1. Общие положения
1.1 Политика информационной безопасности (далее – Политика)
предназначена для определения целей и требований обеспечения
безопасности информационной системы.
1.2 Под обеспечением информационной безопасности или защитой
информации понимается сохранение ее конфиденциальности, целостности и доступности. Конфиденциальность информации обеспечивается в случае
предоставления доступа к данным только авторизованным пользователям, целостность – в случае внесения в данные исключительно авторизованных
изменений, доступность – обеспечение возможности получения доступа к данным авторизованным пользователям в нужное для них время.
2. Перечень нормативных правовых актов
2.1 Перечень использованных нормативно-правовых актов:
— Закон Республики Казахстан от 11 января 2007 года N 217-III «Об
информатизации» (с изменениями и дополнениями по состоянию на
29.12.2014 г.);
— Закон Республики Казахстан от 15 марта 1999 года № 349-I «О
государственных секретах» (с изменениями и дополнениями по состоянию на
07.11.2014 г.);
— Закон Республики Казахстан от 06 января 2012 года № 527-IV «О
национальной безопасности Республики Казахстан» (с изменениями и
дополнениями по состоянию на 07.11.2014 г.);
— Указ Президента Республики Казахстан от 14 ноября 2011 года № 174
«О Концепции информационной безопасности Республики Казахстан до 2016
года»;
— Методы и средства обеспечения безопасности. Критерии оценки
безопасности информационных технологий. Часть 2. Функциональные
требования безопасности. СТ РК ГОСТ Р ИСО/МЭК 15408-2-2006;
— Методы обеспечения защиты. Свод правил по управлению защитой
информации. СТ РК ИСО/МЭК 17799-2006;
— Методы и средства обеспечения безопасности системы управления
информационной безопасностью. Требования. СТ РК ИСО/МЭК 27001-2008;
— Требования к проектированию, установке, наладке, эксплуатации и
обеспечению безопасности информационных систем. СТ РК 34.022-2006;
— Защита от несанкционированного доступа к информации. Общие . СТ РК ГОСТ Р 50739-2006;
— Средства обеспечения. Свод правил по управлению защитой
информации. СТ РК ИСО/МЭК 27002-2009.
3. Сокращения, термины и определения
НСД — Несанкционированный доступ.
Информационная система (ИС) — Совокупность информационных технологий, информационных сетей и средств их программнотехнического обеспечения, предназначенных для реализации информационных процессов.
Информационные процессы — Процессы, в том числе и технологические
процессы создания, сбора, обработки, накопления, хранения, поиска, передачи, использования и распространения информации с использованием информационных технологий.
Информационная безопасность (ИБ) — Состояние защищенности информационных ресурсов и систем, обеспечение конфиденциальности, целостности и доступности информации.
Конфиденциальность информации — Обеспечение предоставления информации только авторизованным лицам.
Конфиденциальная информация – это Информация, предоставляемая только авторизированным лицам, не составляющая государственные секреты, но содержащая сведения, доступ к которым ограничен в соответствии с законодательством Республики Казахстан.
Корпоративная вычислительная сеть — Совокупность информационных систем, компьютеров, кабелей, сетевых адаптеров, объединённых в единую сеть и эксплуатируемых.
Аутентификация — Подтверждение подлинности субъекта или объекта
доступа путем определения соответствия предъявленных реквизитов доступа, реализованными в информационной системе.
Администратор — Работник, обеспечивающий функционирование
системы и выполняющий администрирование серверов КМИС.
Атака — Несанкционированная деятельность с вредоносными намерениями, использующая специально разработанный программный код или специальные методики.
Авторизация — Процесс предоставления определенному лицу прав
на выполнение некоторых действий.
Несанкционированный доступ к информации Получение защищаемой информации, заинтересованным субъектом, с нарушением установленных правовыми документами правил доступа к ней.
Средства криптографической защиты информации Средства, осуществляющие криптографическое преобразование информации для обеспечения ее безопасности.
Служба технической поддержки (СТП) Обслуживающая на договорной основе организация, отвечающая за сопровождение технических и программных компонентов информационной системы.
Средства вычислительной техники (СВТ) Технические или программные средства, используемые для обработки, хранения и передачи информации, к которым относятся персональные компьютеры, серверное оборудование, активноесетевое оборудование, а также их периферийное оборудование и программное обеспечение.
Угрозы информационной безопасности Совокупность причин, условий и факторов, создающих опасность для объектов информационной безопасности, реализация которых может повлечь нарушение прав, свобод и законных интересов юридических и физических лиц в информационных процессах.
4. Угрозы информационной безопасности
Основными действиями, которые производятся с информацией и
могут содержать в себе угрозу, являются сбор, модификация, утечка и
уничтожение данных. Эти действия являются базовыми для дальнейшего
рассмотрения.
Все источники угроз классифицируются на внешние и
внутренние.
Источниками внутренних угроз являются:
1. сотрудники организации;
2. программное обеспечение;
3. аппаратные средства.
Внутренние угрозы могут проявляться в следующих формах:
1. ошибки пользователей и администраторов;
2. нарушения сотрудниками установленных регламентов сбора, обработки, передачи и уничтожения информации;
3. ошибки в работе программного обеспечения, вирусы и прочее вредоносное ПО с помощью которого могут быть произведены сетевые атаки изнутри сети.
4. отказы и сбои в работе аппаратного обеспечения.
К внешним источникам угроз относятся:
1. внешние сетевые атаки;
2. Организации и отдельные лица;
3. стихийные бедствия.
Формами проявления внешних угроз являются:
1. заражение компьютеров вирусами или вредоносными программами;
2. несанкционированный доступ к информациии сервисам сети;
3. аварии, пожары, техногенные катастрофы.
5. Цель политики безопасности
С целью повышения уровня информационной безопасности в Учреждении вводятся режимные меры, предписывающие соблюдение требований и рекомендаций изложенных в данной политике безопасности.
Для повышения уровня информационной безопасности рекомендуется:
обучение сотрудников правилам информационной безопасности;
в обязанности сотрудникам вменить обязательное уведомление об обнаруженных инцидентах и слабых местах в системе безопасности;
определить ответственность за нарушение режима информационной безопасности.
— установка сетевых экранов и прочих аппаратных и программных средств защиты.
Также разработаны следующие требования:
требования по парольной защите;
требования по резервному копированию данных;
требования по обеспечению антивирусной защиты;
заключение договоров о конфиденциальности с сотрудниками при получении паролей.
Правила пользования персональным компьютером.
Все должностные лица и сотрудники Учреждения обязаны строго соблюдать установленные режимные меры по обеспечению информационной безопасности.
Любая вычислительная сеть или программное обеспечение имеет уязвимости, позволяющие третьим лицам получить доступ к вашей информации. Если ваша система до сих пор не взломана это не означает что она безопасна и имеет высокий уровень защиты информации, это лишь говорит о том что либо ваша информация не обладает высокой ценностью либо пока еще не был найден способ взлома вашей системы. Если же, утечка или повреждение информации неприемлемы то рекомендуется прибегнуть к шифрованию. В этом случае даже если взломщик получит доступ к информации и произойдет ее утечка то прочитать содержимое зашифрованного файла без пароля практически невозможно. Все выше перечисленные рекомендации и требования должны соблюдаться изначально и безоговорочно в противном случае взлом вашей системы не займет много времени.
6. Классификация нарушений информационной безопасности
Для накопления опыта и адекватной реакции на выявленные нарушения информационной безопасности в Учреждении должна проводиться классификация и категорирование нарушений информационной безопасности. Для этих целей создан периодически пополняемый и уточняемый перечень категорированных нарушений по обеспечению информационной безопасности.
по степени их опасности целесообразно разделить на:
нарушения 1 — ой категории;
нарушения 2 — ой категории;
некатегорированные нарушения.
К нарушениям 1 — ой категории относятся нарушения, повлекшие за собой разглашение (утечку) защищаемых сведений, утрату бумажных документов и магнитных носителей информации, уничтожение (искажение) информационного и программного обеспечения, выведение из строя технических средств.
К нарушениям 2 -ой категории относятся нарушения, в результате которых возникает возможность разглашения (утечки) защищаемых сведений или утраты бумажных документов и магнитных носителей информации, уничтожения (искажения) информационного и программного обеспечения, выведения из строя технических средств.
Остальные нарушения, не вошедшие в первую и вторую категории, относятся к некатегорированным нарушениям.
Нарушения 1 — ой категории:
утрата бумажных документов и магнитных носителей информации, содержащих охраняемые (конфиденциальные) сведения;
действия сотрудников структурных подразделений, приведшие к искажению или разрушению охраняемых сведений или иных защищаемых ресурсов;
умышленная разработка, использование и распространение вредоносных программ (программ — вирусов и т. п.), а также непреднамеренные (по халатности) виновные действия, приведшие к использованию и распространению таких программ;
несанкционированная корректировка адресной информации маршрутов и путей коммутации технических средств пользователей данных и сообщений в информационных сетях;
компрометация средств защиты информации;
несанкционированный доступ к защищаемой информации;
несанкционированные действия сотрудников, направленные на сбор, накопление и обобщение охраняемых сведений.
Нарушения 2 -ой категории:
компрометация паролей;
несвоевременная замена паролей и идентификаторов при их компрометации;
вывод информации, содержащей охраняемые сведения, на неучтенные носители информации и машинные документы;
несанкционированное внесение изменений в программное информационное обеспечение информационных систем;
несанкционированное отключение средств защиты информации;
самовольное отключение средств антивирусной защиты;
несанкционированное подключение к вычислительной сети нештатных технических средств обработки информации (например, личных портативных компьютеров и т.п.);
вход в систему в обход системы защиты (загрузка ОС с дискеты или загрузочного СD);
отсутствие разграничения доступа к информации, содержащей охраняемые сведения и обрабатываемой в многопользовательском режиме, при работе по технологии «КЛИЕНТ — СЕРВЕР», а также доступа из других информационно — вычислительных сетей по каналам корпоративной или открытой сети;
нарушение порядка учета, хранения и обращения со средствами разграничения доступа к информации.
Перечень категорированных нарушений должен ежегодно корректироваться и доводиться до всех сотрудников, работающих с защищаемыми ресурсами.
7. Требования к парольной защите.
Пользователи должны следовать установленным процедурам поддержания режима безопасности при выборе и использовании паролей. Они обязаны выполнять следующие рекомендации:
обязательно назначать персональные пароли для обеспечения подотчетности;
хранить пароли в секрете;
не записывать пароли на бумаге, не оставлять в близи рабочего места тем более клеить на монитор либо на системный блок.
изменять пароли всякий раз, когда есть подозрения на возможную компрометацию систем или паролей;
выбирать пароли, содержащие не менее 8 символов;
при выборе паролей не следует использовать:
• месяцы года, дни недели и т.п.;
• фамилии, инициалы и регистрационные номера автомобилей;
• названия и идентификаторы структурных подразделений;
• номера телефонов или группы символов, состоящие из одних цифр;
• более двух одинаковых символов, следующих друг за другом;
• группы символов, состоящие из одних букв.
изменять пароли через регулярные промежутки времени (период времени использования пароля не должен превышать период времени, требуемого для взлома данного пароля с использованием специализированных программ, данный период высчитывается с помощью специальных сервисов проверки паролей ) и избегать повторное или «циклическое» использование старых паролей;
изменять временные пароли при первом входе в системы;
Не использовать свои пароли для доступа к порталам на других ПК или же на ПК не входящих в сеть учреждения, так как обычно корпоративная сеть изначально обладает более высоким уровнем безопасности.
При авторизации на портал не следует браузеру позволять сохранять пароль для более быстрого доступа к ресурсам, так как информация о паролях в браузерах не шифруется и может быть с легкостью скопирована третьими лицами.
Для хранения паролей рекомендуется использовать специальное программное обеспечение. Вся информация в подобном ПО находится в зашифрованном виде, кроме того подобное ПО возможно установить на смартфон и все пароли всегда будут под рукой.
Надежный пароль должен соответствовать следующим рекомендациям:
1 Длина пароля должна быть не менее 8 символов ( в идеале 15 — 20 символов)
2 Пароль должен содержать буквы (нижнего и верхнего регистра), цифры и специальные символы
3 Пароль не должен быть логичнымт.е. должен состоять из не связанных по смыслу слов.
4 Символы, буквы и цифры должны располагаться в хаотичном порядке.
5 Также рекомендуется проверить пароль на надежность на одном из специализированных ресурсах, кроме того на подобных ресурсах возможно сгенерировать надежный пароль.
6 Для того что бы пароль было легко запомнить можно применить принцип «симметричности» пароля, что совсем не повлияет на его надежность. Например пароль #23hello23# , по оценкам большинства сервисов возможно будет взломать методом перебора примерно за 50 лет.
8. Требования по обеспечению антивирусной защиты
Компьютерный вирус является разрушающей компьютерной программой и характеризуется вредоносным потенциалом для компьютерных программ, баз данных и любой информации, хранящейся на компьютерах и носителях. Особую опасность представляет то обстоятельство, что компьютерные вирусы могут скрытно и постепенно уничтожать, либо мгновенно разрушать хранящуюся в компьютере и носителях информацию, при этом также могут пострадать аппаратные средства.
Пользователи обязаны следовать установленным процедурам обеспечения антивирусной защиты при вводе информации в систему с внешних носителей, использовании электронной почты и копировании информации из Интернет.
— перед использованием полностью проверить накопитель на наличие вирусов (или другого вредоносного ПО) средствами установленного антивирусного ПО.
— не игнорировать предупреждения и рекомендации антивирусного ПО (стоит избегать посещения сайтов или запуска файлов, если антивирусное ПО сообщает о возможной опасности вследствие выполнения данных действий) При возникновении затруднений следует обратиться к системному администратору.
-ни в коем случае не препятствовать обновлению баз Антивирусного ПО либо автоматическому сканированию системы на наличие вирусов или вредоносного ПО. Данные процедуры в разы повышают уровень безопасности системы и не занимают много времени.
— Перед запуском файла скачанного с какого-либо сайта или полученного по электронной почте, рекомендуется проверить его средствами антивирусной защиты. Так же категорически запрещается запускать файлы полученные по электронной почте от неизвестных лиц, либо файлы имеющие расширения ( имя файла.doc) не входящие в список: .doc, .docx, .xls, .xlsx.,rar, zip, jpeg,pdf. Запуск файлов имеющих другие расширения потенциально опасен. При обнаружении которых, следует обратиться к системному администратору.
-Категорически запрещается самовольно отключать установленные средства антивирусной защиты и использовать внешние носители без их предварительной проверки антивирусными средствами.
-Категорически запрещается использование внешних usbмодемов. Использование данных устройств является опасным не только для компьютера к которому они подключены, но и для всей сети учреждения. Так как подключение к сети интернет производится в обход сетевых экранов и прочих средств защиты учреждения.
— При возникновении подозрения на наличие в системе компьютерного вируса (нетипичная работа программ, искажение данных, частое появление сообщений о системных ошибках и т.п.) должен быть проведён внеочередной антивирусный контроль ПК. При необходимости для определения факта наличия или отсутствия вируса могут быть привлечены специалисты службы Тех. поддержки.
9. Требования по резервному копированию информации
Резервное копирование является важным аспектом при обеспечении определенного уровня безопасности а также является одним из самых действенных и надежных методов сохраненияинформации. Своевременное резервное копирование позволяет избежать потери, повреждения и несанкционированного шифрования текстовых файлов, баз данных, графических материалов, а также видео и аудио файлов. Следующие требования помогут избежать потери информации:
— резервное копирование должно производится на специально подготовленный файловый сервер соответствующий минимальным требованиям отказоустойчивости (наличие не менее 2х накопителей на каждый из которых информация дублируется; сервер должен быть запитан от ИБП со встроенным стабилизатором напряжения.)
— резервное копирование должно производиться не реже чем раз в сутки в автоматическом режиме.
-Также резервному копированию должны подвергаться операционные системы серверов, файерволов, файловых серверов, а также операционной системы АТС (используемой для управления ipтелефонией) путем создания образов каждой системы. Либо сохранение конфигурации О.С. в файл (если конечно данная возможность реализована разработчиком резервируемой О.С.) Подобный подход позволит быстро и оперативно восстановить работу сервера либо АТС в случае отказа оборудования либо возникновения критической ошибки О.С.
— резервное копирование должно быть реализованно для каждого компьютера путем включения функции теневого копирования для разделажесткого диска содержимое которого является более важным. В случае сбоя или не преднамеренного удаления части файла (например части текстого документа) возможно без труда восстановить состояние файла до его модификации.
— информация хранимая на usbфлэш накопителях тоже должна быть подвергнута резервному копированию так как данный вид накопителей является крайне не надежным. Любой даже самый низкий заряд статического электричества (напримерпосле прикосновения к волосам) может вывести накопитель из строя без возможности восстановления данных. Рекомендуется иметь копию данных на компьютере. Если же информация обладает высокой ценностью то лучше всего прибегнуть к использованию облачных сервисов т.е. хранить информацию на серверах крупных компаний таких как mail.ru, yandexи google. Чтобы использовать сервис нужно всего лишь иметь учетную запись и пользоваться почтой любой из этих компаний.
10. Правила пользования персональным компьютером
В целях повышения уровня информационной безопасности рекомендуется придерживаться следующих правил работы с компьютером:
— На используемую учетную запись обязательно должен быть установлен личный пароль что позволит ограничить доступ третьих лиц к ПК в отсутствие врача.
— рекомендуется при работе на ПК не использовать учетную запись обладающую административными правами, так как не всегда производится своевременная блокировка вредоносного ПО антивирусными средствами. Рекомендуется использовать учетную запись не имеющую административных прав что в свою очередь лишит вредоносное ПО возможности запуска.
— категорически запрещается установка и запуск на ПК игр или других программ не используемых для выполнения должностных обязанностей.
Чаще всего подобное ПО инфицировано вирусами или делает систему более уязвимой, что влечет за собой утечку конфиденциальных данныха также может стать причиной программной неисправности операционной системы.
-В случае обращения в службу технической поддержки, пользователь
должен предоставлять специалистам вышеуказанной службы достоверную информацию о возникшей проблеме, как можно подробнее описать неисправность и дождаться инструкций специалиста так как сначала будут предприняты попытки решения проблемы с помощью удаленного доступа.