Проект
Распоряжение
об организации и выполнении мероприятий по защите информации в ОРГАНИЗАЦИИ
На основании федеральных законов от 27 июля 2006 г. № 149 «Об информации, информационных технологиях и о защите информации» и от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановления Правительства Российской Федерации постановления Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Указа Президента Российской Федерации от 17 марта 2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», приказов ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», приказа Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю от 31.08.2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования», «Специальных требований и рекомендаций по технической защите конфиденциальной информации (СТР-К)», утверждённых приказом председателя Гостехкомиссии России от 30 августа 2002 г. № 282, других нормативных правовых актов Российской Федерации, нормативных и методических документов в области защиты информации, для организации и выполнения мероприятий по защите информации в ОРГАНИЗАЦИИ:
1. Назначить указать должность и ФИО ответственным за защиту информации.
2. Назначить указать должность и ФИО администратором безопасности информации.
3. Утвердить:
Регламент использования сервисов электронной почты и информационно-телекоммуникационных сетей международного информационного обмена (Приложение №__);
Перечень защищаемых информационных ресурсов (Приложение №__);
Инструкцию должностного лица, ответственного за защиту информации (Приложение №__);
Порядок допуска должностных лиц и обслуживающего персонала в помещения, в которых ведётся обработка защищаемых информационных ресурсов и обрабатывающим их техническим средствам, в рабочее и нерабочее время, а также в нештатных ситуациях (Приложение №__);
Правила разграничения доступа к защищаемым информационным ресурсам, обрабатываемым с использованием средств вычислительной техники (Приложение №__);
Порядок учета, хранения и уничтожения носителей защищаемых информационных ресурсов (Приложение №__);
Инструкция по антивирусной защите информации (Приложение №__);
Инструкция по организации парольной защиты (Приложение №__);
3. Контроль за исполнением настоящего распоряжения оставляю за собой/назначаю на заместителя руководителя ОРГАНИЗАЦИЯ.
Руководитель ОРГАНИЗАЦИЯ
Регламент использования сервисов электронной почты и информационно-телекоммуникационных сетей международного информационного обмена
Общие положения
Регламент разработан на основании Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», «Доктрины информационной безопасности Российской Федерации», утвержденной Президентом Российской Федерации 09.09.2000 № Пр-1895, Указа Президента Российской Федерации от 17.03.2008 № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена», приказа Федеральной службы безопасности Российской Федерации, Федеральной службы по техническому и экспортному контролю от 31.08.2010 № 416/489 «Об утверждении Требований о защите информации, содержащейся в информационных системах общего пользования» и других нормативных правовых документов в области информационной безопасности.
Настоящий регламент определяет общий порядок использования сервисов электронной почты и информационно-телекоммуникационной сети международного информационного обмена Интернет.
Основная цель регламента - предотвращение несанкционированного копирования, уничтожения, искажения и блокирования государственных информационных ресурсов, обрабатываемых с использованием средств вычислительной техники.
Источники угроз информационной безопасности
Подключение средств вычислительной техники к информационно-телекоммуникационным сетям международного информационного обмена представляет реальную угрозу регулярного несанкционированного контроля информационных процессов, несанкционированного доступа (НСД) и иным неправомерным действиям в отношении государственных информационных ресурсов и системам.
Информационные вычислительные сети общего пользования являются открытыми системами передачи информации, при работе в которых могут возникнуть угрозы безопасности информации в результате таких действий как:
проникновение в систему незаконных пользователей, которое происходит вследствие ошибок в конфигурации программных средств (ошибок администрирования), дефектов в средствах обеспечения защиты информации от НСД операционных систем;
перенос в информационные системы (ИС) разрушающего программного обеспечения (внедрение программных закладок, вирусов);
выбор и использование законным пользователем системы неудачных паролей;
несанкционированная передача служебной информации ограниченного распространения, конфиденциальной информации и иной защищаемой информации пользователями в международные информационные сети (МИС) общего пользования и т.д.
При непосредственном подключении локальной вычислительной сети (ЛВС) к МИС общего пользования есть возможность:
получить информацию об адресной структуре сети;
установить типы и версии используемого сетевого программного обеспечения (сетевое оборудование, операционные системы, прикладные и служебные сервисы);
получить информацию о пользователях сети;
попытаться получить доступ к защищаемым информационным ресурсам сети;
вызвать отказ в обслуживании легальных пользователей.
Кроме явных, непосредственно направленных на ЛВС, внешних угроз информационной безопасности, существуют угрозы, связанные с неумышленным распространением вредоносного программного кода внутренними пользователя. К вредоносному программному коду относят вирусы, троянские программы, «опасные» компоненты прикладных протоколов и т.д.
По этим причинам самым опасным с точки зрения безопасности информации является несанкционированное подключение модемов (USB-модемов) к рабочим станциям пользователя, а также USB-накопителей информации, используемых для переноса информации из любых внешних информационных или автоматизированных систем. Причем подключение модемов не обязательно может использоваться для доступа в Интернет (возможны соединения к серверам других организаций, и к отдельным компьютерам, например домашним).
Технические средства защиты информации
К техническим средствам защиты информации при работе с информационными сетями общего пользования, в том числе Интернет относятся системы разграничения прав доступа, межсетевые экраны, системы построения защищенных виртуальных сетей (Virtual Private Network – VPN), системы обнаружения атак, системы анализа защищенности, системы антивирусной защиты и т.д.
Технические средства защиты отвечают требованиям безопасности информации и позволяют обеспечить эффективную защиту информации с высшей вероятностью только в том случае если администраторами и пользователями выполняются в комплексе организационные и технические меры по их применению.
Системы разграничения доступа.
Система разграничения доступа ограничивает посторонним лицам доступ к ресурсам автоматизированной системы и позволяет разграничить права пользователей при работе на компьютере, при этом контролируются права локальных и удаленных пользователей.
Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределенное средство, реализующее контроль за потоками информации, поступающей в автоматизированную систему (АС) и(или) выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Межсетевые экраны позволяют осуществить: контроль доступа на межсетевом уровне, протоколирование информационных потоков, сокрытие топологии защищаемой сети, реагирование на несанкционированные действия.
Средствами МСЭ могут быть выявлены следующие виды атак: сканирование сетевых портов, атаки на отказ в обслуживании, изучение топологии внутренней сети, использование слабостей протоколов прикладного уровня, распространение вирусов и спама.
Основные показатели защищенности МСЭ: идентификация и аутентификация, регистрация событий и оповещение, контроль целостности, восстановление работоспособности.
Системы построения защищенных виртуальных сетей.
Системы построения защищенных виртуальных сетей позволяют организовать прозрачное для пользователей соединение локальных вычислительных сетей с помощью шифрования.
Системы обнаружения атак.
К системам обнаружения атак можно отнести: системы обнаружения атак на уровне сети, системы обнаружения атак на уровне хоста. Системы обнаружения атак используют:
- системы обнаружения аномального поведения пользователя (большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора, использование периферийных устройств, которые обычно пользователем не используются и т.д.);
- системы обнаружения злоупотребления (обнаружение уже известной атаки по шаблону или «сигнатуре»).
Системы анализа защищенности.
Средства анализа защищенности предназначены для поиска в вычислительной технике и ее компонентах различных уязвимостей, которые могут быть использованы злоумышленниками для реализации атак.
Организация работы
На автоматизированных рабочих местах должно быть установлено только программное обеспечение, необходимое для функционирования системы и выполнения администратором или пользователем своих функциональных (должностных) обязанностей.
Владельцам открытых и общедоступных государственных информационных ресурсов необходимо осуществлять их включение в состав объектов сетей МИС только при использовании сертифицированных средств защиты информации, обеспечивающих ее целостность и доступность, в том числе криптографических для подтверждения достоверности информации.
Пользователь АРМ обязан:
знать и строго соблюдать установленные правила обеспечения безопасности информации при работе с программными и техническими средствами АС;
в пределах своей компетенции знать и строго выполнять правила работы со средствами защиты информации, используемых на персональных компьютерах;
хранить в тайне свой аутентификатор (пароль доступа в автоматизированную систему), а также информацию о системе защиты установленной на АС;
знать порядок входа в МИС общего пользования и регистрации в сети;
при пользовании электронной почтой не передавать сведения, содержащих конфиденциальную информацию и иную защищаемую информацию;
не распространять противозаконные материалы.
С целью предотвращения заполнения почты ненужной почтовой рекламной и другой информацией (спамом) запрещается размещать адрес своего электронного ящика на досках (доски объявлений) объявлений МИС.
Все АРМ оснащаются, в обязательном порядке, антивирусным программным обеспечением, обновление антивирусной базы которого производится регулярно. Антивирусное программное обеспечение настраивается на проверку всех файлов без исключения. При использовании съемных накопителей информации для передачи информации, каждый из них должен быть проверен на отсутствие вредоносного программного обеспечения. АС регулярно, не реже одного раза в неделю, проверяются на отсутствие вредоносного программного кода.
При отправке электронных сообщений рекомендуется заполнять поле тема. Не рекомендуется открывать для чтения почтовые сообщения, адресат которых неизвестен или почтовое отправление носит подозрительный характер (реклама или запрос информации неизвестной фирмы, спам, и т.д.).
Вредоносный программный код не может распространяться в составе самих сообщений электронной почты, но может содержаться в присоединенных к письму файлах, если это исполняемые файлы или файлы Word или Excel. Не рекомендуется загружать указанные типы файлов без предварительной антивирусной проверки.
Если обнаружено, что почтовое отправление, пришедшее от адресата, заражено вредоносным кодом, необходимо:
срочно принять все меры по предотвращению дальнейшего распространения заражения путем прекращения приема передачи сообщений данной АС;
провести сканирование и лечение системы антивирусными средствами (при необходимости обновить базы данных антивирусного программного обеспечения);
сообщить адресату о наличии у него заражения, для последующего принятия адресатом срочных мер.
Запрещается хранение вредоносного кода, на каких-либо носителях информации.
При обнаружении вредоносного кода необходимо произвести его лечение антивирусными средствами. Удаление зараженных файлов средствами операционной системы может привести к безвозвратному разрушению информации.
Работа в сети Интернет
Пользователи могут осуществлять поиск и использовать ресурсы сети Интернет только в случае, если это необходимо для выполнения своих должностных обязанностей.
При работе в сети Интернет, запрещено:
обмениваться конфиденциальной информацией и иной защищаемой информацией;
использование ресурсов сети Интернет для развлечения и получения информации, не относящейся к функциональным обязанностям пользователя;
предоставление доступа к ресурсам сети Интернет с использованием данных своей учетной записи другим лицам;
открытие (запуск на выполнение) файлов, размещённых в сети Интернет;
загружать на компьютер материал, который является непристойным или нарушает законодательство Российской Федерации.
При необходимости переноса рабочих материалов, полученных из сети Интернет, на персональный компьютер пользователя, необходима их проверка антивирусными программными средствами.
Порядок осуществления доступа и обмена данными с внешними по электронной почте
При работе с электронной почтой пользователям запрещается:
обмен конфиденциальной информацией и иной защищаемой информацией;
предоставление доступа к электронной почте с использованием данных своей учетной записи другим лицам;
публикация своего служебного адреса электронной почты в электронных каталогах, на поисковых машинах и других ресурсах сети Интернет в целях, не связанных с исполнением своих должностных обязанностей;
подписка по электронной почте на различные рекламные материалы, листы рассылки, электронные журналы и т.д., не связанные с выполнением пользователем должностных обязанностей;
открытие (запуск на выполнение) файлов, полученных по электронной почте или из ресурсов сети Интернет, без предварительной проверки их антивирусным программным обеспечением.
Электронная почта предоставляется только для выполнения своих служебных обязанностей. Использование ее в личных целях запрещено.
Выходящие сообщения могут быть выборочно проверены, чтобы гарантировать соблюдение политики безопасности.
Пользователи не должны позволять кому-либо посылать письма от чужого имени.
|
