Затверджую ПОЛІТИКА БЕЗПЕКИ Загальні положення. Політика безпеки визначає норми, правила і обмеження по користуванню елементами інформаційної системи, є механізмом управління інформаційною системою. Відповідальним за безпеку інформації завжди є керівник організації. Керівник може призначати конкретних працівників відповідальними за безпеку окремих елементів інформаційної системи. Всі працівники повинні ознайомитись з даним документом та безвідмовно дотримуватись всіх нижчезазначених правил, обов’язків та вимог. Політика безпеки висвітлює лише загальні та обов’язкові положення безпеки організації. Всі деталі повинні вирішуватись персоналом організації згідно з їх обов’язками, посадовими інструкціями та практичними навичками і досвідом. (напр. видача прав доступу працівникам, генерування паролів, застосуваня шифрування, використання програмного забезпечення, охоронних сигналізацій і т.д.) № пп Положення ПБ Відповідальні особи
Організація захисту
1. Регулярно проводити наради з персоналом, на яких варто розглядати наступні питання: Аналіз та затвердження (внесення змін при необхідності) до політики безпеки і розподіл загальних обов’язків Визначення основиних загроз інформаційних ресурсів Визначення та затвердження дій, спрямованих на покращення захисту інформації Керівник, група режиму, аналітична група
2. Регулярно проводити наради служби безпеки, на яких варто озглядати наступні питання: Узгоджуються конкретні функції і обов’язки по забезпеченню інформаційної безпеки Узгоджуються конкретні методики і процеси захисту інформації (напр. оцінка ризиків, система класифікації методів захисту) Узгоджується і здійснюється підтримка ініціатив з захисту інформації (напр. програма навчання персоналу правилам безпеки) Забезпечується включення захисних мір в процес планування використання інформації Координуються дії по реалізації конкретних мір по забезпеченню безпеки нових систем чи сервісів Керівник СБ
3. Всі прийняті рішення стосовно інформаіцйної безпеки організації повинні узгоджуватись керівником організації. Керівник
Класифікація ресурсів і їх контроль
1. Всі основні інформаційні ресурси організації повинні мати власника. Власник затверджується керівником організації. Керівник, група режиму
2. Відповідальним за безпеку інформаційного ресурсу завжди є його власник. Група режиму
3. Власник ресурсу може призначати також відповідальним за безпеку ресурсу іншу особу (затверджується керівником та СБ) Група режиму
4. Не рідше ніж один раз в пів року проводити інвентаризацію всіх ресурсів організації. При цьому виконуються наступні дії: Кожен ресурс повинен бути чітко ідентифікований Власник ресурсу та відповідальні за безпеку особи визначені Категорія таємності затверджена (при необхідності змінена) та задокументована СБ
5. При одержанні нового ресурсу інформаційної системи необхідно призначити йому гриф таємності. Група режиму
Безпека персоналу
1. При прийомі працівників на роботу необхідно ретельно перевіряти достовірність інформації, вказаної в заявах та анкетах. Детективна група
2. Працівники, що мають доступ до конфіденційної інформації повинні підписати документи про нерозголошення таємниць. Група режиму
3. Документи про нерозголошення інформаціїї повинні переглядатись та при необхідності змінюватись при зміні грифів таємності та класифікації інформації. Група режиму
4. Необхідно навчити працівників процедурам захисту і правильному поводженню з інформаційними ресурсами. Група режиму
5. При виникненні інцидентів в системі безпеки необхідно негайно повідомити про це службу безпеки. Група режиму
6. При поміченні слабких місць в системі безпеки необхідно негайно повідомити про це службу безпеки. Група режиму
7. Всі інциденти та недоліки в системі безпеки повинні реєструватись в системному журналі. Група режиму
8. Працівники повинні строго дотримуватись режиму дня.
9. При встановленні нових систем безпеки чи впровадженні нових правил слід ознайомити з ними всіх працівників. Група режиму
Фізична безпека системи
1. При прийомі на роботу працівників, їх права на доступ в приміщення організації повинні бути чітко визначені, затверджені і задокументовані. Працівникам необхідно видати персональні ідентифікаційні картки, картки та коди доступу в відповідні приміщення. Детективна група, група режиму, керівник
2. Дата та час приходу працівників на роботу та залишення контрольованої території повинен реєструватись в системному журналі на КПП. Служба охорони
3. Дата та час входу в приміщення повинен реєструватись в системному журналі через електронні замки. Група режиму
4. Працівники повинні завжди носити на видному місці особисті ідентифікаційні картки. Служба охорони
5. При поміченні в приміщенні посторонніх осіб чи осіб, що не мають прав доступу до приміщення необхідно негайно повідомити про це службу охорони з допомогою кнопки тривоги чи в усній формі. Служба охорони
6. При звільненні працівників необхідно вилучити у них особисті ідентифікаційні картки, картки та коди доступу до приміщень. Група режиму
7. Забороняється зберігати вогненебезпечні та легкозаймисті предмети близько біля життєвоважливих ресурсів системи (комп’ютерів, сигналізацій, систем контролю доступу і т.і.) Група пожежної охорони, служба охорони
8. При покиданні приміщення чи роботі в приміщенні з таємною інформацією слід закривати вікна та двері та ретельно перевіряти безпеку системи. Група режиму, працівники
9. Магнітні носії інформації та паперову документацію, коли вони не використовуються, слід зберігати в спеціаних захищених шафах. Працівники
10. Коли ком’ютери не використовуються слід їх виключати або блокувати паролем систему. Працівники
11. Працівникам категорично забороняється виносити будь-яке майно організації за її межі. Служба охорони
12. Працівникам категорично забороняється приносити будь які сторонні предмети на територію організації. Служба охорони
13. Необхідно регулярно перевіряти стан електромережі та дотримання всіх правил користування електроапаратурою. Електрик
14. Технічне обслуговування повинен здійснювати технічний персонал служби підтримки апаратури під наглядом СБ. Група режиму
15. Не рідше ніж один раз в пів року слід оглядати всю апаратуру. Інженери, адміністратор, група режиму
16. Ретельно перевіряти магнітні носії, що не використовуються, по таким пунктам: Наявність записаної на них таємної інформації Наявність пошкоджень Роботоспроможність Група режиму, аналітична група
17. В разі виявлення таємної інформації на МНІ слід її видалити. Група режиму
18. В разі виявлення пошкоджень МНІ або нероботоспроможність МНІ утилізувати. Група режиму
19. Регулярно (раз в тиждень) проводити перевірку приміщень та території на наявність закладних пристроїв. Група протидії технічним розвідкам, аналітична група
20. Необхідно регулярно перевіряти стан пожежної сигналізації. Група пожежної охорони.
21. Необхідно регулярно перевіряти стан систем контролю доступу до приміщень. Група режиму
22. Необхідно регулярно загальні засади захисту інформації, аналізувати та давати точну оцінку стану системі безпеки організації. Аналітична група.
Адміністрування комп’ютерних систем та мереж та користування ними
1. При адмініструванні КС та КМ слід строго дотримуватись функцій, зазначених в документації продуктів та не виходити за їх рамки. Адміністратор
2. В разі виникнення технічних проблем слід звертатись до служби технічної підтримки виробника продукту. Адміністратор
3. При виникненні проблем при роботі з КС слід повідомити про це адміністратора. Працівники
4. Працівникам забороняється особисто вирішувати проблеми, які виникли при роботі системи. Адміністратор
5. Слід регулярно проводити резервне копіювання даних та при виникненні проблем проводити «відкат» системи. Адміністратор
6. Користувачі на повинні мати доступ до робочих програм конфігурування роботи системи та ммережі. Адміністратор
7. Конфігурування системи та мережі повинно здійснюватись при відсутності в приміщенні будь-якого персоналу (крім працівників СБ). Адміністратор
8. Працівники повинні отримати персональні права доступу до КС, права на користування програмним забезпеченням, доступ до мережі та її ресурсів, які повинні відповідати вимогам, правам та обов’язкам працівників. (див. Управління доступом до КС) Адміністратор
9. Працівники повинні зберігати в таємниці свій код доступу. Детективна група
10. При втраті чи розголошенні персонального коду доступу слід негайно повідомити про це адміністратора. Детективна група
11. При введенні КС на експлуатацію слід ретельно перевірити її роботоспроможність, виникнення помилок та безпеку. Адміністротор
12. Політика безпеки КС повинна регулярно (раз в три місяці) переглядатись та змінюватись відповідно до змін прав та обов’язків працівників. Адміністратор, група режиму
13. Регулярно (раз в тиждень) проводити ретельну перевірку роботоспроможності системи для виявлення помилок та несправностей. Адміністратор
14. Для захисту від комп’ютерних вірусів та програм «троянський кінь» слід використовувати антивірусні програми. Адміністратор
15. Антивірусне програмне забезпечення та вірусні бази повинні регулярно (раз в два-три дні) оновлятись. Адміністратор
16. Щодня (в неробочий час) проводити повну перевірку системи на наявність вірусів та програм «троянський кінь». Адміністратор
17. Магнітні носії інформації, нове програмне забезпечення, вхідна електронна пошта повинні ретельно превірятись на зараження вірусами та наявність програм «троянський кінь» перед запуском в КС. Адміністратор
18. Для захисту від зовнішніх атак по мережі слід використовувати відповідне програмне забезпечення (файєрволи, детектори атак та ін.). Адміністратор
19. Програмне забезпечення захисту від зовнішніх атак повинне регулярно оновлюватись, конфігуруватись в відповідності до потреб та поставлених вимог та перевірятись на наявність неполадок. Адміністратор
20. Встановленням, конфігуруванням, перевіркою та оновленням програмного забезпечення займається тільки адміністратор. Детективна група
21. Всі дії в КС повинні автоматично реєструватись в системному журналі. Адміністратор
22. Системні журнали повинні ретельно переглядатись для виявлення помилок роботи системи та можливих порушень чи атак. Адміністратор, група режиму
Управління доступом до КС
1. Права доступу, коди доступу, дозволи на користування програмами та ресурсами КМ повинні зазначатись в політиці безпеки комп’ютерної системи. Адміністратор, група режиму
2. При визначенні прав доступу працівників слід враховувати наступні фактори: Посада Обов’язки Категорія приміщень, в які особа має доступ Інформація, до якої має доступ працівник Рівень знань та навичок користування КС Адміністратор, група режиму
3. Коди доступу (паролі) повинні видаватись автоматично згідно наступих правил: Довжина паролю – не менше 7 символів Пароь повинен містити великі та малі літери латинського алфавіту, знаки пунктуації і цифри Адміністратор
4. Кожних 15 днів паролі повинні змінюватись. Адміністратор
5. При звільненні працівника чи зміні його робочих повноважень паролі необхідно змінювати. Адміністратор
6. Вхід користувача в систему та вихід з неї повинен реєструватись в системному журналі. Адміністратор
7. Паролі повинні шифруватись. Група криптозахисту
8. Електронна пошта повинна шифруватисью Група криптозахисту
9. Таємна інформація повина шифруватись. Група криптозахисту
Захист персональних даних працівників
1. Доступ до персональних даних мають лише працівники СБ та керівник організації. Група режиму
2. Забороняється розголошення персональних даних. Група режиму
3. Персональні дані повинні бути точні і відповідати даті. Детективна група
4. Персональні дані повинні шифруватись та ретельно захищатись. Група режиму