технической документации

• ГОСТ Р ИСО/ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО/ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… …   Словарь-справочник терминов нормативно-технической документации

• ГОСТ Р ИСО ТО 13569-2007: Финансовые услуги. Рекомендации по информационной безопасности — Терминология ГОСТ Р ИСО ТО 13569 2007: Финансовые услуги. Рекомендации по информационной безопасности: 3.4 активы (asset): Все, что имеет ценность для организации [2]. Определения термина из разных документов: активы 3.58 анализ риска (risk… …   Словарь-справочник терминов нормативно-технической документации

Политика и нформационной безопасности ФКП «БОЗ»

Утверждена приказом Генерального директора ФКП «БОЗ» № 666 от 21.09.2017 г.

г. Бийск 2017 г.

1. Перечень используемых определений, обозначений и сокращений.

АИБ — Администратор информационной безопасности.

ИБ — Информационная безопасность.

ИР — Информационные ресурсы.

ИС — Информационная система.

НСД — Несанкционированный доступ.

СЗИ — Средство защиты информации.

СУИБ — Система управления информационной безопасностью.

ЭВМ — Электронная — вычислительная машина, персональный компьютер.

Администратор информационной безопасности — специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Доступ к информации — возможность получения информации и ее использования.

Идентификация — присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация — это актив, который, подобно другим активам, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационная безопасность — механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т. п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.

Информационная система — совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач подразделений «Бийский олеумный завод» (далее — ФКП «БОЗ»).

Информационные ресурсы — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

Конфиденциальность — доступ к информации только авторизованных пользователей.

Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Политика информационной безопасности — комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых на ФКП «БОЗ» для обеспечения его информационной безопасности.

Регистрационная (учетная) запись пользователя — включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т. п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т. п. Она также может содержать такие сведения о пользователе, как Ф. И. О., название подразделения, телефоны, Е-таН и т. п.

Угрозы информации — потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т. е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.

Уязвимость — недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности при реализации угроз в информационной сфере.

2. Вводные положения.

2.1 Введение.

Политика информационной безопасности ФКП «БОЗ» определяет цели и задачи системы обеспечения ИБ и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми в последствии руководствуется в своей деятельности.

2.2 Цели.

Основными целями Политики информационной безопасности являются защита информации ФКП «БОЗ» от возможного нанесения материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а так же обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в Положении о деятельности ФКП «БОЗ».

Общее руководство обеспечением ИБ осуществляется Генеральным директором ФКП «БОЗ». Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет АИБ. Ответственность за функционирование информационных систем ФКП «БОЗ» несет администратор информационной системы.

Должностные обязанности АИБа и системного администратора закрепляются в соответствующих инструкциях.

Руководители структурных подразделений ФКП «БОЗ» несут ответственность за обеспечение выполнения требований ИБ в своих подразделениях.

Сотрудники ФКП «БОЗ» обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящей Политики и других внутренних документов ФКП «БОЗ» по вопросам обеспечения ИБ.

2.3 Задачи.

Политика информационной безопасности направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Наибольшими возможностями для нанесения ущерба ФКП «БОЗ» обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне ФКП «БОЗ»), либо иметь непреднамеренный ошибочный характер.

На основе вероятностной оценки определяется перечень актуальных угроз безопасности, который отражается в «Модели угроз».

Для противодействия угрозам ИБ на ФКП «БОЗ» на основе имеющегося опыта составляется прогностическая модель предполагаемых угроз и модель нарушителя. Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ при минимальных ресурсных затратах.

Разработанная на основе прогноза Политики информационной безопасности и в соответствии с ней построенная СУИБ является наиболее правильным и эффективным способом добиться минимизации рисков нарушения ИБ для ФКП «БОЗ». Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз и нарушителя.

Стратегия обеспечения ИБ заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.

Задачами настоящей политики являются:

• описание организации СУИБ;

• определение порядка сопровождения ИС ФКП «БОЗ».

Настоящая Политика вводится в действие приказом Генерального директора ФКП «БОЗ» и распространяется на все структурные подразделения ФКП «БОЗ» и обязательна для исполнения всеми его сотрудниками и должностными лицами. Положения настоящей Политики применимы для использования во внутренних нормативных и методических документах, а также в договорах.

Политика признается утратившей силу на основании приказа Генерального директора ФКП «БОЗ».

2.4 Порядок внесения изменений.

Изменения в Политику вносятся приказом Генерального директора ФКП «БОЗ». Инициаторами внесения изменений в Политику информационной безопасности являются:

• Генеральный директор ФКП «БОЗ»;

• руководители подразделений (управлений, отделов, цехов и т. д.) ФКП «БОЗ»;

• администратор информационной безопасности.

Плановая актуализация настоящей Политики производится ежегодно и имеет целью приведение в соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к защите информации.

Внеплановая актуализация Политики информационной безопасности производится в обязательном порядке в следующих случаях:

• при изменении внутренних нормативных документов (инструкций, положений, руководств), касающихся ИБ ФКП «БОЗ»;

• при происшествии и выявлении инцидента (инцидентов) по нарушению ИБ, влекущего ущерб ФКП «БОЗ».

Ответственность за актуализацию Политики информационной безопасности (плановую и внеплановую) и контроль за исполнением требований настоящей Политики возлагается на АИБа.

3. Политика информационной безопасности ФКП «БОЗ».

3.1 Назначение Политики информационной безопасности.

Политика информационной безопасности ФКП «БОЗ» — это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в ФКП «БОЗ».

Политика информационной безопасности относятся к административным мерам обеспечения ИБ и определяют стратегию ФКП «БОЗ» в области ИБ.

Политика информационной безопасности регламентируют эффективную работу СЗИ. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Политика ИБ реализуется посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты.

Все документально оформленные решения, формирующие Политику, должны быть утверждены на ФКП «БОЗ».

3.2 Основные принципы обеспечения информационной безопасности

Основными принципами обеспечения ИБ являются следующие:

• постоянный и всесторонний анализ информационного пространства ФКП «БОЗ» с целью выявления уязвимостей информационных активов;

• своевременное обнаружение проблем, потенциально способных повлиять на ИБ ФКП «БОЗ», корректировка моделей угроз и нарушителя;

• разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию. При этом меры, принимаемые для

• обеспечения ИБ, не должны усложнять достижение уставных целей ФКП «БОЗ», а также повышать трудоемкость технологических процессов обработки информации;

• контроль эффективности принимаемых защитных мер;

• персонификация и адекватное разделение ролей и ответственности между сотрудниками ФКП «БОЗ», исходя из принципа персональной и единоличной ответственности за совершаемые операции.

3.3 Соответствие Политики информационной безопасности действующему законодательству

Правовую основу Политики составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.

3.4 Ответственность за реализацию Политики информационной безопасности

Ответственность за разработку мер обеспечения защиты информации несёт АИБ.

Ответственность за реализацию Политики возлагается:

• в части, касающейся разработки и актуализации правил внешнего доступа -на АИБа;

• в части, касающейся контроля доведения правил Политики до сотрудников ФКП «БОЗ», а также иных лиц (см. область действия настоящей Политики) — на АИБа;

• в части, касающейся исполнения правил Политики — на каждого сотрудника ФКП «БОЗ», согласно их должностным и функциональным обязанностям, и иных лиц, попадающих под область действия настоящей Политики.

3.5 Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе.

• Обучение сотрудников ФКП «БОЗ» в области ИБ проводится согласно плану, утвержденному Генеральным директором предприятия.

• Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности».

• Допуск персонала к работе с защищаемыми ИР ФКП «БОЗ» осуществляется только после его ознакомления с настоящей Политикой, а также после ознакомления пользователей с «Порядком работы пользователей» ФКП «БОЗ», а также иными инструкциями пользователей отдельных ИС. Согласие на соблюдение правил и требований настоящей Политики подтверждается подписями сотрудников в журналах ознакомления.

• Допуск персонала к работе с информацией ФКП «БОЗ» осуществляется после ознакомления с «Порядком организации работы с материальными носителями»,

• «Порядком организации работы с электронными носителями». Правила допуска к работе с ИР лиц, не являющихся сотрудниками ФКП «БОЗ», определяются на договорной основе с этими лицами или с организациями, представителями которых являются эти лица.

3.6 Учетные записи.

Настоящая Политика определяет основные правила присвоения учетных записей пользователям информационных активов ФКП «БОЗ». Регистрационные учетные записи подразделяются на:

• пользовательские — предназначенные для идентификации/аутентификации пользователей информационных активов ФКП «БОЗ»;

• системные — используемые для нужд операционной системы;

• служебные — предназначенные для обеспечения функционирования отдельных процессов или приложений.

• Каждому пользователю информационных активов ФКП «БОЗ» назначается уникальная пользовательская регистрационная учетная запись. Допускается привязка более одной пользовательской учетной записи к одному и тому же пользователю (например, имеющих различный уровень полномочий).

• В общем случае запрещено создавать и использовать общую пользовательскую учетную запись для группы пользователей. В случаях, когда это необходимо, ввиду особенностей автоматизируемого бизнес-процесса или организации труда (например, посменное дежурство), использование общей учетной записи должно сопровождаться отметкой в журнале учета машинного времени, которая должна однозначно идентифицировать текущего владельца учетной записи в каждый момент времени. Одновременное использование одной общей пользовательской учетной записи разными пользователями запрещено.

• Системные регистрационные учетные записи формируются операционной системой и должны использоваться только в случаях, предписанных документацией на операционную систему.

• Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.

• Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.

3.7 Использование паролей.

Настоящая Политика определяет основные правила парольной защиты на ФКП «БОЗ». Положения Политики закрепляются в «Порядке по организации парольной защиты»

3.8 Защита автоматизированного рабочего места.

• Настоящая Политика определяет основные правила и требования по защите информации ФКП «БОЗ» от неавторизованного доступа, утраты или модификации.

• Положения данной Политики определяются в соответствии с используемым техническим решением.

4. Профилактика нарушений Политики информационной безопасности.

• Под профилактикой нарушений Политики информационной безопасности понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений ИБ на ФКП «БОЗ» и проведение разъяснительной работы по ИБ среди пользователей.

• Положения определены документами «Об обучении сотрудников правилам защиты информации» и «Порядком технического обслуживания средств вычислительной техники».

4.1 Ликвидация последствий нарушения Политики информационной безопасности.

• АИБ, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения ИБ, факты осуществления НСД к защищаемым ИР и предпринимать меры по их локализации и устранению.

• В случае обнаружения подсистемой защиты информации факта нарушения ИБ или осуществления НСД к защищаемым ИР, ИС рекомендуется уведомить АИБа, и далее следовать указаниям.

• Действия АИБа и администратора информационной системы при признаках нарушения Политики информационной безопасности регламентируются следующими внутренними документами:

• регламентом пользователя;

• Политикой информационной безопасности;

• регламентом администратора информационной безопасности;

• регламентом системного администратора.

• После устранения инцидента необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.

4.2 Ответственность за нарушение Политики информационной безопасности.

• Ответственность за выполнение правил Политики информационной безопасности несет каждый сотрудник ФКП «БОЗ» в рамках своих служебных обязанностей и полномочий.

• На основании ст. 192 Трудового кодекса Российской Федерации сотрудники, нарушающие требования Политики информационной безопасности ФКП «БОЗ», могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы.

• Все сотрудники несут персональную (в том числе материальную) ответственность за прямой действительный ущерб, причиненный ФКП «БОЗ» в

• результате нарушения ими правил Политики информационной безопасности (Ст. 238 Трудового кодекса Российской Федерации).

• За неправомерный доступ к компьютерной информации, создание, использование или распространение вредоносных программ, а также нарушение правил эксплуатации ЭВМ, следствием которых явилось нарушение работы ЭВМ (автоматизированной системы обработки информации), уничтожение, блокирование или модификация защищаемой информации, сотрудники ФКП «БОЗ» несут ответственность в соответствии со статьями 272, 273 и 274 Уголовного кодекса Российской Федерации.

---

Смотрите также

• 
  Экологическая безопасность в школе документы
• 
  Требования пожарной безопасности к лифтам
• 
  Безопасность глазами детей на дороге рисунки
• 
  Огневые работы пожарная безопасность на опо
• 
  Анализ рисков информационной безопасности
• 
  Барьер безопасности для кровати своими руками
• 
  Месячник по пожарной безопасности в школе отчет
• 
  Документы по охране труда и технике безопасности
• 
  Общие правила по охране труда и технике безопасности
• 
  Как разобрать крепление ремня безопасности
• 
  Сертификация системы управления безопасностью труда охраны здоровья