Положение об информационной безопасности
Мы предлагаем Вашему вниманию положение об информационной безопасности, разработанное для крупного холдинга. Данное Положение описывает функциональные особенности работы отдела информационных технологий в сфере обеспечения функционирования и информационной безопасности всей ИТ – инфраструктуры Компании и управляемых обществ.
| ООО «УПРАВЛЯЮЩАЯ КОМПАНИЯ «ННН» |
| Положение № П.УД-4 |
| Об ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ООО «Управляющая компания «ННН» |
| Версия 1.1 |
| г. Н 2012 г. |
| Паспорт Положения | ||||||||||||||
| Об отделе информационных технологий ООО «Управляющая компания «» | ||||||||||||||
| Тип документа: | Стандартизирующий документ | Версия: | 1.1 | |||||||||||
| Распорядительный документ | ||||||||||||||
| Организационный документ | Дата создания: | 29.02.2012 | ||||||||||||
| Ответственный разработчик: | ||||||||||||||
| Область применения: | ООО «Управляющая Компания «ННН» и все управляемые общества | |||||||||||||
| Цель: | Данное Положение описывает функциональные особенности работы отдела информационных технологий ООО «Управляющей компании «Мандарин» (далее – Компании) в сфере обеспечения функционирования и информационной безопасности всей ИТ – инфраструктуры Компании и управляемых обществ. | |||||||||||||
| Предназначение: | Генеральный директор, начальник планово-экономического отдела; начальник операционного отдела, начальник отдела маркетинга и рекламы, начальник отдела безопасности, начальник отдела качества и работы с потребителями, начальник отдела эксплуатации, начальник отдела логистики, Главный бухгалтер, юристконсульт, начальник отдела по работе с персоналом, начальник производственного отдела | |||||||||||||
| Лист согласования Положения: | ||||||||||||||
| Должность | ФИО | Подпись | Дата | |||||||||||
| Утверждено | Генеральный директор | Утверждено | ||||||||||||
| Согласовано | Согласовано | |||||||||||||
| Начальник планово-экономического отдела | Согласовано | |||||||||||||
| Начальник отдела маркетинга и рекламы | Согласовано | |||||||||||||
| Начальник отдела информационных технологий | Согласовано | |||||||||||||
| Начальник отдела качества и работы с потребителями | ||||||||||||||
| Начальник отдела эксплуатации | ||||||||||||||
| Начальник отдела логистики | ||||||||||||||
| Главный бухгалтер | ||||||||||||||
| Юристконсульт | ||||||||||||||
| Начальник отдела по работе с персоналом | ||||||||||||||
| Начальник производственного отдела | ||||||||||||||
Содержание
1. Цель и область действия
2. Общие положения
3. Структура отдела
4. Задачи отдела
5. Функции отдела
6. Права отдела
7. Взаимоотношения (служебные связи)
8. Ответственность отдела
Цель и область действия
| Цель (назначение) | |
| Область применения | |
| Нормативные ссылки | ______________________ |
| Термины и определения | Компания – здесь ООО «Управляющая компания «» БЦ – бизнес центры Компании СТИП (стандарт исполнения процесса) – стандартизирующий процессный документ, устанавливающий принципы и правила выполнения действий сотрудников и подразделений в конкретном детальном процессе, закрепляющий и разграничивающий ответственность в рамках выполнения данного процесса. ОИТ – отдел информационных технологий ГК – группа компаний «» АС – автоматизированная (ые) системы ЛВС - Локальная вычислительная сеть НСД - Несанкционированный доступ ПО - Программное обеспечение; ЭЦП - Электронная цифровая подпись |
| Срок действия | Постоянный |
| Дата создания | 13.11.2011 |
| Дата последнего обновления |
5.2 Регламентация допуска сотрудников к использованию информационных ресурсов
5.2.1 В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей автоматизированной информационной системы информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
5.2.2 Допуск сотрудников подразделений Компании к работе с автоматизированной системой и доступ к ее ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком согласно регламентирующим документам. Основными пользователями информации в Компании являются сотрудники БЦ Компании. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:
· открытая, конфиденциальная информация размещаются по возможности на различных серверах и в Интернете;
· каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
· начальник имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями;
· наиболее ответственные технологические операции должны производиться по правилу "в две руки" - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.
5.2.3 Все сотрудники Компании, допущенные к работе (пользователи) и обслуживающий персонал БЦ, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи находящихся в их распоряжении защищаемых ресурсов системы. Каждый сотрудник (при приеме на работу) должен подписывать Соглашение-обязательство о соблюдении и ответственности за нарушение установленных требований информационной безопасности.
5.2.4 Обработка защищаемой информации в подсистемах АС должна производиться в соответствии с утвержденными технологическими инструкциями (техническими порядками) для данных подсистем.
5.2.5 Для пользователей защищенных персональных рабочий станций (то есть тех, на которых обрабатывается защищаемая информация или решаются подлежащие защите задачи и на которых установлены соответствующие средства защиты) должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению информационной безопасности.
5.3 Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов
5.3.1 Все аппаратные и программные ресурсы Компании и БЦ должны быть установленным порядком категорированы (для каждого ресурса должен быть определен требуемый уровень защищенности). Подлежащие защите ресурсы системы подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).
5.3.2 Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация (с которых возможен доступ к защищаемым ресурсам), должна соответствовать кругу возложенных на пользователей функциональных обязанностей. Все неиспользуемые в работе устройства ввода-вывода информации (COM, LPT -порты, дисководы, CD и т.д.) должны быть отключены (удалены), ненужные для работы программные средства и данные с жестких дисков также должны быть удалены.
5.3.3 Для упрощения сопровождения, обслуживания защиты персональные рабочие станции должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами).
5.3.4 Ввод в эксплуатацию новых компьютеров и все изменения в конфигурации технических и программных средств существующих в Компании должны осуществляться только установленным порядком.
5.3.5 Копии всего программного обеспечения (ПО 1С 8) (разработанного специалистами отделов программирования Компании, полученного централизованно или приобретенного у фирм-производителей) должно установленным порядком проходить испытания и передаваться в фонд программ. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из этого фонда программные средства. Использование в АС ПО, не учтенного в фонде программ, должно быть запрещено.
5.4 Обеспечение и контроль физической целостности аппаратных ресурсов
5.4.1 На всех персональных рабочих станциях, подлежащих защите, должны быть установлены необходимые технические средства защиты (соответствующие категории данных).
5.4.2 Узлы и блоки оборудования, к которым доступ обслуживающего персонала в процессе эксплуатации не требуется должны закрываться и опечатываться (пломбироваться). О вскрытии оборудования делается запись в соответствующих журналах.
5.4.3 Повседневный контроль за целостностью и соответствием печатей (пломб) на персональных рабочих станциях должен осуществляться самими пользователями. Периодический контроль - сотрудниками отделов информационных технологий и информационной безопасности Компании.
5.5 Подбор и подготовка персонала, обучение пользователей Компании
5.5.1 До начала этапа эксплуатации автоматизированной системы ее пользователи, а также необходимый руководящий и обслуживающий персонал должны быть ознакомлены сотрудниками ОИТ с перечнем сведений, подлежащих защите, в части их касающейся, и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации ограниченного распространения.
5.5.2 Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, прививаемой ОИТ. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу БЦ, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.
5.5.3 Все сотрудники Компании, использующие при работе конкретные подсистемы Компании должны быть ознакомлены сотрудниками ОИТ с организационно-распорядительными документами по защите информации в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению информационной безопасности при использовании АС. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться начальниками подразделений под роспись.
5.6 Реализация технических (программно-аппаратных) средств защиты
5.6.1 ОИТ внедряет технические (аппаратно-программные) меры защиты, основанные на использовании различных электронных устройств и специальных программ, входящих в состав АС Компании и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).
С учетом всех требований и принципов обеспечения информационной безопасности в АС по всем направлениям защиты в состав системы защиты ОИТ использует следующие средства:
5.6.2 Средства идентификации (опознавания) и аутентификации (подтверждения подлинности) пользователей
· В целях предотвращения работы с АС посторонних лиц ОИТ обеспечивает возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости - и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.
· Аутентификация (подтверждение подлинности) пользователей должна осуществляться на основе использования паролей или проверки уникальных характеристик (параметров) пользователей при помощи специальных биометрических средств.
5.6.3 Средства разграничения доступа зарегистрированных пользователей системы к ресурсам АС
· После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю: какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п.
5.6.4 Средства обеспечения и контроля целостности программных и информационных ресурсов
· Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:
o средствами подсчета контрольных сумм;
o средствами электронной цифровой подписи;
o средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности);
o средствами разграничения доступа (запрет доступа с правами модификации или удаления).
· В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить
o резервное копирование критических данных;
o хранение резервных копий вне помещения файл-сервера;
o отслеживание транзакций;
o периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
o антивирусный контроль;
o обеспечение непрерывности электропитания для серверов и критичных рабочих станций и кондиционирование электропитания для остальных станций сети.
5.6.5 Средства оперативного контроля и регистрации событий безопасности
· Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п.), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля и регистрации должны предоставлять возможности:
o ведения и анализа журналов регистрации событий безопасности (системных журналов). Журналы регистрации должны вестись для каждой рабочей станции сети;
o оперативного ознакомления администратора безопасности с содержимым системного журнала любой станции и с журналом оперативных сообщений об НСД;
o получения твердой копии (печати) системного журнала;
o упорядочения системных журналов по дням и месяцам, а также установления ограничений на срок их хранения;
o оперативного оповещения администратора безопасности о нарушениях.
· При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:
o дата и время события;
o идентификатор субъекта (пользователя, программы), осуществляющего регистрируемое действие;
o действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа).
· Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:
o вход пользователя в систему;
o вход пользователя в сеть;
o неудачная попытка входа в систему или сеть (неправильный ввод пароля);
o подключение к файловому серверу;
o запуск программы;
o завершение программы;
o оставление программы резидентно в памяти;
o попытка открытия файла недоступного для чтения;
o попытка открытия на запись файла недоступного для записи;
o попытка удаления файла недоступного для модификации;
o попытка изменения атрибутов файла недоступного для модификации;
o попытка запуска программы, недоступной для запуска;
o попытка получения доступа к недоступному каталогу;
o попытка чтения/записи информации с диска, недоступного пользователю;
o попытка запуска программы с диска, недоступного пользователю;
o нарушение целостности программ и данных системы защиты
o и др.
· Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности):
o извещение владельца информации о НСД к его данным;
o снятие программы (задания) с дальнейшего выполнения;
o извещение администратора баз данных и администратора безопасности;
o отключение терминала (рабочей станции), с которого были осуществлены попытки НСД к информации;
o исключение нарушителя из списка зарегистрированных пользователей;
o подача сигнала тревоги и др.
5.6.6 Криптографические средства защиты информации
· Одним из важнейших элементов системы обеспечения информационной безопасности АС должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи.
· Ключевая система применяемых в Компании шифровальных средств должна обеспечивать криптографическую стойкость и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.
· В АС, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной цифровой подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений.
5.6.7 В области технических средств защиты ОИТ решает следующие задачи:
· идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п.);
· регламентация доступа пользователей к физическим устройствам компьютера (дискам, портам ввода-вывода);
· избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
· полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;
· создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
· защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;
· контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
· регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
· централизованный сбор, хранение и обработка на файловом сервере журналов регистрации рабочих станций сети;
· защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
· централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
· оповещение администратора безопасности обо всех событиях НСД, происходящих на рабочих станциях;
· оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости) любой станции сети.
5.7 ОИТ осуществляет контроль эффективности системы защиты:
5.7.1 Контроль эффективности защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.
5.7.2 Контроль может проводиться как отделом информационной безопасности (оперативный контроль в процессе информационного взаимодействия в АС), так и привлекаемыми для этой цели компетентными организациями.
5.7.3 Оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.
5.7.4 Контроль может осуществляться администратором безопасности как с помощью штатных средств системы защиты информации от НСД, так и с помощью специальных программных средств контроля.
5 Права отдела
5.3 ОИТ имеет право осваивать бюджет Компании, направленный на поддержание ИТ-инфраструктуры
5.4 ОИТ имеет право принимать любые действия, направленные на защиту всех видов информации по согласованию с директором Компании
5.5 ОИТ имеет право участвовать в любых собраниях и совещаниях по вопросу внедрения АСУ бизнесом
5.6 ОИТ имеет право блокировать доступы к информации всем сотрудникам компании и управляемых обществ, кроме генерального директора и ПСД Компании
5.7 ОИТ имеет право приоритетно формулировать цели и задачи Компании в разрезе деятельности по обеспечению информационной безопасности управляемых обществ
5.8 ОБ имеет право распоряжаться Бюджетом ликвидации непредвиденных ситуаций, связанных с угрозой потери или хищения информации
5.9 ОБ имеет право созыва внеочередного совещания начальников отделов Компании и/или директоров БЦ в случае возникновения внештатной ситуации, имеющей угрозу любому виду безопасности информации в Компании.
Взаимоотношения (служебные связи) со всеми отделами Компании
ОИТ получает:
- Все виды информации на электронном носителе для ее хранения, систематизирования и цифровой обработки;
- Задания на внедрение автоматизированной системы управления отдельными процессами, связанными с работой БЦ или отделов Компании
ОИТ предоставляет:
- Права доступа к информации;
- Консультации и обучение работе с новым программным обеспечением
7 Регистрация изменений
| Версия | Дата утверждения | История изменений |
8 Лист ознакомления
| № | Должность | ФИО | Дата | Подпись |