-
-
-
-
-
-
-
-
Приложение 1
к приказу от 04 апреля 2016 года № 65
|
КОНЦЕПЦИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
муниципального казенного дошкольного образовательного учреждения общеразвивающего вида с приоритетным осуществлением познавательно-речевого развития детей «Детский сад №9»
г.Благодарный, 2016 г.
СОДЕРЖАНИЕ
СПИСОК ИСПОЛЬЗУЕМЫХ СОКРАЩЕНИЙ
АИС
|
Автоматизированная информационная система
|
АРМ
|
Автоматизированное рабочее место
|
АС
|
Автоматизированная система
|
БД
|
База данных
|
ВТСС
|
Вспомогательные технические средства и системы
|
ВЧВС
|
Виртуальная частная вычислительная сеть
|
ЕСКД
|
Единая система конструкторской документации
|
ЕСПД
|
Единая система программной документации
|
ЕСТД
|
Единая система технологической документации
|
ЗИ
|
Защита информации
|
ЗП
|
Защищаемое помещение
|
ИБ
|
Информационная безопасность
|
ИТКС
|
Информационно-телекоммуникационная система
|
КЗ
|
Контролируемая зона
|
КСЗИ
|
Комплексная система защиты информации
|
ЛВС
|
Локальная вычислительная сеть
|
НСД
|
Несанкционированный доступ
|
ОБИ (ОИБ)
|
Обеспечение безопасности информации
|
ОТСС
|
Основные технические средства и системы
|
ПО
|
Программное обеспечение
|
ПС
|
Программные средства
|
РД
|
Руководящий документ
|
СЗИ НСД
|
Система защиты информации от НСД
|
СКЗИ
|
Средство криптографической защиты информации
|
СПД
|
Система передачи данных
|
СПО
|
Специальное программное обеспечение
|
СТК
|
Система телекоммуникаций;
|
СУБД
|
Система управления базами данных
|
ТП
|
Технический проект
|
ТТ
|
Технические требования
|
УЦ
|
Удостоверяющий центр
|
ФСБ России
|
Федеральная служба безопасности России
|
ФСТЭК России
|
Федеральная служба по техническому и экспертному контролю России
|
ЭЦП
|
Электронная цифровая подпись
|
|
|
|
|
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
АУТЕНТИФИКАЦИЯ – проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности.
АДМИНИСТРАТОР ЗАЩИТЫ - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации
БЕЗОПАСНОСТЬ ИНФОРМАЦИИ -состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз.
ВСПОМОГАТЕЛЬНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА И СИСТЕМЫ - технические средства и системы, не предназначенные для передачи, обработки и хранения конфиденциальной информации, размещаемые совместно с основными техническими средствами и системами или в защищаемых помещениях
Доступ к информации - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.
Защита информации (ЗИ) - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию.
Защита от несанкционированного доступа – деятельность, направленная на предотвращение получения информации заинтересованным субъектом (или воздействия на информацию) с нарушением установленных прав или правил.
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
ЗАЩИЩАЕМЫЕ ПОМЕЩЕНИЯ – помещения, специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).
ЗАЩИЩЕННОЕ СРЕДСТВО ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ (ЗАЩИЩЕННАЯ АВТОМАТИЗИРОВАННАЯ СИСТЕМА) – средство вычислительной техники (автоматизированная система), в которой реализован комплекс средств защиты.
ИНФОРМАЦИОННЫЕ РЕСУРСЫ – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах)
Идентификация – присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
ИДЕНТИФИКАТОР ДОСТУПА – уникальный признак субъекта или объекта доступа.
КОМПЛЕКС СРЕДСТВ ЗАЩИТЫ – совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.
КОНТРОЛИРУЕМАЯ ЗОНА - пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств.
КОНФИДЕНЦИАЛЬНАЯ ИНФОРМАЦИЯ – информация с ограниченным доступом, не содержащая сведений, составляющих государственную тайну, доступ к которой ограничивается в соответствии с законодательством Российской Федерации
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП - доступ к информации или действия с информацией, нарушающие правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
НАРУШИТЕЛЬ ПРАВИЛ РАЗГРАНИЧЕНИЯ ДОСТУПА – субъект доступа, осуществляющий несанкционированный доступ к информации.
ОБЪЕКТ ДОСТУПА – единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ – содержание и порядок действий по обеспечению защиты информации
ОСНОВНЫЕ ТЕХНИЧЕСКИЕ СРЕДСТВА И СИСТЕМЫ - технические средства и системы, а также их коммуникации, используемые для обработки, хранения и передачи конфиденциальной информации
ПАРОЛЬ – идентификатор субъекта доступа, который является его (субъекта) секретом.
СИСТЕМА РАЗГРАНИЧЕНИЯ ДОСТУПА – совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах
САНКЦИОНИРОВАННЫЙ ДОСТУП К ИНФОРМАЦИИ – доступ к информации, не нарушающий правила разграничения доступа.
СЕРТИФИКАТ ЗАЩИТЫ – документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных.
СИСТЕМА ЗАЩИТЫ ИНФОРМАЦИИ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.
СРЕДСТВО ЗАЩИТЫ ОТ НЕСАНКЦИОНИРОВАННОГО ДОСТУПА – программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа.
СРЕДСТВО КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ –реализующие алгоритмы криптографического преобразования информации аппаратные, программные и аппаратно-программные средства, системы и комплексы, предназначенные для защиты информации, обеспечивающие безопасность информации при ее обработке, хранении и передаче по каналам связи.
СУБЪЕКТ ДОСТУПА – лицо или процесс, действия которого регламентируются правилами разграничения доступа.
ЦЕЛОСТНОСТЬ ИНФОРМАЦИИ – устойчивость информации к несанкционированному или случайному воздействию на нее в процессе обработки техническими средствами, результатом которого может быть уничтожение и искажение информации.
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Концепция определяет систему взглядов на проблему обеспечения комплексной безопасности информации и устанавливает порядок организации и правила обеспечения информационной безопасности в муниципальном казенном дошкольном образовательном учреждении общеразвивающего вида с приоритетным осуществлением познавательно-речевого развития детей «Детский сад №9» (далее - Учреждение), распределение функций и ответственности за обеспечение информационной безопасности между подразделениями и сотрудниками Учреждения, требования по информационной безопасности к информационным средствам, применяемым в Учреждения. Документ представляет собой методологическую основу для разработки и реализации комплексных целевых программ обеспечения защиты информации на объектах информатизации Учреждения.
-
Сфера применения Концепции
Требования настоящей Концепции обязательны для всех структурных подразделений Учреждения и распространяются на:
автоматизированные системы Учреждения;
средства телекоммуникаций;
помещения;
сотрудников Учреждения.
Внутренние документы Учреждения, затрагивающие вопросы, рассматриваемые в данном документе, должны разрабатываться с учетом положений Концепции и не противоречить им.
-
Правовая основа Концепции
Правовую основу Концепции составляют:
Конституция Российской Федерации;
Федеральный закон «О безопасности» от 28.12.2010 № 390-ФЗ;
Федеральный закон «О связи» от 07.07.2003 № 126-ФЗ;
Федеральный закон «О коммерческой тайне» от 29.07.2004 № 98-ФЗ;
Федеральный закон «Об информации, информационных технологиях и о защите информации» от 26.07.2006 № 149-ФЗ;
Доктрина информационной безопасности Российской Федерации, утверждена Президентом Российской Федерации 09.09.2000 Пр-1895;
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), Гостехкомиссия России, 2002г.
Федеральный закон «О персональных данных» от 27.07.06 № 152-ФЗ (в ред. от 27.07.2011);
ГОСТ Р ИСО/МЭК 17799-2005. Информационная технология. Практические правила управления информационной безопасностью"
(утв. Приказом Ростехрегулирования от 29.12.2005 N 447-ст)
другие законодательные акты, руководящие и нормативно-методические документы Российской Федерации в области обеспечения информационной безопасности.
-
Цели и задачи обеспечения безопасности информации
Главная цель обеспечения безопасности информации, циркулирующей в Учреждения, - реализация положений законодательных актов Российской Федерации и нормативных требований по защите информации ограниченного доступа (далее по тексту - конфиденциальной или защищаемой информации) и предотвращение ущерба в результате разглашения, утраты, утечки, искажения и уничтожения информации, ее незаконного использования и нарушения работы информационно-телекоммуникационной системы Учреждения.
Основными целями обеспечения безопасности информации являются:
предотвращение утечки, хищения, искажения, подделки информации, циркулирующей в Учреждения;
предотвращение нарушений прав личности клиентов на сохранение конфиденциальности информации, циркулирующей в ИТКС Учреждения;
предотвращение несанкционированных действий по блокированию информации;
Основными задачами обеспечения безопасности информации являются:
соответствие положениям законодательных актов и нормативным требованиям по защите информации;
своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба интересам Учреждения, нарушению нормального функционирования и развития ИТКС Учреждения;
создание механизма оперативного реагирования на угрозы информационной безопасности и негативные тенденции в системе информационных отношений;
эффективное пресечение незаконных посягательств на информационные ресурсы, технические средства и информационные технологии, в том числе с использованием организационно-правовых и технических мер и средств защиты информации;
создание условий для максимально возможного возмещения и локализации наносимого интересам Учреждения ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения информационной безопасности;
разработка нормативно-правовой базы обеспечения информационной безопасности, координация деятельности подразделений Учреждения по обеспечению защиты информации;
развитие системы защиты, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения;
создание и применение защищенных информационных объектов и АИС, центров обработки защищаемой информации;
развитие и совершенствование защищенного юридически значимого электронного документооборота.
создание механизмов, обеспечивающих контроль системы информационной безопасности и гарантии достоверности выполнения установленных требований информационной безопасности
создание механизмов управления системой информационной безопасности;
-
ОБЪЕКТЫ ЗАЩИТЫ
-
Объектами защиты Учреждения являются:
информационные ресурсы;
средства и системы обработки информации;
средства и системы защиты информации, в т.ч. криптографической защиты информации;
помещения или объекты, предназначенные для ведения закрытых переговоров.
-
Информационные ресурсы Учреждения
Под информационными ресурсами в Учреждения понимаются совокупности сведений в электронном и бумажном виде (база данных, электронная библиотека, реестр, кадастр, фонд, архив и другие виды информационных массивов), поддерживаемые программно-техническими средствами автоматизированной информационной системы. Информационные ресурсы представляют собой хранилища данных, из которого путем специализированной обработки пользователю предоставляется информация на электронных или бумажных носителях, в том числе в виде отдельных фрагментов баз данных, отчетов и справок.
Технологической основой формирования информационных ресурсов является программно-техническая среда автоматизированных информационных систем, используемых в Учреждения
Используемые в информационных системах Учреждения технологии взаимодействия при обработке информационных ресурсов включают:
электронную почту (протоколы SMTP и IMAP);
электронный обмен файлами (протокол FTP);
обмен файлами на магнитных носителях в формате XML;
Web-доступ к ресурсам сети (протоколы HTTP/HTTPS/HTML);
технологию терминального доступа для взаимодействия с удаленными пользователя (протокол RDP);
Основным источником информации для наполнения первичных баз данных ИТКС являются документы и сообщения, поступающие от структурных подразделений Учреждения и внешних организаций.
Информационное и функциональное взаимодействие узлов ИТКС Учреждения осуществляется на основе интегрированных (логически единых) баз данных, обеспечивающих должностных лиц структурных подразделений Учреждения требуемой информацией.
Обмен информацией осуществляется:
внутри узлов - по локальным вычислительным сетям - программными и техническими средствами ЛВС в соответствии с транспортными протоколами обмена информацией между абонентами;
между узлами ИТКС Учреждения и информационными системами внешних организаций и ведомств - по каналам связи (или на магнитных носителях) в соответствии с соглашениями и протоколами по обмену информацией.
Вся информация, хранимая, обрабатываемая или передаваемая в рамках подразделений Учреждения с использованием информационной системы, классифицирована по степени важности и критичности на следующие категории.
|