Цели и задачи обеспечения ИБ

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «ПТУ»

УТВЕРЖДЕНО

 

Ректор государственного образовательного учреждения среднего профессионального образования «ПТУ»

Чечекин П.С.

«30» марта 2011г.

 

 

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ГОСУДАРСТВЕННОГО ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «ПТУ»

 

 

Содержание

1. общие положения................................................................................. 3

2. Обозначения и сокращения............................................................ 4

3. термины и определения.................................................................... 5

4. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ иб....................................................... 7

5. Модели угроз и нарушителей ИБ ПТУ......................................... 8

6. Система ИБ ПТУ..................................................................................... 10

7. система безопасного функционирования технических средств и информационных ресурсов.......................................................... 13

8. Категорирование защищаемых ресурсов............................ 14

9. управление доступом к Информационным Ресурсам АС 16

10. администрирование АС ПТУ........................................................ 17

11. планирование бесперебойной работы................................. 18

12. Этапы создания системы ЗИ АС................................................ 19

13. ответственность за нарушение Политики ИБ.................. 19

 

1. общие положения

 

1.1. Настоящий документ определяет основные направления политики информационной безопасности, ее цели и задачи, принципы ее организации, функционирования и правовые основы. Описывает виды угроз ресурсам ПТУ, подлежащим защите, а организационно-технические меры по защите АС ПТУ от НСД к циркулирующей в ней.

1.2. Требования настоящего документа распространяются на всех пользователей и все структурные подразделения АС «ПТУ»

1.3. Перечень мер по реализации политики информационной безопасности, структура управления системой защиты информации и ответственность должностных лиц могут варьироваться с целью достижения компромисса между защищенностью, удобством работы и стоимостью системы защиты информации.

 

 

Обозначения и сокращения

 

АС АРМ ИБ ИР ЛВС МЭ НСД ОС ПЭМИН ПО PC СЗИ СЗИ НСД СКЗИ СМИБ СПД СУБД ТС ЗИ ЭЦП ЭВМ

- автоматизированная система - автоматизированное рабочее место - информационная безопасность - информационные ресурсы - локальная вычислительная сеть - межсетевой экран - несанкционированный доступ - операционная система - побочные электромагнитные излучения и наводки - программное обеспечение - рабочая станция - система защиты информации - средства защиты информации от несанкционированного доступа - средство криптографической защиты информации - система менеджмента информационной безопасности - система передачи данных - система управления базами данных - телекоммуникационные системы - защита информации - электронная цифровая подпись - электронная вычислительная машина

 

3.термины и определения

Автоматизированная система – система, состоящая из персонала и оборудования, автоматизирующая процесс обработки информации.

Информационная безопасность – состояние защищенности информационных ресурсов в условиях угроз в информационной сфере.

Политика информационной безопасности – совокупность правил, процедур, приемов и руководящих принципов в области информационной безопасности, которыми руководствуется ПТУ в своей деятельности.

Риск – предполагаемая возможность потерь (ущерба).

Мониторинг информационной безопасности – постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения.

Аудит информационной безопасности – периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в ПТУ требований по обеспечению ИБ.

Автоматизированное рабочее место - совокупность ПО, установленного на PC пользователя, позволяющего выполнять функциональные задачи в рамках АС.

Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора(подтверждение подлинности).

Аудит - отслеживание действий пользователей путем регистрации событий определенных типов в журналах регистрации.

Защищаемая информация - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации.

Защищаемые ресурсы - информация, функциональные задачи, АРМ, РС, подлежащие защите с целью обеспечения ИБ подразделений ПТУ, его клиентов, а также сотрудников.

Защищаемое помещение - помещение, в котором исключено неконтролируемое пребывание лиц, не имеющих на это право.

Класс защищенности - определенная совокупность требований по защите СВТ от НСД к информации.

Конфиденциальность информации - определяемая характеристика информации, указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.

Несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС.

Структура управления СЗИ - управляемая структура, объединяющая специалистов по ЗИ различных подразделений ПТУ для решения задач по ИБ АС.

Угроза информационной безопасности - совокупность условий и факторов, создающих опасность НСД к информации, циркулирующей в АС.

Учетная запись - запись, содержащая сведения, определяющие пользователя в системе (имя пользователя и пароль, права и разрешения, которые он имеет при работе в системе и доступе к ее ресурсам).

Целостность информации - способность СВТ или АС обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

Система ИБ ПТУ

Требования к системе ИБ

6.2.1. Требования к системе ИБ формируются для следующих областей:

- защиты от НСД, управления доступом и регистрацией всех действий в АС, в телекоммуникационном оборудовании, автоматических телефонных станциях и т.д.;

- обеспечение ИБ на стадиях жизненного цикла АС;

- использования СКЗИ;

- антивирусной защиты;

- использования ресурсов сети Интернет;

- Обеспечение доверия к персоналу.

 

6.2.2. Назначение и распределение ролей, обеспечение доверия к персоналу.

6.2.2.1. Необходимо обладать информацией о своих сотрудниках, тщательно подбирать персонал, что создает доверительную среду для деятельности ПТУ.

6.2.2.2. Должны быть определены работы, связанные с деятельностью по обеспечению ИБ. Руководство ПТУ осуществляет координацию своевременности и качества выполнения работ, связанных с обеспечением ИБ.

6.2.1.5. Все сотрудники ПТУ должны давать письменное обязательство о соблюдении конфиденциальности информации. При взаимодействии с третьими лицами требования по обеспечению ИБ должны регламентироваться положениями, включаемыми в договоры с ними.

 

6.2.3.Обеспечение ИБ на стадиях жизненного цикла АС.

ИБ АС должна обеспечиваться на всех стадиях жизненного цикла АС.

6.2.3.1. Ввод в действие, эксплуатация и сопровождение, снятие с эксплуатации АС осуществляются под контролем службы ИБ.

6.2.3.2. На стадии снятия с эксплуатации должны быть документально определены и выполняться процедуры, обеспечивающие удаление информации, несанкционированное использование которой может нанести ущерб деятельности ПТУ.

 

6.2.4. Антивирусная защита.

6.2.4.1. На всех РС пользователей должны устанавливаться лицензионные средства антивирусной защиты.

6.2.4.2. Обновления антивирусных баз производится ежедневно.

6.2.4.3. Производится постоянный антивирусный контроль программ и файлов данных на рабочих станциях пользователей.

6.2.4.4.Сотрудники службы информационной безопасности должны регулярно проводить аудит сообщений антивирусных средств.

 

6.2.5.Защита от НСД, управление доступом.

6.2.5.1. Должен быть документально определен перечень информационных ресурсов. Права доступа сотрудников к данным ресурсам должны быть документально зафиксированы.

6.2.5.2. должны быть документально определены и утверждены руководством, выполняться и контролироваться процедуры идентификации, аутентификации, авторизации, управления доступом, контроля целостности, регистрации событий и действий. Результаты контроля процедур должны документироваться.

6.2.5.3. Работа всех пользователей АС осуществляется под уникальными учетными записями.

 

6.2.5. Использование сети Интернет.

Сеть Интернет используется ПТУ для:

- обмена электронными сообщениями, (почтовыми);

- в образовательных целях;

- ведения дистанционного обслуживания;

 

6.2.6. Использование СКЗИ.

6.2.6.1. СКЗИ должны быть сертифицированы уполномоченным государственным органом, либо реализованы на основе рекомендованных уполномоченным государственным органом алгоритмов.

6.2.6.2. СКЗИ используются АС ПТУ для:

- обмена информацией с прочими организациями;

- обмена информацией с министерством образованием России;

Общие положения

 

Категорирование ресурсов АС ПТУ является необходимым элементом организации работ по обеспечению ИБ АС, целями которого является:

- выработка решений по принимаемым организационным мерам защиты и распределению аппаратно-программных средств защиты для различных категорий РС АС ПТУ;

- создание подхода к защите ресурсов АС;

 

ПЕРЕЧНИ защищаемых ресурсов

8.3.1. В ходе выполнения работ по категорированию защищаемых ресурсов АС составляется «Перечень информационных ресурсов АС» и «Перечень СВТ АС ПТУ».

8.3.2. После проведения работ по категорированию СВТ АС в «Паспорта рабочих мест» вносятся записи о категории РС. РС должны быть оснащены средствами защиты информации в соответствии с установленной категорией.

8.3.3. В случае изменения требований к категориям информационных ресурсов АС и/или изменения категории РС, производится пересмотр «Перечня информационных ресурсов АС» и «Перечня вычислительной техники АС».

Регистрация пользователей

Регистрация и подключение пользователей к АС ПТУ происходит в соответствии с «Положением о предоставлении сотрудникам ПТУ доступа к информационным ресурсам и регистрации действий пользователей при их работе с АС, ЛВС и сети Интернет».

Управление привилегиями

Администратором АС для каждого пользователя определяются и устанавливаются полномочия на вызов транзакций, а также на конкретные действия внутри транзакций, в соответствии с должностными обязанностями.

Каждому пользователю разрешено выполнение только тех функций и работа с теми объектами системы, на которые он имеет полномочия в соответствии со своими должностными обязанностями при работе в АС.

Обязанности пользователей

Использование паролей

9.3.1.1. Пароли должны держаться в тайне.

9.3.1.2. При несоблюдении правил использования паролей, пользователи несут ответственность.

Администрирование АС Вуза

 

Защита баз данных

 

10.1.1. За защиту данных на уровне базы данных отвечает специалист отдела информационных технологий, ответственный за администрирование СУБД.

10.1.2. Для доступа к базе данных используются только встроенные средства АС.

10.1.3. Для доступа к базе данных запрещено пользоваться стандартной учетной записью пользователя АС. Для прямого доступа к базе данных необходимо создать специальных пользователей с соответствующими правами доступа.

 

Доступность системы

 

11.1.1. После введения АС в эксплуатацию, все компоненты системы должны быть доступны.

11.1.2. Резервное копирование систем осуществляется ежедневно.

11.1.3. Для обеспечения бесперебойного функционирования АС предусмотрено резервирование систем обработки и хранения данных.

 

ГОСУДАРСТВЕННОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «ПТУ»

УТВЕРЖДЕНО

 

Ректор государственного образовательного учреждения среднего профессионального образования «ПТУ»

Чечекин П.С.

«30» марта 2011г.

 

 

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ГОСУДАРСТВЕННОГО ОБРАЗОВАТЕЛЬНОГО УЧРЕЖДЕНИЯ СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ «ПТУ»

 

 

Содержание

1. общие положения................................................................................. 3

2. Обозначения и сокращения............................................................ 4

3. термины и определения.................................................................... 5

4. ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ иб....................................................... 7

5. Модели угроз и нарушителей ИБ ПТУ......................................... 8

6. Система ИБ ПТУ..................................................................................... 10

7. система безопасного функционирования технических средств и информационных ресурсов.......................................................... 13

8. Категорирование защищаемых ресурсов............................ 14

9. управление доступом к Информационным Ресурсам АС 16

10. администрирование АС ПТУ........................................................ 17

11. планирование бесперебойной работы................................. 18

12. Этапы создания системы ЗИ АС................................................ 19

13. ответственность за нарушение Политики ИБ.................. 19

 

1. общие положения

 

1.1. Настоящий документ определяет основные направления политики информационной безопасности, ее цели и задачи, принципы ее организации, функционирования и правовые основы. Описывает виды угроз ресурсам ПТУ, подлежащим защите, а организационно-технические меры по защите АС ПТУ от НСД к циркулирующей в ней.

1.2. Требования настоящего документа распространяются на всех пользователей и все структурные подразделения АС «ПТУ»

1.3. Перечень мер по реализации политики информационной безопасности, структура управления системой защиты информации и ответственность должностных лиц могут варьироваться с целью достижения компромисса между защищенностью, удобством работы и стоимостью системы защиты информации.

 

 

Обозначения и сокращения

 

АС АРМ ИБ ИР ЛВС МЭ НСД ОС ПЭМИН ПО PC СЗИ СЗИ НСД СКЗИ СМИБ СПД СУБД ТС ЗИ ЭЦП ЭВМ

- автоматизированная система - автоматизированное рабочее место - информационная безопасность - информационные ресурсы - локальная вычислительная сеть - межсетевой экран - несанкционированный доступ - операционная система - побочные электромагнитные излучения и наводки - программное обеспечение - рабочая станция - система защиты информации - средства защиты информации от несанкционированного доступа - средство криптографической защиты информации - система менеджмента информационной безопасности - система передачи данных - система управления базами данных - телекоммуникационные системы - защита информации - электронная цифровая подпись - электронная вычислительная машина

 

3.термины и определения

Автоматизированная система – система, состоящая из персонала и оборудования, автоматизирующая процесс обработки информации.

Информационная безопасность – состояние защищенности информационных ресурсов в условиях угроз в информационной сфере.

Политика информационной безопасности – совокупность правил, процедур, приемов и руководящих принципов в области информационной безопасности, которыми руководствуется ПТУ в своей деятельности.

Риск – предполагаемая возможность потерь (ущерба).

Мониторинг информационной безопасности – постоянное наблюдение за событиями мониторинга ИБ, сбор, анализ и обобщение результатов наблюдения.

Аудит информационной безопасности – периодический, независимый и документированный процесс получения свидетельств аудита и объективной их оценки с целью установления степени выполнения в ПТУ требований по обеспечению ИБ.

Автоматизированное рабочее место - совокупность ПО, установленного на PC пользователя, позволяющего выполнять функциональные задачи в рамках АС.

Аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора(подтверждение подлинности).

Аудит - отслеживание действий пользователей путем регистрации событий определенных типов в журналах регистрации.

Защищаемая информация - информация (сведения), являющаяся предметом собственности и подлежащая защите в соответствии с требованиями законодательных и нормативных документов или в соответствии с требованиями, устанавливаемыми собственником информации.

Защищаемые ресурсы - информация, функциональные задачи, АРМ, РС, подлежащие защите с целью обеспечения ИБ подразделений ПТУ, его клиентов, а также сотрудников.

Защищаемое помещение - помещение, в котором исключено неконтролируемое пребывание лиц, не имеющих на это право.

Класс защищенности - определенная совокупность требований по защите СВТ от НСД к информации.

Конфиденциальность информации - определяемая характеристика информации, указывающая на необходимость введения ограничений на круг субъектов (лиц), имеющих доступ к данной информации, и обеспечиваемая способностью системы сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней.

Несанкционированный доступ - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых СВТ или АС.

Структура управления СЗИ - управляемая структура, объединяющая специалистов по ЗИ различных подразделений ПТУ для решения задач по ИБ АС.

Угроза информационной безопасности - совокупность условий и факторов, создающих опасность НСД к информации, циркулирующей в АС.

Учетная запись - запись, содержащая сведения, определяющие пользователя в системе (имя пользователя и пароль, права и разрешения, которые он имеет при работе в системе и доступе к ее ресурсам).

Целостность информации - способность СВТ или АС обеспечивать неизменность информации в условиях случайного и/или преднамеренного искажения (разрушения).

ЦЕЛИ И ЗАДАЧИ ОБЕСПЕЧЕНИЯ иб

 

Целью обеспечения ИБ ПТУ является сохранение конфиденциальности, целостности и доступности информации.

Конфиденциальность информации - предоставление доступа к данным только авторизованным лицам;

целостность – в случае внесения в данные исключительно авторизованных изменений,;

доступность – при обеспечении возможности получения доступа к данным авторизованным лицам в нужное для них время.

 

Основными задачами обеспечения ИБ являются:

- защита от угроз утечки, утраты или несанкционированной модификации;

- нейтрализация последствий от реализованных угроз;

- обеспечение соответствия законодательству и стандартам.