Документ описывает политику информационной безопасности организации, включая цели, процедуры и стандарты для обеспечения безопасного управления информацией. Он охватывает вопросы классификации активов, безопасного доступа, защиты персонала и физической безопасности, а также регламентирует управление рисками и реагирование на инциденты. Специфические требования к обучению персонала и соблюдению законодательных норм подчеркивают важность комплексного подхода к информационной безопасности.

1. Политика информационной безопасности организации

2. Политика безопасности Защита Обнаружение Корректировка Операции и поддержка Приобретение Исследования Дизайн и внедрение Интеграция Тестирование Сертификация Обучение и тренировка Политика безопасности Анализ угроз Управление рисками Технология Процедуры Страховка Конфиденциальность Целостность Доступность Анализ уязвимостей Обнаружение «вредного»кода и вторжений Аудит и мониторинг Реакция Сортировка Редизайн Повторная сертификация

3. Нормативная база СТБ 34.101.1 - СТБ 34.101.3 Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий . Части 1-3 СТБ П ИСО/МЭК 17799-2000/2004 Информационная технология. Свод правил по управлению информационной безопасностью

4. Структура ИСО 17799 Введение, термины и определения Политика безопасности Организация защиты Классификация активов и контроль за ними Безопасность персонала Физическая безопасность и безопасность окружающей среды Управление коммуникациями и процессами Управление доступом к системам Разработка и сопровождение систем Организация непрерывной работы организации Обеспечение соответствия законодательству и нормам безопасности

5. 2.Политика безопасности В этот документ должны быть включены следующие положения: а) определение информационной безопасности, ее основные цели и область ее применения, а также значение безопасности как механизма позволяющего коллективно использовать информацию ; б) изложение позиции руководства по вопросам реализации целей и принципов информационной безопасности; в) разъяснение конкретных вариантов политики безопасности, принципов, стандартов и требований к ее соблюдению, включая, например: - выполнение правовых и договорных требований; - требования к обучению персонала правилам безопасности; - политика предупреждения и обнаружения вирусов, а также другого злонамеренного программного обеспечения; - политика обеспечения бесперебойной работы организации; - последствия нарушения политики безопасности; г) определение общих и конкретных обязанностей по обеспечению режима информационной безопасности; д) разъяснение процесса уведомления о событиях, таящих угрозу безопасности

6. 3.Организация защиты 3.1 Инфраструктура информационной безопасности Совещани я руководства по проблемам информационной безопасности Координация действий по защите информации Распределение обязанностей по обеспечению информационной безопасности Процесс утверждения средств обработки информации Рекомендации специалистов по информационной безопасности Сотрудничество между организациями Независимый анализ информационной безопасности Безопасность доступа сторонних организаций Безопасность при разработке программного обеспечения сторонней организацией

7. 3.2 Безопасность доступа сторонних организаций Идентификация рисков, связанных с подключениями сторонних организаций Типы доступа (физический, логический) Причины предоставления доступа Контракты со сторонними организациями Условия безопасности в контрактах, заключенных со сторонними организациями Требования безопасности в контрактах 3 .3 Заключение договора на выполнение работ сторонними организациями

8. 4.Классификация активов и контроль за ними 4.1 Ответственность за активы Инвентаризация активов а) информационные активы: базы данных и файлы данных, системная документация, руководства пользователя, учебные материалы, операционные процедуры и процедуры поддержки, планы обеспечения бесперебойной работы организации, процедуры перехода на аварийный режим, архивная информация; б) программные активы: прикладное программное обеспечение, системное программное обеспечение, инструментальные средства и утилиты; в) физические активы: компьютерное оборудование (процессоры, мониторы, лэптопы, модемы), коммуникационное оборудование (маршрутизаторы, УАТС , факсы, автоответчики) магнитные носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения; г) сервисы: вычислительные и коммуникационные сервисы, другие технические сервисы (отопление, освещение, энергоснабжение, кондиционирование воздуха). 4.2 Классификация (категорирование) информации

9. 5.Безопасность персонала 5.1 Безопасность в должностных инструкциях и при выделении ресурсов Безопасность в должностных инструкциях Проверка персонала Соглашение о конфиденциальности (о неразглашении) Договор и условия найма 5.2 Обучение пользователей Обучение правилам информационной безопасности 5.3 Реагирование на связанные с безопасностью инциденты и злонамеренную деятельности Уведомление об инцидентах в системе безопасности Уведомление о слабых местах в системе безопасности Уведомление об отказах программного обеспечения Использование накапливаемого в процессе инцидентов опыта Процедура наложения дисциплинарных взысканий

10. 6.Физическая безопасность и безопасность окружающей среды 6.1 Защищенные области 6.1.1 Физический периметр безопасности а) периметр безопасности должен быть четко определен; б) периметр безопасности, представляющий собой строение или участок, на территории которого находятся средства обработки информации, должны быть физически прочным . Внешние стены объекта должны представлять собой прочные конструкции и все внешние двери должны быть соответствующим образом защищены от несанкционированного доступа, например, механизмами контроля, барьеры, сигналы тревоги, замки и т.д.; в) должен быть установлен контролируемый приемн ый пункт (проходная) или другие средства контроля физического доступа к месторасположению объекта или в помещение. Доступ к месторасположению объекта и в помещения должен устанавливаться только уполномоченным персоналом; г) ф изические барьеры должны по необходимости простираться от пола до потолка, чтобы предотвратить несанкционированный доступ в помещение и загрязнение окружающей среды такие, как последствия пожара или наводнения; д) н а все воспламеняющиеся двери периметра безопасности должна быть поставлена сигнализация и они должны закрываться со стуком для привлечения внимания .

11. 6.1.2 Физический контроль за доступом 6.1.3 Защита офисов, комнат и средств 6.1.4 Работа в защищенной области 6.1.5 Изолированные области разгрузки и загрузки оборудования и материалов 6.2 Защита оборудования 6.2.1 Размещение и защита оборудования 6.2.2 Источники электропитания 6.2.3 Защита кабельной разводки 6.2.4 Техническое обслуживание оборудования 6.2.5 Защита оборудования, используемого за пределами организации 6.2.6 Надежная утилизация или повторное использование оборудования 6.3 Общий контроль 6.3.1 Политика чистого рабочего стола и чистого экрана 6.3.2 Вынос имущества за пределы организации

12. 7.Управление средствами и процессами 7.1 Рабочие процедуры и ответственность 7.1.1 Документированные операционные процедуры 7.1.2 Контроль текущих изменений в информационной системе 7.1.3 Процедуры управления в случае инцидентов 7.1.4 Разделение обязанностей 7.1.5 Разделение процессов разработки и использования рабочих программ 7.1.6 Внешнее (стороннее) управление средствами обработки информации

13. 7.2 Планирование систем и их приемка 7.2.1 Планирование производительности 7.2.2 Приемка систем Следует специально контрол ировать : а) требовани я к производительности и загрузке компьютеров; б) подготовку процедур восстановления и перезапуска систем после сбоев, а также планов действий в экстремальных ситуациях; в) подготовку и тестирование повседневных операционных процедур в соответствии с заданными стандартами; г) эффективности процедур ручного управления; д) производственные соглашения; е) указани я на то, что установка новой системы не будет иметь пагубных последствий для функционирующих систем, особенно в моменты пиковой нагрузки на систему обработки (например, в конце месяца); ж) эффект, который новая система оказывает на общую безопасность организации; д) подготовку персонала к использованию новых систем.

14. 7.3 Защита от вредоносного программного обеспечения 7.4 Обслуживание систем 7.4.1 Резервное копирование данных 7.4.2 Журналы регистрации событий 7.4.3 Регистрация сбоев 7.5 Сетевое администрирование Средства управления безопасностью сетей 7.6 Работа с носителями информации и их защита 7.6.1 Управление съемными компьютерными носителями информации 7.6.2 Удаление носителей данных 7.6.3 Процедуры работы c данными 7.6.4 Защита системной документации 7.7 Обмен данными и программами 7.7.1 Соглашения об обмене данными и программами 7.7.2 Защита носителей информации во время транспортировки 7.7.3 Защита электронной торговли (электронных документов) 7.7.4 Защита электронной почты 7.7.5 Защита систем электронного офиса Системы общего доступа (Интернент) 7.7.6 Другие виды информационного обмена

15. 8. У правление доступом к системам 8.1 Т ребования к управлению доступом 8.1.1 Документированная политика управления доступом к и нформации Производственные требования Правила управления доступом 8.2 Управление доступом пользователей 8.2.1 Регистрация пользователей 8.2.2 Управление привилегиями 8.2.3 Управление пользовательскими паролями 8.2.4 Пересмотр прав доступа пользователей 8.3 Обязанности пользователей 8.3.1 Использование паролей 8.3.2 Пользовательское оборудование, оставленное без присмотра

16. 8.4 Управление доступом к сети 8.4.1 Политика использования сетевых сервисов 8.4.2 Принудительная маршрутизация 8.4.3 Аутентификация пользователей для внешних подключений 8.4.4 Аутентификация узлов сети 8.4.5 Защита удаленного диагностического порта 8.4.6 Сегментация сетей 8.4.7 Контроль сетевых подключений 8.4.8 Управление сетевой маршрутизацией 8.4.9 Защита сетевых сервисов 8.5 Управление доступом к операционной системе 8.5.1 Автоматическая идентификация терминалов 8.5.2 Процедуры входа в систему с терминала 8.5.3 Идентификация и аутентификация пользователей 8.5.4 Система управления паролями 8.5.5 Использование системных утилит 8.5.6 Сигнал тревоги, предупреждающий о принуждении, для защиты пользователей 8.5.7 Время простоя терминалов 8.5.8 Ограничение времени подключения

17. 8.6 Управление доступом к приложениям 8.6.1 Ограничение доступа к информации 8.6.2 Изоляция уязвимых систем 8.7 Слежение за доступом к системам и их использованием 8.7.1 Регистрация событий 8.7.2 Слежение за использованием систем 8.7.3 Синхронизация системных часов 8.8 Мобильн ые вычислени я и телеобработка 8.8.1 Мобильн ые вычислени я 8.8.2 Телеобработка

18. 9. Разработка и сопровождение систем ( Область регулирования ОК ) 9.1 Требования к безопасности систем 9.2 Безопасность в прикладных системах 9.3 Криптографические средства контроля 9.4 Безопасность системных файлов 9.5 Безопасность процессов разработки и поддержки 10.Управление бесперебойной работой организации 11.Соответствие законодательству и нормам безопасности 11.1 Соответствие правовым нормам 11.2 Анализ политики безопасности и технической согласованности 11.3 Положения, касающиеся аудита систем

19. УП «Научно-исследовательский институт технической защиты информации» г. Минск, ул. Первомайская, 26, к.2 Тел. 2 94 00 11, 2 94 22 54, 2 94 01 71 Директор – Чурко Олег Василевич тел. 2 94 16 84 Центр испытаний средств защиты информации и аттестации информационных объектов [email_address] Зам. начальника Центра испытаний - Мельник Александр Филиппович тел. 294 30 85 Нач. испытательной лаборатории - Кондрахин Олег Юрьевич Инженер I категории испытательной лаборатории - Андрухович Мария Константиновна