Комплексная система защиты информации на предприятии
..pdfru.pstu.elib
ПРИЛОЖЕНИЕ 1
УТВЕРЖДАЮ Руководитель организации
__________ В.И. Громов "___"___________ _____г.
ПЕРЕЧЕНЬ сведений конфиденциального характера
|
№ |
Наименование сведений |
Гриф |
Базаданных иносители |
|
п/п |
сведений |
||
|
|
|
||
|
|
|
|
|
|
|
Персональные данныесотрудников организации: ФИО, паспортные |
СКПД 2 |
Базаданных «Сотрудники», |
|
1 |
данные, финансовые сведения, социальное, семейноеположение и |
КПД3,4 |
трудовая документация, личные |
|
|
сведения об образованиисотрудников |
|
дела сотрудников |
|
2 |
Персональные данные, полученные от клиентов: ФИО, паспортные |
СКПД 2 |
Базаданных «Клиенты», |
|
|
данные, финансовые сведения |
КПД3,4 |
контракты |
|
3 |
Сведения о финансовом состоянии организации, перечень основных |
ККТ |
Бухгалтерскаяиналоговая |
|
|
средств, статическаячастьбухгалтерскойиналоговойотчетности |
|
отчетность |
|
4 |
Расчетно-финансовые операции, сведения по ведению расчетного |
ККТ |
Банковские контракты, инфор- |
|
|
счетаиинформацияовзаимодействиискредитнымиорганизациями |
|
мация бухгалтерского отдела |
|
5 |
Сведения, получаемые от клиентов; информация, неразглашение |
ККТ |
Базаданных «Клиенты», |
51 |
|
которойподразумевается договорнымиотношениями склиентами |
|
контрактысклиентами |
|
|
|
|
.elib |
52 |
|
|
|
|
pstu |
|
|
|
|
|
|
|
№ |
Наименование сведений |
Гриф |
Базаданных иносители |
|
|
п/п |
сведений |
||
|
|
|
|
||
|
|
|
|
|
|
. |
|
|
Сведения о концепцииразвития предприятия, стратегическиепланы |
|
Концепция ведения бизнеса, |
|
6 |
развития, функциональные, маркетинговые, финансовые илогисти- |
СККТ |
стратегические планы органи- |
|
ru |
|
||||
|
|
ческие моделиведения бизнеса |
|
зациипо функциональным на- |
|
|
|
|
|
|
правлениям |
|
|
|
|
|
|
|
|
|
Сведения о методах текущего ценообразования, тактические планы |
|
Тактические планыпо функ- |
|
|
7 |
развития, информация о текущих иплановых контрактах |
СККТ |
циональным направлениям, |
|
|
|
|
|
разработанные методикиитре- |
|
|
|
|
|
бования к процедурам |
|
|
|
|
|
|
|
|
8 |
Сведения о планируемых итекущих совещаниях, перечень обсуж- |
ККТ |
Планысовещаний, протоколы и |
|
|
|
даемых вопросов, протоколы иотчетыпо совещаниям |
|
постановления |
|
|
9 |
Сведения, раскрывающие систему, средствазащиты информации, |
СККТ |
ДокументыСОИБ |
|
|
|
порядокобработкиипередачиконфиденциальной информации |
|
|
|
|
10 |
Сведения о порядке исостоянии организации охраны, пропускном |
ККТ |
ДокументыСОИБ, положение |
|
|
|
режиме, системесигнализации, перевозках ценных грузов |
|
об охране |
|
|
11 |
Сведения о проводимых переговорах |
ККТ |
Журналпроведения конфиден- |
|
|
|
|
|
циальных переговоров |
Обозначения в таблице:
ПД – персональные данные; 1, 2, 3, 4 – категории персональных данных; К – конфиденциально; СК – строго конфиденциально; КТ – коммерческая тайна.
Составил:__________________ Г.П. Кравченко
ПРИЛОЖЕНИЕ 2
УТВЕРЖДАЮ Руководитель ООО«Конфидент»
__________ Медведев Д.А. "___"___________ _____г.
Политика информационной безопасности
ООО «Конфидент»
Настоящая Политика разработана руководством организации совместно со службой безопасности на предприятии как основной документ в области обеспечения безопасности активов организации, защиты информации, регулирующий деятельность по всем аспектам информационной безопасности на всех уровнях организационной структуры предприятия.
Политика информационной безопасности разработана на основе устава и корпоративной политики.
Организация ООО «Конфидент» принимает на себя обязательства по соблюдению требований ГОСТ Р ИСО 27001–2006.
1. Общие положения Информационная безопасность – это защита информации
от различных угроз, призванная обеспечить непрерывность биз- нес-процессов, минимизировать риск для бизнеса и максимизировать возвращение вложений и обеспечить возможности деловой деятельности.
Политика информационной безопасности должна обеспечивать стабильную деятельность организации в соответствии с ее стратегией и миссией, на основе обеспечения непрерывности бизнес-процессов, в условиях соблюдения концепции ведения бизнеса и требований, изложенных в корпоративной политике
ООО«Конфидент».
2.Область действия
Данная Политика подкрепляет корпоративную политику
ООО «Конфидент» и служит основным регламентирующим до-
53
elib.pstu.ru
кументом в области обеспечения информационной безопасности организации, безопасности бизнес-процессов и защиты всех активов организации.
Настоящая Политика обязательна к применению:
–во всех структурных подразделениях организации;
–для клиентов организации, физических и юридических лиц, государственных органов власти и учреждений, прямо или косвенно получивших доступ к активам организации;
–всеми сотрудниками организации;
–лицами, работающими в организации на основе: граждан- ско-договорных отношений и контрактов о выполнении услуг.
3.Цели и задачи информационной безопасности
Основной целью настоящей Политики является обеспечение стабильной, бесперебойной деятельности организации, создание условий для выполнения стратегических целей организации, а также:
–понимание и обработка стратегических и оперативных рисков для информационной безопасности, чтобы они были приемлемы для организации;
–защита конфиденциальности информации клиентов, разработок продукции и планов маркетинга;
–формирование целостного представления о системе защиты информации у специалистов всех уровней организации;
–сохранение целостности материаловбухгалтерского учета. Исходя из данных целей задачами информационной безо-
пасности являются:
–обеспечить безопасность информационных активов организации;
–создать систему оценки и управления рисками;
–создать систему менеджмента информационной безопас-
ности;
–обеспечить безопасность материальных активов органи-
зации.
4.Состав системы обеспечения информационной безопас-
ности
54
elib.pstu.ru
Основным подразделением организации, занимающимся вопросами, связанными с защитой информации, является служба информационной безопасности предприятия.
Система обеспечения информационной безопасности
ООО«Конфидент» состоит из следующих подсистем:
1.Подсистема менеджмента информационной безопасно-
сти:
а) подсистема планирования; б) организационного обеспечения;
в) нормативно-правового обеспечения; г) финансового обеспечения; д) регистрации и учета инцидентов;
е) контроля и внутреннего аудита; ж) координации и совершенствования.
2.Подсистема информационной безопасности:
а) подсистема противодействия утечке информации по техническим каналам;
б) защиты корпоративной сети.
3.Подсистема безопасности материальных активов и физической охраны:
а) подсистема контроля и управления доступом; б) физической охраны объекта; в) видеонаблюдения;
г) охранно-пожарной сигнализации.
Функции каждой подсистемы могут выполняться отдельными структурными подразделениями организации либо в ходе совместной работы нескольких подразделений в соответствии с положениями частных политик безопасности.
Состав, структуру системы защиты информации и порядок распределения функций конкретных подсистем на структурные подразделения предприятия определяет руководитель службы безопасности в соответствии с требованиями данной Политики
ичастных политик безопасности организации.
5.Принципы обеспечения информационной безопасности
55
elib.pstu.ru
«Конфидент» способствует принятию рисков и преодолевает риски, которые не могут преодолеть организации с консервативным управлением, при условии понимания, мониторинга и обработки рисков для информации при необходимости.
Организация должна принимать все требования по защите информации клиентов и других субъектов, связанных с основными процессами деятельности.
Организация использует страхование активов от ущерба реализации остаточных рисков. Деятельность системы обеспечения информационной безопасности строится на документальном оформлении перечня сведений конфиденциального характера.
Весь персонал должен быть обучен правилам обеспечения информационной безопасности и подотчетен в рамках своих должностных обязанностей перед руководством организации за выполнение этих правил.
Возможность мошенничества и злоупотребления в области информационных систем должна быть принята в расчет при общем управлении информационными системами.
Отчеты о состоянии информационной безопасности должны быть доступны.
Необходимо отслеживать риски для информационной безопасности и предпринимать действия, когда изменения приводят к возникновению непредвиденных рисков.
Ситуации, которые могут привести организацию к нарушению законов и установленных норм, не должны допускаться.
Инциденты информационной безопасности не должны приводить к серьезным непредвиденным затратам или серьезным срывам работы служб и деятельности предприятия.
Потери из-за мошенничества должны быть известны и находиться в рамках приемлемых ограничений.
Вопросы информационной безопасности не должны оказывать неблагоприятного влияния на прием заказчиками продукции и услуг.
56
elib.pstu.ru
6. Сферы ответственности Руководители высшего звена, учредители и начальник
службы безопасности ответственны за актуальность данной Политики, ее плановый и внеплановый пересмотр и совершенствование, за защиту информации на предприятии в целом и сохранность материальных активов.
Начальник службы безопасности и генеральный директор отвечают за соблюдение требований настоящей Политики всеми сотрудниками организации.
Сотрудники отдела информационной безопасности ответственны за доведение до персонала всех частных политик информационной безопасности, требований к процедурам и записям.
Каждый сотрудник организации отвечает за соблюдение требований настоящей Политики и других обязательств по соблюдению режима конфиденциальности информационных активов, их целостности и доступности.
7.Политики в области безопасности
Ворганизации должны быть разработаны и реализованы следующие частные политики безопасности:
1.Положение о коммерческой тайне.
2.Политика контроля доступа.
3.Политика физической охраны объекта.
4.Политика резервного копирования.
5.Политика использования корпоративной сети.
6.Политика обмена информацией между организациями.
7.Политика ведения записей пользователей.
Составил:____________ В.Ф. Секретный
elib.pstu.ru
ПРИЛОЖЕНИЕ 3
УТВЕРЖДАЮ Руководитель ООО «Конфидент»
__________ Медведев Д.А. "___"___________ _____г.
Частная модель угроз конфиденциальной информации
Настоящая Частная модель угроз разработана специалистами службы информационной безопасности предприятия совместно с руководством организации как приложение к Политике информационной безопасности для определения организационных и технических мер по защите информации.
Частная модель угроз ООО «Конфидент» разработана на основе Устава предприятия, Политики информационной безопасности и Перечня сведений конфиденциального характера.
1. Общие положения Частная модель угроз – основа для реализации системы
технической и организационной защиты информации, а также организации управления рисками. Основой для построения Частной модели угроз является идентификация уязвимостей и угроз информационной безопасности временной комиссии по управлению рисками.
Настоящая Частная модель угроз в части угроз персональных данных соответствует требованиям ФСТЭК Российской Федерации и была рассчитана с помощью методики определения актуальных угроз безопасности персональных данных при их обработке в ИСПДн, составленной ФСТЭК Российской Федерации. При требовании Частной модели угроз ПД надзирающими органами необходимо предоставлять только выписку настоящего документа, содержащую прил. 1 (Частная модель угроз безопасности ПД при их обработке в ИСПДн).
58
elib.pstu.ru
2. Цели Частной модели угроз
–создать отправную точку для обеспечения организационной и технической защиты информации;
–обеспечить методическую поддержку деятельности по обработке уязвимостей и угроз, а также определить общую методику оценки рисков для организации;
–показать уполномоченным сотрудникам основные уязвимости информационных активов;
–определить основные риски угроз безопасности информационных технологий;
–определить уровни информационной инфраструктуры и источники угроз для составления документов более низкого уровня;
–обеспечить выполнение законодательства Российской Федерации, в том числе требований ФСТЭК в области защиты персональных данных;
–создать основные направления по проведению внутреннего аудита и мониторингу СОИБ.
3. Область действия Настоящая Частная модель угроз предназначена для со-
трудников службы безопасности как основополагающий документ при выборе защитных мер. Документ обязателен к применению всеми допущенными к нему лицами.
Ознакомление с данной моделью угроз возможно только при согласии руководителя службы безопасности.
4. Возможные уязвимости системы защиты и информационных активов
Уязвимости персонала:
а) отсутствие надлежащего персонала; б) неадекватные процедуры вербовки;
в) некорректно составленный трудовой договор; г) недостаточное обеспечение безопасности;
д) неправильное использование ПО и оборудования; е) нехватка механизмов мониторинга; ж) изъяны политики работы с носителями информации.
59
elib.pstu.ru
Уязвимости СМИБ:
а) изъяны физической защиты зданий, дверей и окон; б) неправильное или небрежное использование СКУД;
в) недостаточные условия обеспечения безопасности в контрактах с клиентами;
г) нехватка процедур выявления рисков; д) недостаточность информации о записях; е) нехватка процедур для обработки КИ;
ж) нехватка санкций и мер ответственности по нарушению режима;
з) недостаточная глубина внутреннего и внешнего аудита. Уязвимости аппаратных средств:
а) недостаточное обслуживание СВТ; б) изъяны в схемах амортизации и замены СВТ;
в) восприимчивость к влаге, пыли и неблагоприятному климату;
г) восприимчивость к изменению напряжения; д) неконтролируемое копирование; е) незащищенное хранение.
Уязвимости ПО:
а) недостаточное программное тестирование; б) недостатки в ПО; в) неправильное распределение прав доступа;
г) сложный пользовательский интерфейс; д) изъяны в документации к ПО. Уязвимости сети:
а) изъяны пользовательской аутентификации; б) изъяны защиты таблиц паролей, изъяны менеджмента
паролей; в) запуск ненужных служб;
г) недоработанное или новое ПО; д) изъяны в процедуре резервного копирования; е) незащищенные линии связи; ж) опасная сетевая архитектура; з) недостатки менеджмента сети.
60
elib.pstu.ru