Политика безопасности (1198831), страница 5
Текст из файла (страница 5)
В случае если в Учреждении произошел инцидент ИБ, то может быть начата внутренняя проверка. Если будет доказано, что сотрудник Учреждения был виновным в произошедшем инциденте, то в зависимости от последствий для Учреждения, совершал ли сотрудник до этого нарушения безопасности, к этому сотруднику может быть применена уголовная ответственность. Например, за распространение вредоносного программного обеспечения, осуществления НСД, кражу, уничтожение, модификацию информации ограниченного доступа сотрудники Учреждения несут уголовную ответственность в соответствии с Уголовным кодексом РФ.
За нанесенный ущерб сотрудники Учреждения несут персональную ответственность.
-
Заключительные положения
Данные правила введены для исполнения требований политики информационной безопасности Учреждения, которая утверждена высшим административным органом Учреждения.
Изменения в Политику вносятся на плановой основе, так и внеплановой:
-
плановый пересмотр Политики осуществляется не менее раза в год;
-
внеплановый пересмотр может осуществляться в случаях инцидентов ИБ, по результатам анализа ИБ, по результатам проведении внутренних аудитов и изменений в ИС Учреждения.
В случае противоречия между положениями Политики и новыми нормативными правовыми актами, данные положения считаются утратившими юридическую силу.
Ответственным за изменение Политики является администратор безопасности.
Список сокращений
АРМ – Автоматизированное рабочее место
ИБ – Информационная безопасность
ИС – Информационная система
ЛВС – Локальная вычислительная сеть
МНИ – Машинный носитель информации
НСД – Несанкционированный доступ
ПК – Персональный компьютер
ПО – Программное обеспечение
СКЗИ – Средство криптографической защиты информации
ЭЦП – Электронно-цифровая подпись
Термины и определения
Автоматизированное рабочее место – программно-технический комплекс автоматизированной системы, предназначенный для автоматизации деятельности определенного вида.
Администратор безопасности – лицо или группа лиц, ответственных за обеспечение защиты информационной системы.
Актив – все, что имеет ценность для организации.
Виртуальная частная сеть – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений поверх другой сети (например, Интернет).
Информация – это актив, который, как и другие активы имеет ценность и подлежит защите.
Информационная система – информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационный ресурс – совокупность содержащейся в базах данных информации.
Инцидент безопасности – событие, в результате которого произошло нарушение безопасности.
Доступность информации – свойство информации, которое характеризует возможность беспрепятственного доступа к информации.
Компьютерный вирус – это вредоносные программы, которые способны воспроизводить себя на компьютерах или через компьютерные сети.
Непрерывность деятельности – стратегическая и тактическая способность организации планировать свои действия и реагировать на инциденты и нарушения нормального хода деятельности с целью продолжения выполнения операций на определенном приемлемом уровне.
Несанкционированный доступ к информации – доступ к информации, в нарушение существующих правил доступа.
Обезличивание персональных данных – действия, в результате которых становится невозможно определить без дополнительной информации принадлежность к какому-либо субъекту персональных данных.
Межсетевой экран – программно-аппаратный комплекс, используемый для контроля доступа между локальной сетью, входящими в состав сети, а также между сетью Управления и внешними сетями.
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Пользователь ИС – сотрудник Учреждения, имеющий доступ к ИС Учреждения.
Сервер – специализированный компьютер и/или специализированное оборудование для выполнения на нём сервисного программного обеспечения.
Средство криптографической защиты – совокупность программно-аппаратных средств, предназначенных для использования подписания документов ЭП или шифрования при осуществлении электронного документооборота.
Целостность информации – свойство информации, заключающееся в её неизменном виде.
Угроза информационной безопасности – потенциально возможное событие, действие или процесс, которое может привести к нарушению конфиденциальности, целостности и доступности.
Электронно-цифровая подпись – реквизит электронного документа, полученный в результате криптографического преобразования с использованием закрытого ключа подписи.
| Приложение 1 – Перечень работ требующий физического доступа | |||||||||
| № п/п | Наименование работ |
|
| Обоснование для физического доступа | |||||
| 1 | Перезагрузка сервера | Выполняется нажатием кнопки Reset на сервере | Дежурный администратор |
| |||||
| Работы по техническому обслуживанию серверов | Замена, установка, переустановка оборудования и ПО | Дежурный администратор | Работа с серверным оборудованием невозможна без физического контакта | |||||
| Работы обслуживающего персонала | Обслуживающий персонал |
| Контроль организации порядка доступа работников и анализ данных, полученных от СКУД, журнала учета посещения серверного помещения и системы видеонаблюдения проводятся сотрудниками СИБ | |||||
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
