Файл: Политика информационной безопасности информационной системы персональных данных ооо Тульские городские электрические сети.doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 20.03.2024
Просмотров: 62
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
СОДЕРЖАНИЕ
1. Общие положения Политики безопасности
2. Общие требования по защите персональных данных
3. Система защиты персональных данных
4. Требования к подсистемам СЗПДн
Перечень информационных систем
В Обществе производится обработка персональных данных в информационных
система обработки персональных данных (ИСПДн).
Перечень ИСПДн определяется на основании Отчета по результатам внутренней
Объектами защиты являются – информация, обрабатываемая в ИСПДн, и
технические средства ее обработки и защиты. Перечень персональных данных,
подлежащие защите, определен в Перечне персональных данных, подлежащих защите в
2) Технологическая информация.
3) Программно-технические средства обработки.
5) Каналы информационного обмена и телекоммуникации.
6) Объекты и помещения, в которых размещены компоненты ИСПДн.
7. Реализация установленных требований к СЗИ от НСД
8. Категории Пользователей ИСПДн
9.КЛАССИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ИСПДН
10.ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ
11. Организация парольной защиты при работе на объектах информатизации.
Идентификация и проверка подлинности субъектов доступа при входе в систему должно осуществляться средствами СЗИ НСД по индивидуальным имени и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Рекомендуется для выполнения требований подсистемы идентификации и аутентификации субъектов доступа и объектов доступа использовать СЗИ от НСД «Dallas Lock 8.0-K».
Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования.
-
Подсистема контроля защищенности персональных данных
Подсистема контроля защищенности персональных данных предназначена для реализации следующих функций:
| - обеспечения контроля установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации. |
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации рекомендуется выполнять организационными мерами и при помощи СЗИ от НСД «Dallas Lock 8.0-K».
4.7 Подсистема защиты технических средств
Подсистема защиты технических средств предназначена для реализации следующих функций:
| - обеспечение контроля и управления физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены; - контроль размещения устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр. |
Рекомендуется размещать технические средства, обрабатывающие персональные данные в помещении на охраняемой территории и оборудованном техническими средствами охраны.
5.ЦЕЛИ И ЗАДАЧИ СЗПДн
Основной целью СЗПДн является минимизация ущерба от возможной реализации
угроз безопасности ПДн.
Для достижения основной цели система безопасности ПДн ИСПДн должна
обеспечивать эффективное решение следующих задач:
- защиту от вмешательства в процесс функционирования ИСПДн посторонних лиц;
- разграничение доступа зарегистрированных пользователей к аппаратным,
программным и информационным ресурсам ИСПДн (возможность доступа только к тем
ресурсам и выполнения только тех операций с ними, которые необходимы конкретным
пользователям ИСПДн для выполнения своих служебных обязанностей), то есть защиту от
несанкционированного доступа:
1) к информации, циркулирующей в ИСПДн;
2) средствам вычислительной техники ИСПДн;
3) аппаратным, программным и криптографическим средствам защиты,
используемым в ИСПДн;
- регистрацию действий пользователей при использовании защищаемых ресурсов
ИСПДн в системных журналах и периодический контроль корректности действий
пользователей системы путем анализа содержимого этих журналов;
- контроль целостности (обеспечение неизменности) среды исполнения программ и
ее восстановление в случае нарушения;
- защиту от несанкционированной модификации и контроль целостности
используемых в ИСПДн программных средств, а также защиту системы от внедрения
несанкционированных программ;
- защиту ПДн от утечки по техническим каналам при ее обработке, хранении и
передаче по каналам связи;
- защиту ПДн, хранимой, обрабатываемой и передаваемой по каналам связи, от
несанкционированного разглашения или искажения;
- обеспечение живучести криптографических средств защиты информации при
компрометации части ключевой системы;
- своевременное выявление источников угроз безопасности ПДн
, причин и
условий, способствующих нанесению ущерба субъектам ПДн, создание механизма
оперативного реагирования на угрозы безопасности ПДн и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба
неправомерными действиями физических и юридических лиц, ослабление негативного
влияния и ликвидация последствий нарушения безопасности ПДн.
6.ОБЪЕКТЫ ЗАЩИТЫ
Перечень информационных систем
В Обществе производится обработка персональных данных в информационных
система обработки персональных данных (ИСПДн).
Перечень ИСПДн определяется на основании Отчета по результатам внутренней
Перечень объектов защиты
Объектами защиты являются – информация, обрабатываемая в ИСПДн, и
технические средства ее обработки и защиты. Перечень персональных данных,
подлежащие защите, определен в Перечне персональных данных, подлежащих защите в
1) Обрабатываемая информация.
2) Технологическая информация.
3) Программно-технические средства обработки.
4) Средства защиты ПДн.
5) Каналы информационного обмена и телекоммуникации.
6) Объекты и помещения, в которых размещены компоненты ИСПДн.
7. Реализация установленных требований к СЗИ от НСД
Реализация требований к СЗИ от НСД для защиты ИСПДн 4 уровня защищенности ООО «Тульские городские электрические сети» отражена в таблице №1
Таблица №1
| Подсистемы защиты ИСПДн от НСД | Механизмы защиты сертифицированного программного обеспечения |
| Подсистема управления доступом | Механизмы управления доступом: - ОС Windows 7, 8; - СЗИ от НСД «Dallas Lock 8.0-K»; |
| Подсистема регистрации и учета | Механизмы регистрации и учета: - ОС Windows 7, 8; - СЗИ от НСД «Dallas Lock 8.0-K»; С помощью организационно-распорядительных мероприятий. |
| Подсистема обеспечения целостности | Механизмы тестирования (самотестирования) функций безопасности ОС Windows 7, 8, Отсутствие на ПЭВМ средств разработки исполняемых модулей программного обеспечения. Контроль целостности основных конфигурационных файлов СЗИ НСД и ОС обеспечивается использованием программ контроля. |
| Подсистема антивирусной защиты | Механизмы тестирования Антивирус DrWeb |
| Подсистема защиты информационной системы, ее средств, систем связи и передачи данных | Встроенный межсетевой экран СЗИ от НСД «Dallas Lock 8.0-K» СКЗИ «КриптоПро CSP», версия 4.0 |
| Подсистема идентификации и аутентификации субъектов доступа и объектов доступа | Механизмы идентификация, аутентификация и защиты данных: - ОС Windows 7, 8; - СЗИ от НСД «Dallas Lock 8.0-K»; |
| Подсистема контроля защищенности | Организационные меры и при помощи СЗИ от НСД «Dallas Lock 8.0-K» |
| Подсистема защиты технических средств | Размещение технических средств, обрабатывающих персональные данные в помещении на охраняемой территории и оборудованном техническими средствами охраны |
8. Категории Пользователей ИСПДн
В Политике безопасности определены основные категории пользователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.
В ИСПДн ООО «Тульские городские электрические сети» можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:
Администраторы безопасности ИСПДн;
Пользователи ИСПДН;
Технического специалиста по обслуживанию периферийного оборудования;
8.1 Администратор безопасности ИСПДн
Администратор безопасности ИСПДн, сотрудник ООО «Организация», ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора ИСПДН) к элементам хранящим персональные данные.
Администратор безопасности ИСПДн обладает следующим уровнем доступа и знаний:
обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
обладает полной информацией о технических средствах и конфигурации ИСПДн;
имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
обладает правами конфигурирования и административной настройки технических средств ИСПДн.
обладает полной информацией об ИСПДн;
имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор ИСПДН) получает возможность работать с элементами ИСПДн;
осуществлять аудит средств защиты;
устанавливать доверительные отношения своей защищенной сети с сетями других Учреждений.
Администратор информационной безопасности назначается приказом руководителя ООО «Тульские городские электрические сети» и отвечает за обеспечение устойчивой работоспособности и информационной безопасности объекта информатизации.