УТВЕРЖДАЮ

Начальник

Федеральной службы государственной статистики

по Хабаровскому краю

______________ С.И. Позолотин

«___» ____________ 2017 г.

Политика информационной безопасности

«Управления федеральной службы государственной статистики по Хабаровскому краю»

Хабаровск – 2017

Содержание

1. Общие положения 2

2. Цели и задачи Политики 2

3. Объекты защиты 3

4. Угрозы безопасности 4

5. Управление информационной безопасностью 5

6. Активы Учреждения 6

7. Правила безопасности, связанные с кадрами 7

8. Инциденты информационной безопасности 10

9. Физическая безопасность 13

10. Управление доступом к информационным системам 17

11. Настройка сетевого оборудования 21

12. Правила работы в ИС Учреждения 24

13. Удаленный доступ 31

14. Использование криптографической защиты 32

15. Резервное копирование 33

16. Защита персональных данных 35

17. Перечень нормативных правовых актов, на которых основаны правила Политики 35

18. Ответственность за нарушение Политики 37

19. Заключительные положения 37

Список сокращений 39

Термины и определения 39

1. Общие положения

1. Политика информационной безопасности (далее – Политика) является документом, который доступен для любого сотрудника Хабаровскстата (далее – Учреждение). Политика описывает цели и задачи информационной безопасности и способы их достижения, определяет нормы и правила управления информационной безопасностью.

2. Политика распространяется на все структурные подразделения Учреждения.

3. Политика является документом первого уровня, остальные документы, затрагивающие область ИБ, являются документами второго уровня.

4. Контроль выполнения Политики осуществляет руководитель Учреждения.

5. Ответственным за организацию мероприятий по ИБ является администратор безопасности.

6. Сотрудники Учреждения должны соблюдать правила по обращению с защищаемой информацией, соблюдать Политику и другие организационно-правовые документы Учреждения.

7. Политика информационной безопасности – это совокупность норм и правил, при выполнении которых достигается обеспечение безопасности информации в Учреждения.

8. Правила Политики охватывают все процессы, происходящие во время обработки информации.

1. Цели и задачи Политики

Основной целью Политики является защита Учреждения от возможного нанесения материального, физического или иного ущерба, посредством проникновения в информационные системы Учреждения, воздействия на технические средства обработки информации и на процессы деятельности Учреждения.

Задачами Политики являются:

• определение объектов защиты;

• определение угроз безопасности информации;

• описание системы управления информационной безопасностью;

• определение правил для обеспечения безопасности Учреждения, которые включают:

– определение активов Учреждения;

• правила при найме и увольнении сотрудников;

• реагирование на инциденты;

• физическую безопасность;

• настройку сетевого оборудования;

• управление доступом к ИС Учреждения;

• удаленный доступ;

• криптографическую защиту;

• резервное копирование;

– правила работы в ИС Учреждения.

1. Объекты защиты

Учреждения определены следующие объекты защиты:

• информационные ресурсы, содержащие информацию ограниченного доступа на основании указа Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» и №152-ФЗ «О персональных данных»;

• процессы обработки информации в информационной системе Банка информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал;

• информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные элементы информационной банковской среды.

1. Угрозы безопасности

По природе возникновения угрозы безопасности можно разделить на естественные и искусственные.

Естественные угрозы – это угрозы, вызванные воздействиями на информационную систему, не зависящими от человека.

Искусственные угрозы – это угрозы, вызванные воздействием человека на информационную систему. Искусственные угрозы можно разделить на: умышленные, то есть совершенные по злому умыслу или иным причинам; неумышленные – непреднамеренные действия пользователя, совершенные без злого умысла, по ошибке или случайности.

Источниками угроз безопасности могут быть:

• непреднамеренные (ошибочные, случайные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия пользователей информационной системы, приводящие к разглашению сведений ограниченного доступа, потере ценной информации или нарушению работоспособности компонентов информационной системы;

• преднамеренные действия допущенных к информационным ресурсам пользователей, которые приводят к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности компонентов информационной системы;

• деятельность преступных групп и формирований, политических и экономических структур, разведок иностранных государств, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности информационной системы в целом и ее отдельных компонентов;

• удаленное несанкционированное вмешательство посторонних лиц из внешних информационно-телекоммуникационных сетей общего пользования (прежде всего сеть Интернет) через легальные и несанкционированные каналы подключения к таким сетям, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам;

• ошибки, допущенные при разработке компонентов информационной системы и их систем защиты, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты);

• стихийные бедствия.

1. Управление информационной безопасностью

Для достижения целей и задач информационной безопасностью в Учреждении применяется система управления информационной безопасностью (далее – СУИБ). Данная система разработана в соответствии с законодательством Российской Федерации и национальными стандартами Российской Федерации:

• ГОСТ Р ИСО/МЭК 27001-2006 «Информационная технология — Методы и средства обеспечения безопасности — Система менеждмента информационной безопасности — Требования»;

• ГОСТ Р ИСО/МЭК 27002-2012 «Информационная технология — Методы и средства обеспечения безопасности — Свод норм и правил менеджмента информационной безопасности».

Учреждение использует процессный подход к СУИБ. Это означает, что СУИБ основывается на процессах, которые осуществляются в виде цикла «разработка – внедрение – анализ – улучшение – разработка – …».

Этот цикл позволяет совершенствовать СУИБ Учреждения и улучшать деятельность по обеспечению информационной безопасности.

Для координации вопросов и действий по управлению информационной безопасностью Учреждения создан совет по управлению информационной безопасностью. В совет входят руководитель Учреждения, администратор безопасности и начальники структурных подразделений.

Таким образом, СУИБ позволяет качественно выполнять следующие функции:

• совместно со структурными подразделениями создавать правила по обеспечению ИБ на основе мировых стандартов;

• проводить аудиты ИС, для поиска уязвимостей в ИС, для анализа работоспособности СУИБ в целях ее дальнейшего улучшения;

• обучать персонал в области ИБ;

• разрабатывать планы по обеспечению непрерывности деятельность совместно с другими подразделениями;

• согласовывать и контролировать права доступа пользователей к информационным ресурсам;

• проводить работу с сотрудниками Учреждения по разъяснению им требований в области ИБ.

1. Активы Учреждения

Целями инвентаризации являются обеспечение уверенности в защищенности активов, назначение ответственных за активы и определение их ответственности. В Учреждении определены следующие типы активов:

1. Физические активы, которые включают

• персональные компьютеры;

• серверное оборудование;

• сетевое оборудование;

• периферийное оборудование;

• электронные носители информации.

1. Программное обеспечение, включает программы, обеспечивающие обработку информации в Учреждении и настройку технических средств:

   • операционные системы;

   • прикладное программное обеспечение;

   • программы для обслуживания и администрирования.

1. Информационные ресурсы:

   • базы данных;

   • эксплуатационная документация;

   • планы по обеспечению непрерывности деятельности Учреждении;

   • руководства пользователей.

1. Информация ограниченного доступа.

Для всех активов назначается должностное лицо, которое будет ответственно за сохранность назначенных активов.

1. Правила безопасности, связанные с кадрами

7.1 Обязанности Учреждения при найме сотрудников

7.1.1 В соответствии с федеральным законом от 27.07.2004 №79-ФЗ "О государственной гражданской службе Российской Федерации" наём сотрудников должен проводиться по конкурсу. Конкурс позволяет отобрать сотрудников с соответствующей квалификацией, что позволит быть уверенным в том, сотрудник в процессе работы будет четко знать свои обязанности.

7.1.2 Для проведения конкурса создается конкурсная комиссия. В соответствии с приказом Росстата от 16.09.2016 № 520 «Об утверждении порядка работы конкурсной комиссии для проведения конкурса на замещение вакантной должности федеральной государственной гражданской службы в Федеральной службе государственной статистики и Методики проведения конкурса на замещение вакантной должности федеральной государственной гражданской службы в Федеральной службе государственной статистики» в Учреждении должен быть издан приказ, в котором утверждены составы комиссии. В состав конкурсной комиссии входят председатель комиссии, заместитель председателя, секретарь и члены комиссии. При этом в комиссию должен входить сотрудник из отдела кадров и сотрудник из отдела, в котором проводится конкурс на замещение должности.

7.1.3 Для участия в конкурсе претендент должен оформить и передать в Учреждение заполненную анкету в соответствии с Распоряжение Правительства Российской Федерации от 26.05.2005 № 667-р «Об утверждении формы анкеты, подлежащей представлению в государственный орган, орган местного самоуправления, аппарат избирательной комиссии муниципального образования гражданином Российской Федерации, изъявившим желание участвовать в конкурсе на замещение вакантной должности государственной гражданской службы Российской Федерации, поступающим на государственную гражданскую службу Российской Федерации или на муниципальную службу в Российской Федерации». При неправильно оформленной заявке или отсутствия заполнения разделов, предусмотренных распоряжением, конкурсная комиссия не рассматривает такие заявки.