Размер:
AAA
Цвет: CCC
Изображения Вкл.Выкл.
Обычная версия сайта
Поиск

Информационные системы

Деятельность
Правовая база
Социальная политикa
Труд и занятость
Семья и дети
Информация для граждан
Пресс-центр

Обновления на сайте

15.02.2024
Изменение информации
12.02.2024
Добавление информации
12.02.2024
Добавление информации

Показать все

Политика информационной безопасности

Политика
информационной безопасности информационных систем
Министерства социальной политики и труда Удмуртской Республики

I. Общие положения

  1. Настоящая Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных, изложенными в Концепции информационной безопасности информационных систем Министерства социальной политики и труда Удмуртской Республики (далее – Министерство).

  2. Целью настоящей Политики является обеспечение безопасности объектов защиты персональных данных Министерства от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных.

  3. Безопасность персональных данных достигается путём исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

  4. В Министерстве обеспечивается осуществление своевременного обнаружения и реагирования на угрозы безопасности персональных данных, предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения персональных данных. 

  5. Требования настоящей Политики распространяются на всех сотрудников Министерства (постоянных, временных), а также иных лиц (подрядчиков, исполнителей, аудиторов и т.п.).

    6. II. Система защиты персональных данных

  6. Система защиты персональных данных строится в Министерстве на основании:

    законодательства Российской Федерации в области защиты персональных данных, руководящих документов Федеральной службы по техническому и экспортному контролю России и Федеральной службы безопасности России;

    организационно-распорядительных документов Министерства в сфере защиты персональных данных (приложение к настоящей политике).

    На основании указанных документов определяется необходимый уровень защищённости персональных данных каждой информационной системы Министерства.

  7. На основании анализа актуальных угроз безопасности персональных данных, описанного в моделях угроз безопасности при их обработке в информационных системах Министерства и отчёте о результатах проведения внутренней проверки обеспечения защиты персональных данных в информационных системах Министерства, делается вывод о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности персональных данных. 

  8. Для каждой информационной системы должен быть составлен список используемых технических средств защиты, а также программного обеспечения, участвующего в обработке персональных данных, на всех элементах информационных систем:

    персональные компьютеры пользователей;

    серверы приложений;

    система управления базами данных –  СУБД;

    граница локальной вычислительной сети;

    каналы передачи в сети общего пользования и (или) международного обмена, если по ним передаются персональные данные.

  9. В зависимости от уровня защищённости информационных систем и актуальных угроз система защиты персональных данных может включать в себя следующие технические средства:

    антивирусные средства для персональных компьютеров пользователей и серверов;

    средства межсетевого экранирования;

    средства криптографической защиты информации при передаче защищаемой информации по каналам связи.

    Также в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки персональных данных операционной системы, прикладным программным обеспечением и специальными комплексами, реализующими средства защиты. Список функций защиты может включать в себя:

    управление и разграничение доступа пользователей;

    регистрацию и учёт действий с информацией;

    обеспечение целостности данных;

    осуществление обнаружения вторжений.

    10. III. Требования к подсистемам системы защиты персональных данных

  10. Система защиты персональных данных включает в себя следующие подсистемы:

    управления доступом;

    регистрации и учёта;

    обеспечения целостности и доступности;

    антивирусной защиты;

    межсетевого экранирования;

    анализа защищённости;

    обнаружения вторжений;

    криптографической защиты.

  11. Подсистемы системы защиты персональных данных имеют различный функционал в зависимости от класса информационной системы, установленного в акте классификации информационной системы.

  12. Подсистема управления доступом предназначена для реализации следующих функций:

    идентификация и проверка подлинности субъектов доступа при входе в информационную систему;

    идентификация терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;

    идентификация программ, томов, каталогов, файлов, записей, полей записей по именам.

    Подсистема управления доступом может быть реализована с помощью штатных средств обработки персональных данных (операционных систем, приложений и СУБД). Также может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по аутентификации и контролю.

  13. Подсистема регистрации и учёта предназначена для реализации следующих функций:

    регистрация входа (выхода) субъектов доступа в систему (из системы) либо регистрация загрузки и инициализации операционной системы и её остановка;

    регистрация попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;

    регистрация попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.

    Подсистема регистрации и учёта может быть реализована с помощью организационных мер защиты информации. Также может быть внедрено специальное техническое средство или их комплекс, осуществляющие дополнительные меры по регистрации действий, осуществляемых в информационной системе.

  14. Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности персональных данных, программных и аппаратных средств информационных систем, а также средств защиты при случайной или намеренной модификации.

    Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а так же резервированием ключевых элементов информационных систем.

  15. Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты персональных компьютеров пользователей и серверов.

    Средства антивирусной защиты предназначены для реализации следующих функций:

    резидентный антивирусный мониторинг;

    антивирусное сканирование;

    скрипт-блокирование;

    централизованная /удалённая установка/ деинсталляция антивирусного продукта, настройка, администрирование, просмотр отчётов и статистической информации по работе продукта;

    автоматизированное обновление антивирусных баз;

    ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;

    автоматический запуск сразу после загрузки операционной системы.

    Подсистема реализуется путём внедрения специального антивирусного программного обеспечения на все элементы информационных систем.

  16. Подсистема межсетевого экранирования предназначена для реализации следующих функций:

    1) фильтрация открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам:

    фиксация во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;

    идентификация и аутентификации администратора межсетевого экрана при его локальных запросах на доступ;

    регистрация входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и её программного останова;

    контроль целостности своей программной и информационной части;

    2) фильтрация пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

    3) фильтрация с учётом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

    4) регистрация и учёт запрашиваемых сервисов прикладного уровня;

    5) блокирование доступа неидентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;

    6) контроль за сетевой активностью приложений и обнаружения сетевых атак.

    Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе локальной вычислительной сети классом не ниже 4.

  17. Подсистема анализа защищённости должна обеспечивать выявления уязвимостей, связанных с ошибками в конфигурации программного обеспечения информационных систем, которые могут быть использованы нарушителем для реализации атаки на систему.

    Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

  18. Подсистема обнаружения вторжений должна обеспечивать выявление сетевых атак на элементы информационных систем, подключённые к сетям общего пользования и (или) международного обмена.

    Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.

  19. Подсистема криптографической защиты предназначена для исключения несанкционированного доступа к защищаемой информации при её передаче по каналам связи сетей общего пользования и (или) международного обмена.

    Подсистема реализуется путём внедрения криптографических программно-аппаратных комплексов.

    20. IV. Категории пользователей информационных систем Министерства

  20. В Концепции информационной безопасности информационных систем Министерства социальной политики и труда Удмуртской Республики определены основные категории пользователей информационных систем Министерства. 

  21. Для определения требований к пользователям информационных систем, степени ответственности, уровня защищённости, должностным обязанностям сотрудников, ответственных за обеспечение безопасности персональных данных выделяются следующие группы пользователей информационных систем Министерства, участвующих в обработке и хранении персональных данных:

    1) администратор информационной системы Министерства:

    администратор информационной системы;

    администратор безопасности информационной системы;

    администратор сети;

    2) пользователь информационной системы Министерства:

    пользователь информационной системы;

    технический специалист по обслуживанию периферийного оборудования;

    3) программист-разработчик информационной системы Министерства:

    программист-разработчик информационной системы.

  22. Данные о группах пользователей, уровне их доступа и информированности отражаются в Положении о разграничении прав доступа к обрабатываемым персональным данным в информационных системах Министерства.

    23. V. Администратор информационных систем Министерства

  23. Администратором информационной системы Министерства является специалист Министерства, который выполняет функции настройки, внедрения и сопровождения информационной системы Министерства. 

  24. Администратор информационной системы Министерства обеспечивает функционирование подсистемы управления доступом информационных систем Министерства и уполномочен осуществлять предоставление и разграничение доступа пользователей к элементам информационных систем, хранящим персональные данные.

  25. Администратор информационной системы Министерства обладает следующим уровнем доступа:

    обладает полной информацией о системном и прикладном программном обеспечении информационной системы Министерства;

    обладает полной информацией о технических средствах и конфигурации информационной системы Министерства;

    имеет доступ ко всем техническим средствам обработки информации и данным информационной системы Министерства;

    обладает правами конфигурирования и административной настройки технических средств информационной системы Министерства.

  26. Администратором безопасности является специалист Министерства, уполномоченный на проведение работ по реализации технических мер защиты персональных данных и поддержания достигнутого уровня защиты информационных систем персональных данных, ответственный за функционирование системы защиты персональных данных, включая обслуживание и настройку административного, серверного и клиентского компонентов на этапах промышленной эксплуатации и модернизации.

  27. Администратор безопасности обладает следующим уровнем доступа и знаний:

    обладает правами администратора информационной системы Министерства;

    обладает полной информацией об информационной системе Министерства;

    имеет доступ к средствам защиты информации  и протоколирования и к части ключевых элементов информационной системы Министерства;

    не имеет прав доступа к конфигурированию технических средств сети, за исключением контрольных (инспекционных).

  28. Администратор безопасности уполномочен:

    реализовывать политику безопасности в части настройки средств криптографической защиты информации, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь информационной системы получает возможность работать с элементами информационной системы;

    осуществлять аудит средств защиты;

    устанавливать доверительные отношения своей защищённой сети с сетями других учреждений.

  29. Администратором сети является специалист Министерства, ответственный за функционирование телекоммуникационной подсистемы информационной системы. Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности.

  30. Администратор сети обладает следующим уровнем доступа и знаний:

    обладает частью информации о системном и прикладном программном обеспечении информационной системы Министерства;

    обладает частью информации о технических средствах и конфигурации информационной системы Министерства;

    имеет физический доступ к техническим средствам обработки информации и средствам защиты;

    знает, по меньшей мере, одно легальное имя доступа.

    31. VI. Пользователь информационных систем Министерства

  31. Пользователем информационной системы Министерства является специалист Министерства, участвующий в процессе эксплуатации информационной системы Министерства и осуществляющий обработку персональных данных. 

  32. Пользователь информационной системы Министерства обладает следующим уровнем доступа:

    обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству персональных данных;

    располагает конфиденциальными данными, к которым имеет доступ.

  33. Техническим специалистом по обслуживанию периферийного оборудования является специалист Министерства, осуществляющий обслуживание и настройку периферийного оборудования информационных систем Министерства.

  34. Технический специалист по обслуживанию периферийного оборудования не имеет полномочий для управления подсистемами обработки данных и безопасности.

  35. Технический специалист по обслуживанию периферийного оборудования обладает следующим уровнем доступа и знаний:

    обладает частью информации о системном и прикладном программном обеспечении информационных систем Министерства;

    обладает частью информации о технических средствах и конфигурации информационных систем Министерства;

    знает, по меньшей мере, одно легальное имя доступа.

    36. VII. Программист – разработчик информационной системы Министерства

  36. Программист-разработчик информационной системы Министерства – специалист, осуществляющий разработку прикладного программного обеспечения, обеспечивающий его сопровождение на защищаемом объекте. К данной группе могут относиться как специалисты Министерства, так и сотрудники сторонних организаций.

  37. Программист-разработчик информационной системы Министерства обладает следующим уровнем доступа:

    обладает информацией об алгоритмах и программах обработки информации на информационной системе Министерства;

    обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение информационной системы на стадии её разработки, внедрения и сопровождения;

    может располагать любыми фрагментами информации о топологии информационной системы Министерства и технических средствах обработки и защиты персональных данных.

    38. VIII. Требования к пользователям информационных систем Министерства по обеспечению защиты персональных данных

  38. Все пользователи информационных систем Министерства должны чётко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности персональных данных.

  39. Сотрудник Министерства при назначении на должность должен быть ознакомлен с настоящей Политикой и документами, регламентирующими требования по защите персональных данных в Министерстве, а также обучен навыкам выполнения процедур, необходимых для санкционированного использования информационных систем Министерства. 

  40. Пользователи информационных систем Министерства, использующие технические средства аутентификации, должны:

    обеспечивать сохранность идентификаторов (электронных ключей);

    не допускать несанкционированный доступ к ним;

    исключить возможность их утери или использования третьими лицами.

    Пользователи информационных систем Министерства несут персональную ответственность за сохранность идентификаторов.

  41. Пользователи информационных систем Министерства не использующие технические средства аутентификации должны:

    следовать установленным процедурам поддержания режима безопасности персональных данных при выборе и использовании паролей;

    не допускать несанкционированный доступ сторонних лиц к паролям.

  42. Все пользователи информационных систем Министерства должны: обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица;

    знать требования по безопасности персональных данных и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты. 

  43. Пользователям информационных систем Министерства запрещается:

    устанавливать постороннее программное обеспечение;

    подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию;

    разглашать защищаемую информацию третьим лицам.

  44. При работе с персональными данными пользователи информационных систем Министерства обязаны обеспечить отсутствие возможности просмотра персональных данных третьими лицами с мониторов персональных компьютеров или терминалов.

    При завершении работы в информационной системе пользователи информационных систем Министерства обязаны защитить персональный компьютер или терминал с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

  45. Пользователи информационных систем Министерства должны быть проинформированы об угрозах нарушения режима безопасности персональных данных и ответственности за его нарушение.

  46. Пользователи информационных систем Министерства обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы информационных систем, которые могут повлечь за собой угрозы безопасности персональных данных, а также о выявленных ими событиях, затрагивающих безопасность персональных данных, руководителю подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности персональных данных. 

    47. IX. Ответственность

  47. Пользователи информационных систем Министерства, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Дата редактирования: 04.03.2020


Авторизация