V. ПОРЯДОК ОБЕСПЕЧЕНИЯ ЗАЩИТЫ ИНФОРМАЦИИ 1. Общие положения 1.1. Целью создания СЗИ является максимально возможное снижение потерь от реализации различных угроз информация, циркулирующей в компьютерной сети, а также объектам информатизации КОМПАНИИ, 1.2. В основу построения СЗИ заложены следующие принципы: • Принцип разграничения доступа: запрещено все, что не разрешено явно. • Принцип минимального доступа: сотрудник КОМПАНИИ должен иметь доступ только к той информации, которая необходима ему для исполнения своих служебных обязанностей, • Принцип адекватности затрат: стоимость организации и эксплуатации системы защиты не должна превышать совокупной стоимости потерь, возникающих в результате реализации угроз безопасности информации КОМПАНИИ. • Принцип достаточности: затраты злоумышленника на преодоление системы защиты должны превышать потенциальную выгоду, которую он сможет из этого извлечь. • Принцип непрерывности: система защиты должна строиться равномерно по всем направлениям с целью недопущения образования слабых мест. 1.3. Внедрение и эксплуатация средств защиты информации осуществляется подразделениями ИТ/АСУ КОМПАНИИ, при этом должны быть предусмотрены средства оповещения о критических и сбойных ситуациях. Порядок разработки, внедрения и сопровождения прикладного ПО и СЗИ регламентируется нормативными документами КОМПАНИИ, содержащими требования согласования выбора ПО и СЗИ подразделениями ИТ/АСУ КОМПАНИИ с СБП КОМПАНИИ. Выбор ПО и СЗИ осуществляется подразделениями ИТ/АСУ КОМПАНИИ на основании требований технологического процесса, при этом отказ от использования выбранного ПО или СЗИ должен осуществляться на основании мотивированного возражения со стороны СБП КОМПАНИИ в срок, определяемый этим нормативным документом. 1.4. Доступ к ОИ, обрабатывающим информацию, содержащую сведения, составляющие государственную тайну, регламентируется соответствующими государственными нормативными документами. 1.5. Объекты и субъекты доступа к ОИ: 1.5.1. Внешние объекты по отношение к ОИ - выделенные каналы связи, арендуемые у поставщиков телекоммуникационных услуг, ресурсы телефонных сетей общего пользования. 1.5.2. Объекты в составе ОИ - информационные ресурсы объектов информатизации КОМПАНИИ (внутренние ИР), доступные посредством внешних объектов информационные ресурсы удаленных ОИ КОМПАНИИ и Internet (внешние ИР), средства (ТСОИ, ПТС и СВТ) и системы обработки информации (СОИ), используемые в соответствии с принятой в КОМПАНИИ информационной технологией, а также средства обеспечения ОИ. 1.5.3. Субъект доступа - пользователь, устройство или процесс, осуществляющий доступ к объектам в составе ОИ и внешним объектам по отношению к ОИ, Легальный субъект доступа - субъект доступа, которому разрешен доступ в соответствии с заданными правами доступа. 1.6. В качестве потенциальных угроз безопасности информации КОМПАНИИ в настоящем Положении рассматривается любое, не разрешенное законом, или не разрешенное в установленном в КОМПАНИИ порядке:
изъятие или копирование информационных ресурсов;
уничтожение, повреждение или модификация информационных ресурсов:
искусственное затруднение доступа пользователей к информационным ресурсам;
допущение ознакомления с информацией, содержащейся в информационных ресурсах
.
В качестве источника угроз ИР КОМПАНИИ в настоящем Положении рассматриваются:
умышленные или случайные действия сотрудников КОМПАНИИ или посторонних лиц;
факторы, связанные с ненадежностью объектов информатизации, стихийные бедствия и другие обстоятельства неодолимой силы;
пожароопасность, возможность аварий и других воздействий техногенного характера, в т.ч. возможные проблемы с электропитанием;
технические каналы утечки информации.
1.7. В целях настоящего Положения рассматриваются следующие средства защиты от воздействия угроз:
физическая защита ОИ от НСД;
специальные СЗК (включая криптографические - СКЗИ);
программно-аппаратные средства разграничения доступа, архивирования и резервирования;
организационные меры, определяющие порядок эксплуатации ОИ к предоставления информационных ресурсов соответствующими службами КОМПАНИИ.
1.8. В настоящем Положении рассматриваются следующие категории внутренних ИР: «К» - информационный ресурс, содержащий сведения, отнесенные к категории конфиденциальных: «ДСП» - информационный ресурс, содержащий информацию, порожденную легальными субъектами доступа к ОИ в производственном процессе. 1.9. Данное Положение следует использовать при разработке Должностных инструкций сотрудников КОМПАНИИ ответственных за эксплуатацию СЗИ и Инструкции по использованию информационных ресурсов сотрудниками КОМПАНИИ.
2. Физическая зашита объектов информатизации от несанкционированного доступа
2.1. Физический контроль доступа в серверные помещения (помещения, где расположены сервера, консоли управления, оборудование АТС, входы каналов связи и т.п.), обеспечивается системами контроля доступа в помещения (включая организационные меры), а также, при наличии технической возможности, системами видеонаблюдения. 2.2. Физический контроль доступа к аппаратной части средств защиты от НСД. установленных на объектах ЛВС, обеспечивается также средствами маркирования и блокировки разъемных соединений корпусов и блоков оборудования. 2.3. Физический контроль доступа к пассивному сетевому оборудованию дополнительно может обеспечиваться также средствами маркирования и блокировки разъемных сетевых соединений. 2.4. Для обеспечения защиты указанных в п.2.1 помещений должны быть реализованы следующие меры:
- на входные двери должны быть установлены электронные или механические кодовые замки, обеспечивающие разграничение доступа персонала в течение рабочего дня и надежную защиту помещений в нерабочее время: - входные двери должны быть оборудованы механизмами минимизирующими возможность случайного оставления их ОТКРЫТЫМИ (доводчики закрытия дверей и т п ): - указанные помещения должны быть оборудованы пожарно-охранной сигнализацией; - по решению руководства КОМПАНИИ указанные помещения могут быть оборудованы средствами видеонаблюдения. - при отсутствии централизованных средств пожаротушения и вентиляции, обеспечивающих требования пожарной безопасности и эксплуатационные требования оборудования, указанные помещения следует оборудовать необходимыми средствами непосредственно в этих помещениях; - резервное оборудование, при наличии возможности, не должно размещаться в тех же помещениях, что и резервируемое оборудование
3. Программно - аппаратные средства разграничения доступа, архивирования, резервирования и специальных средств зашиты
Программно-аппаратное обеспечение защиты информации на ОИ КОМПАНИИ осуществляется применением;
- разграничения доступа; - сегментации информационных ресурсов; - контроля доступа; - редств идентификации и аутентификации; - СКЗИ и ЭЦП; - антивирусной защиты; - резервирования электропитания; - архивирования ИР; - контроля обеспечения режима ИБ. 3.1. Разграничение доступа осуществляется на основе функционально-зональной модели. 3.1.1. Все субъекты и объекты разделяются на функциональные зоны (производство, сбыт, кадры, финансы и т.п.) с учетом категории ИР и формы допуска сотрудников КОМПАНИИ. При этом к зоне ИР категории «К», относятся только сотрудники с формами допуска 1 и 2. 3.1.2. Внутри зоны обеспечивается свободный доступ любого субъекта к любому объекту доступа. Доступ субъекта из одной зоны к объекту другой зоны возможен с соответствующими ограничениями прав доступа. 3.2. Сегментация информационных ресурсов 3.2.1. Информационные ресурсы КОМПАНИИ сегментируются (разделяются программно-техническими средствами) по видам обрабатываемой информации:
- информация, содержащая конфиденциальные сведения (ИР категории «К»); - информация сетевых систем управления ОИ; - прочая информация, содержащаяся в корпоративной сети КОМПАНИИ - внешние ИР. 3.2.2. Сегментация ИР производится с помощью:
- активного сетевого оборудования (мультиплексоры, маршрутизаторы, коммутаторы и т.п.); - межсетевых экранов; - программно-аппаратных средств, обеспечивающих идентификацию, аутентификацию, разграничение доступа и регистрацию событий при предоставлении доступа к ИР. 3.2.3. Выделение сегмента сетевых систем управления ОИ производится с использованием активного сетевого оборудования или МЭ, или, с использованием защищенных протоколов обмена информацией. 3.2.4. Доступ к ИР на ОИ КОМПАНИИ должен осуществляться исключительно с использованием ТСОИ, находящихся в собственности КОМПАНИИ. 3.2.5. Доступ к внешним ИР на ОИ КОМПАНИИ регламентируется нормативными документами КОМПАНИИ, согласованными с СЭБ и утвержденными руководством КОМПАНИИ. Соответствующий нормативный документ доводится до сведения сотрудника КОМПАНИИ при его приеме на работу и должен содержать его согласие на контроль его действий при использовании ИР на ОИ КОМПАНИИ (в т.ч. электронной почты, ресурсов Internet и пр.).
3.2.6. Доступ к внешним ИР категории «К» должен осуществляться с использованием сертифицированных СКЗИ. 3.3. Контроль доступа. 3.3.1. Контроль доступа обеспечивается во всех сегментах средствами ОС, средствами контроля доступа специализированных приложений, сертифицированными средствами защиты от НСД, а также средствами сетевого мониторинга и аудита. 3.3.2. Контроль доступа к сетевому оборудованию на физическом уровне обеспечивается средствами контроля доступа специализированных приложений и средствами сетевого мониторинга и аудита. 3.3.3. Контроль доступа к ИР обеспечивается средствами сетевого мониторинга и аудита, а также контроля содержимого обмена информацией. 3.4. Идентификация и аутентификация. 3.4.1. Объекты применения средств идентификации и аутентификации - ПТС ОИ. 3.4.2. Средства идентификации и аутентификации применяются в обязательном порядке на всех ОИ КОМПАНИИ для защиты от НСД. 3.4.3. Порядок применения средств идентификации и аутентификации определяется нормативными документами КОМПАНИИ, согласованными с СЭБ и утвержденными руководством КОМПАНИИ. 3.4.4. Предложения по изменению порядка применения средств идентификации и аутентификации на ОИ КОМПАНИИ, вызванные объективной необходимостью, но противоречащие данному документу направляются на рассмотрение в СЭБ. 3.5. СКЗИ и ЭЦП. 3.5.1. СКЗИ и ЭЦП применяются для обеспечения электронного обмена, хранения и передачи информации отнесенной к категории конфиденциальной. 3.5.2. Порядок учета, хранения и использования СКЗИ на ОИ КОМПАНИИ определяется нормативным документом КОМПАНИИ, согласованным с СЭБ и утвержденным руководством КОМПАНИИ, с учетом эксплуатационной документации на СКЗИ. 3.6. Антивирусная защита, резервирование электропитания и архивирование ИР. Защита информации при сбоях программного обеспечения и электропитания достигается:
- обязательным применением на рабочих станциях и серверах средств антивирусной защиты; - обеспечением автономного резервного электропитания для серверов, активного сетевого оборудования, а также рабочих станций, работоспособность которых необходима при сбоях электропитания; - применением программно-аппаратных средств резервирования информации; - обязательным архивированием критически важных для обеспечения деятельности КОМПАНИИ информационных ресурсов; Порядок архивирования ИР определяется нормативным документом КОМПАНИИ, согласованным с СБП КОМПАНИИ и утвержденным руководством КОМПАНИИ. 3.7. Контроль обеспечения режима ИБ. 3.7.1. Контроль обеспечения режима ИБ на ОИ является неотъемлемой составной частью общего комплекса мер безопасности в системе безопасности КОМПАНИИ.