Пояснительная записка (ПЗ) (Разработка политики информационной безопасности клиники диетологии), страница 5

это потенциальная возможность источника угроз успешновыявить определенную уязвимость системы.Управлениеинформационнойцеленаправленныхдействий,безопасностьюосуществляемыхв–совокупностьрамкахполитикиинформационной безопасности в условиях угроз в информационной сфере,включающая в себя оценку состояния объекта управления (например, оценкуи управление рисками), выбор управляющих воздействий и их реализацию(планирование, внедрение и обслуживание защитных мер).Уязвимость – недостатки или слабые места информационных активов,которые могут привести к нарушению информационной безопасностиучреждения при реализации угроз в информационной сфере.Целостность информации – состояние защищенности информации,характеризуемоенеизменностьспособностьюАСконфиденциальнойобеспечиватьинформациисохранностьприипопыткахнесанкционированных или случайных воздействий на нее в процессеобработки или хранения.ЭВМ – электронная - вычислительная машина, персональный компьютер.Электронная цифровая подпись – реквизит электронного документа,предназначенный для защиты электронного документа от подделки,полученный в результате криптографического преобразования информации сиспользованием закрытого ключа электронной цифровой подписи ипозволяющий идентифицировать владельца ключа подписи, а такжеустановить отсутствие искажения информации в электронном документе.3.1 Политика безопасностиЦелью политики безопасности является обеспечение участия руководстваОрганизации в решении вопросов в области информационной безопасности.ПИБ должна быть утверждена, издана и доведена до сведения всехсотрудников организации Генеральным директором Организации.36ПИБ должна анализироваться раз в полгода или после инцидента,поставившего информационную безопасность под угрозу.3.2 Организация информационной безопасности3.2.1 Внутренняя организацияЦельювнутреннейорганизацииявляетсяобеспечениеУИБвОрганизации.Руководство Организации должно постоянно поддерживать уровеньинформационнойбезопасностипутемраспределенияобязанностейивнедрения системы менеджмента.Действия по обеспечению ИБ должны координироватьсяпредставителями разных отделом.3.2.2 Распределения обязанностей по обеспечению ИБПроцедура получения разрешения на использование средств обработкиинформацииАдминистратор ИБ совместно с Генеральным директором Организациидолжен определить и внедрить процедуры получения разрешения наиспользование средств обработки информации.3.2.3 Соглашения о соблюдении конфиденциальностиАдминистратор ИБ совместно с Генеральным директором Организациидолжны определять условия конфиденциальности.Администратор ИБ совместно с Генеральным директором Организациидолжно взаимодействовать с органами компетентными в области ИБ.37УИБ и ее реализация должны проверяться сторонними независимымиорганизациями раз в год.3.2.4 Обеспечение безопасностиприналичиидоступастороннихорганизаций к ИСЦель: Поддерживать ИБ при наличии доступа к ним стороннихорганизаций.Вслучае,когдапроисходитвзаимодействиесостороннимиорганизациями, а именно с банками, необходимо оценивать риски ИБ.Определение рисков, связанных с доступом сторонних организаций к ИСОрганизацииТипы доступа: физический (доступ к офисным помещениям, серверной комнате); логический (к базам данным и ИС Организации).Сторонним организациям может быть предоставлен доступ по причинеоказания услуг Организации и партнерского взаимодействия с ними.Информация Организации может быть подвержена риску нарушениябезопасности при доступе третьих сторон с неадекватным управлениембезопасностью.

Там, где есть производственная необходимость контактов стретьей стороной, следует проводить оценку риска, чтобы определитьмероприятия по УИБ. При этом следует принимать во внимание типтребуемого доступа, ценность информации, мероприятия по УИБ.При осуществлении работ подрядчиками на территории Организацииважно предусмотреть мероприятия по УИБ, необходимые для управлениядоступом к средствам обработки информации третьей стороны. Всетребования с доступом третьей стороны следует отображать в контракте стретьей стороной.383.2.5 Рассмотрение вопросов безопасности при работе с клиентамиПеред тем, как предоставить клиентам Организации права доступа кинформации необходимо определить и внедрить меры безопасности.Рассмотрение требований безопасности в соглашениях со стороннимиорганизациями.Все действия, связанные с привлечением третьей стороны, должны бытьоснованы на официальном контракте, составленном на основании ПИБ.В соглашение включаются следующие положения: общая политика ИБ; защита активов; описание предоставляемых услуг; определение необходимого уровня обслуживания; соответствующие обязательства сторон в рамках контракта; определение процесса информирования о возникающих проблемах вслучае непредвиденных обстоятельств; четкая структура подотчетности; обучение пользователя методам и процедурам безопасности; мероприятия по УИБ для обеспечения защиты от вредоносного ПО.3.2.6Управление активамиОтветственность за защиту активов ОрганизацииЦель: Обеспечение соответствующей защиты активов Организации.Все информационные активы должны быть учтены и закреплены заответственными должностными лицами.Описание активов дает уверенность в том, что обеспечиваетсяэффективная защита активов, и оно может также потребоваться для целейобеспечения безопасности труда.

Основываясь на этой информации ,39организация может обеспечивать заданные уровни защиты. Каждый активдолжен быть четко идентифицирован и классифицирован с точки зрениябезопасности.3.3 Классификация информацииЦель: обеспечить уверенность в том, что информация защищена нанадлежащем уровнеДля определения приоритетности и степени защиты информациюнеобходимо классифицировать.3.3.1Основные принципы классификацииКлассификация информации позволяет определить, как эта информациядолжна быть обработана и защищена.Информация обычно перестает быть чувствительной и критичной ккомпрометации по истечении некоторого периода времени.Чрезмерно сложные схемы категорирования информации могут статьобременительными и неэкономичными для использования или оказываютсянеосуществимыми.Ответственность за определение категории информации и периодичностьпересмотра этой категории должны оставаться за создателей, назначеннымвладельцем или собственником информации.3.3.2 Маркировка и обработка информацииНеобходимо, чтобы был определен соответствующий набор процедур длямаркировки приобработке информации в соответствии с системойклассификации, принятой Организацией.

Для каждой классификации следует40определять процедуры маркировки для того, чтобы учесть следующие типыобработки информации: копирование; хранение; передач по почте и электронной почтой; передачу голосом; уничтожение.Следует маркировать напечатанные отчеты, носители информации,электронные сообщения и передачу файлов.Физические метки являются наиболее подходящей формой маркировки.3.4Правила безопасности, связанные персоналомЦель: минимизация рисков от ошибок, связанных с человеческимфактором,воровства,мошенничества,кражиилинеправильногоиспользования средств обработки информации.3.4.1Функции и обязанности персонала по обеспечению безопасностиФункции и ответственность в области ИБ, следует документировать.

Вдолжностные инструкции следует включать как общие обязанности повнедрению и соблюдению политики безопасности, так и специфическиеособенности по защите активов.3.4.2Проверка персонала при наймеПроверки сотрудников следует выполнять по мере подачи заявлений оприеме на работу. В них необходимо включать: наличие положительных рекомендаций;41 проверка резюме претендента; подтверждениезаявляемогообразованияипрофессиональныхквалификаций; независимаяпроверкаподлинностидокументов,удостоверяющихличность.Если при приеме на работу сотруднику предоставляется доступ ксекретной информации, необходимо выполнить специальную «проверку надоверие».Аналогичные проверки необходимо проводить для подрядчиков ивременного персонала.Администратору ИБ Организации следует оценить необходимый уровеньнаблюдения за новым персоналом, который имеет доступ к важнойинформации.3.4.3Условия трудового договораУсловия трудового договора должны определять ответственностьслужащего в отношении ИБ.

Там, где необходимо, эта ответственностьдолжна сохраняться и в течение определенного срока после увольнения сработы. Необходимо указать меры дисциплинарного воздействия, которыебудутприменимывслучаенарушениясотрудникомтребованийбезопасности.3.4.4 Работа по трудовому договоруЦель: обеспечивать уверенность в том, что сотрудники осведомлены обугрозах и проблемах ИБ, об их ответственности и обязательствах.Генеральный директор ООО «Тригон-ДВ» должен требовать, чтобы всесотрудники были осведомлены о правилах информационной безопасности.42Осведомленность, обучение и переподготовка в области ИБЦель: обеспечение уверенности в осведомленности пользователей обугрозах и проблемах, связанных с ИБ, и их оснащенности всем необходимымдля соблюдения требований политики ьезопасности организации привыполнении служебных обязанностей.Пользователейнеобходимообучатьпроцедурамбезопасностииправильному использованию средств обработки информации, чтобы свести кминимуму возможные риски безопасности.Соответствующее обучение сотрудники должны получать на регулярнойоснове и обновленные варианты политик и процедур ИБ, принятых ворганизации.

Обучение сотрудников должно обеспечить знание имитребованийбезопасности,ответственностивсоответствиисзаконодательством.3.4.5 Дисциплинарная практикаК сотрудникам, совершившим требований безопасности, должна бытьприменена дисциплинарная практика, установленная в организации.Она может быть организована в форме: штрафов; увольнение.Ответственность по окончании действия трудового договораОтветственность по окончании действия трудового договора должна бытьчетко определена и установлена.