Политика информационной безопасности

ПОЛИТИКА
Информационная безопасность

1. НАЗНАЧЕНИЕ

1.1 Политика информационной безопасности ЗАО «БИОКАД» (далее - Компания) определяет основные цели, направления, задачи и важнейшие принципы деятельности Компании по вопросам защиты информации.

2. ОБЛАСТЬ ПРИМЕНЕНИЯ

2.1 Политика информационной безопасности затрагивает все виды деятельности Компании, касающиеся сбора, обработки, накопления, хранения, предоставления и распространения информации.

2.2 Предметом настоящей политики являются

  • информационные ресурсы, представленные в виде документированной информации на различного рода носителях, сигналов и физических полей, информационных массивов и баз данных, подлежащие защите в соответствии с законодательством Российской Федерации и внутренними организационно-распорядительными документами Компании, а также другая информация, модификация (утрата) которой может привести к нарушению устойчивого функционирования Компании;
  • критически важная технологическая информация, а именно информация (данные) о параметрах (состоянии) управляемого (контролируемого) объекта или процесса (входная (выходная) информация, управляющая (командная) информация, контрольно-измерительная информация, циркулирующая в системах различного назначения, искажение которой может привести к значительным негативным последствиям для Компании;
  • персональные данные, относящиеся прямо или косвенно к субъекту персональных данных, обработка их в информационных системах персональных данных, с применением (использованием) всех различных видов носителей, в том числе бумажных;
  • средства и системы информатизации, программные средства, автоматизированные системы управления информационными и технологическими процессами, системы связи и передачи данных, технические средства приема, передачи и обработки информации, используемые для обработки конфиденциальной информации;
  • технические средства и системы, не обрабатывающие конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует), а также сами помещения, предназначенные для ведения конфиденциальных переговоров.

2.3 Настоящая Политика распространяется на всех работников Компании, а также лиц, выполняющих работы или оказывающих услуги в интересах Компании на договорной основе или иным образом взаимодействующих с ЗАО «БИОКАД». Соответствующие положения настоящей Политики применяются ко всем информационным сервисам и элементам ИТ-инфраструктуры Компании.

3. ПЕРЕСМОТР

3.1 Настоящая Политика вступает в законную силу с даты утверждения Генеральным директором ЗАО «БИОКАД».

3.2 Изменения и дополнения в настоящую Политику вносятся по инициативе Директора департамента информационной безопасности, Заместителя Генерального директора по информационным технологиям и утверждаются Генеральным Директором ЗАО «БИОКАД».

3.3 Политика пересматривается по мере необходимости, но не реже одного раза в три года, с учетом результатов контроля состояния информационной безопасности и соблюдения Политики информационной безопасности, а также различных изменений, имеющих отношение к информационной безопасности. Необходимость пересмотра Политики информационной безопасности Компании устанавливается Департаментом информационной безопасности на основании:

  • изменений в законодательной и нормативной базе по информационной безопасности, произошедшие с момента утверждения предыдущей Политики информационной безопасности Компании;
  • результатов анализа произошедших инцидентов информационной безопасности, а также уязвимостей и угроз, выявленных за время, прошедшее с момента утверждения предыдущей Политики информационной безопасности Компании;
  • изменений в организационно-штатной структуре Компании и в его информационной инфраструктуре;
  • результатов контроля состояния информационной безопасности и предложений подразделений о совершенствовании процедур обеспечения информационной безопасности;
  • изменения в управлении информационной безопасностью, включая изменения в распределении ресурсов и обязанностей при обеспечении информационной безопасности.

3.4 Процедура пересмотра Политики информационной безопасности Компании включает:

  • анализ и выявление несоответствий действующей Политики информационной безопасности Компании текущим условиям;
  • разработку предложений по совершенствованию Политики информационной безопасности Компании;
  • утверждение новой редакции Политики информационной безопасности Компании.

3.5 В случае вступления отдельных пунктов в противоречие с измененными или новыми законодательными актами, эти пункты утрачивают юридическую силу до момента внесения изменений в настоящую Политику.

4. ТЕРМИНЫ И ОБОЗНАЧЕНИЯ

4.1 Информация, составляющая коммерческую тайну (Коммерческая тайна) - сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которой Компанией введен режим коммерческой тайны.

4.2 Конфиденциальная информация - информация, доступ к которой ограничен в соответствии с международными правовыми нормами (применимыми для РФ), законодательством РФ, внутренними нормативными документами Компании, а также соглашениями Компании с третьими лицами.

4.3 Конфиденциальность - защищенность Информационного актива от несанкционированного доступа, разглашения и утечки.

4.4 Департамент информационной безопасности (ДИБ) – выделенное подразделение Компании, отвечающий за осуществление мероприятий по информационной безопасности, соблюдение в Компании режима Коммерческой тайны, требований законодательства РФ, а также лучших практик в вопросах сохранности и защиты информации, полученной в процессе деятельности Компании.

4.5 Персональные данные (ПДн) - Любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, включая ФИО, паспортные данные, ИНН, дату рождения, место рождения и т.д.

4.6 Политика - Политика информационной безопасности ЗАО «БИОКАД» - настоящий документ.

4.7 Целостность - способность сохранить неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

4.8 Риск - ущерб в единицу времени, который может понести Компания в случае реализации угрозы.

4.9 Угроза - причина осуществления нежелательных событий, способных нанести ущерб Компании.

4.10 АС – Автоматизированная система

4.11 ПО - Программное Обеспечение

4.12 ИБ – Информационная безопасность

4.13 ИС – Информационная система

4.14 ИТ - Информационные Технологии

4.15 КС - Компьютеризированная система

4.16 КТ – Коммерческая тайна

4.17 ДИБ – Департамент информационной безопасности

4.18 ОС – Операционная система

4.19 СКУД - Система контроля и управления доступом

4.20 СОП - Стандартная Операционная Процедура

4.21 ЦОД - Центр хранения и Обработки Данных

4.22 GMP - Good Manufacturing Practice - Надлежащая производственная практика

4.23 GDP - Good Distribution Practice - Надлежащая дистрибьюторская практика

4.24 GLP - Good Laboratory Practice - Надлежащая лабораторная практика

4.25 GCP - Good Clinical Practice - Надлежащая клиническая практика

4.26 GSP - Good Storage Practice - Надлежащая практика хранения

4.27 GxP - GxP - определяет группу регуляторных актов «Good ... Practice», т.е. GMP, GDP, GLP, GCP, GSP

4.28 GAMP - Good Automated Manufacturing Practice - Надлежащая автоматизированная производственная практика

4.29 IP - Internet Protocol

4.30 PKI - Public key infrastructure - Инфраструктура открытых ключей

4.31 UPS - Uninterruptible Power Supply – Источники бесперебойного гарантированного электропитания

5. ОТВЕТСТВЕННОСТЬ / ВЛАДЕЛЕЦ ПРОЦЕССА

5.1 В случае нарушения установленных настоящей политикой правил работы с информационными активами Компании, работник может быть ограничен в правах доступа к информационным активам, а также привлечен к ответственности в соответствии с Трудовым кодексом РФ, Кодексом об административных правонарушениях РФ, Уголовным кодексом РФ и прочими нормами действующего законодательства РФ.

6. РЕСУРСЫ

Не применимо.

7. ОСНОВНЫЕ ПОЛОЖЕНИЯ

7.1 Политика ИБ Компании входит в систему документов в области обеспечения ИБ и представляет собой совокупность управленческих решений, лежащих в основе организационно-распорядительных документов, регламентирующих правила и нормы обеспечения защиты информации.

7.2 Основу политики информационной безопасности составляет:

  • соблюдение баланса интересов личности, Компании и государства в информационной сфере;
  • соответствие процессов сбора, накопления, обработки, предоставления и распространения информации нормам законодательства Российской Федерации;
  • централизованная разработка документов Компании, регламентирующих вопросы информационной безопасности, обязательность выполнения их требований;
  • единство технической политики Компании в области реализации технических, программных и программно-технических мер по защите информационных ресурсов и технологий;
  • персональная ответственность за нарушения в сфере информационной безопасности;
  • обеспечение постоянного контроля состояния информационной безопасности в Компании.

7.3 За разработку, принятие и внедрение Политики ИБ отвечает Директор ДИБ Компании.

7.4 Ответственным за реализацию Политики ИБ Компании и поддержание ее в актуальном состоянии является ДИБ.

7.5 Положения Политики ИБ Компании служат методологической основой для разработки нормативных и организационно-распорядительных документов Компании в области обеспечения ИБ.

8. ОПИСАНИЕ ПРОЦЕССА

8.1 Заинтересованные стороны

8.1.1 Внутренняя организация.

8.1.1.1 В реализации Политики участвуют работники Компании, являющиеся участниками процесса:

    руководители структурных подразделений Компании;
  • владельцы информационных активов (руководители подразделений Компании, в которых создаются информационные активы, и которые определяют доступность к ним);
  • пользователи информационных ресурсов (администраторы ИС, осуществляющие техническую поддержку, а также обеспечивающие доступность и целостность информационных ресурсов, сотрудники Компании или сторонней организации);
  • сотрудники ДИБ Компании, обеспечивающие защиту и конфиденциальность информационных ресурсов.

8.1.1.2 Достижением реализации Политики в части взаимодействия заинтересованных сторон является:

  • соблюдение ее положений участниками процесса;
  • организационное регулирование процессов по обеспечению требуемого уровня защиты информационных активов;
  • оптимизация затрат на обеспечение ИБ на различных этапах жизненного цикла информационных активов.

8.1.2 Внешнее сотрудничество.

8.1.2.1 Взаимоотношения по использованию положений данного документа применительно к защите информации, находящейся в совместном ведении с другими организациями, регулируются на основании специальных соглашений.

8.1.2.2 Взаимодействие с государственными органами Российской Федерации регулируется действующим законодательством и локальными нормативными актами Компании.

8.2 Угрозы и источники угроз информационной безопасности

8.2.1 Угрозами информационной безопасности является совокупность условий и факторов, создающих потенциальную или реально существующую опасность несанкционированных и/или непреднамеренных воздействий на информацию.

8.2.2 Угрозы информационной безопасности по их функциональной направленности подразделяются на:

  • угрозы конфиденциальности информации, предусматривающие перехват информации, хищение или утрату информации;
  • угрозы целостности информации - преднамеренное умышленное и неумышленное уничтожение, искажение (модификация) информации;
  • угрозы доступности информации - блокирование доступа к информации или средствам её обработки.

8.2.3 Политикой информационной безопасности рассматриваются внешние и внутренние источники угроз информационной безопасности Компании.

8.2.4 Внешними источниками угроз информационной безопасности Компании являются:

  • деятельность иностранных разведывательных и специальных служб, политических и экономических структур, отдельных лиц, направленная против экономических интересов Компании;
  • деятельность российских политических, экономических, общественных структур и отдельных лиц, направленная на противозаконное получение защищаемой информации или препятствующая устойчивому функционированию Компании;
  • чрезвычайные ситуации, стихийные бедствия и катастрофы.

8.2.5 Внутренними источниками угроз информационной безопасности Компании являются:

  • непреднамеренное нарушение работниками Компании (вследствие невнимательности, недисциплинированности) порядка и правил обработки информации, в том числе с использованием технических средств, средств электронно-вычислительной техники;
  • недостаточная профессиональная подготовка работников Компании при работе с информационными системами, системами связи и передачи данных;
  • отказы технических средств и сбои программного обеспечения в информационных системах, системах связи и передачи данных;
  • непреднамеренные действия работников сторонних организаций, имеющих легальный доступ к корпоративным информационным системам, системам связи и передачи данных Компании;
  • преднамеренное умышленное нарушение работниками Компании порядка и правил обработки информации;
  • проведение работ по защите информации, созданию и модернизации информационных систем, систем связи и передачи данных с привлечением сторонних организаций;
  • применение технических средств и программных продуктов, не исключающее использование ими не декларированных возможностей.

8.3 Риски информационной безопасности

8.3.1 Рисками информационной безопасности являются:

  • несанкционированный доступ к информационным ресурсам;
  • хищение информационных ресурсов из массивов, библиотек, архивов, банков и баз данных;
  • противозаконный сбор, накопление и использование информации;
  • уничтожение, повреждение или хищение электронных (машинных) и других носителей информации;
  • искажение информации (навязывание ложной информации) в информационных системах, сетях передачи данных и линиях связи;
  • утечка информации по техническим каналам;
  • утечка информации за счет внедрения устройств съема информации в технические средства информационных систем, систем связи и передачи данных, а также служебные помещения;
  • нарушение установленных ограничений на распространение и доступ к информационным ресурсам.

8.4 Управление рисками информационной безопасности

8.4.1 Внутренняя организация

8.4.1.1 Организация и обеспечение управления ИБ в Компании осуществляется Генеральным директором Компании. Генеральным директором Компании постоянно поддерживается необходимый уровень ИБ путем внедрения системы обеспечения ИБ, а также распределения обязанностей и ответственности работников Компании за ее внедрение и осуществление.

8.4.1.2 Организация плановой, непрерывной и целенаправленной работы по осуществлению мер обеспечения ИБ и контролю их выполнения в Компании возлагается на ДИБ.

8.4.1.3 На ДИБ возложены следующие функции:

  • планирование работ по ИБ;
  • контроль эффективности реализуемых мер обеспечения ИБ и внесение рекомендаций по их совершенствованию;
  • координация действий по обеспечению ИБ с представителями различных подразделений;
  • контроль выполнения и пересмотр политик ИБ объектов защиты.

8.4.1.4. С учетом особенностей конкретных объектов информационной инфраструктуры Компании осуществляется:

  • определение полномочий работников в отношении защищаемых информационных ресурсов;
  • администрирование и контроль средств и механизмов безопасности;
  • контроль выполнения работниками требований в области ИБ.

8.4.1.5 Функции администрирования и контроля средств и механизмов безопасности Компании распределяются между подразделениями, эксплуатирующими объекты защиты информационной инфраструктуры, и ДИБ:

8.4.1.6 администрирование встроенных механизмов безопасности средств обработки, хранения и передачи информации, а также дополнительных средств защиты осуществляется работниками подразделений, отвечающих за их эксплуатацию;

8.4.1.7 контроль функционирования и настройки механизмов безопасности, а также соблюдения требований по ИБ осуществляется работниками ДИБ.

8.4.1.8 В Компании организуется администрирование ИБ, направленное на обеспечение установленных правил доступа к объектам информационной инфраструктуры, порядка обращения с защищаемой информацией при ее обработке, хранении и передаче.

8.4.1.9 Администратором ИБ назначается, как правило, работник структурного подразделения, эксплуатирующего защищаемые объекты информационной инфраструктуры.

8.4.1.10 На администратора ИБ возлагается ответственность по предотвращению несанкционированного доступа к защищаемой информации.

8.4.1.11 Обязанности работников Компании по обеспечению ИБ зависят от занимаемой должности и определяются их должностными инструкциями.

8.4.1.12 В Компании ежегодно разрабатывается план мероприятий по обеспечению ИБ на будущий год, и план мероприятий по контролю состояния ИБ.

8.4.2 Режим коммерческой тайны

8.4.2.1 В Компании устанавливается порядок, предусматривающий правовые, организационные и технические меры по охране информации, содержащей КТ, и иной конфиденциальной информации.

8.4.2.2 Перечень мер по защите коммерческой тайны и иной конфиденциальной информации регламентируется Федеральным законом «О коммерческой тайне», Положением о правовом режиме коммерческой тайны и конфиденциальной информации в ЗАО «БИОКАД», а также иными нормативными и организационно-распорядительными документами Компании в области защиты конфиденциальной информации и ИБ.

8.4.3 Защита персональных данных

8.4.3.1 В Компании устанавливается порядок защиты персональных данных работников, предусматривающий правовые, организационные и технические меры по их охране.

8.4.3.2 Перечень мер по защите персональных данных регламентируется Федеральным законом «О персональных данных», «Приказом ФСТЭК России от 18 февраля 2013 г. № 21», Положением об обработке и обеспечении безопасности персональных данных в ЗАО «БИОКАД», а также иными нормативными и организационно-распорядительными документами Компании в области защиты персональных данных и ИБ.

8.4.4 Защита информации в автоматизированных системах и вычислительных сетях

8.4.4.1 Основным объектом защиты является информация, циркулирующая и накапливающаяся в информационной инфраструктуре Компании.

8.4.4.2 Защита информации основывается на:

  • использовании информационных ресурсов Компании только в целях обеспечения жизнедеятельности компании;
  • обязательной идентификации и классификации информационных ресурсов, средств их обработки и рисков ИБ;
  • регламентации порядка доступа к информационным ресурсам;
  • определении прав доступа к информационным ресурсам их владельцами;
  • обеспечении доступа работников к информационным ресурсам в соответствии с их должностными обязанностями и после заключения с ними соглашений о неразглашении конфиденциальной информации.

8.4.4.3 Направления обеспечения информационной безопасности в автоматизированных системах и вычислительных сетях.

8.4.4.3.1 Информационная безопасность автоматизированных систем и вычислительных сетей обеспечивается на всех стадиях их жизненного цикла с учетом степени участия в этом процессе субъектов отношений в информационной сфере (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и иных организаций).

8.4.4.3.2 При создании систем и средств защиты автоматизированных систем и вычислительных сетей технические задания и требования, предъявляемые к ним, согласовываются с подразделением, ответственным за обеспечение информационной безопасности.

8.4.4.3.3 Проектирование, ввод в эксплуатацию, эксплуатация и вывод из эксплуатации автоматизированных систем и вычислительных сетей в части вопросов информационной безопасности осуществляются при участии ДИБ.

8.4.4.3.4 Информационная безопасность реализуется с помощью средств защиты и управления защитой, средств контроля и регистрации, средств обеспечения безотказной работы и восстановления автоматизированных систем и вычислительных сетей.

8.4.4.4 Обеспечение информационной безопасности автоматизированных систем и вычислительных сетей на стадиях жизненного цикла.

8.4.4.4.1 В процессе создания автоматизированных систем и вычислительных сетей обеспечивается:

  • обоснованная формулировка требований к обеспечению информационной безопасности создаваемых автоматизированных систем и вычислительных сетей в соответствии с действующей нормативной базой и значимостью защищаемой информации, а также их полноценная реализация;
  • выбор оптимальных проектных решений;
  • выбор адекватной модели жизненного цикла;
  • разработка необходимой эксплуатационной документации и организационно-распорядительных документов, регламентирующих порядок работы с защищаемой информацией;
  • приемка в эксплуатацию (при необходимости, с проведением в установленном порядке аттестации на соответствие требованиям по безопасности информации);
  • предотвращение внесения недокументированных возможностей в программное обеспечение и оборудование.

8.4.4.4.2 К разработке и вводу в эксплуатацию средств и систем защиты автоматизированных систем и вычислительных сетей Компании в установленном порядке привлекаются организации, имеющие право на осуществление соответствующей деятельности с соблюдением требований законодательства Российской Федерации.

8.4.4.4.3 Средства защиты автоматизированных систем и вычислительных сетей могут сопровождаться как организацией-разработчиком, так и другими организациями, в том числе с привлечением внутренних ресурсов Компании. При этом, при создании средств защиты, на них должен создаваться полный комплект документации, обеспечивающий возможность эксплуатации средств защиты без участия организации-разработчика.

8.4.4.4.4 При эксплуатации автоматизированных систем и вычислительных сетей в первую очередь обеспечивается их защита от следующих факторов:

  • несанкционированного доступа к информации, ее модификации или уничтожения;
  • неумышленной модификации или уничтожения информации;
  • недоставки или ошибочной доставки информации;
  • отказа в обслуживании или ухудшения обслуживания;
  • отказа от авторства.

8.4.4.4.5 В процессе эксплуатации недопустимо внесение изменений в автоматизированные системы и вычислительные сети, приводящих к нарушению их функциональности или появлению недокументированных возможностей.

8.4.4.4.6 На стадии вывода из эксплуатации автоматизированных систем и вычислительных сетей (отдельных элементов) обеспечивается удаление из запоминающих устройств информации, несанкционированное использование которой может нанести ущерб коммерческой деятельности Компании.

8.4.4.4.7 Требования по информационной безопасности включаются в договоры и контракты на проведение работ или оказание услуг, заключаемые на всех стадиях жизненного цикла автоматизированных систем и вычислительных сетей, а также в соответствующую проектную документацию

8.4.4.4.8 Разработка и создание в Компании автоматизированных систем, в которых обрабатывается информация, доступ к которой ограничен федеральными законами, осуществляется в соответствии с требованиями нормативных актов и методических документов Федеральной службы безопасности Российской Федерации (ФСБ России) и Федеральной службы по техническому и экспортному контролю (ФСТЭК России), регламентирующих создание автоматизированных систем в защищенном исполнении.

8.4.4.5 Меры по обеспечению информационной безопасности в автоматизированных системах и вычислительных сетях.

8.4.4.5.1 Организационные меры по защите информации.
Организационные меры по защите информации обеспечивают разработку, утверждение и доведение до исполнителей нормативных актов и методических документов, а также организацию контроля соблюдения установленных правил и требований.
Прежде всего, исключается возможность нарушения доступности, целостности и конфиденциальности обрабатываемой информации.
Устанавливается запрет передачи защищаемой информации по открытым каналам связи без применения мер по ее защите.
Использование вычислительных средств и информационных активов Компании допускается только в целях обеспечения производственной и хозяйственной деятельности.
Разрешается использовать только лицензионное программное обеспечение.
Устанавливаются правила использования работниками лицензионных продуктов, приобретаемых Компанией, и обязательства по порядку их использования и нераспространения.

8.4.4.5.2 Технические меры по защите информации.
Для повышения эффективности защитных мероприятий наряду с организационными мерами предусматриваются технические меры по защите информации, разрабатываемые по результатам обследования объекта информатизации и оценки возможностей реализации замысла защиты на основе применения организационных мер, активизации встроенных механизмов используемых операционных систем и аппаратного обеспечения.
Технические меры, предпринимаемые для защиты автоматизированных систем и вычислительных сетей, осуществляются с учетом следующих основных принципов:

  • обладая полномочиями, необходимыми и достаточными для решения пользователем своих задач;
  • разделения информационных ресурсов по степени доступности к защищаемой информации;
  • разделения информационной инфраструктуры на «контуры защиты».Защита организуется как внутри каждого контура, так и между смежными контурами. Однородная информация, как правило, сосредотачивается внутри контура, а вход и выход за пределы контура контролируются.
  • В составе автоматизированных систем и вычислительных сетей используются сертифицированные по требованиям безопасности информации и/или разрешенные к применению средства защиты информации.
  • Перечень средств защиты информации, используемых или планируемых к использованию самостоятельными подразделениями Компании, согласуется с ДИБ Компании.

8.4.4.5.3 Защита серверного оборудования.
Меры, принимаемые для защиты серверного оборудования, направляются на обеспечение конфиденциальности и целостности информационных ресурсов путем организации защиты вычислительных средств от несанкционированного доступа (к среде выполнения вычислительного процесса, оперативной памяти и дисковому пространству), а также в помещения, где оно располагается.
Обеспечение доступности серверного оборудования достигается с помощью мер и средств обеспечения безотказной работы, а также использованием средств мониторинга и диагностики.

8.4.4.5.4 Защита вычислительных сетей.
Основной задачей защиты вычислительной сети Компании является обеспечение доступности ресурсов сети и целостности передаваемой информации, которое достигается:

  • обеспечением целостности конфигурации сетей и контролируемого доступа к их ресурсам;
  • исключением перехвата внутреннего трафика;
  • применением сертифицированных средств криптографической защиты информации при передаче защищаемой информации по сетям общего пользования и вне контролируемых зон;
  • организацией непрерывного управления и контроля состояния коммутационного оборудования;
  • контролем подключений к сети внутри контролируемых зон;
  • ограничением удаленного доступа к сети Компании;
  • исключением несанкционированного доступа в помещения, в которых располагается коммутационное оборудование.
    • При использовании сетей общего пользования (Internet и т.п.) применяются следующие первоочередные меры для защиты информации:
  • организация взаимодействия с сетью общего пользования через единый шлюз доступа Компании (не допускается организация взаимодействия через мобильные устройства, устройства WI-FI, и т.д., располагающиеся внутри периметра защиты);
  • использование сертифицированных средств криптографической защиты информации при организации удаленного доступа к сети;
  • запрещение использования ресурсов сетей общего пользования, несущих потенциальную угрозу информационной безопасности Компании;
  • строгая регламентация доступа работников Компании к сети общего пользования, обусловленного производственной необходимостью.

8.4.4.5.5 Защита на уровне прикладных информационных систем.
Основной задачей защиты ресурсов прикладных информационных систем является обеспечение их доступности, целостности и конфиденциальности при соблюдении установленных требований к порядку обработки защищаемой информации.
Меры защиты информационных систем должны предусматривать:

  • разграничение доступа к информационным ресурсам;
  • администрирование на прикладном и системно-техническом уровнях;
  • авторизацию, аутентификацию и идентификацию пользователей;
  • исключение обезличенных, групповых учетных записей;
  • резервное копирование;
  • обеспечение целостности прикладного ПО и обрабатываемых данных;
  • аудит действий администраторов и пользователей;
  • сопровождение программного обеспечения и поддержание его в актуальном состоянии.

8.4.4.5.6 Защита на уровне персонального компьютера.
Защита персонального компьютера (ПК) является защитой рабочего места пользователя и одним из элементов комплексной защиты.
Меры защиты ПК предусматривают:

  • исключение свободного доступа в помещения, где обрабатывается защищаемая информация;
  • ограничение возможности и контроль физического доступа с целью изменения конфигурации средств вычислительной техники (использование специальных защитных знаков, пломбирование, опечатывание и др.);
  • исключение несанкционированной реконфигурации оборудования, системного и прикладного программного обеспечения, а также самостоятельной его установки;
  • исключение несанкционированного доступа к ресурсам ПК, на котором обрабатывается защищаемая информация;
  • идентификацию, авторизацию и аутентификацию пользователя при запуске ПК;
  • исключение несанкционированного использования внешних носителей информации (магнитных и оптических дисков, карт памяти, фотоаппаратов, мобильных телефонов и т.п.), а также произвольных коммуникационных устройств;
  • исключение возможности бесконтрольного изменения режима подключения ПК к вычислительным сетям, в том числе, к сетям общего пользования;
  • антивирусную защиту ПК;
  • ведение системного журнала по основным событиям (журнала аудита).

8.4.5 Обеспечение доступности информационных ресурсов автоматизированных систем и вычислительных сетей.

8.4.5.1 Обеспечение доступности информационных ресурсов автоматизированных систем и вычислительных сетей достигается путем обеспечения их непрерывной работы и восстановления в случае аварий, стихийных бедствий и других нештатных ситуаций.

8.4.5.2 Указанная задача решается осуществлением соответствующих организационных и технических мер защиты.

8.4.5.2.1 Организационные меры по обеспечению безотказной работы
Для предотвращения возникновения нештатных ситуаций предусматриваются организационные мероприятия, направленные на предотвращение или снижение их отрицательного воздействия, включающие:

  • локализацию области воздействия фактора риска;
  • уведомление руководителей структурных подразделений о факте возникновения нештатной ситуации;
  • предотвращение расширения нештатной ситуации, при необходимости, выведение из эксплуатации комплексов, систем или их отдельных компонентов;
  • регламентирование процессов восстановления аппаратных, программных и информационных элементов автоматизированных систем и вычислительных сетей;
  • расследование причин возникновения нештатной ситуации.

8.4.5.2.2 Бесперебойное электропитание
Бесперебойное электропитание является наиболее важным элементом обеспечения непрерывной работы и предполагает использование системы «чистого» питания, защищающего системное оборудование от перепадов напряжения, и резервного питания, позволяющего сохранить работоспособность систем в течение заданного времени при выходе из строя основного источника.

8.4.5.2.3 Резервное копирование
Резервное копирование и восстановление данных выполняются согласно СОП ДИТ-28-003 «Управление резервным копированием и восстановлением данных».

8.4.5.2.4 Антивирусная защита
Порядок защиты от вредоносного программного обеспечения (далее – антивирусная защита) в Компании регламентируется с учетом особенностей автоматизации производственно-хозяйственных и технологических процессов.
Предусматривается построение эшелонированной централизованной системы антивирусной защиты, предусматривающей использование средств антивирусной защиты различных производителей и их раздельную установку на персональных компьютерах, серверах и шлюзах доступа, разграничивающих взаимодействие с сетями общего пользования.
Особое внимание уделяется антивирусной фильтрации трафика электронного почтового обмена.
Основным направлением актуализации антивирусных средств является регулярная автоматическая установка обновлений антивирусного программного обеспечения.
Отключение или не обновление антивирусных средств не допускается.
Устанавливаемое или изменяемое программное обеспечение предварительно проверяется на отсутствие вирусов. После установки или изменения программного обеспечения выполняется полная антивирусная проверка.
Установка и обновление антивирусных средств контролируется работниками ДИБ.
При обнаружении компьютерного вируса принимаются меры по устранению последствий вирусной атаки с информированием руководства и работников ДИБ. При необходимости на период устранения последствий вирусной атаки приостанавливается работа зараженных вычислительных средств.

8.5 Управление информационной безопасности

8.5.1 Общее руководство информационной безопасностью в Компании осуществляет Генеральный директор.

8.5.2 Работы по обеспечению информационной безопасности непосредственно осуществляют:

  • ДИБ;
  • Администраторы информационной безопасности;
  • Администраторы информационных систем, информационных и коммуникационных систем, серверного оборудования, отдельных программных комплексов, а также вычислительных сетей, эксплуатируемых в Компании.

8.5.3 Обеспечение информационной безопасности объектов информатизации предполагает реализацию ряда управленческих задач.

8.5.4 В качестве основных следует выделить:

  • администрирование встроенных механизмов использующегося системного и прикладного программного обеспечения;
  • администрирование применяемых дополнительных средств защиты информации;
  • установление полномочий работников в отношении защищаемых информационных ресурсов;
  • контроль выполнения работниками требований нормативных документов в области информационной безопасности;
  • профессиональная подготовка и повышение квалификации кадров в сфере информационной безопасности.

9. ПЕРЕЧЕНЬ ПРИЛОЖЕНИЙ

9.1 Приложение № 1 – Шаблон «Лист ознакомления».

10. ССЫЛКИ

10.1 Конституция Российской Федерации.

10.2 Федеральный закон Российской Федерации от 29 июля 2004 г. N 98-ФЗ «О коммерческой тайне».

10.3 Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных».

10.4 Федеральный закон Российской Федерации от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

10.5 Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

10.6 Приказ ФСТЭК России от 14.03.2014 №31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

11. КОНТРОЛЬ СВЯЗАННЫХ ДОКУМЕНТОВ

11.1 ДИТОМ-ДИБ-12-016 «Политика компании в отношении обработки персональных данных».

11.2 СТО ООК-11-020 «Управление документацией СМК».

11.3 СОП ДИТ-28-004 «Управление доступом к КС».

11.4 СОП ДИТ-28-003 «Управление резервным копированием и восстановлением данных».

12. ИНСТРУКТАЖ И ПРОВЕРКА ЗНАНИЙ

12.1 Все сотрудники Компании, должны быть под роспись ознакомлены с настоящей Политикой и руководствоваться ей в повседневной работе.