Пояснительная записка (ПЗ) (1209507), страница 4
Текст из файла (страница 4)
Разработанная на основе прогноза политика ИБ и в соответствии сней построенная система управления ИБ является наиболее правильным иэффективным способом добиться минимизации рисков нарушения ИБ дляОрганизации. Необходимо учитывать, что с течением времени меняетсяхарактеругроз,поэтомуследуетсвоевременно,используяданныемониторинга и аудита, обновлять модели угроз и нарушителя.
Стратегияобеспечения ИБ заключается в использовании заранее разработанных мерпротиводействия возможным атакам, а также программно-технических иорганизационных решений, позволяющих свести к минимуму возможныепотери от технических аварий и ошибочных действий персонала.Задачами настоящей политики являетсяописание организации системыуправления информационной безопасностью в Организации.Область действияНастоящаяПолитикараспространяетсянавсеструктурныеподразделения Организации и обязательна для исполнения всеми егосотрудниками и должностными лицами.29Период действия и порядок внесения измененийНастоящая политика вводится в действие приказом Генеральногодиректора ООО «Тригон-ДВ». Политика признается утратившей силу наосновании приказа Генерального директора ООО «Тригон-ДВ».
Изменения вполитику вносятся приказом Генерального директора ООО «Тригон-ДВ».Инициаторамивнесенияизмененийвполитикуинформационнойбезопасности являются:− генеральный директор ООО «Тригон-ДВ»;− администратор информационной безопасности.Плановая актуализация настоящей политики производится ежегодно иимеет целью приведение в соответствие определенных политикой защитныхмер реальным условиям и текущим требованиям к защите информации.Внеплановаяактуализацияполитикиинформационнойбезопасностипроизводится в обязательном порядке в следующих случаях:− при изменении политики РФ в области информационной безопасности,указов и законов РФ в области защиты информации;− при изменении внутренних нормативных документов (инструкций,положений,руководств),касающихсяинформационнойбезопасностиОрганизации;− при происшествии и выявлении инцидента (инцидентов) по нарушениюинформационной безопасности, влекущего ущерб Организации.Ответственнымибезопасностиза(плановуюактуализациюиполитикивнеплановую)несетинформационнойадминистраторинформационной безопасности.
Контроль за исполнением требованийнастоящей политики и поддержанием ее в актуальном состоянии возлагаетсяна администратора информационной безопасности.30Термины и определенияАвтоматизированная система – система, состоящая из персонала икомплексасредствавтоматизацииегодеятельности,реализующаяинформационную технологию выполнения установленных функций.АдминистраторОрганизации,информационнойосуществляющийбезопасностиконтрольза–сотрудникобеспечениемзащитыинформации, а также осуществляющий организацию работ по выявлению ипредупреждению возможных каналов утечки информации, потенциальныхвозможностей осуществления НСД к защищаемой информации.Анализ риска – систематическое использование информации дляопределения источников и оценки риска.Аудит информационной безопасности – процесс проверки выполненияустановленных требований по обеспечению информационной безопасности.Может проводиться как самим обществом (внутренний аудит), так и спривлечениемнезависимыхвнешнихорганизаций(внешнийаудит).Результаты проверки документально оформляются свидетельством аудита.Аутентификация–проверкапринадлежностисубъектудоступапредъявленного им идентификатора; подтверждение подлинности.
Чащевсего аутентификация выполняется путем набора пользователем своегопароля на клавиатуре компьютера.Доступ к информации – возможность получения информации и ееиспользования.Защищенный канал передачи данных – логические и физические каналысетевого взаимодействия, защищенные от прослушивания потенциальнымизлоумышленниками средствами шифрования данных, либо путем ихфизической изоляции и размещения на охраняемой территории.Идентификатор доступа – уникальный признак субъекта или объектадоступа.31Идентификация– присвоение субъектам доступа (пользователям,процессам) и объектам доступа (информационным ресурсам, устройствам)идентификатора и (или) сравнение предъявляемого идентификатора сперечнем присвоенных идентификаторов.Информация – это актив, который, подобно другим активам общества,имеет ценность и, следовательно, должен быть защищен надлежащимобразом.Информационная безопасность – механизм защиты, обеспечивающийконфиденциальность, целостность, доступность информации; состояниезащищенности информационных активов общества в условиях угроз винформационной сфере.
Угрозы могут быть вызваны непреднамереннымиошибками персонала, неправильным функционированием техническихсредств, стихийными бедствиями или авариями (пожар, наводнение,отключение электроснабжения, нарушение телекоммуникационных каналови т.п.), либо преднамеренными злоумышленными действиями, приводящимик нарушению информационных активов Организации.Информационная система – совокупность программного обеспечения итехнических средств, используемых для хранения, обработки и передачиинформации, с целью решения задач подразделений Организации.Информационные технологии – процессы, методы поиска, сбора,хранения, обработки, предоставления, распространения информации испособы осуществления таких процессов и методов.Информационные активы – информационные системы, информационныесредства, информационные ресурсы.Информационныесредства–программные,технические,лингвистические, правовые, организационные средства (программы дляэлектронных вычислительных машин; средства вычислительной техники исвязи; словари, тезаурусы и классификаторы; инструкции и методики;положения, уставы, должностные инструкции; схемы и их описания, другаяэксплуатационная и сопроводительная документация), используемые или32создаваемыеприпроектированииинформационныхсистемиобеспечивающие их эксплуатацию.Информационные ресурсы – совокупность содержащейся в базах данныхинформации и обеспечивающих ее обработку информационных технологий.Инцидентинформационнойбезопасности–действительное,предпринимаемое или вероятное нарушение информационной безопасности,приводящее к нарушению доступности, конфиденциальности и целостностиинформационных активов Организации.Источник угрозы – намерение или метод, нацеленный на умышленноеиспользование уязвимости, либо ситуация или метод, которые могутслучайно проявить уязвимость.Конфиденциальнаяинформация–информациясограниченнымдоступом, не содержащая сведений, составляющих государственную тайну,доступ к которой ограничивается в соответствии с законодательствомРоссийской Федерации.Конфиденциальность – доступ к информации только авторизованныхпользователей.Критичнаяинформация–информация,нарушениедоступности,целостности, либо конфиденциальности которой, может оказать негативноевлияние на функционирование подразделений Организации, привести кпричинению Организации материального или иного вида ущерба.Локальная вычислительная сеть (ЛВС) – группа ЭВМ, а такжепериферийное оборудование, объединенные одним илинесколькимиавтономными высокоскоростными каналами передачи цифровых данных впределах одного или нескольких близлежащих зданий.Межсетевойэкран(МЭ)–программно-аппаратныйкомплекс,используемый для контроля доступа между ЛВС, входящими в состав сети, атакже между сетью Организации и внешними сетями (сетью Интернет).33Мониторинг информационной безопасности – постоянное наблюдение заобъектами, влияющими на обеспечение информационной безопасности, сбор,анализ и обобщение результатов наблюдения под заданные цели.Объектоммониторингавзависимостиотцелейможетбытьавтоматизированная система или ее часть, информационные технологическиепроцессы учреждения, информационные услуги Организации и пр.Несанкционированный доступ к информации (НСД) – доступ кинформации, нарушающий правила разграничения уровней полномочийпользователей.Обработка риска – процесс выбора и осуществления мер по модификациириска.Остаточный риск – риск, остающийся после обработки риска.Политика информационной безопасности – комплекс взаимоувязанныхруководящих принципов и разработанных на их основе правил, процедур ипрактических приемов, принятых в учреждении для обеспечения егоинформационной безопасности.Пользователь ЛВС – сотрудник Организации (штатный, временный,работающий по контракту и т.п.), а также прочие лица (подрядчики,аудиторы и т.п.), зарегистрированный в сети в установленном порядке иполучивший права на доступ к ресурсам сети в соответствии со своимифункциональными обязанностями.Принятие риска – решение принять риск.Программное обеспечение – совокупность прикладных программ,установленных на сервере или ЭВМ.Рабочая станция – персональный компьютер, на котором пользовательсети выполняет свои служебные обязанности.Регистрационная (учетная) запись пользователя – включает в себя имяпользователя и его уникальный цифровой идентификатор, однозначноидентифицирующий данного пользователя в операционной системе (сети,базе данных, приложении и т.п.).
Регистрационная запись создается34администратором при регистрации пользователя в операционной системекомпьютера, в системе управления базами данных, в сетевых доменах,приложениях и т.п. Она также может содержать такие сведения опользователе, как Ф.И.О., название подразделения, телефоны, E-mail и т.п.Роль–совокупностьполномочийипривилегийнадоступкинформационному ресурсу, необходимых для выполнения пользователемопределенных функциональных обязанностей.Система менеджмента информационной безопасности (СМИБ) – та частьобщей системы менеджмента, которая основана на подходе бизнес-рисковпри создании, внедрении, функционировании, мониторинге, анализе,поддержке и совершенствовании информационной безопасности.Системный администратор – сотрудник Организации, занимающийсясопровождениемавтоматизированныхсистем,отвечающийзафункционирование локальной сети учреждения и ПК.Список контроля доступа (ACL) – правила фильтрации сетевых пакетов,настраиваемые на маршрутизаторах и МЭ, определяющие критериифильтрации и действия, производимые над пакетами.Собственник – лицо или организация, которые имеют утвержденныеобязательства по менеджменту для контроля разработки, поддержки,использования и безопасности активов.Средствакриптографическойзащитыинформации–средствашифрования, средства электронной подписи, средства кодирования, средстваизготовления ключевых документов (независимо от вида носителя ключевойинформации), ключевые документы (независимо от вида носителя ключевойинформации).Угрозы информационным данным – потенциально существующаяопасностьслучайногоилипреднамеренногоразрушения,несанкционированного получения или модификации данных, обусловленнаяструктурой системы обработки, а также условиями обработки и хранения35данных, т.е.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
