Разработка стратегии информационной безопасности российских предприятий на примере предприятия ооо «информационно-технологическая сервисная компания» (ооо «итск»)

URL:

http://america.aljazeera.com/articles/multimedia/timeline-edward-snowden-revelations.html (дата обращения 01 апреля 2018 г.).

Википедия. [Электронный документ]. URL:

https://ru.wikipedia.org/wiki/уязвимость (дата обращения 01 апреля 2018 г.).

Жукова Е. Ф. Информационные технологии [Текст]: — М.: ЮНИТИ, 2012.

Жизненный цикл безопасной разработки Cisco (Cisco Secure Development Life cycle (CSDL)). [Электронный документ]. URL:

http://www.cisco.com/web/about/security/cspo/csdl/index.html (дата обращения 01 апреля 2018 г.).

Атака на китайский Интернет на выходных (Chinese Internet Hit by Attack Over Weekend), Пол Мозер (Paul Mozer), China Real Time Report, WSJ.com, 26 августа 2013 г. [Электронный документ]. URL:

http://blogs.wsj.com/chinarealtime/2013/08/26/chinese-internet-hit-by-attack-over-weekend/ (дата обращения 01 апреля 2018 г.).

Симонов С. В. Методология анализа рисков в информационных системах // Конфидент. Защита информации. — № 1. — 2008. — С. 72−76.

Безопасность VLAN. [Электронный документ]. URL:

http://xgu.ru/wiki/Безопасность_VLAN (дата обращения 01 апреля 2018 г.).

Средства информационной безопасности коммутаторов. [Электронный документ]. URL:

http://dreamcatcher.ru/2009/Средства-информационной-безопасност (дата обращения 01 апреля 2018 г.).

Cisco Forecast and Methodology, 2013−2018. [Электронный ресурс]. URL:

http://www.cisco.com/c/en/us/solutions/collateral/service-provider/global-cloud-index-gci/Cloud_Index_White_Paper.pdf (дата обращения 01 апреля 2018 г.).

ISO/IEC 2382−1:

1993. Information technology — Vocabulary — Part 1: Fundamental terms. [Электронный ресурс]. URL:

http://standards.iso.org/ittf/licence.html (дата обращения 01 апреля 2018 г.).

ПРИЛОЖЕНИЯ Приложение 1.

Приложение 2.

Сравнительный анализ методов защиты информации Группы методов Преимущества Недостатки организационные индивидуальны для каждой организации;

имеют несколько уровней защиты; большая зависимость от человеческого фактора;

много времени требуется для создания;

антивирусные высокий уровень защиты от вредоносных программ;

быстрая проверка файлов;

проверка сайта при помощи мониторинга ссылок перед переходом на него;

совместимость с разными операционными системами;

наличие поддержки и обновления;

довольно высокая стоимость ;

сильно влияет на производительность ПК;

пароли защита отдельных файлов, ресурсов, ПК;

возможность кражи, подглядывания, взлома;

криптографические защита информации от копирования и незаконного использования;

возможность использования скрытых методов защиты, известных только автору;

высокая скорость обработки;

простота реализации; затраты времени для проведения процедуры;

наличие программ расшифровки и распознавания текста;

сложность обмена ключами;

сложность управления ключами в большой сети;

стенографические защита текста от копирования, незаконного использования;

защита авторских прав; затраты времени для проведения процедуры;

наличие программ расшифровки и распознавания текста;

Приложение 3.

ОБЩЕСТВО С ОГРАНИЧЕННОЙ ОТВЕТСТВЕННОСТЬЮ «ИТСК».

политика информационной безопасности Введение Политика информационной безопасности Общества с ограниченной ответственностью «ИТСК» (далее — Общество) определяет цели и задачи системы обеспечения информационной безопасности (ИБ) и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуется Общество в своей деятельности.

Цели Основными целями политики ИБ являются защита информации Общества и обеспечение эффективной работы при осуществлении деятельности, указанной в его Уставе.

Общее руководство обеспечением ИБ осуществляет начальник службы безопасности. Руководители структурных подразделений Общества ответственны за обеспечение выполнения требований ИБ в своих подразделениях.

Сотрудники Общества обязаны соблюдать порядок обращения с конфиденциальными документами, носителями ключевой информации и другой защищаемой информацией, соблюдать требования настоящей Политики и других документов ИБ.

Задачи Политика информационной безопасности предназначена для защиты информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий персонала, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Наибольшими возможностями для нанесения ущерба Обществу обладает собственный персонал. Действия персонала могут быть мотивированы злым умыслом (при этом злоумышленник может иметь сообщников как внутри, так и вне общества), либо иметь непреднамеренный ошибочный характер. Риск аварий и технических сбоев определяется состоянием технического парка, надежностью систем энергоснабжения и телекоммуникаций, квалификацией персонала и его способностью к адекватным действиям в нештатной ситуации.

Необходимо учитывать, что с течением времени меняется характер угроз, поэтому следует своевременно, используя данные мониторинга и аудита, обновлять модели угроз и нарушителя.

Стратегия обеспечения ИБ заключается в использовании заранее разработанных мер противодействия атакам злоумышленников, а также программно-технических и организационных решений, позволяющих свести к минимуму возможные потери от технических аварий и ошибочных действий персонала.

Задачами настоящей политики являются:

описание организации системы управления информационной безопасностью в Обществе;

определение Политик информационной безопасности, а именно:

Политика реализации антивирусной защиты;

Политика учетных записей;

Политика предоставления доступа к информационному ресурсу;

Политика использования паролей;

Политика защиты информационной системы;

Политика конфиденциального делопроизводства;

определение порядка сопровождения ИС Общества.

Область действия Настоящая Политика распространяется на все структурные подразделения Общества и обязательна для исполнения всеми его сотрудниками и должностными лицами. Положения настоящей Политики применимы для использования во внутренних нормативных и методических документах, а также в договорах.

Период действия и порядок внесения изменений Настоящая политика вводится в действие приказом генерального директора Общества на основании Решения (Протокола общего собрания) единственного участника Общества.

Контроль за исполнением требований настоящей политики и поддержанием ее в актуальном состоянии возлагается на начальника службы безопасности.

Термины и определения Автоматизированная система — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Анализ риска — систематическое использование информации для определения источников и оценки риска.

Аудит информационной безопасности — процесс проверки выполнения установленных требований по обеспечению информационной безопасности. Может проводиться как самим обществом (внутренний аудит), так и с привлечением независимых внешних организаций (внешний аудит). Результаты проверки документально оформляются свидетельством аудита.

Аутентификация — проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности. Чаще всего аутентификация выполняется путем набора пользователем своего пароля на клавиатуре компьютера.

Доступ к информации — возможность получения информации и ее использования.

Защищенный канал передачи данных — логические и физические каналы сетевого взаимодействия, защищенные от прослушивания потенциальными злоумышленниками средствами шифрования данных (средствами VPN), либо путем их физической изоляции и размещения на охраняемой территории.

Идентификатор доступа — уникальный признак субъекта или объекта доступа.

Идентификация — присвоение субъектам доступа (пользователям, процессам) и объектам доступа (информационным ресурсам, устройствам) идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.

Информация — это актив, который, подобно другим активам общества, имеет ценность и, следовательно, должен быть защищен надлежащим образом.

Информационная безопасность — механизм защиты, обеспечивающий конфиденциальность, целостность, доступность информации; состояние защищенности информационных активов общества в условиях угроз в информационной сфере.

Информационная система — совокупность программного обеспечения и технических средств, используемых для хранения, обработки и передачи информации, с целью решения задач подразделений Общества. В Общества используются различные типы информационных систем для решения управленческих, учетных, обучающих и других задач.

Информационные технологии — процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

Информационные активы — информационные системы, информационные средства, информационные ресурсы.

Информационные средства — программные, технические, лингвистические, правовые, организационные средства (программы для электронных вычислительных машин; средства вычислительной техники и связи; словари, тезаурусы и классификаторы; инструкции и методики; положения, уставы, должностные инструкции; схемы и их описания, другая эксплуатационная и сопроводительная документация), используемые или создаваемые при проектировании информационных систем и обеспечивающие их эксплуатацию.

Информационные ресурсы — совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий.

Инцидент информационной безопасности — действительное, предпринимаемое или вероятное нарушение информационной безопасности, приводящее к нарушению доступности, конфиденциальности и целостности информационных активов Общества.

Источник угрозы — намерение или метод, нацеленный на умышленное использование уязвимости, либо ситуация или метод, которые могут случайно проявить уязвимость.

Конфиденциальная информация — информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Конфиденциальность — доступ к информации только авторизованных пользователей.

Критичная информация — информация, нарушение доступности, целостности, либо конфиденциальности которой, может оказать негативное влияние на функционирование подразделений Общества, привести к причинению Общества материального или иного вида ущерба.

Локальная вычислительная сеть (ЛВС) — группа ЭВМ, а также периферийное оборудование, объединенные одним или несколькими автономными высокоскоростными каналами передачи цифровых данных в пределах одного или нескольких близлежащих зданий.

Мониторинг информационной безопасности — постоянное наблюдение за объектами, влияющими на обеспечение информационной безопасности, сбор, анализ и обобщение результатов наблюдения под заданные цели. Объектом мониторинга в зависимости от целей может быть автоматизированная система или ее часть, информационные технологические процессы Общества, информационные услуги Общества и пр.

Несанкционированный доступ к информации (НСД) — доступ к информации, нарушающий правила разграничения уровней полномочий пользователей.

Обработка риска — процесс выбора и осуществления мер по модификации риска.

Остаточный риск — риск, остающийся после обработки риска.

Политика информационной безопасности — комплекс взаимоувязанных руководящих принципов и разработанных на их основе правил, процедур и практических приемов, принятых в учреждении для обеспечения его информационной безопасности.

Пользователь ЛВС — сотрудник Общества (штатный, временный, работающий по контракту и т. п.), а также прочие лица (подрядчики, аудиторы и т. п.), зарегистрированный в сети в установленном порядке и получивший права на доступ к ресурсам сети в соответствии со своими функциональными обязанностями.

Принятие риска — решение принять риск.

Программное обеспечение — совокупность прикладных программ, установленных на сервере или ЭВМ.

Рабочая станция — персональный компьютер, на котором пользователь сети выполняет свои служебные обязанности.

Регистрационная (учетная) запись пользователя — включает в себя имя пользователя и его уникальный цифровой идентификатор, однозначно идентифицирующий данного пользователя в операционной системе (сети, базе данных, приложении и т. п.). Регистрационная запись создается администратором при регистрации пользователя в операционной системе компьютера, в системе Общества базами данных, в сетевых доменах, приложениях и т. п. Она также может содержать такие сведения о пользователе, как Ф.И.О., название подразделения, телефоны, E-mail и т. п.

Роль — совокупность полномочий и привилегий на доступ к информационному ресурсу, необходимых для выполнения пользователем определенных функциональных обязанностей.

Собственник — лицо или организация, которые имеют утвержденные обязательства по менеджменту для контроля разработки, поддержки, использования и безопасности активов. Термин «собственник» не означает, что лицо действительно имеет какие-либо права собственности на актив.

Средства криптографической защиты информации — средства шифрования, средства имитозащиты, средства электронной подписи, средства кодирования, средства изготовления ключевых документов (независимо от вида носителя ключевой информации), ключевые документы (независимо от вида носителя ключевой информации).

Угрозы информационным данным — потенциально существующая опасность случайного или преднамеренного разрушения, несанкционированного получения или модификации данных, обусловленная структурой системы обработки, а также условиями обработки и хранения данных, т. е. это потенциальная возможность источника угроз успешно выявить определенную уязвимость системы.

Управление информационной безопасностью — совокупность целенаправленных действий, осуществляемых в рамках политики информационной безопасности в условиях угроз в информационной сфере, включающая в себя оценку состояния объекта Общества (например, оценку и Общество рисками), выбор управляющих воздействий и их реализацию (планирование, внедрение и обслуживание защитных мер).

Уязвимость — недостатки или слабые места информационных активов, которые могут привести к нарушению информационной безопасности Общества при реализации угроз в информационной сфере.

Целостность информации — состояние защищенности информации, характеризуемое способностью АС обеспечивать сохранность и неизменность конфиденциальной информации при попытках несанкционированных или случайных воздействий на нее в процессе обработки или хранения.

ЭВМ — электронная — вычислительная машина, персональный компьютер.

Электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Обозначения и сокращения АРМ — Автоматизированное рабочее место.

АС — Автоматизированная система.

БД — База данных.

ЗИ — Защита информации.

ИБ — Информационная безопасность.

ИС — Информационная система.

ИТС — Информационно-телекоммуникационная система.

КЗ — Контролируемая зона.

МЭ — Межсетевой экран.

НСД — Несанкционированный доступ.

ОС — Операционная система.

ПБ — Политики безопасности.

ПО — Программное обеспечение.

СВТ — Средства вычислительной техники.

СЗИ — Средство защиты информации.

СКЗИ — Средство криптографической защиты информации.

СПД — Система передачи данных.

СУБД — Система Общества базами данных.

СУИБ — Система Общества информационной безопасностью.

СЭД — Система электронного документооборота.

ЭВМ — Электронная — вычислительная машина, персональный компьютер.

ЭЦП — Электронная цифровая подпись.

Назначение политик информационной безопасности Политики информационной безопасности Общества — это совокупность норм, правил и практических рекомендаций, на которых строится Общество, защита и распределение информации в Управлении.

Под политиками безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политики информационной безопасности относятся к административным мерам обеспечения информационной безопасности и определяют стратегию Общества в области ИБ.

Политики информационной безопасности (далее, ПБ) регламентируют эффективную работу средств защиты информации. Они охватывают все особенности процесса обработки информации, определяя поведение ИС и ее пользователей в различных ситуациях. Политики информационной безопасности реализуются посредством административно-организационных мер, физических и программно-технических средств и определяет архитектуру системы защиты.

Все документально оформленные решения, формирующие Политики, должны быть утверждены генеральным директором Общества.

Основные принципы обеспечения ИБ Основными принципами обеспечения ИБ являются следующие:

Постоянный и всесторонний анализ информационного пространства общества с целью выявления уязвимостей информационных активов.

Своевременное обнаружение проблем, потенциально способных повлиять на ИБ общества, корректировка моделей угроз и нарушителя.

Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию.

Контроль эффективности принимаемых защитных мер.

Персонификация и адекватное разделение ролей и ответственности между сотрудниками Общества, исходя из принципа персональной и единоличной ответственности за совершаемые операции.

Ответственность за реализацию политик информационной безопасности Ответственность за разработку мер и контроль обеспечения защиты информации, реализацию политик несёт начальник службы безопасности.

Порядок подготовки персонала по вопросам информационной безопасности и допуска его к работе Организация обучения сотрудников Общества в области информационной безопасности возлагается на начальника службы безопасности (СБ). Подписи сотрудников об ознакомлении заносятся в «Журнал проведения инструктажа по информационной безопасности». Обучение сотрудников Общества правилам обращения с конфиденциальной информацией, проводится путем:

проведения инструктивных занятий с сотрудниками, принимаемыми на работу в Общество;

самостоятельного изучения сотрудниками внутренних нормативных документов Общества.

Допуск персонала к работе с защищаемыми информационными ресурсами Общества осуществляется только после его ознакомления с настоящими политиками, а так же иными инструкциями пользователей отдельных информационных систем. Согласие на соблюдение правил и требований настоящих политик подтверждается подписями сотрудников в «Журнале проведения инструктажа по информационной безопасности».

Защищаемые информационные ресурсы Общества Различаются следующие категории информационных ресурсов, подлежащих защите в Обществе:

Конфиденциальная — информация, определенная в соответствии с Федеральным Законом от 27.

07.2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ФЗ от 27.

07.2006 г. № 152-ФЗ «О персональных данных», указом президента РФ от 06.

03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера», постановлением правительства РФ от 17.

11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», предусмотренная Перечнем сведений конфиденциального характера.

Публичная — информация, получаемая из публичных источников (публикации в СМИ, теле и радиовещание и т. д.). Информация, предназначенная для размещения на внешних публичных ресурсах;

Открытая — информация, полученная от физических или юридических лиц, запрет на распространение и обработку которой был ими официально снят. Информация, сформированная в результате деятельности Общества, которую запрещено относить конфиденциальной на основании законодательства России. Информация, представляемая в публичный доступ, используемая в хозяйственной деятельности Общества;

Ограниченного доступа — информация, не попадающая под остальные категории, доступ к которой должен быть ограничен определенной категории лиц.

Подходы к решению проблемы защиты информации, в общем виде, сводятся к исключению неправомерных или неосторожных действий со сведениями, относящимися к информации ограниченного распространения, а также с информационными ресурсами, являющимися критичными для обеспечения функционирования процессов Общества.

Для этого выполняются следующие мероприятия:

определяется порядок работы с документами, образцами изделиями и др., содержащими конфиденциальные сведения;

устанавливается круг лиц и порядок доступа к подобной информации;

вырабатываются меры по контролю обращения с документами, содержащими конфиденциальные сведения;

Согласно Ст. 86 п.7 Трудового кодекса РФ защита персональных данных сотрудника от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральным законом.

Согласно Ст. 88 Трудового кодекса РФ при передаче персональных данных сотрудника работодатель должен соблюдать следующие требования:

осуществлять передачу персональных данных сотрудника в пределах одной организации в соответствии с локальным нормативным актом организации, с которым сотрудник должен быть ознакомлен под расписку;

разрешать доступ к персональным данным сотрудников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудника, которые необходимы для выполнения конкретных функций.

Согласно Ст. 90 Трудового кодекса РФ лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных сотрудника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Организация системы управления ИБ Система управления информационной безопасности Общества (СУИБ) — предназначенная для создания, реализации, эксплуатации, мониторинга, анализа, поддержки и повышения информационной безопасности Общества.

Для успешного функционирования СУИБ Общества должны быть реализованы следующие процессы:

определение и уточнение области действия СУИБ и выбор подхода к оценке рисков ИБ.

определение и уточнение области действия СУИБ должно осуществляться на основе результатов оценки рисков, связанных с основной деятельностью Общества, а также оценки правовых рисков деятельности Общества;

анализ и оценка рисков ИБ, варианты обработки рисков ИБ для наиболее критичных информационных активов.

выбор и уточнение целей ИБ и защитных мер и их обоснование для минимизации рисков ИБ.

принятие руководством остаточных рисков и решения о реализации и эксплуатации/совершенствовании СУИБ. Остаточные риски ИБ должны быть соотнесены с рисками деятельности Общества, и оценено их влияние на достижение целей деятельности.

Реализация системы управления ИБ В системе управления ИБ должны быть реализованы следующие процессы:

разработка плана обработки рисков ИБ;

реализация плана обработки рисков ИБ и реализация защитных мер, управление работами и ресурсами, связанными с реализацией СУИБ;

реализация программ по обучению и осведомленности ИБ;

обнаружение и реагирование на инциденты безопасности;

обеспечение непрерывности деятельности и восстановления после прерываний.

Методы оценивания информационных рисков Оценка информационных рисков Общества выполняется по следующим основным этапам:

идентификация и количественная оценка информационных ресурсов, значимых для работы Общества;

оценивание возможных угроз;

оценивание существующих уязвимостей;

оценивание эффективности средств обеспечения информационной безопасности.

Предполагается, что значимые уязвимые информационные ресурсы Общества подвергаются риску, если по отношению к ним существуют какие-либо угрозы.

При этом информационные риски зависят от:

показателей ценности информационных ресурсов;

вероятности реализации угроз для ресурсов;

эффективности существующих или планируемых средств обеспечения информационной безопасности.

Цель оценивания рисков состоит в определении характеристик рисков информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень информационной безопасности организации.

При оценивании рисков учитываются: ценность ресурсов, значимость угроз и уязвимостей, эффективность существующих и планируемых средств защиты. Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса Общества.

При этом вероятность того, что угроза реализуется, определяется следующими основными показателями:

привлекательностью ресурса, используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

возможностью использования ресурса для получения дохода, также используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

техническими возможностями реализации угрозы, используется при умышленном воздействии со стороны человека;

степенью легкости, с которой уязвимость может быть использована.

Политики информационной безопасности Политика предоставления доступа к информационному ресурсу Назначение Настоящая Политика определяет основные правила предоставления сотрудникам доступа к защищаемым информационным ресурсам Общества.

Положение политики К работе с информационным ресурсом допускаются пользователи, ознакомленные с правилами работы с информационным ресурсом и ответственностью за их нарушение, а также настоящей политикой.

Каждому сотруднику Общества, допущенному к работе с конкретным информационным ресурсом, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет регистрироваться и работать в ИС.

В случае необходимости некоторым сотрудникам могут быть сопоставлены несколько уникальных имен (учетных записей). Использование несколькими сотрудниками при работе в Управлении одного и того же имени пользователя («группового имени») ЗАПРЕЩЕНО.

Политика защиты ИС Назначение Настоящая Политика определяет основные правила и требования по защите персональных данных и иной конфиденциальной информации Общества от неавторизованного доступа, утраты или модификации.

Положения политики Во время работы с конфиденциальной информацией должен предотвращаться ее просмотр не допущенными к ней лицами.

При любом оставлении рабочего места, рабочая станция должна быть заблокирована, съемные машинные носители, содержащие конфиденциальную информацию, заперты в помещении, шкафу или ящике стола или в сейфе.

Доступ к информации предоставляется только лицам, имеющим обоснованную необходимость в работе с этими данными для выполнения своих должностных обязанностей.

Пользователям запрещается устанавливать неавторизованные программы на компьютеры.

Конфигурация программ на компьютерах должна проверяться ежемесячно на предмет выявления установки неавторизованных программ.

Техническое обслуживание должно осуществляться только на основании обращения пользователя.

Локальное техническое обслуживание должно осуществляться только в личном присутствии пользователя.

Дистанционное техническое обслуживание должно осуществляться только со специально выделенных автоматизированных рабочих мест, конфигурация и состав которых должны быть стандартизованы, а процесс эксплуатации регламентирован и контролироваться.

При проведении технического обслуживания должен выполняться минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений.

Порядок сопровождения ИС Общества Обеспечение информационной безопасности информационных систем на стадиях жизненного цикла ИБ ИС должна обеспечиваться на всех стадиях жизненного цикла (ЖЦ) ИС, автоматизирующих технологические процессы, с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и надзорных подразделений организации). Разработка технических заданий, проектирование, создание, тестирование, приемка средств и систем защиты ИС проводится при участии администратора информационной безопасности и системного администратора. Порядок разработки и внедрения ИС должен быть регламентирован и контролироваться.

При разработке ИС необходимо придерживаться требований и методических указаний, определенных стандартами, входящими в группу ГОСТ 34. ххх «Стандарты информационной технологии».

Ввод в действие, эксплуатация, снятие с эксплуатации ИС в части вопросов ИБ должны осуществляться при участии генерального директора.

На стадиях, связанных с разработкой ИС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должна быть обеспечена защита от угроз:

неверной формулировки требований к ИС;

выбора неадекватной модели ЖЦ ИС, в том числе неадекватного выбора процессов ЖЦ и вовлеченных в них участников;

принятия неверных проектных решений;

внесения разработчиком дефектов на уровне архитектурных решений;

внесения разработчиком недокументированных возможностей в ИС;

неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к ИС;

разработки некачественной документации;

сборки ИС разработчиком/производителем с нарушением требований, что приводит к появлению недокументированных возможностей в ИС либо к неадекватной реализации требований;

неверного конфигурирования ИС;

приемки ИС, не отвечающей требованиям заказчика;

внесения недокументированных возможностей в ИС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ.

Привлекаемые для разработки средств и систем защиты ИС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством РФ.

При приобретении готовых ИС и их компонентов разработчиком должна быть предоставлена документация, содержащая, в том числе, описание защитных мер, предпринятых разработчиком в отношении угроз информационной безопасности.

На стадии эксплуатации должна быть обеспечена защита от следующих угроз:

умышленное несанкционированное раскрытие, модификация или уничтожение информации;

неумышленная модификация или уничтожение информации;

недоставка или ошибочная доставка информации;

отказ в обслуживании или ухудшение обслуживания.

Кроме этого, актуальной является угроза отказа от авторства сообщения. На стадии сопровождения должна быть обеспечена защита от угроз:

внесения изменений в ИС, приводящих к нарушению ее функциональности либо к появлению недокументированных возможностей;

невнесения разработчиком/поставщиком изменений, необходимых для поддержки правильного функционирования и правильного состояния ИС.

На стадии снятия с эксплуатации должно быть обеспечено удаление информации, несанкционированное использование которой может нанести ущерб Общества, и информации, используемой средствами обеспечения ИБ, из постоянной памяти ИС или с внешних носителей.

Требования ИБ должны включаться во все договора и контракты на проведение работ или оказание услуг на всех стадиях ЖЦ ИС.

Профилактика нарушений политик информационной безопасности Под профилактикой нарушений политик информационной безопасности понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений информационной безопасности и проведение разъяснительной работы по информационной безопасности среди пользователей.

Прием на работу новых сотрудников должен сопровождаться ознакомлением их с правилами и требованиями настоящих политик.

Ликвидация последствий нарушения политик информационной безопасности Начальник службы безопасности, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС, должен своевременно обнаруживать нарушения информационной безопасности, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению.

В случае обнаружения подсистемой защиты информации факта нарушения информационной безопасности или осуществления НСД к защищаемым информационным ресурсам ИС рекомендуется уведомить генерального директора, и далее следовать его указаниям.

Ответственность нарушителей ПБ Ответственность за выполнение правил Политик безопасности несет каждый сотрудник Общества в рамках своих служебных обязанностей и полномочий.

На основании ст. 192 Трудового кодекса РФ сотрудники, нарушающие требования политики безопасности Общества, могут быть подвергнуты дисциплинарным взысканиям, включая замечание, выговор и увольнение с работы.

DoS-атака — это любая атака, которая используется, чтобы перегрузить конкретные устройства и сетевые сервисы несанкционированным трафиком, вследствие чего разрешенный трафик не сможет получить доступ к этим ресурсам.

•.

Политика информационной безопасности «Газпромбанк» (Открытое акционерное общество).