УТВЕРЖДЕНА приказом комитета государственного строительного надзора и экспертизы Правительства Хабаровского края от ___________ г. №______ Политика комитета государственного строительного надзора и экспертизы Правительства Хабаровского края в отношении информационной безопасности в информационных системах общего пользования Хабаровск 2016 2 Обозначения и сокращения АВС – антивирусные средства; АРМ – автоматизированное рабочее место; АС – автоматизированная система; АСО – активное сетевое оборудование; АСУ – автоматизированная система управления; БД – база данных; ВТСС – вспомогательные технические средства и системы; ЗИ – защита информации; ИБ – информационная безопасность; ИБП – источник бесперебойного питания; КЗ – контролируемая зона; КСЗИ – комплекс средств защиты информации; ЛВС – локальная вычислительная сеть; МЭ – межсетевой экран; НСД – несанкционированный доступ; ОС – операционная система Комитет – комитет государственного строительного надзора и экспертизы Правительства Хабаровского края; ОИ - объект информатизации; ПАК – программно-аппаратный комплекс; ПБО – политика безопасности организации; ПМВ – программно-математическое воздействие; ПО – программное обеспечение; Политика – Политика информационной безопасности в информационных системах общего пользования комитета государственного строительного надзора и экспертизы Правительства Хабаровского края; Положение о Комитете – Положение о комитете государственного строительного надзора и экспертизы Правительства Хабаровского края; ППО – прикладное программное обеспечение; ПЭМИН – побочные электромагнитные излучения и наводки; ПЭВМ – персональная электронно-вычислительная машина; РД – руководящий документ; Председатель комитета – председатель комитета государственного строительного надзора и экспертизы Правительства Хабаровского края; САЗ – система анализа защищенности; СВТ – средства вычислительной техники; СЗИ – средства защиты информации; СОВ – система обнаружения вторжений; СПО – специальное программное обеспечение; ТКУИ – технические каналы утечки информации; ТС – технические средства АС; 3 1. Общие положения 1.1. Настоящая Политика разработана для обеспечения безопасности общедоступной информации о деятельности Комитета в сети Интернет. 1.2. Настоящая Политика разработана в соответствии с действующим законодательством Российской Федерации и основывается, в том числе, на: • Доктрину информационной безопасности Российской Федерации от 09.09.2000 № Пр-1895; • Федеральный закон от 09.02.2009 № 8-ФЗ "Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления"; • Закон Хабаровского края от 23.12.2009 № 297 "Об обеспечении доступа к информации о деятельности государственных органов Хабаровского края"; 1.3. При разработке Политики учитывались требования нормативных правовых актов: • Требования к региональным порталам государственных и муниципальных услуг, утвержденные Постановлением Правительства Российской Федерации от 24.10.2011 № 861 "О федеральных государственных информационных системах, обеспечивающих предоставление в электронной форме государственных и муниципальных услуг (осуществление функций)"; • Постановление Правительства Российской Федерации от 18.05.2009 № 424 "Об особенностях подключения федеральных государственных информационных систем к информационно - телекоммуникационным системам"; • Совместный приказ ФСБ России, ФСТЭК России от 31.08.2010 № 416/489 "Об утверждении требований о защите информации, содержащейся в информационных системах общего пользования"; • Приказ Министерства связи и массовых коммуникаций Российской Федерации от 25.08.2009 № 104 "Об утверждении требований по обеспечению целостности, устойчивости функционирования и безопасности информационных систем общего пользования"; 1.4. Настоящая Политика представляет собой официально принятую в Комитете систему взглядов на проблему обеспечения информационной безопасности в информационных системах общего пользования (далее – ИСОП), и устанавливает принципы построения системы управления информационной безопасностью на основе систематизированного изложения целей, процессов и процедур информационной безопасности. 1.5. Настоящая Политика является документом, доступным любому сотруднику Комитета. 1.6. Необходимые требования обеспечения информационной безопасности должны неукоснительно соблюдаться сотрудниками Комитета, а также другими контрагентами, связанными с функционированием ИСОП. 1.7. Все сотрудники Комитета, участвующие в эксплуатации и сопровождении ИСОП на всех ее (их) жизненных циклах, должны быть ознакомлены с Политикой под роспись. 4 1.8. Настоящая Политика является документом по информационной безопасности первого уровня. 1.9. Документами, детализирующими положения Политики применительно к одной или нескольким областям информационной безопасности, видам и технологиям деятельности Комитета, являются частные политики по обеспечению информационной безопасности (далее - Частные политики), которые являются документами по информационной безопасности второго уровня и оформляются как отдельные внутренние нормативные документы Комитета, разрабатываются и утверждаются Председателем комитета. 1.10. Используемые в ИСОП средства защиты информации должны быть сертифицированы ФСБ России и (или) ФСТЭК России. 2. Список терминов и определений В настоящей Политике использованы следующие термины: Информационная безопасность (далее – ИБ) – в настоящей Политике состояние защищенности технологических процессов, связанных с функционированием ИСОП, объединяющих в своем составе сотрудников Комитета, технические и программные средства обработки информации, информацию в условиях угроз в информационной сфере. Инцидент информационной безопасности - появление одного или нескольких нежелательных рисковых событий информационной безопасности, с которыми связана значительная вероятность нарушения конфиденциальности, целостности или доступности информационных активов и инфраструктуры и создания угрозы информационной безопасности. Модель угроз — описательное представление свойств или характеристик угроз безопасности информации. Модель нарушителя - описательное представление опыта, знаний, доступных ресурсов возможных нарушителей ИБ, необходимых им для реализации угрозы ИБ, и возможной мотивации действий. Угроза информационной безопасности - операционный риск, влияющий на нарушение одного (или нескольких) свойств информации - целостности, конфиденциальности, доступности объектов защиты. 3. Описание объекта защиты 3.1. Основными объектами защиты системы информационной безопасности являются: • служащие и работники комитета государственного строительного надзора и экспертизы Правительства Хабаровского края (далее – служащие и работники Комитета), участвующие в эксплуатации и сопровождении ИСОП на всех ее жизненных циклах; • информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, 5 передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы. 4. Цели и задачи деятельности по обеспечению информационной безопасности 4.1. Целью деятельности по обеспечению информационной безопасности является снижение угроз информационной безопасности до приемлемого уровня. 4.2. Основные задачи деятельности по обеспечению информационной безопасности: • выявление потенциальных угроз информационной безопасности и уязвимостей объектов защиты; • предотвращение инцидентов информационной безопасности; • исключение либо минимизация выявленных угроз. 5. Угрозы информационной безопасности 5.1. Все множество потенциальных угроз безопасности информации делится на три класса по природе их возникновения: антропогенные, техногенные и естественные (природные). 5.2. Возникновение антропогенных угроз обусловлено деятельностью человека. Среди них можно выделить угрозы, возникающие вследствие как непреднамеренных (неумышленных) действий: угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п., так и угрозы, возникающие в силу умышленных действий, связанные с корыстными, идейными или иными устремлениями людей. 5.3. Возникновение техногенных угроз обусловлено воздействиями на объект угрозы объективных физических процессов техногенного характера, технического состояния окружения объекта угрозы или его самого, не обусловленных напрямую деятельностью человека. 5.4. К техногенным угрозам могут быть отнесены сбои, в том числе в работе, или разрушение систем, созданных человеком. 5.5. Возникновение естественных (природных) угроз обусловлено воздействиями на объект угрозы объективных физических процессов природного характера, стихийных природных явлений, состояний физической среды, не обусловленных напрямую деятельностью человека. 5.6. К естественным (природным) угрозам относятся угрозы метеорологические, атмосферные, геофизические, геомагнитные и пр., включая экстремальные климатические условия, метеорологические явления, стихийные бедствия. 5.7. Источники угроз по отношению к инфраструктуре Комитета могут быть как внешними, так и внутренними. 6 6. Основные положения по обеспечению информационной безопасности 6.1. Требования об обеспечении информационной безопасности обязательны к соблюдению всеми сотрудниками Комитета. 6.2. Неисполнение или некачественное исполнение служащими и работниками Комитета обязанностей по обеспечению информационной безопасности может повлечь лишение доступа к ИСОП, а также применение к виновным административных и иных мер воздействия, степень которых определяется установленным в Комитете порядком либо требованиями действующего законодательства Российской Федерации. 6.3. Стратегия Комитета в части противодействия угрозам информационной безопасности заключается в сбалансированной реализации взаимодополняющих мер по обеспечению безопасности: от организационных мер на уровне управления в целом, до специализированных мер информационной безопасности по каждому выявленному риску. 6.4. При планировании мероприятий по обеспечению информационной безопасности в Комитете осуществляются: • определение и распределение ролей служащих и работников Комитета, связанных с обеспечением информационной безопасности (далее – ролей информационной безопасности). • менеджмент рисков информационной безопасности. 6.1. В рамках реализации деятельности по обеспечению информационной безопасности в Комитете осуществляются: сбор информации о событиях информационной безопасности; выявление и анализ инцидентов информационной безопасности; расследование инцидентов информационной безопасности; оперативное реагирование на инциденты информационной безопасности; минимизация негативных последствий инцидентов информационной безопасности; оперативное доведение до Председателя комитета информации по наиболее значимым инцидентам информационной безопасности и оперативное принятие решений по ним, включая регламентирование порядка реагирования на инциденты информационной безопасности; выполнение принятых решений по всем инцидентам информационной безопасности в установленные сроки; пересмотр применяемых требований, мер и механизмов по обеспечению информационной безопасности по результатам рассмотрения инцидентов информационной безопасности; обеспечение регламентации и управления доступом к программным и программно-техническим средствам и сервисам ИСОП Комитета и информации, обрабатываемой в них; обеспечение бесперебойной работы ИСОП и сетей связи; обеспечение возобновления работы ИСОП и сетей связи после прерываний и нештатных ситуаций; 7 применение средств защиты от вредоносных программ; обеспечение информационной безопасности на стадиях жизненного цикла ИСОП Комитета, связанных с проектированием, разработкой, приобретением, поставкой, вводом в действие, сопровождением (сервисным обслуживанием); обеспечение информационной безопасности при использовании доступа в сеть Интернет и услуг электронной почты; контроль доступа в здания и помещения Комитета. контроль правильности реализации и эксплуатации защитных мер; контроль изменений конфигурации систем и подсистем ИСОП Комитета; мониторинг факторов рисков и соответствующий их пересмотр; контроль реализации и исполнения требований сотрудниками Комитета действующих внутренних нормативных документов по обеспечению информационной; контроль деятельности сотрудников Комитета, направленный на выявление и предотвращение конфликтов интересов. 7. Организационная основа деятельности по обеспечению информационной безопасности 7.1. Оперативная деятельность и планирование деятельности по обеспечению информационной безопасности Комитета осуществляются и координируются ответственным за обеспечение безопасности информации. 7.2. Основными задачами структурного подразделения по защите информации (ответственного за обеспечение безопасности информации) являются: • установление потребностей Комитета в применении мер обеспечения информационной безопасности, определяемых как внутренними требованиями, так и требованиями нормативных актов; • соблюдение действующего законодательства Российской Федерации; • разработка и пересмотр внутренних нормативных документов по обеспечению информационной безопасности Комитета, включая планы, политики, положения, регламенты, инструкции, методики, перечни сведений и иные виды внутренних нормативных документов; • осуществление контроля актуальности и непротиворечивости внутренних нормативных документов (политик, планов, методик и т.д.), затрагивающих вопросы информационной безопасности; • обучение, контроль и непосредственная работа с сотрудниками Комитета в области обеспечения информационной безопасности; • планирование применения, участие в поставке и эксплуатации средств обеспечения информационной безопасности на объекты и системы Комитета; • выявление и предотвращение реализации угроз информационной безопасности; 8 • выявление и реагирование на инциденты информационной безопасности; • информирование Председателя комитета об угрозах информационной безопасности; • прогнозирование и предупреждение инцидентов информационной безопасности; • пресечение несанкционированных действий нарушителей информационной безопасности; • поддержка базы инцидентов информационной безопасности, анализ, разработка оптимальных процедур реагирования на инциденты и обучение персонала; • обеспечение эксплуатации средств и механизмов обеспечения информационной безопасности; • мониторинг и оценка информационной безопасности, включая оценку полноты и достаточности защитных мер и видов деятельности по обеспечению информационной безопасности; • контроль обеспечения информационной безопасности, в том числе, и на основе информации об инцидентах информационной безопасности, результатах мониторинга, оценки и аудита информационной безопасности. 7.3. Основными функциями Председателя комитета в вопросах информационной безопасности являются: • назначение ответственных лиц в области ИБ, • координация и внедрение информационной безопасности в Комитете. 7.4. Основными задачами сотрудников Комитета при выполнении возложенных на них обязанностей и в рамках их участия в оперативной деятельности по обеспечению информационной безопасности являются: • соблюдение требований информационной безопасности, устанавливаемых нормативными документами Комитета; • выявление и предотвращение реализации угроз информационной безопасности в пределах своей компетенции; • выявление и реагирование на инциденты информационной безопасности; • информирование в установленном порядке Председателя комитета о выявленных угрозах информационной безопасности; • прогнозирование и предупреждение инцидентов информационной безопасности в пределах своей компетенции; • мониторинг и оценка информационной безопасности в рамках своего участка работы (рабочего места, структурного подразделения) и в пределах своей компетенции; • информирование своего руководства и руководителя структурного подразделения по защите информации (ответственного за обеспечение безопасности информации) о выявленной угрозе в информационной среде Комитета. 7.5. Ответственность за соблюдение положений Политики. 9 7.5.1. Общее руководство обеспечением информационной безопасности Комитета осуществляет Председатель комитета. 7.5.2. Ответственность за поддержание положений настоящей Политики в актуальном состоянии, создание, внедрение, координацию и внесение изменений в процессы системы менеджмента информационной безопасности Комитета лежит на ответственном за обеспечение безопасности информации. 7.5.3. Ответственность сотрудников Комитета за невыполнение настоящей Политики определяется соответствующими положениями внутренних нормативных документов Комитета. 7.6. Контроль за соблюдением положений Политики. 7.6.1. Общий контроль состояния информационной безопасности Комитета осуществляется Председателем комитета. 7.6.2. Текущий контроль соблюдения настоящей Политики осуществляет ответственный за обеспечение безопасности информации. 7.6.3. Контроль осуществляется путем проведения мониторинга и менеджмента инцидентов информационной безопасности Комитета, по результатам оценки информационной безопасности, а также в рамках иных контрольных мероприятий. 7.7. При размещении ИСОП на технических средствах сторонних организаций техническая защита информации в них обеспечивается силами сторонней организации, при этом обеспечение выполнения организационных мер по защите информации возлагается на ответственного за обеспечение безопасности информации. 7.8. Порядок организации технической защиты информации в ИСОП при ее размещении на технических средствах сторонней организации определяется владельцем технических средств с учетом требований настоящей Политики. 7.9. Порядок размещения ИСОП на технических средствах сторонних организаций должен соответствовать требованиям Положения о разрешительной системе допуска пользователей (обслуживающего персонала) к информационным ресурсам, автоматизированным системам и связанным с их использованием работам, документам Комитета. 8. Заключительные положения 8.1. Требования настоящей Политики могут развиваться другими внутренними нормативными документами Комитета, которые дополняют и уточняют ее. 8.2. В случае изменения действующего законодательства Российской Федерации и иных нормативных актов настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам. В этом случае Председатель комитета обязан незамедлительно инициировать внесение соответствующих изменений. 8.3. Внесение изменений в настоящую Политику осуществляется на периодической и внеплановой основе. 10 8.3.1. Периодическое внесение изменений в настоящую Политику должно осуществляться не реже одного раза в 12 месяцев. 8.3.2. Внеплановое внесение изменений в настоящую Политику может производиться по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, а также по результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий.