Утверждаю

Руководитель

КГУ «Приозерная основная         средняя школа отдела образования

                                                                       Алтынсаринского района»

Управления образования

акимата

Костанайской области»

_________Репетухас Е.В. «___» ___________ 202_ г.

 

 

Политика информационной безопасности

«КГУ «Приозерная основная средняя школа отдела образования Алтынсаринского района» Управления образования акимата Костанайской области

 

1. Общие положения

1.1. Политика информационной безопасности является документом первого уровня и определяет цели, задачи, руководящие принципы и практические приемы в области обеспечения информационной безопасности.

1.2. Настоящая политика разработана в соответствии с действующим законодательством, нормативными актами и соотносимыми с ними положениями внутренних документов КГУ «Приозерная основная средняя школа отдела образования Алтынсаринского района» Управления образования акимата Костанайской области (далее - Организация образования). Она регламентирует порядок организации с целью обеспечения сохранности информации, ее безопасности в Организации образования, как в осуществлении текущей деятельности, так и в обозримом будущем.

1.3. Предметами настоящего документа являются:

 

1. порядок доступа к конфиденциальной информации;
2. работа с криптографическими системами;
3. физическая безопасность (доступ в помещения);
4. разграничение прав доступа;
5. работа в глобальной сети Интернет;
6. дублирование, резервирование и раздельное хранение конфиденциальной информации.

1.4. Назначение и правовая основа документа

Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации Организации образования. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации Организации образования, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.

Организации образования принадлежит на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством. Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования Организации образования, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех структурных подразделений и персонала Организации образования.

Законодательной основой настоящей Политики являются Конституция Республики Казахстан, Гражданский кодекс Республики Казахстан, Кодекс Республики Казахстан «Об административных правонарушениях», законы, указы, постановления, другие нормативные документы действующего законодательства Республики Казахстан, нормативные правовые акты Министерства цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан.

Политика является методологической основой для:

• формирования и проведения единой политики в области обеспечения безопасности информации в Организации образования;
• принятия управленческих решений и разработке практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
• координации деятельности структурных подразделений Организации образования при проведении работ по созданию, развитию и эксплуатации информационных технологий с соблюдением требований по обеспечению безопасности информации;
• разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения безопасности информации в Организации образования.

 

 

2. Объекты защиты

Основными объектами системы информационной безопасности в Организации образования являются:

• электронные информационные ресурсы, программное обеспечение, а также открытая (общедоступная) информация, необходимая для работы Организации образования, независимо от формы и вида ее представления;
• процессы обработки информации, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации;
• информационно-коммуникационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные элементы информационной среды Организации образования.

2.1. Категории информационных ресурсов, подлежащих защите

В Организации образования циркулирует информация различных уровней конфиденциальности, в том числе содержащая сведения ограниченного распространения (служебная, персональные данные), и открытые сведения.

Защите подлежит вся информация и объекты информационно-коммуникационной инфраструктуры Организации образования, независимо от ее представления и местонахождения в объектах информатизации:

• сведения, доступ к которым ограничен собственником информации в соответствии с Законом Республики Казахстан «О доступе к информации»;
• сведения о персональные данных, доступ к которым ограничен в соответствии с Законом Республики Казахстан «О персональных данных и их защите»;
• информация с ограниченным распространением (для служебного пользования);
• открытая информация, необходимая для обеспечения нормального функционирования Организации образования.

3. Цели и задачи обеспечения безопасности информации

3.1. Интересы затрагиваемых субъектов информационных отношений

Субъектами информационных отношений при обеспечении информационной безопасности Организации образования являются:

• Организация образования как собственник объектов информатизации;
• структурные подразделения и подведомственные организации Организации образования, участвующие в информационном обмене;
• руководство и сотрудники структурных подразделений Организации образования, в соответствии с возложенными на них функциональными обязанностями;
• юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в Организации образования;
• другие юридические и физические лица, задействованные в обеспечении выполнения Управлением своих функций (консультанты, разработчики, обслуживающий персонал, организации, привлекаемые для оказания услуг и пр.).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

• своевременного доступа к необходимой им информации (ее доступности);
• достоверности (полноты, точности, адекватности, целостности) информации;
• конфиденциальности (сохранения в тайне) определенной части информации; защиты от навязывания им ложной (недостоверной, искаженной) информации;
• разграничения ответственности за нарушения их прав (интересов) и установленных правил обращения с информацией;
• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
• защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.).

3.2. Цели защиты

Основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений Организации образования от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация уровня других рисков (например, правовой риск и т.д.).

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации:

• предотвращение нарушения работы объектов информационно-коммуникационной инфраструктуры;
• целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой Управлением и передаваемой по каналам связи;
• конфиденциальности - сохранения в тайне определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;

3.3. Основные задачи системы обеспечения информационной безопасности Организации образования

Для достижения основной цели защиты и обеспечения указанных свойств информации система обеспечения информационной безопасности Организации образования должна обеспечивать эффективное решение следующих задач:

• своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нарушению нормального функционирования объектов информатизации Организации образования;
• создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;
• защиту от вмешательства в процесс функционирования объектов информатизации Организации образования посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);
• разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам Организации образования (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа;
• обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
• защиту от несанкционированной модификации используемых в работе Организации образования программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
• защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
• обеспечение живучести криптографических средств защиты информации.

3.4. Основные пути решения задач системы защиты

Поставленные основные цели защиты и решение перечисленных выше задач достигаются:

• строгим учетом всех подлежащих защите объектов информатизации Организации образования (информации, задачи, документы, каналы связи, серверы, автоматизированных рабочих мест и т.д.);
• журналированием действий персонала, осуществляющего обслуживание и модификацию программных и технических средств;
• полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов Организации образования по вопросам обеспечения информационной безопасности;
• подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки;
• наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к объектам информатизации;
• четким знанием и строгим соблюдением всеми пользователями требований организационно-распорядительных документов по вопросам обеспечения информационной безопасности;
• персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей имеющего доступ к объектам информатизации Организации образования;
• непрерывным поддержанием необходимого уровня защищенности объектов информатизации;
• применением физических и технических (аппаратно-программных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
• эффективным контролем над соблюдением пользователями требований по обеспечению информационной безопасности;
• юридической защитой интересов Организации образования при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;

4. Основные угрозы безопасности информации

4.1. Угрозы безопасности информации и их источники

Все множество потенциальных угроз безопасности информации по природе их возникновения разделяются на два класса: естественные (объективные) и искусственные (субъективные).

• Естественные угрозы - это угрозы, вызванные воздействиями на информационную систему и ее компоненты объективных физических процессов техногенного характера или стихийных природных явлений, независящих от человека;
• Искусственные угрозы - это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
  • непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т.п.;
  • преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).

Источники угроз по отношению к самой информационной системе могут быть как внешними, так и внутренними.

Основными источниками угроз информационной безопасности Организации образования являются:

• непреднамеренные (ошибочные, случайные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия пользователей объектов информатизации Организации образования (в том числе сотрудников, отвечающих за обслуживание и администрирование компонентов корпоративной информационной системы), приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере информации или нарушению работоспособности компонентов объектов информатизации;
• преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия легально допущенных к объектам информатизации Организации образования пользователей, которые приводят к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности компонентов объектов информатизации Организации образования;
• удаленное несанкционированное вмешательство посторонних лиц из территориально удаленных сегментов локальной сети внешнего контура через легальные и несанкционированные каналы подключения, используя недостатки протоколов обмена, средств защиты и разграничения удаленного доступа к ресурсам;
• аварии, стихийные бедствия.

Наиболее значимыми угрозами информационной безопасности Организации образования (способами нанесения ущерба) являются:

• нарушение функциональности объектов информационно-коммуникационной инфраструктуры, блокирование информации, срыв своевременного решения задач;
• нарушение целостности (искажение, подмена, уничтожение) электронных документов, программного продукта и других ресурсов Организации образования, а также фальсификация (подделка) документов;
• нарушение конфиденциальности (разглашение, утечка) сведений, а также персональных данных.

4.2. Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации

Сотрудники Организации образования, так или иначе взаимодействующие с объектами информатизации или обслуживающие ее компоненты, являются внутренними источниками случайных воздействий, т.к. имеют непосредственный доступ к процессам хранения и обработки информации и могут совершать непреднамеренные ошибки и нарушения действующих правил, инструкций и регламентов, определяемых нормативным правовым обеспечением и должностным обязанностями.

Основные пути реализации непреднамеренных искусственных (субъективных) угроз информационной безопасности Организации образования (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла):

• неумышленные действия, приводящие к частичному или полному нарушению функциональности объектов информатизации Организации образования или разрушению информационных или аппаратно-программных комплексов;
• неосторожные действия, приводящие к разглашению информации для служебного пользования или делающие ее общедоступной;
• разглашение, передача или утрата атрибутов разграничения доступа (пропусков, идентификационных карточек, ключей, паролей, ключей шифрования и т. п.);
• игнорирование организационных ограничений (установленных правил) при работе с электронными информационными ресурсами;
• пересылка данных и документов по ошибочному адресу (устройства);
• ввод ошибочных данных;
• неумышленная порча носителей информации;
• неумышленное повреждение каналов связи;
• неправомерное отключение оборудования или изменение режимов работы устройств или программ;
• заражение компьютеров вирусами;
• несанкционированный запуск технологических программ, способных вызвать потерю работоспособности объектов информатизации или осуществляющих необратимые в них изменения (форматирование или реструктуризацию носителей информации, удаление данных и т.п.);
• некомпетентное использование, настройка или неправомерное отключение средств защиты.

4.3. Пути реализации преднамеренных искусственных (субъективных) угроз безопасности информации

Основные возможные пути умышленной дезорганизации работы, вывода объектов информатизации Организации образования из строя, проникновения в систему и несанкционированного доступа к информации (с корыстными целями, по принуждению, из желания отомстить и т.п.):

• умышленные действия, приводящие к частичному или полному нарушению функциональности объектов информатизации или разрушению электронных информационных ресурсов;
• хищение документов и носителей информации;
• несанкционированное копирование документов и носителей информации; умышленное искажение информации, ввод неверных данных;
• отключение или вывод из строя подсистем обеспечения функционирования объектов информатизации (электропитания, охлаждения и вентиляции, линий и аппаратуры связи и т.п.);
• перехват данных, передаваемых по каналам связи и их анализ;
• хищение производственных отходов (распечаток документов, записей, носителей информации и т.п.);
• незаконное получение атрибутов разграничения доступа (например, используя халатность пользователей, путем подделки, подбора и т.п.);
• несанкционированный доступ к электронным информационным ресурсам с рабочих станций легальных пользователей;
• внедрение аппаратных и программных закладок с целью скрытно осуществлять доступ к информационным ресурсам или дезорганизации функционирования объектов информатизации Организации образования;
• применение подслушивающих устройств, дистанционная фото- и видео съемка для несанкционированного съема информации;
• перехват электромагнитных, акустических и других излучений устройств и линий связи.

5. Основные принципы построения системы информационной безопасности Организации образования

Построение системы, обеспечения информационной безопасности Организации образования, и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

• законность;
• системность;
• комплексность;
• непрерывность;
• своевременность;
• преемственность и непрерывность совершенствования;
• разумная достаточность (экономическая целесообразность);
• персональная ответственность;
• минимизация полномочий;
• исключение конфликта интересов;
• взаимодействие и сотрудничество;
• гибкость системы защиты;
• открытость алгоритмов и механизмов защиты;
• простота применения средств защиты;
• обоснованность и техническая реализуемость;
• специализация и профессионализм;
• обязательность контроля.

5.1. Законность

Предполагает осуществление защитных мероприятий и разработку системы информационной безопасности Организации образования в соответствии с действующим законодательством в области информации, информатизации и информационно-коммуникационных технологий и обеспечения информационной безопасности, а также других нормативных актов по информационной безопасности.

Все пользователи объектов информатизации Организации образования должны иметь представление об ответственности за нарушение законодательства Республики Казахстан об информатизации.

5.2. Системность

Системный подход к построению системы защиты информации в Организации образования предполагает учет всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения информационной безопасности Организации образования.

5.3. Комплексность

Комплексное использование методов и средств защиты объектов информатизации предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

5.4. Непрерывность защиты

Обеспечение информационной безопасности - процесс, осуществляемый руководителем Организации образования, подразделением по информационной безопасности и сотрудниками всех уровней. Это не только и не столько процедура или политика, которая осуществляется в определенный отрезок времени или совокупность средств защиты, сколько процесс, который должен постоянно идти на всех уровнях и каждый сотрудник Организации образования должен принимать участие в этом процессе. Деятельность по обеспечению информационной безопасности является составной частью повседневной деятельности Организации образования. И ее эффективность зависит от участия руководства Организации образования в обеспечении информационной безопасности.

5.5. Своевременность

Предполагает упреждающий характер мер обеспечения безопасности информации, то есть постановку задач по комплексной защите информации и реализацию мер обеспечения информационной безопасности на ранних стадиях разработки систем защиты информации.

5.6. Преемственность и совершенствование

Предполагает постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования объектов информатизации и системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

5.7. Разумная достаточность (экономическая целесообразность)

Предполагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения. Используемые меры и средства обеспечения безопасности информационных ресурсов не должны заметно ухудшать эргономические показатели работы компонентов объектов информатизации.

5.8. Персональная ответственность

Предполагает возложение ответственности за обеспечение безопасности информации и объектов информатизации в частности на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

5.9. Минимизация полномочий

Означает предоставление пользователям минимальных прав доступа в соответствии со служебной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, если это необходимо сотруднику для выполнения его должностных обязанностей.

5.10. Исключение конфликта интересов (разделение функций)

Эффективная система обеспечения информационной безопасности предполагает четкое разделение обязанностей сотрудников и исключение ситуаций, когда сфера ответственности сотрудников допускает конфликт интересов. Сферы потенциальных конфликтов должны выявляться, минимизироваться, и находится под строгим независимым контролем. Реализация данного принципа предполагает, что не один сотрудник не должен иметь полномочий, позволяющих ему единолично осуществлять выполнение критичных операций. Наделение сотрудников полномочиями, порождающими конфликт интересов, дает ему возможность подтасовывать информацию в корыстных целях или с тем, чтобы скрыть проблемы или понесенные убытки. Для снижения риска манипулирования информацией и риска хищения, такие полномочия должны в максимально возможной степени быть разделены между различными сотрудниками или структурными подразделениями Организации образования. Необходимо проводить периодические проверки обязанностей, функций и деятельности сотрудников, выполняющих ключевые функции, с тем, чтобы они не имели возможности скрывать совершение неправомерных действий. Кроме того, необходимо принимать специальные меры по недопущению сговора между сотрудниками.

5.11. Взаимодействие и сотрудничество

Предполагает создание благоприятной атмосферы в коллективах структурных подразделений Организации образования. В такой обстановке сотрудники должны осознанно соблюдать установленные правила и оказывать содействие деятельности подразделений защиты информации.

Важным элементом эффективной системы обеспечения информационной безопасности в Организации образования является высокая культура работы с информацией. Руководство Организации образования несет ответственность за строгое соблюдение этических норм и стандартов профессиональной деятельности, за создание корпоративной культуры, подчеркивающей и демонстрирующей персоналу на всех уровнях важность обеспечения информационной безопасности Организации образования. Все сотрудники Организации образования должны понимать свою роль в процессе обеспечения информационной безопасности и принимать участие в этом процессе. Несмотря на то, что высокая культура обеспечения информационной безопасности не гарантирует автоматического достижения целей, ее отсутствие создает больше возможностей для нарушения безопасности или не обнаружения фактов ее нарушения.

5.12. Гибкость системы защиты

Система обеспечения информационной безопасности должна быть способна реагировать на изменения внешней среды и условий осуществления Отделом Образования своей деятельности. В число таких изменений входят:

• изменения организационной и штатной структуры Организации образования;
• изменение существующих или внедрение принципиально новых информационных систем;
• новые технические средства.

5.13. Открытость алгоритмов и механизмов защиты

Суть принципа открытости алгоритмов и механизмов защиты состоит в том, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Это, однако, не означает, что информация об используемых системах и механизмах защиты должна быть общедоступна.

5.14. Простота применения средств защиты

Механизмы и методы защиты должны быть интуитивно понятны и просты в использовании. Применение средств и методов защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудозатрат при обычной работе зарегистрированных пользователей, а также не должно требовать от пользователя выполнения рутинных малопонятных ему операций.

5.15. Обоснованность и техническая реализуемость

Информационно-коммуникационная инфраструктура, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения достижения заданного уровня информационной безопасности и экономической целесообразности, а также должны соответствовать установленным требованиям в области информационно-коммуникационных технологий и обеспечения информационной безопасности.

5.16. Специализация и профессионализм

Предполагает привлечение к разработке средств и реализации мер защиты информации специализированных организаций, наиболее подготовленных к конкретному виду деятельности по обеспечению безопасности информационных ресурсов, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подготовленными специалистами Организации образования.

5.17. Обязательность контроля

Предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил, обеспечения безопасности информации, на основе используемых систем и средств защиты информации, при совершенствовании критериев и методов оценки эффективности этих систем и средств.

Контроль деятельности любого пользователя, каждого средства защиты и в отношении любого объекта защиты должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

Кроме того, эффективная система обеспечения информационной безопасности требует наличия адекватной и всеобъемлющей информации о текущем состоянии процессов, связанных с движением информации и сведений о соблюдении установленных нормативных требований, а также дополнительной информации, имеющей отношение к принятию решений. Информация должна быть надежной, своевременной, доступной и правильно оформленной.

Недостатки системы обеспечения информационной безопасности, выявленные сотрудниками Организации образования, или ответственным за информационную безопасность, должны немедленно доводиться до сведения руководителей соответствующего уровня и оперативно устраняться. О существенных недостатках необходимо сообщать руководству Организации образования. Важно, чтобы после получения информации соответствующие руководители обеспечивали своевременное исправление недостатков. Руководство должно периодически получать отчеты, суммирующие все проблемы, выявленные системой обеспечения информационной безопасности. Вопросы, которые кажутся незначительными, когда отдельные процессы рассматриваются изолированно, при рассмотрении их наряду с другими аспектами могут указать на отрицательные тенденции, грозящие перерасти в крупные недостатки, если они не будут своевременно устранены.

6. Меры, методы и средства обеспечения требуемого уровня защищенности информационных ресурсов

6.1. Меры обеспечения информационной безопасности

Все меры обеспечения информационной безопасности Организации образования подразделяются на:

• правовые (законодательные);
• морально-этические;
• технологические;
• организационные (административные);
• физические;
• технические (программные и аппаратные).

Законодательные (правовые) меры защиты

К правовым мерам защиты относятся действующие законы, постановления и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом объектов информатизации Организации образования.

Морально-этические меры защиты

К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения информационных технологий в обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение может привести к падению авторитета, престижа человека, группы лиц или Организации образования в целом. Морально-этические нормы бывают как неписаные, так и писаные, то есть оформленные определенным образом. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах структурных подразделений.

Технологические меры защиты

К данному виду мер защиты относятся разного рода технологические решения и приемы, направленные на уменьшение возможности совершения сотрудниками ошибок и нарушений в рамках предоставленных им прав и полномочий. Примерами таких мер являются:

- запрет самостоятельной остановки работы или изменения конфигурации аппаратного и программного обеспечения;

- запрет блокирования сотрудниками межсетевого экрана, программного обеспечения, предназначенного для обнаружения и нейтрализации вредоносного программного обеспечения.

Организационные (административные) меры защиты

Организационные (административные) меры защиты - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.

6.3. Регламентация доступа в помещения

Чувствительные к воздействиям объекты информатизации должны размещаться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (документов, серверов, реквизитов доступа и т.п.). Уборка таких помещений должна производиться в присутствии ответственного сотрудника, за которым закреплены данные объекты, с соблюдением мер, исключающих доступ посторонних лиц к защищаемым информационным ресурсам.

По окончании рабочего дня, помещения в которых размещаются чувствительные объекты информатизации, должны сдаваться под охрану с включением сигнализации и с отметкой в книге приема и сдачи служебных помещений.

Для хранения служебных документов и машинных носителей с защищаемой информацией помещения снабжаются сейфами и металлическими шкафами.

В случае оснащения помещений средствами охранной сигнализации, а также автоматизированной системой приема и регистрации сигналов от этих средств, прием-сдача таких помещений под охрану осуществляется на основании специально разрабатываемой инструкции.

Все помещения должны быть обеспечены средствами уничтожения документов.

6.4. Регламентация допуска сотрудников к использованию информационных ресурсов

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях.

Допуск пользователей к работе с объектами информатизации и доступ к их ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей должны производиться в установленном порядке, согласно регламенту предоставления доступа пользователей.

Основными пользователями информации являются сотрудники структурных подразделений Организации образования. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

• каждый сотрудник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями. Расширение прав доступа и предоставление доступа к дополнительным информационных ресурсам, в обязательном порядке, должно согласовываться с подразделением Организации образования, ответственным за информационное сопровождение данного ресурса (документа);
• руководитель отдела имеет права на просмотр информации своих подчиненных только в установленных пределах в соответствии со своими должностными обязанностями;
• наиболее ответственные технологические операции должны производиться по правилу «в две руки» - правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

Все сотрудники Организации образования и обслуживающий персонал, должны нести персональную ответственность за нарушения установленного порядка обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов. Каждый сотрудник (при приеме на работу) должен подписывать обязательство о соблюдении и ответственности за нарушение установленных требований по сохранению служебной тайны и правил работы с информацией в Организации образования.

6.5. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов

Подлежащие защите ресурсы системы (документы, задачи, серверы, программы) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных).

В целях поддержания режима информационной безопасности аппаратно-программная конфигурация рабочих мест сотрудников Организации образования, должна соответствовать кругу возложенных на данных пользователей функциональных обязанностей. Все неиспользуемые в работе устройства ввода-вывода информации (COM, LPT, IR порты) на рабочих местах сотрудников, работающих с конфиденциальной информацией, должны быть по возможности отключены, не нужные для работы программные средства и данные с дисков также должны быть удалены. Дополнительные устройства обмена информацией могут использоваться только в исключительных случаях и только в качестве временного средства. Установка подобных устройств должна согласовываться с подразделениями обеспечения информационной безопасности Организации образования.

Использование программного обеспечения, не прошедшего проверку и не учтенного в Организации образования, должно быть запрещено.

6.6. Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов

Оборудование, используемое для доступа к конфиденциальной информации, к которому доступ обслуживающего персонала в процессе эксплуатации не требуется, после наладочных, ремонтных и иных работ, связанных с доступом к его компонентам должно закрываться и опечатываться (пломбироваться).

Повседневный контроль за целостностью и соответствием печатей (пломб) должен осуществляться пользователями оборудования. Периодический контроль – ответственным за информационную безопасность сотрудником Организации образования.

6.7. Подбор и подготовка персонала, обучение пользователей

Пользователи объектов информатизации, а также руководящий и обслуживающий персонал должны быть ознакомлены со своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки информации в Организации образования.

Обеспечение безопасности информации возможно только после выработки у пользователей определенной культуры работы, т.е. норм, обязательных для исполнения всеми, кто работает с информационными ресурсами Организации образования. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу объектов информатизации Организации образования, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации.

Все сотрудники должны быть ознакомлены с организационно - распорядительными документами по обеспечению информационной безопасности Организации образования, в части, их касающейся, должны знать и неукоснительно выполнять инструкции и знать общие обязанности по обеспечению безопасности информации. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться под роспись.

6.8. Подразделение обеспечения информационной безопасности

Для непосредственной организации и эффективного функционирования системы обеспечения информационной безопасности, в Организации образования целесообразно создать единое подразделение обеспечения информационной безопасности. На это подразделение возложить решение следующих основных задач:

- практическая реализация политики обеспечения информационной безопасности;

- определение требований к системе защиты информации;

- анализ текущего состояния обеспечения безопасности информации;

- организация мероприятий и координация работ всех подразделений Организации образования по комплексной защите информации;

- контроль и оценка эффективности принятых мер и применяемых средств защиты информации.

Основные функции подразделения обеспечения информационной безопасности должны заключаться в следующем:

• формирование требований к системам защиты в процессе создания и дальнейшего развития существующих компонентов объектов информатизации Организации образования;
• участие в проектировании систем защиты, их испытаниях и приемке в эксплуатацию;
• обеспечение функционирования установленных систем защиты информации, включая управление криптографическими системами;
• генерация и распределение между пользователями необходимых атрибутов доступа к ресурсам объектов информатизации Организации образования;
• мониторинг функционирования системы защиты и ее элементов;
• проверка надежности функционирования системы защиты;
• разработка мер нейтрализации моделей возможных атак;
• обучение пользователей и обслуживающего персонала правилам безопасной обработки информации;
• оказание методической помощи сотрудникам Организации образования в вопросах обеспечения информационной безопасности;
• контроль за действиями администраторов баз данных, серверов и сетевых устройств;
• контроль за соблюдением пользователями и обслуживающим персоналом
• установленных правил обращения с информацией;
• организация по указанию руководства служебного расследования по фактам нарушения правил обращения с информацией и оборудованием;
• принятие мер при попытках несанкционированного доступа к информационным ресурсам и компонентам системы или при нарушениях правил функционирования системы защиты;
• cбор, накопление, систематизация и обработка информации по вопросам информационной безопасности.

Организационно - правовой статус подразделения обеспечения информационной безопасности Организации образования должен определяться следующим образом:

• численность подразделения должна быть достаточной для выполнения всех перечисленных выше функций;
• сотрудники, занимающиеся обеспечением информационной безопасности Организации образования не должны иметь других обязанностей, связанных с обеспечением функционирования технических компонентов объектов информатизации Организации образования;
• сотрудники подразделения обеспечения информационной безопасности должны иметь право доступа во все помещения, где находятся объекты информатизации, и право прекращать обработку информации при наличии непосредственной угрозы для нее;
• руководителю подразделения должно быть предоставлено право запрещать эксплуатацию новых объектов информатизации, если они не отвечают требованиям защиты информации и это может привести к серьезным последствиям в случае реализации значимых угроз информационной безопасности;
• подразделению обеспечения информационной безопасности должны обеспечиваться все условия, необходимые для выполнения своих функций.

Для решения задач, возложенных на подразделение обеспечения информационной безопасности, его сотрудники должны иметь следующие права:

• определять необходимость и разрабатывать нормативно-техническую документацию, включая документы, регламентирующие деятельность пользователей Организации образования;
• получать информацию от пользователей по любым аспектам применения информационно-коммуникационных технологий в Организации образования;
• участвовать в проработке технических решений по вопросам обеспечения безопасности информации при проектировании и разработке новых информационно-коммуникационных технологий;
• контролировать деятельность пользователей по вопросам обеспечения информационной безопасности.

В состав подразделения обеспечения информационной безопасности должны входить следующие специалисты:

• ответственные за управление средствами защиты информации (выбор, установка, настройка, снятие средств защиты, просмотр журналов регистрации событий, оперативный контроль, за работой пользователей, и реагирование на события защиты и т.п.);
• ответственные за решение вопросов защиты информации в разрабатываемых и внедряемых информационных технологиях (участие в разработке технических заданий по вопросам защиты информации, выбор средств и методов защиты, участие в испытаниях новых технологий и программ с целью проверки выполнения требований по защите информации и т.д.);
• специалисты по защите от утечки информации по техническим каналам.

6.9. Ответственность за нарушения установленного порядка пользования ресурсами объектов информатизации

Любое нарушение порядка и правил пользования объектами информатизации должно расследоваться. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной работы с информацией, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами по усмотрению руководства Организации образования.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

• индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора (login, Username), на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
• проверка подлинности пользователей (аутентификация) на основе паролей, ключей на различной физической основе;
• реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д.).

6.10. Средства обеспечения информационной безопасности Организации образования

Для обеспечения информационной безопасности Организации образования используются следующие средства защиты:

• физические средства;
• технические средства;
• средства идентификации и аутентификации пользователей;
• средства разграничения доступа;
• средства обеспечения и контроля целостности;
• средства оперативного контроля и регистрации событий безопасности;
• криптографические средства.

Средства защиты должны применяться ко всем чувствительным ресурсам объектов информатизации независимо от их вида и формы представления информации в них.

6.10.1. Физические средства защиты

Физические меры защиты основаны на применении разного рода механических, электронных или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к информационно-коммуникационной инфраструктуре и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.

Физическая защита зданий, помещений, объектов информатизации должна осуществляться с помощью технических средств охраны или любыми другими способами, предотвращающими или существенно затрудняющими проникновение в них посторонних лиц, хищение документов и носителей информации, самих объектов информатизации, а также исключающими нахождение внутри контролируемой (охраняемой) зоны технических средств съема информации.

Для обеспечения физической безопасности информационно-коммуникационной инфраструктуры необходимо осуществлять ряд организационных и технических мероприятий, включающих: проверку оборудования, предназначенного для обработки закрытой (конфиденциальной) информации, на:

• введение дополнительных ограничений по доступу в помещения, предназначенные для хранения и обработки закрытой информации;
• оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи.

6.10.2. Технические средства защиты

Технические (аппаратно-программные) меры защиты основаны на использовании различных электронных устройств и специальных программах и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

С учетом всех требований и принципов обеспечения безопасности информации по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

• средства разграничения доступа к данным;
• средства криптографической защиты информации;
• средства регистрации доступа к компонентам информационной системы и контроля за использованием информации;
• средства реагирования на нарушения режима информационной безопасности;
• средства антивирусной защиты.

На технические средства защиты возлагается решение следующих основных задач:

• идентификация и аутентификация пользователей при помощи имен или специальных аппаратных средств;
• регламентация и управление доступом пользователей в помещения, к физическим и логическим устройствам;
• защита от проникновения компьютерных вирусов и разрушительного воздействия вредоносных программ;
• регистрация всех действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
• защита данных системы защиты на файловом сервере от доступа пользователей, в чьи должностные обязанности не входит работа с информации, находящейся на нем.

6.10.3. Средства идентификации и аутентификации пользователей

В целях предотвращения работы с ресурсами информационно-коммуникационной инфраструктуры Организации образования посторонних лиц необходимо обеспечить возможность распознавания каждого легального пользователя (или групп пользователей). Аутентификация (подтверждение подлинности) пользователей может осуществляться путем проверки знания ими паролей.

6.10.4. Средства разграничения доступа

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны по возможности быть составной частью единой системы контроля доступа:

• на контролируемую территорию, в отдельные помещения;
• к компонентам информационно-коммуникационной инфраструктуры и элементам системы защиты информации (физический доступ);
• к информационным ресурсам (документам, носителям информации, файлам, наборам данных, архивам, справкам и т.д.);
• к активным ресурсам (прикладным программам, задачам и т.п.);
• к операционной системе, системным программам и программам защиты.

6.10.5. Средства обеспечения и контроля целостности

Средства обеспечения целостности включают в свой состав средства резервного копирования, программы антивирусной защиты, программы восстановления целостности операционной среды и баз данных.

Средства контроля целостности информационных ресурсов системы предназначены для своевременного обнаружения модификации или искажения ресурсов системы. Они позволяют обеспечить правильность функционирования системы защиты и целостность хранимой и обрабатываемой информации.

Контроль целостности информации и средств защиты, с целью обеспечения неизменности информационной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной модификации информации должен обеспечиваться:

• средствами разграничения доступа (в помещения, к документам, к носителям информации, к серверам, логическим устройствам и т.п.);
• средствами электронно-цифровой подписи; средствами учета;
• средствами подсчета контрольных сумм (для используемого программного обеспечения).

6.10.6. Средства оперативного контроля и регистрации событий безопасности

Средства объективного контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей и т.п). Анализ собранной средствами регистрации информации позволяет выявить факты совершения нарушений, их характер, подсказать метод его расследования и способы поиска нарушителя и исправления ситуации. Средства контроля и регистрации должны предоставлять возможности:

• ведения и анализа журналов регистрации событий безопасности (системных журналов);
• упорядочения журналов, а также установления ограничений на срок их хранения;
• оперативного оповещения администратора о нарушениях.

При регистрации событий безопасности в журнале должна фиксироваться следующая информация:

• дата и время события;
• идентификатор субъекта, осуществляющего регистрируемое действие;
• действие (тип доступа).

6.12. Управление системой обеспечения безопасности информации

Управление системой обеспечения информационной безопасности представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические) с целью достижения требуемых показателей и норм защищенности, циркулирующих в информационно-коммуникационные инфраструктуры в условиях реализации основных угроз безопасности.

Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.

Целями управления системой обеспечения безопасности информации являются:

• на этапе создания и ввода в действие новых информационных технологий:
  • разработка и реализация технических программ и координационных планов создания нормативных правовых основ и технической базы;
  • создание действенной организационной структуры, обеспечивающей комплексное решение задач безопасности информации при функционировании компонентов информационных технологий;
• на этапе эксплуатации объектов информационно-коммуникационной инфраструктуры:
  • обязательное и неукоснительное выполнение предусмотренных на этапе создания процедур, направленных на обеспечение безопасности информации, всеми задействованными в системе участниками, эффективное пресечение посягательств на информационные ресурсы, технические средства и информационные технологии, своевременное выявление негативных тенденций и совершенствование управления в области защиты информации.

Управление системой обеспечения безопасности реализуется специализированной подсистемой, представляющей собой совокупность органов управления, технических, программных и криптографических средств и организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.

Функциями подсистемы управления являются: информационная и управляющая.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании о возникающих в ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты.

Управляющая функция заключается в формировании планов реализации технологических операций с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков информационной системы, на которых возникают угрозы безопасности информации. К управляющим функциям относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, а также контроль за ходом технологического процесса обработки секретной (конфиденциальной) информации возлагается на сотрудников подразделений информационной безопасности.

6.13. Контроль эффективности системы защиты

Контроль эффективности защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации. Контроль может проводиться как подразделениями обеспечения информационной безопасности Организации образования, так и привлекаемыми для этой цели организациями, имеющими лицензию на этот вид деятельности.

Оценка эффективности мер защиты информации проводится с использованием технических и программных средств контроля на предмет соответствия установленным требованиям.

7. Основные направления технической Концепции в области обеспечения информационной безопасности в Организации образования

7.1. Техническая Концепция в области обеспечения безопасности информации

Реализация технической Концепции в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.

Основными направлениями реализации технической Концепции обеспечения информационной безопасности информации Организации образования являются:

• обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий;
• обеспечение защиты информации от утечки по техническим каналам при ее обработке, хранении и при передаче по каналам связи.

Система обеспечения информационной безопасности Организации образования должна предусматривать комплекс организационных, программных и технических средств и мер по защите информации в процессе ее обработки и хранения, при передаче информации по каналам связи, при ведении конфиденциальных переговоров, раскрывающих сведения с ограниченным доступом, при использовании технических и программных средств.

В рамках указанных направлений технической Концепции обеспечения информационной безопасности осуществляются:

• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к работам, документам и информации; * реализация системы инженерно-технических и организационных мер охраны, предусматривающей многорубежность и равнопрочность построения охраны (территории, здания, помещения) с комплексным применением современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
• ограничение доступа в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается) информация, а также непосредственно к самим средствам информатизации и коммуникациям;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защита информации;
• учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
• предотвращение внедрения в информационно-коммуникационную инфраструктуру Организации образования программ-вирусов, программных закладок.
• реализация инфраструктуры с открытым ключом, криптографическая защита информации ограниченного пользования, обрабатываемой и передаваемой средствами вычислительной техники по открытым каналам связи;
• надежное хранение документов и машинных носителей информации, ключей (ключевой документации) и их обращение, исключающее хищение, подмену и уничтожение;
• необходимое резервирование технических средств и дублирование массивов и носителей информации.

7.2. Формирование режима безопасности информации

С учетом выявленных угроз информационной безопасности Организации образования, режим защиты должен формироваться как совокупность способов и мер защиты циркулирующей в информационно-коммуникационной инфраструктуре Организации образования и поддерживающей ее объекты информатизации от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Комплекс мер по формированию режима обеспечения информационной безопасности включает:

• установление в Организации образования организационно-правового режима обеспечения безопасности информации (разработку необходимых нормативных документов, работа с персоналом, правил делопроизводства);
• организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа) к информационным ресурсам информационно-коммуникационной инфраструктуры;
• комплекс мероприятий по контролю функционирования объектов информатизации и систем защиты информационных ресурсов ограниченного пользования после случайных или преднамеренных воздействий.

Организационно-правовой режим предусматривает создание и поддержание правовой базы безопасности информации, в частности, разработку (введение в действие) следующих организационно-распорядительных документов:

• методика оценки рисков информационной безопасности;
• правила идентификации, классификации и маркировки активов, связанных со средствами обработки информации;
• правила по обеспечению непрерывной работы активов, связанных со средствами обработки информации;
• правила инвентаризации и паспортизации средств вычислительной техники, телекоммуникационного оборудования и программного обеспечения;
• правила проведения внутреннего аудита информационной безопасности;
• правила использования средств криптографической защиты информации;
• правила разграничения прав доступа к электронным информационным ресурсам;
• правила использования Интернет и электронной почты;
• правила организации процедуры аутентификации;
• правила организации антивирусного контроля;
• правила использования мобильных устройств и носителей информации;
• правила организации физической защиты средств обработки информации и безопасной среды функционирования информационных ресурсов.

Мероприятия технического контроля предусматривают:

• каталог угроз (рисков) информационной безопасности;
• план обработки угроз (рисков) информационной безопасности;
• регламент резервного копирования и восстановления информации;
• план мероприятий по обеспечению непрерывной работы и восстановлению работоспособности активов, связанных со средствами обработки информации;
• руководство администратора по сопровождению объекта информатизации;
• инструкцию о порядке действий пользователей по реагированию на инциденты информационной безопасности и во внештатных (кризисных) ситуациях.

Комплекс мероприятий по контролю функционирования объектов информатизации включает:

• журнал регистрации инцидентов информационной безопасности и учета внештатных ситуаций;
• журнал посещения серверных помещений;
• отчет о проведении оценки уязвимости сетевых ресурсов;
• журнал учета кабельных соединений;
• журнал учета резервных копий (резервного копирования, восстановления), тестирования резервных копий;
• журнал учета изменений конфигурации оборудования, тестирования и учета изменений свободного программного обеспечения и прикладного программного обеспечения информационных систем, регистрации и устранения уязвимостей программного обеспечения;
• журнал тестирования дизель-генераторных установок и источников бесперебойного питания для серверного помещения;
• журнал тестирования систем обеспечения микроклимата, видеонаблюдения, пожаротушения серверных помещений.

8. Порядок утверждения, внесения изменений и дополнений

Настоящая Политика вступает в законную силу с даты утверждения заместителем руководителя Организации образования.

Изменения и дополнения в настоящую Политику вносятся по инициативе руководителя Организации образования, должностного лица, ответственного за обеспечение информационной безопасности.