ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

1. Область применения

Настоящий документ «Политика информационной безопасности ООО «Ресолва Диджитал» (далее – Политика) устанавливает цели и программу действий работников ООО «Ресолва Диджитал» (далее – компания) при создании и эксплуатации системы защиты информации (далее – СЗИ) информационных систем компании в соответствии с деятельностью, потребностями и требованиями законодательства Республики Беларусь по технической и криптографической защите информации.

Действие настоящей Политики распространяется на:

  • руководителей и специалистов компании, организующих и обеспечивающих эксплуатацию информационных систем, а также участвующих в создании и эксплуатации системы защиты информации данных информационных систем;
  • персонал сторонних организаций, участвующих в создании и эксплуатации системы защиты информации информационных систем компании;
  • персонал сторонних организаций, которые оказывают услуги компании по разработке, обслуживанию или поддержке технических средств по обработке информации.

Настоящая Политика распространяет свое действие на все информационные системы компании. Наименование информационных систем, соответствующие классы типовых информационных систем, документация на системы, а также ответственный за обеспечение защиты информации представлены в Приложении 1 настоящего документа.

2. Общие положения

В соответствии с действующим законодательством Республики Беларусь, информация, распространение и (или) предоставление которой ограничено, не отнесенная к государственным секретам, должна обрабатываться в информационных системах с применением системы защиты информации, аттестованной в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь [1].

Политика информационной безопасности – это совокупность документированных правил, процедур и требований в области защиты информации, действующих в информационных системах.

Настоящая Политика разработана с учетом требований действующего законодательства Республики Беларусь по вопросам защиты информации. Политика входит в систему документов компании первого уровня в области обеспечения информационной безопасности и устанавливает общие намерения и направления деятельности по обеспечению конфиденциальности, целостности, сохранности, подлинности и доступности информации, обрабатываемой в информационных системах.

Документами второго уровня по информационной безопасности, детализирующими положения Политики применительно к информационным системам, согласно требованиям [2], является документация на систему защиты информации, которая разрабатывается и оформляется в виде отдельных локальных нормативных документов.

Обеспечение информационной безопасности неотъемлемая составная часть деятельности компании. Реализация Политики должна осуществляться на основе принципа непрерывности и строгого соблюдения установленных правил.

В случае изменения действующего законодательства и иных нормативных правовых актов компании настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным правовым актам.

Внесение изменений в настоящую политику осуществляется на периодической и внеплановой основе:

  • периодическое внесение изменений должно осуществляться не реже одного раза в 24 месяца;
  • внеплановое внесение изменений может производиться по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий.

Ответственным за внесение изменений в настоящую политику является администратор безопасности.

3. Цели и принципы защиты информации

3.1 Цели защиты информации в информационных системах компании сформированы и направлены на снижение угроз информационной безопасности до приемлемого уровня, при котором обеспечивается целостность, доступность и конфиденциальность принимаемой, обрабатываемой, хранимой и передаваемой информации, а также защищенность самих информационных ресурсов и средств автоматизации от несанкционированного доступа к ним.

Основными целями защиты информации в информационных системах компании являются:

  • выполнение требований законодательства Республики Беларусь в области защиты информации;
  • обеспечение защиты информации (конфиденциальность, целостность, доступность, сохранность), распространение и (или) предоставление которой ограничено;
  • обеспечение непрерывности функционирования прикладного и системного ПО, технических средств и ресурсов, обеспечивающих работоспособность информационных систем, в которых обрабатывается информация, распространения и (или) предоставление которой ограничено;
  • организация информационной безопасности с соблюдением прав пользователей информационной системы, вовлеченных в процессы при создании, использовании и эксплуатации информационных систем.

3.2 Обеспечение достижения поставленных целей защиты информации строится на основе следующих принципов:

  • недопустимость перехода в открытое состояние. При любых обстоятельствах (в том числе нештатных), СЗИ должна либо полностью выполнять свои функции, либо блокировать доступ. Должен осуществляться менеджмент инцидентов информационной безопасности;
  • принцип минимизации привилегий. Пользователи должны иметь только те права доступа, которые необходимы им для выполнения служебных обязанностей;
  • принцип разделения обязанностей. Должно быть обеспечено распределение ролей и ответственности, при котором один работник не может нарушить критически важный для компании процесс;
  • принцип многоуровневой защиты. За средствами инженерно-физической защиты должны следовать программно-технические средства. Должна обеспечиваться идентификация и аутентификация пользователей, управление доступом, своевременное выявление и оценка причин, условий и характера угроз информационной безопасности и дальнейшее прогнозирование развития событий на основе мониторинга инцидентов информационной безопасности, протоколирование и аудит событий безопасности;
  • принцип простоты и управляемости информационной системы и системы защиты информации. На систему защиты информации должна быть разработана документация [2];
  • принцип всеобщей поддержки мер безопасности. Реализация программ по осведомленности и обучению работников компании о возможных факторах рисков информационной безопасности и мерах противодействия, постоянное обучение;
  • принцип персональной ответственности. Ответственность за обеспечение безопасности информации и системы ее обработки должна быть возложена на каждого работника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей работников должно строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму. Наличие должностных лиц, ответственных за информационную безопасность в компании, а также работников, осуществляющих практическую работу по обеспечению защиты информации, должно быть определено организационно-штатной структурой компании, приказами или должностными инструкциями.

3.3 Должны быть реализованы и поддерживаться следующие основные меры защиты информации в компании:

  • правовые меры: исполнение требований НПА Республики Беларусь;
  • организационные меры: регламентация обеспечения особого режима допуска на территории (в помещениях), где может быть осуществлен доступ к информации (материальным носителям информации), регламентация разграничения доступа к информации по кругу лиц и характеру информации, а также определение технологических процедур администрирования;
  • технические меры: использование средств технической и криптографической защиты информации, а также меры по контролю защищенности информации;
  • физические меры: воспрепятствование физическому проникновению посторонних лиц в помещения, в которых размещаются серверное оборудование и технические средства, используемые при администрировании ИС.

4. Права и обязанности пользователей информационной системы

Пользователи информационной системы обладают правами и обязанностями при использовании информационных систем в пределах предоставленных им полномочий и (или) прав.

4.1 Пользователи информационных систем имеет право:

  • использовать информационные и технические ресурсы при исполнении своих должностных обязанностей;
  • осуществлять подключение и использовать ресурсы в соответствии с предоставленными ему правами;
  • руководствоваться Политикой информационной безопасности и иными ЛНПА при работе с информационной системой;
  • в части своих компетенций вносить предложения по возможному развитию и модернизации.

4.2 Пользователи информационных систем обязаны:

  • знать и применять в соответствии со своими должностными обязанностями принципы защиты информации;
  • использовать только свой идентификатор и пароль для доступа к ресурсам ИС;
  • формировать пароли для доступа к ресурсам в соответствии с требованиями к сложности пароля;
  • исключать возможность ознакомления с персональным паролем посторонних лиц, как при хранении, так и при его вводе;
  • в случае разглашения или компрометации пароля незамедлительно предпринять меры по его смене либо уведомить администратора безопасности;
  • уведомить администратора безопасности, если выявлены признаки вредоносного ПО;
  • соблюдать правила «чистого стола» и «чистого экрана»;
  • завершать сеанс связи по окончании работы, а также блокировать или выключать средство вычислительной техники при оставлении рабочего места, если иное не определено технологическим процессом;
  • предпринимать меры ограничения физического доступа к объектам информационной системы, на которых выполняется обработка информации ограниченного распространения, средствам защиты информации и объектам, на которых выполняется администрирование информационной системы.

4.3 Пользователи информационных систем несет ответственность:

  • за распространение и (или) предоставление информации, обрабатываемой в информационных системах и ресурсах пользователям, не имеющим права доступа;
  • за нарушение порядка доступа к информации, обрабатываемой в информационных системах;
  • за непринятие соответствующих мер по защите информации;
  • за невыполнение установленных правил, требований Политики информационной безопасности и иных ЛНПА компании.

5. Порядок организации взаимодействия с иными информационными системами

Организация взаимодействия систем, осуществляющих обработку информации распространение и (или) предоставление которой ограничено, с иными информационными системами осуществляется в соответствии с Требованиями к организации взаимодействия информационных систем, отраженными в Приложении 4 к Положению о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено утвержденному Приказом Оперативно-аналитического центра при Президенте Республики Беларусь от 20.02.2020 № 66 и строится на принципах соблюдения полноты, достоверности предоставляемой информации, получаемой, обрабатываемой и размещаемой в рамках межсистемного взаимодействия, а также конфиденциальности информации, доступ к которой ограничен законодательством об информации, информатизации и защите информации.

Взаимодействие с иными информационными системами осуществляется на основании регламента (или иного документа) информационного взаимодействия между информационными системам компании и иными информационными системами.

6. Контроль соблюдения требований настоящего документа

Общий контроль состояния информационной безопасности компании осуществляется директор.

Текущий контроль соблюдения настоящей Политики осуществляет администратор безопасности компании. Контроль осуществляется путем проведения мониторинга и менеджмента инцидентов информационной безопасности, по результатам оценки информационной безопасности, а также в рамках иных контрольных мероприятий.

Руководители структурных подразделений компании должны обеспечить регулярный контроль за соблюдением положений настоящей Политики.

7. Термины и определения, обозначения и сокращения

7.1 В настоящем документе применяются следующие термины с соответствующими им определениями:

Администратор безопасности – работник компании, назначенный в установленном порядке, ответственный за обеспечение безопасности информационных систем, реализацию и непрерывность соблюдения установленных административных мер защиты, осуществляющий постоянную организационную поддержку функционирования применяемых физических и технических средств защиты.

Информационная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Доступность – свойство, характеризующее возможности предоставлять необходимые ресурсы (вычислительные, коммуникационные, информационные, функциональные) авторизованным пользователям в требуемое им время.

Идентификация − сравнение предъявляемого уникального имени (идентификатора) с перечнем присвоенных идентификаторов.

Инцидент информационной безопасности – событие, указывающее на свершившуюся, предпринимаемую или вероятную реализацию угрозы информационной безопасности, т.е. реализацию нарушения свойств информационной безопасности активов информационной системы.

Конфиденциальность информации – требование не допускать распространения и (или) предоставления информации без согласия ее обладателя или иного основания, предусмотренного законодательными актами Республики Беларусь;

Объект информационной системы – средства вычислительной техники, сетевое оборудование, системное и прикладное программное обеспечение, средства технической и криптографической защиты информации;

Пользователь информационной системы – субъект информационных отношений, получивший доступ к информационной системе;

Система защиты информации – комплекс организационных и технических мер, направленных на обеспечение конфиденциальности, целостности и доступности информации.

Угроза – потенциально возможное событие, явление или процесс, которые посредством воздействия на компоненты информационной системы могут привести к нанесению ущерба.

Целостность – свойство информации сохранять свое информационное содержание и однозначность интерпретации в условиях случайных или преднамеренных воздействий.

7.2 В настоящем документе используются следующие обозначения и сокращения:

ЛНПА − локальные нормативные правовые акты;
НПА − нормативные правовые акты;
ПО − программное обеспечение;
СЗИ − система защиты информации.

8. Нормативные ссылки

В документе использованы ссылки на следующие нормативные правовые акты:

[1]          Закон Республики Беларусь от 10 ноября 2008 г. № 455-З «Об информации, информатизации и защите информации».

[2]          Приказ Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019 г. № 449» (в редакции приказа Оперативно-аналитического центра при Президенте Республики Беларусь 12.11.2021 № 195).

Приложение 1

Наименование информационной системы Документация Ответственный за обеспечение защиты информации Класс
1 ИС IntellStaff. Положение о системе защиты информации ИС IntellStaff Администратор безопасности 3-ин, 3-спец,

3-юл