Федеральное казенное предприятие

Сделать заказ
x
Форма заказа продукции

Отправляя форму я соглашаюсь с политикой конфиденциальности

Политика и нформационной безопасности ФКП «БОЗ»

Утверждена приказом Генерального директора ФКП «БОЗ» № 666 от 21.09.2017 г.

г. Бийск 2017 г.

1. Перечень используемых определений, обозначений и сокращений.

АИБ — Администратор информационной безопасности.

ИБ — Информационная безопасность.

ИР — Информационные ресурсы.

ИС — Информационная система.

НСД — Несанкционированный доступ.

СЗИ — Средство защиты информации.

СУИБ — Система управления информационной безопасностью.

ЭВМ — Электронная — вычислительная машина, персональный компьютер.

Администратор информационной безопасности — специалист или группа специалистов организации, осуществляющих контроль за обеспечением защиты информации в ЛВС, а также осуществляющие организацию работ по выявлению и предупреждению возможных каналов утечки информации, потенциальных возможностей осуществления НСД к защищаемой информации.

Доступ к информации — возможность получения информации и ее использования.

Идентификация — присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация — это актив, который, подобно другим активам, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационная безопасность — механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере. Угрозы могут быть вызваны непреднамеренными ошибками персонала, неправильным функционированием технических средств, стихийными бедствиями или авариями (пожар, наводнение, отключение электроснабжения, нарушение телекоммуникационных каналов и т. п.), либо преднамеренными злоумышленными действиями, приводящими к нарушению информационных активов общества.

Информационная система — совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач подразделений «Бийский олеумный завод» (далее — ФКП «БОЗ»).

Информационные ресурсы — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

Конфиденциальность — доступ к информации только авторизованных пользователей.

Несанкционированный доступ к информации — доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Политика информационной безопасности — комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых на ФКП «БОЗ» для обеспечения его информационной безопасности.

Регистрационная (учетная) запись пользователя — включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т. п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе управления базами данных, в сетевых доменах, приложениях и т. п. Она также может содержать такие сведения о пользователе, как Ф. И. О., название подразделения, телефоны, Е-таН и т. п.

Угрозы информации — потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т. е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.

Уязвимость — недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности при реализации угроз в информационной сфере.

2. Вводные положения.

2.1 Введение.

Политика информационной безопасности ФКП «БОЗ» определяет цели и задачи системы обеспечения ИБ и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми в последствии руководствуется в своей деятельности.

2.2 Цели.

Основными целями Политики информационной безопасности являются защита информации ФКП «БОЗ» от возможного нанесения материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а так же обеспечение эффективной работы всего информационно-вычислительного комплекса при осуществлении деятельности, указанной в Положении о деятельности ФКП «БОЗ».

Общее руководство обеспечением ИБ осуществляется Генеральным директором ФКП «БОЗ». Ответственность за организацию мероприятий по обеспечению ИБ и контроль за соблюдением требований ИБ несет АИБ. Ответственность за функционирование информационных систем ФКП «БОЗ» несет администратор информационной системы.

Должностные обязанности АИБа и системного администратора закрепляются в соответствующих инструкциях.

Руководители структурных подразделений ФКП «БОЗ» несут ответственность за обеспечение выполнения требований ИБ в своих подразделениях.

Сотрудники ФКП «БОЗ» обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящей Политики и других внутренних документов ФКП «БОЗ» по вопросам обеспечения ИБ.

2.3 Задачи.

Политика информационной безопасности направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Наибольшими возможностями для нанесения ущерба ФКП «БОЗ» обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне ФКП «БОЗ»), либо иметь непреднамеренный ошибочный характер.

На основе вероятностной оценки определяется перечень актуальных угроз безопасности, который отражается в «Модели угроз».

Для противодействия угрозам ИБ на ФКП «БОЗ» на основе имеющегося опыта составляется прогностическая модель предполагаемых угроз и модель нарушителя. Чем точнее сделан прогноз (составлены модель угроз и модель нарушителя), тем ниже риски нарушения ИБ при минимальных ресурсных затратах.

Разработанная на основе прогноза Политики информационной безопасности и в соответствии с ней построенная СУИБ является наиболее правильным и эффективным способом добиться минимизации рисков нарушения ИБ для ФКП «БОЗ». Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз и нарушителя.

Стратегия обеспечения ИБ заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.

Задачами настоящей политики являются:

Настоящая Политика вводится в действие приказом Генерального директора ФКП «БОЗ» и распространяется на все структурные подразделения ФКП «БОЗ» и обязательна для исполнения всеми его сотрудниками и должностными лицами. Положения настоящей Политики применимы для использования во внутренних нормативных и методических документах, а также в договорах.

Политика признается утратившей силу на основании приказа Генерального директора ФКП «БОЗ».

2.4 Порядок внесения изменений.

Изменения в Политику вносятся приказом Генерального директора ФКП «БОЗ». Инициаторами внесения изменений в Политику информационной безопасности являются:

Плановая актуализация настоящей Политики производится ежегодно и имеет целью приведение в соответствие определенных политикой защитных мер реальным условиям и текущим требованиям к защите информации.

Внеплановая актуализация Политики информационной безопасности производится в обязательном порядке в следующих случаях:

Ответственность за актуализацию Политики информационной безопасности (плановую и внеплановую) и контроль за исполнением требований настоящей Политики возлагается на АИБа.

3. Политика информационной безопасности ФКП «БОЗ».

3.1 Назначение Политики информационной безопасности.

Политика информационной безопасности ФКП «БОЗ» — это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в ФКП «БОЗ».

Политика информационной безопасности относятся к административным мерам обеспечения ИБ и определяют стратегию ФКП «БОЗ» в области ИБ.

Политика информационной безопасности регламентируют эффективную работу СЗИ. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Политика ИБ реализуется посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты.

Все документально оформленные решения, формирующие Политику, должны быть утверждены на ФКП «БОЗ».

3.2 Основные принципы обеспечения информационной безопасности

Основными принципами обеспечения ИБ являются следующие:

3.3 Соответствие Политики информационной безопасности действующему законодательству

Правовую основу Политики составляют законы Российской Федерации и другие законодательные акты, определяющие права и ответственность граждан, сотрудников и государства в сфере безопасности, а также нормативные, отраслевые и ведомственные документы, по вопросам безопасности информации, утвержденные органами государственного управления различного уровня в пределах их компетенции.

3.4 Ответственность за реализацию Политики информационной безопасности

Ответственность за разработку мер обеспечения защиты информации несёт АИБ.

Ответственность за реализацию Политики возлагается:

3.5 Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе.
3.6 Учетные записи.

Настоящая Политика определяет основные правила присвоения учетных записей пользователям информационных активов ФКП «БОЗ». Регистрационные учетные записи подразделяются на:

3.7 Использование паролей.

Настоящая Политика определяет основные правила парольной защиты на ФКП «БОЗ». Положения Политики закрепляются в «Порядке по организации парольной защиты»

3.8 Защита автоматизированного рабочего места.

4. Профилактика нарушений Политики информационной безопасности.

4.1 Ликвидация последствий нарушения Политики информационной безопасности.
4.2 Ответственность за нарушение Политики информационной безопасности.
Вверх
HostCMS