УТВЕРЖДАЮ
Председатель
Ижморского районного суда
Кемеровской области
/_____________/ Н.Н.Золотых
15 января 2015г.
Политика информационной безопасности
Ижморского районного суда Кемеровской области
Настоящая Политика информационной безопасности (далее Политика), разработана Ижморским районным судом Кемеровской области и является официальным документом.
Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных при осуществления отправления правосудия, соблюдения законных прав государственных гражданских служащих, а также лиц, участвующих в судебном процессе.
Политика разработана в соответствии с требованиями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Рекомендаций по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных Заместителем директора ФСТЭК России от 15.02.2008.
В Политике определены требования к пользователям ИСПДн, степень ответственности пользователей, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн Ижморского районного суда Кемеровской области.
1. Общие положения
Целью настоящей Политики является обеспечение безопасности объектов защиты Ижморского районного суда Кемеровской области от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (далее - УБПДн).
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн.
Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.
Состав объектов защиты представлен в Перечне персональных данных, подлежащих защите.
Состав ИСПДн подлежащих защите, представлен в Отчете о результатах проведения внутренней проверки.
2. Область действия
Требования настоящей Политики распространяются на всех сотрудников Ижморского районного суда Кемеровской области (штатных, временных, работающих по контракту (договору) и т.п.).
3. Система защиты персональных данных
Система защиты персональных данных (далее - СЗПДн), строится на основании:
Отчета о результатах проведения внутренней проверки;
Перечня персональных данных, подлежащих защите;
Акта классификации информационной системы персональных данных;
Модели угроз безопасности персональных данных;
Положения о разграничении прав доступа к обрабатываемым персональным данным;
Руководящих документов ФСТЭК и ФСБ России.
На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн Ижморского районного суда Кемеровской области. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Отчета о результатах проведения внутренней проверке, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн.
Для каждой ИСПДн должен быть составлен список используемых технических средств защиты, а так же программного обеспечения участвующего в обработке ПДн, на всех элементах ИСПДн:
АРМ пользователей;
Сервера приложений;
СУБД;
Граница ЛВС;
Каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.
В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:
антивирусные средства для рабочих- станций пользователей и серверов;
средства межсетевого экранирования;
Так же в список должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты. Список функций защиты может включать:
управление и разграничение доступа пользователей;
регистрацию и учет действий с информацией;
обеспечивать целостность данных;
производить обнаружений вторжений.
Список используемых технических средств отражается в Плане мероприятий по обеспечению защиты персональных данных. Список используемых средств должен поддерживаться в актуальном состоянии. При изменении состава технических средств защиты или элементов ИСПДн, соответствующие изменения должны быть внесены в Список и утверждены руководителем Учреждения или лицом, ответственным за обеспечение защиты ПДн.
4. Требования к подсистемам СЗПДн
СЗПДн включает в себя следующие подсистемы:
антивирусной защиты;
межсетевого экранирования;
Подсистемы СЗПДн имеют различный функционал в зависимости от класса ИСПДн, определенного в Акте классификации информационной системы персональных данных.
4.3. Подсистема антивирусной защиты
Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей ИСПДн Ижморского районного суда Кемеровской области.
Средства антивирусной защиты предназначены для реализации следующих функций:
резидентный антивирусный мониторинг;
антивирусное сканирование;
скрипт-блокирование;
- централизованную/удаленную установку/деинсталляцию
антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;
автоматизированное обновление антивирусных баз;
ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
автоматический запуск сразу после загрузки операционной системы.
Подсистема реализуется путем внедрения специального антивирусного программного обеспечения на все элементы ИСПДн.
4.4. Подсистема межсетевого экранирования
Подсистема межсетевого экранирования предназначена для реализации следующих функций:
фильтрации открытого и зашифрованного (закрытого) IP-трафика по следующим параметрам;
фиксации во внутренних журналах информации о проходящем открытом и закрытом IР-трафике;
идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;
регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы и ее программного останова;
контроля целостности своей программной и информационной части;
фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
регистрации и учета запрашиваемых сервисов прикладного уровня;
блокирования доступа, не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
контроля за сетевой активностью приложений и обнаружения сетевых
атак.
5. Пользователи ИСПДн
В ИСПДн Ижморского районного суда Кемеровской области, можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:
Администратора ИСПДн;
Администратора безопасности;
Операторов (пользователей) обработки ИСПДн.
5.1. Администратор ИСПДн
Администратор ИСПДн, сотрудник Ижморского районного суда Кемеровской области, ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя ИСПДн к элементам хранящим персональные данные.
Администратор ИСПДн обладает следующим уровнем доступа и знаний:
обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
обладает полной информацией о технических средствах и конфигурации ИСПДн;
имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
обладает правами конфигурирования и административной настройки технических средств ИСПДн.
5.2. Администратор безопасности
Администратор безопасности, сотрудник Ижморского районного суда Кемеровской области, ответственный за функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент.
Администратор безопасности обладает следующим уровнем доступа и знаний:
обладает правами Администратора ИСПДн;
обладает полной информацией об ИСПДн;
имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
имеет права доступа к конфигурированию технических средств сети.
Администратор безопасности уполномочен:
реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь ИСПДн, получает возможность работать с элементами ИСПДн;
осуществлять аудит средств защиты.
5.3. Операторы (пользователи) обработки ИСПДН
Пользователь ИСПДн, сотрудник Ижморского районного суда Кемеровской области, осуществляющий в пределах свои полномочий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Пользователь не имеет полномочий для управления подсистемами обработки данных и СЗПДн.
Пользователь ИСПДн обладает следующим уровнем доступа и знаний: обладает всеми необходимыми атрибутами (паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
- располагает конфиденциальными данными, к которым имеет доступ.
6. Требования к пользователям по обеспечению защиты ПДн
Все сотрудники Ижморского районного суда Кемеровской области, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
При вступлении в должность нового сотрудника администратор безопасности обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Сотрудник должен быть ознакомлен со сведениями настоящей Политики, принятых процедур работы с элементами ИСПДн и СЗПДн.
Сотрудники Ижморского районного суда Кемеровской области должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).
Сотрудники Ижморского районного суда Кемеровской области должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Сотрудникам запрещается устанавливать стороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а так же записывать на них защищаемую информацию.
Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Ижморского районного суда Кемеровской области, третьим лицам.
При работе с ПДн в ИСПДн сотрудники Ижморского районного суда Кемеровской области обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ.
При завершении работы с ИСПДн сотрудники обязаны защитить АРМ с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
Сотрудники Ижморского районного суда Кемеровской области должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.
Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, которые могут повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.
7. Должностные обязанности пользователей ИСПДн
Должностные обязанности пользователей ИСПДн описаны в следующих документах:
Инструкция администратора ИСПДн;
Инструкция администратора безопасности ИСПДн;
Инструкция пользователя ИСПДн.
8. Ответственность сотрудников Ижморского районного суда
Кемеровской области
В соответствии со ст. 24 Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут установленную законодательством Российской Федерации ответственность.
Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).
Администратор ИСПДн и администратор безопасности несут ответственность за все действия, совершенные от имени их учетных записей или системных учетных записей, если не доказан факт несанкционированного использования учетных записей.
При нарушениях сотрудниками Ижморского районного суда Кемеровской области - пользователей ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.
В должностные регламенты государственных служащих суда (пользователей персональных данных), вносятся положения об ответственности за разглашение и несанкционированную модификацию ПДн, а также за неправомерное вмешательство в процессы их автоматизированной обработки.
