Распоряжение Администрации муниципального образования городской округ "Охинский" Сахалинской области от 20.06.2013 N 325 "Об утверждении Политики информационной безопасности администрации муниципального образования городской округ "Охинский"

В соответствии с федеральными законами от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных":

1. Утвердить прилагаемую Политику информационной безопасности администрации муниципального образования городской округ "Охинский".

2. Разместить распоряжение на официальном сайте администрации муниципального образования городской округ "Охинский" www.adm-okha.ru.

3. Контроль за исполнением возложить на первого заместителя главы муниципального образования городской округ "Охинский" Никулина В.И.

И.о главы муниципального образования городской округ "Охинский" Сахалинской области

А.М. Шкрабалюк

Приложение

к распоряжению Администрации

муниципального образования

городской округ "Охинский"

от 20 июня 2013 г. N 325

Политика информационной безопасности администрации муниципального
образования городской округ "Охинский"

1. Общие положения

Политика информационной безопасности (далее - Политика) администрации муниципального образования городской округ "Охинский" (далее - администрация) определяет цели и задачи системы обеспечения информационной безопасности (далее - ИБ) и устанавливает совокупность правил, требований и руководящих принципов в области ИБ, которыми руководствуются сотрудники администрации в своей деятельности.

Основными целями Политики являются обеспечение безопасности объектов защиты администрации от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности.

Общее руководство обеспечением ИБ администрации осуществляет первый заместитель главы администрации. Ответственность за организацию мероприятий по обеспечению ИБ несет начальник отдела кадров, контроля и организационно-технического обеспечения. Контроль за соблюдением требований ИБ и ответственность за функционирование автоматизированных систем (далее - АС) осуществляют специалисты группы по компьютерной технике.

Руководители структурных подразделений администрации несут ответственность за обеспечение выполнения требований ИБ в этих подразделениях.

Сотрудники администрации обязаны соблюдать порядок обращения со сведениями ограниченного доступа, носителями ключевой информации и другой защищаемой информацией, соблюдать требования Политики и других документов ИБ.

Политика направлена на защиту информационных активов от угроз, исходящих от противоправных действий злоумышленников, уменьшение рисков и снижение потенциального вреда от аварий, непреднамеренных ошибочных действий сотрудников, технических сбоев, неправильных технологических и организационных решений в процессах обработки, передачи и хранения информации и обеспечение нормального функционирования технологических процессов.

Структура Политики ИБ состоит из:

- система мероприятий по предоставлению доступа к информационному ресурсу;

- система мероприятий по ведению учетных записей;

- система мероприятий по реализации антивирусной защиты;

- система мероприятий по защите автоматизированных рабочих мест (далее - АРМ);

- определение порядка сопровождения информационных систем (далее - ИС) администрации.

Область действия Политики распространяется на все структурные подразделения администрации и обязательна для исполнения всеми сотрудниками. Положения настоящей Политики применимы для использования в правовых актах администрации, а также в договорах и иных документах.

Политика вводится в действие и признается утратившей силу распоряжением администрации.

Изменения в Политику вносятся распоряжением администрации. Инициатором внесения изменений в Политику является специалисты группы по компьютерной технике.

Плановая актуализация Политики производится ежегодно и имеет целью приведение в соответствие определенных Политикой защитных мер реальным условиям и текущим требованиям к защите информации.

Внеплановая актуализация Политики производится в обязательном порядке в следующих случаях:

- при изменении политики Российской Федерации в области ИБ,

- правовых актов в области защиты информации;

- при изменении нормативных документов (инструкций, положений, руководств), касающихся ИБ администрации;

- при происшествии и выявлении нарушений ИБ, могущих причинить ущерб администрации.

Ответственность за актуализацию Политики ИБ (плановую и внеплановую), контроль за исполнением ее требований несут специалист группы по компьютерной технике.

2. Система мероприятий ИБ администрации городского округа "Охинский"

2.1. Назначение систем мероприятий ИБ

Системы мероприятий ИБ администрации - это совокупность норм, правил и практических рекомендаций, на которых строится управление, защита и распределение информации в администрации.

Под системами мероприятий ИБ понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Системы мероприятий ИБ относятся к административным мерам ее обеспечения и определяют стратегию администрации в области ИБ.

Системы мероприятий ИБ регламентируют эффективную работу средств защиты информации. Они охватывают все особенности процесса обработки информации, определяя поведение информационной системы (далее - ИС) и ее пользователей в различных ситуациях. Системы мероприятий ИБ реализуются посредством административно-организационных мер, физических и программно-технических средств и определяют архитектуру системы защиты.

Все документально оформленные решения, формирующие системы мероприятий, должны быть утверждены главой администрации.

2.2. Основные принципы обеспечения ИБ

Основными принципами обеспечения ИБ являются:

Постоянный и всесторонний анализ информационного пространства администрации с целью выявления уязвимостей информационных активов;

Своевременное обнаружение проблем, потенциально способных повлиять на ИБ, корректировка моделей угроз и нарушителя;

Разработка и внедрение защитных мер, адекватных характеру выявленных угроз, с учетом затрат на их реализацию. При этом меры, принимаемые для обеспечения ИБ, не должны усложнять достижение уставных целей администрации, а также повышать трудоемкость технологических процессов обработки информации;

Контроль эффективности принимаемых защитных мер;

Персонификация и адекватное разделение ролей и ответственности между сотрудниками администрации, исходя из принципа персональной ответственности за совершаемые операции.

2.3. Соответствие систем мероприятий действующему законодательству.

Правовую основу систем мероприятий составляют федеральные законы и другие законодательные акты, определяющие права и ответственность граждан, органов государственной власти и органов местного самоуправления в сфере безопасности, а также нормативные, отраслевые и ведомственные документы по вопросам безопасности информации, утвержденные органами исполнительной власти Российской Федерации и Сахалинской области в пределах их компетенции.

2.4. Ответственность за реализацию систем мероприятий ИБ

Ответственность за разработку мер и контроль обеспечения защиты информации несет начальник отдела кадров, контроля и организационно-технического обеспечения.

Ответственность за реализацию систем мероприятий возлагается:

- в части, касающейся разработки и актуализации правил внешнего доступа и управления доступом, антивирусной защиты - на специалиста группы по компьютерной технике отдела кадров, контроля и организационно-технического обеспечения;

- в части, касающейся доведения правил систем мероприятий до сотрудников - на начальника отдела кадров, контроля и организационно-технического обеспечения;

- в части, касающейся исполнения правил систем мероприятий, - на каждого сотрудника администрации, согласно их должностным и функциональным обязанностям.

2.5. Порядок подготовки муниципальных служащих по вопросам ИБ и допуска их к работе.

Организация обучения сотрудников администрации в области ИБ возлагается на специалиста группы по компьютерной технике.

Обучение сотрудников администрации правилам обращения с информацией ограниченного доступа проводится путем:

проведения специалистом группы по компьютерной технике инструктивных занятий с гражданами, поступающими на работу в администрацию;

самостоятельного изучения сотрудником документов, реализующих Политику ИБ администрации.

Допуск сотрудников к работе с информацией ограниченного доступа администрации осуществляется после ознакомления с Инструкциями по обращению с носителями информации ограниченного распространения.

2.6. Защищаемые информационные ресурсы.

Различаются следующие категории информационных ресурсов, подлежащих защите в администрации:

Информация ограниченного доступа (конфиденциальная) - информация, определенная в соответствии с федеральными законами от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации", от 27.07.2006 N 152-ФЗ "О персональных данных", Указом Президента Российской Федерации от 06.03.1997 N 188 "Об утверждении перечня сведений конфиденциального характера", Постановлением Правительства Российской Федерации от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", предусмотренная Перечнем сведений конфиденциального характера.

Публичная информация - информация, получаемая из публичных источников (публикации в средствах массовой информации, теле- и радиовещание и т.д.), а также информация, предназначенная для размещения на внешних публичных ресурсах.

Открытая информация - информация, полученная от физических или юридических лиц, запрет на распространение и обработку которой был ими официально снят. Информация, сформированная в результате деятельности администрации, которую запрещено относить к конфиденциальной на основании российского законодательства. Информация, представляемая в публичный доступ, используемая в хозяйственной деятельности администрации или имеющая принципиальное значение для имиджа администрации.

Конфиденциальная информация представляет собой сведения ограниченного доступа, для которых в качестве основной угрозы безопасности рассматривается нарушение конфиденциальности путем раскрытия ее содержимого третьим лицам, не допущенным в установленном порядке к работе с этой информацией.

Подходы к решению проблемы защиты информации в администрации состоят в исключении неправомерных или неосторожных действий со сведениями, относящимися к информации ограниченного распространения, а также с информационными ресурсами, являющимися критичными для обеспечения функционирования рабочих процессов администрации.

Для защиты информации в администрации выполняются следующие мероприятия:

- определяется порядок работы с документами, носителями и др., содержащими сведения ограниченного распространения;

- устанавливается круг лиц и порядок доступа к подобной информации;

- вырабатываются меры по контролю обращения с документами, содержащими сведения ограниченного распространения;

- включаются в трудовые договоры с сотрудниками администрации обязательства о неразглашении конфиденциальных сведений и определяются санкции за нарушения порядка работы с ними и их разглашение.

Подписка о неразглашении конфиденциальной информации совершается при заключении трудового договора, который подписывается каждым гражданином при приеме на работу в администрацию. Защита информации ограниченного доступа, принадлежащей третьей стороне, осуществляется на основании договоров, заключаемых администрацией с другими организациями.

2.7. Методы оценивания информационных рисков.

Оценка информационных рисков выполняется по следующим основным этапам:

- идентификация и количественная оценка информационных ресурсов, значимых для работы администрации;

- оценивание возможных угроз;

- оценивание существующих уязвимостей;

- оценивание эффективности средств обеспечения ИБ.

Предполагается, что значимые для производственного процесса уязвимые информационные ресурсы администрации подвергаются риску, если по отношению к ним существуют какие-либо угрозы.

При этом информационные риски зависят от:

- показателей ценности информационных ресурсов;

- вероятности реализации угроз для ресурсов;

- эффективности существующих или планируемых средств обеспечения ИБ.

Цель оценивания рисков состоит в определении характеристик рисков корпоративной информационной системы и ее ресурсов. В результате оценки рисков становится возможным выбрать средства, обеспечивающие желаемый уровень ИБ.

При оценивании рисков учитываются:

- ценность ресурсов,

- значимость угроз и уязвимостей,

- эффективность существующих и планируемых средств защиты.

Сами показатели ресурсов, значимости угроз и уязвимостей, эффективность средств защиты могут быть определены как количественными методами, например, при определении стоимостных характеристик, так и качественными, например, учитывающими штатные или чрезвычайно опасные нештатные воздействия внешней среды.

Возможность реализации угрозы оценивается вероятностью ее реализации в течение заданного отрезка времени для некоторого ресурса.

При этом вероятность того, что угроза реализуется, определяется следующими основными показателями:

- привлекательностью ресурса, показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

- возможностью использования ресурса для получения дохода, показатель используется при рассмотрении угрозы от умышленного воздействия со стороны человека;

- техническими возможностями реализации угрозы, показатель используется при умышленном воздействии со стороны человека;

- степенью легкости, с которой уязвимость может быть использована.

3. Структура политики информационной безопасности

3.1. Порядок предоставления доступа к информационному ресурсу

К работе с информационным ресурсом допускаются пользователи, ознакомленные с настоящей Политикой.

Каждому муниципальному служащему, допущенному к работе с конкретным информационным ресурсом, должно быть сопоставлено персональное уникальное имя (учетная запись пользователя), под которым он будет зарегистрирован в ИС.

Процедура регистрации (создания учетной записи), также продления срока действия временной учетной записи пользователя служащего администрации инициируется специалистом группы по компьютерной.

3.2 Система мероприятий ведения учетных записей

Настоящая система мероприятий ИБ определяет основные правила присвоения учетных записей пользователям информационных активов.

Регистрационные учетные записи подразделяются на:

- пользовательские, предназначенные для идентификации/аутентификации пользователей информационных активов;

- системные, используемые для нужд операционной системы (ОС);

- служебные, предназначенные для обеспечения функционирования отдельных процессов или приложений.

Каждому пользователю информационных активов назначается уникальная пользовательская регистрационная учетная запись.

Системные регистрационные учетные записи формируются ОС и должны использоваться только в случаях, предписанных документацией на ОС.

Служебные регистрационные учетные записи используются только для запуска сервисов или приложений.

Использование системных или служебных учетных записей для регистрации пользователей в системе категорически запрещено.

3.3 Система мероприятий реализации антивирусной защиты.

Настоящая система мероприятий определяет основные правила для реализации антивирусной защиты. Положения системы мероприятий закрепляются в Инструкции по проведению антивирусного контроля в АС.

3.4 Система мероприятий защиты автоматизированных рабочий мест (АРМ).

Настоящая система мероприятий определяет основные правила и требования по защите информации ограниченного доступа администрации от неавторизованного доступа, утраты или модификации:

- Во время работы с информацией ограниченного доступа должен предотвращаться ее просмотр, не допущенными к ней лицами;

- При любом оставлении рабочего места рабочая станция должна быть заблокирована, съемные машинные носители, содержащие информацию ограниченного доступа, заперты в помещении, шкафу или ящике стола, или в сейфе;

- Несанкционированное использование печатающих, факсимильных, копировально-множительных аппаратов и сканеров должно предотвращаться путем их размещения в помещениях с ограниченным доступом, использования паролей или иных доступных механизмов разграничения доступа;

- Сотрудники администрации получают доступ к ресурсам вычислительной сети после ознакомления с документами, регулирующими защиту персональных данных и утвержденными главой администрации согласно занимаемой должности;

- Доступ к компонентам ОС и командам системного администрирования на рабочих станциях пользователей ограничен. Право на доступ к подобным компонентам предоставлено только специалистам группы по компьютерной технике. Конечным пользователям предоставляется доступ только к тем командам, которые необходимы для выполнения их должностных обязанностей;

- Пользователям запрещается устанавливать ПО на компьютеры без согласования со специалистами группы по компьютерной техники отдела кадров, контроля и организационно-технического обеспечения;

- Конфигурация программ на компьютерах должна проверяться ежемесячно на предмет выявления установки неразрешенного ПО;

- Локальное техническое обслуживание должно осуществляться только в личном присутствии пользователя;

- Дистанционное техническое обслуживание должно осуществляться только со специально выделенных АРМ, конфигурация и состав которых должны быть стандартизованы, а процесс эксплуатации регламентирован и контролироваться;

- При проведении технического обслуживания должен выполняться минимальный набор действий, необходимых для устранения проблемы, явившейся причиной обращения, и должны использоваться любые возможности, позволяющие впоследствии установить авторство внесенных изменений;

- Копирование конфиденциальной информации и временное изъятие носителей конфиденциальной информации, в том числе в составе АРМ, допускаются только с санкции пользователя. В случае изъятия носителей, содержащих конфиденциальную информацию, пользователь имеет право присутствовать при дальнейшем проведении работ;

- АРМ, на которых предполагается обрабатывать информацию ограниченного доступа, должны быть закреплены за соответствующим сотрудниками. Запрещается использование указанных АРМ другими пользователями без согласования с руководителя службы (отдела). При передаче указанного АРМ другому пользователю должна производиться гарантированная очистка диска (форматирование);

3.5 Порядок сопровождения информационных систем (ИС).

Обеспечение ИБ на стадиях жизненного цикла (далее - ЖЦ) ИС должно осуществляться на всех его стадиях, автоматизирующих технологические процессы, с учетом всех сторон, вовлеченных в процессы ЖЦ (разработчиков, заказчиков, поставщиков продуктов и услуг, эксплуатирующих и контролирующих органов администрации). Разработка технических заданий, проектирование, создание, тестирование, приемка средств и систем защиты ИС проводится при участии специалистов группы по компьютерной технике отдела кадров, контроля и организационно-технического обеспечения.

При разработке ИС необходимо придерживаться требований и методических указаний, определенных стандартами, входящими в группу ГОСТ 34 "Стандарты информационной технологии".

Ввод в действие, эксплуатация, снятие с эксплуатации ИС в части вопросов ИБ должны осуществляться при участии специалистов группы по компьютерной технике отдела кадров, контроля и организационно-технического обеспечения.

На стадиях, связанных с разработкой ИС (определение требований заинтересованных сторон, анализ требований, архитектурное проектирование, реализация, интеграция и верификация, поставка, ввод в действие), разработчиком должна быть обеспечена защита от угроз: неверной формулировки требований к ИС; выбора неадекватной модели ЖЦ ИС, в том числе неадекватного выбора процессов ЖЦ и вовлеченных в них участников; принятия неверных проектных решений; внесения разработчиком дефектов на уровне архитектурных решений; внесения разработчиком недокументированных возможностей в ИС; неадекватной (неполной, противоречивой, некорректной и пр.) реализации требований к ИС; разработки некачественной документации; сборки ИС разработчиком/производителем с нарушением требований, что приводит к появлению недокументированных возможностей в ИС либо к неадекватной реализации требований; неверного конфигурирования ИС; приемки ИС, не отвечающей требованиям заказчика; внесения недокументированных возможностей в ИС в процессе проведения приемочных испытаний посредством недокументированных возможностей функциональных тестов и тестов ИБ.

Привлекаемые для разработки и (или) производства средств и систем защиты ИС на договорной основе специализированные организации должны иметь лицензии на данный вид деятельности в соответствии с законодательством Российской Федерации.

При приобретении готовых ИС и их компонентов разработчиком должна быть предоставлена документация, содержащая, в том числе, описание защитных мер, предпринятых разработчиком в отношении угроз ИБ. Также разработчиком должна быть представлена документация, содержащая описание защитных мер, предпринятых разработчиком ИС, и их компонентов, касающихся безопасности разработки, безопасности поставки, эксплуатации, поддержки ЖЦ, включая описание модели ЖЦ, оценки уязвимости. Данная документация может быть представлена в рамках декларации о соответствии или быть результатом оценки соответствия изделия, проведенной в рамках соответствующей системы оценки.

В договор (контракт) о поставке ИС и их компонентов включаются положения по сопровождению поставляемых модулей на весь срок их службы. В случае невозможности включения в договор (контракт) указанных требований к разработчику, должна быть рассмотрена возможность приобретения полного комплекта рабочей документации на модуль для обеспечения последующего сопровождения ИС и их компонентов без участия разработчика. Если оба указанных варианта неприемлемы, например, вследствие высокой цены, администрация должна провести анализ влияния угрозы невозможности сопровождения ИС и их компонентов на обеспечение непрерывности технологического процесса.

На стадии эксплуатации должна быть обеспечена защита от следующих угроз: умышленное несанкционированное раскрытие, модификация или уничтожение информации; неумышленная модификация или уничтожение информации; недоставка или ошибочная доставка информации; отказ в обслуживании или ухудшение обслуживания.

Требования ИБ должны включаться во все договоры и контракты на проведение работ или оказание услуг на всех стадиях ЖЦ ИС.

4. Профилактика нарушений системы мероприятий ИБ

Под профилактикой нарушений системы мероприятий ИБ понимается проведение регламентных работ по защите информации, предупреждение возможных нарушений ИБ в администрации и проведение разъяснительной работы по ИБ среди пользователей администрации.

Проведение в ИС администрации регламентных работ по защите информации предполагает выполнение процедур контрольного тестирования (проверки) функций средств защиты информации (СЗИ), что гарантирует ее работоспособность с точностью до периода тестирования. Контрольное тестирование функций СЗИ может быть частичным или полным и должно проводиться с установленной периодичностью.

Задача предупреждения в ИС администрации возможных нарушений ИБ решается по мере наступления следующих событий:

- включение в состав ИС администрации новых программных и технических средств (новых рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС администрации;

- изменение конфигурации программных и технических средств ИС администрации (изменение конфигурации ПО рабочих станций, серверного или коммуникационного оборудования и др.) при условии появления уязвимых мест в СЗИ ИС;

- появление сведений о выявленных уязвимых местах в составе ОС и/или ПО технических средств, используемых в ИС.

Специалист группы по компьютерной технике, используя рекомендации организации, специализирующейся в области ИБ и имеющей соответствующие сертификаты Федеральной службы по техническому и экспортному контролю (далее - ФСТЭК), собирает и анализирует информацию о выявленных уязвимых местах в составе ОС и/или ПО относительно ИС. Источниками подобного рода сведений могут служить официальные издания и публикации в средствах массовой информации, общественных объединений и других организаций, специализирующихся в области защиты информации.

Специалист группы по компьютерной технике, используя рекомендации организации, специализирующейся в области ИБ и имеющей соответствующие сертификаты ФСТЭК, организует периодическую проверку СЗИ ИС администрации путем моделирования возможных попыток осуществления НСД к защищаемым информационным ресурсам.

Для решения задач контроля защищенности ИС используются инструментальные средства для тестирования реализованных в составе СЗИ ИС администрации средств и функций защиты. По результатам профилактических работ, проводимых в ИС администрации, необходимо сделать соответствующие записи в Журнале проверки исправности и технического обслуживания.

5. Ликвидация последствий нарушения системы мероприятий ИБ

Специалист группы по компьютерной технике, используя данные, полученные в результате применения инструментальных средств контроля (мониторинга) безопасности информации ИС администрации, должен своевременно обнаруживать нарушения ИБ, факты осуществления НСД к защищаемым информационным ресурсам и предпринимать меры по их локализации и устранению.

После устранения нарушения необходимо составить акт о факте нарушения и принятых мерах по восстановлению работоспособности ИС, а также зарегистрировать факт нарушения в журнале учета нарушений, ликвидации их причин и последствий.

6. Ответственность нарушителей систем мероприятий ИБ

Ответственность за выполнение правил систем мероприятий безопасности несет каждый сотрудник администрации в рамках своих служебных обязанностей и полномочий.