Файл: Политика информационной безопасности информационной системы персональных данных ооо Тульские городские электрические сети.doc
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 20.03.2024
Просмотров: 76
Скачиваний: 0
СОДЕРЖАНИЕ
1. Общие положения Политики безопасности
2. Общие требования по защите персональных данных
3. Система защиты персональных данных
4. Требования к подсистемам СЗПДн
Перечень информационных систем
В Обществе производится обработка персональных данных в информационных
система обработки персональных данных (ИСПДн).
Перечень ИСПДн определяется на основании Отчета по результатам внутренней
Объектами защиты являются – информация, обрабатываемая в ИСПДн, и
технические средства ее обработки и защиты. Перечень персональных данных,
подлежащие защите, определен в Перечне персональных данных, подлежащих защите в
2) Технологическая информация.
3) Программно-технические средства обработки.
5) Каналы информационного обмена и телекоммуникации.
6) Объекты и помещения, в которых размещены компоненты ИСПДн.
7. Реализация установленных требований к СЗИ от НСД
8. Категории Пользователей ИСПДн
9.КЛАССИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ИСПДН
10.ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ
11. Организация парольной защиты при работе на объектах информатизации.
Идентификация и проверка подлинности субъектов доступа при входе в систему должно осуществляться средствами СЗИ НСД по индивидуальным имени и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.
Рекомендуется для выполнения требований подсистемы идентификации и аутентификации субъектов доступа и объектов доступа использовать СЗИ от НСД «Dallas Lock 8.0-K».
Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования.
-
Подсистема контроля защищенности персональных данных
Подсистема контроля защищенности персональных данных предназначена для реализации следующих функций:
- обеспечения контроля установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации. |
Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации рекомендуется выполнять организационными мерами и при помощи СЗИ от НСД «Dallas Lock 8.0-K».
4.7 Подсистема защиты технических средств
Подсистема защиты технических средств предназначена для реализации следующих функций:
- обеспечение контроля и управления физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены; - контроль размещения устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр. |
Рекомендуется размещать технические средства, обрабатывающие персональные данные в помещении на охраняемой территории и оборудованном техническими средствами охраны.
5.ЦЕЛИ И ЗАДАЧИ СЗПДн
Основной целью СЗПДн является минимизация ущерба от возможной реализации
угроз безопасности ПДн.
Для достижения основной цели система безопасности ПДн ИСПДн должна
обеспечивать эффективное решение следующих задач:
- защиту от вмешательства в процесс функционирования ИСПДн посторонних лиц;
- разграничение доступа зарегистрированных пользователей к аппаратным,
программным и информационным ресурсам ИСПДн (возможность доступа только к тем
ресурсам и выполнения только тех операций с ними, которые необходимы конкретным
пользователям ИСПДн для выполнения своих служебных обязанностей), то есть защиту от
несанкционированного доступа:
1) к информации, циркулирующей в ИСПДн;
2) средствам вычислительной техники ИСПДн;
3) аппаратным, программным и криптографическим средствам защиты,
используемым в ИСПДн;
- регистрацию действий пользователей при использовании защищаемых ресурсов
ИСПДн в системных журналах и периодический контроль корректности действий
пользователей системы путем анализа содержимого этих журналов;
- контроль целостности (обеспечение неизменности) среды исполнения программ и
ее восстановление в случае нарушения;
- защиту от несанкционированной модификации и контроль целостности
используемых в ИСПДн программных средств, а также защиту системы от внедрения
несанкционированных программ;
- защиту ПДн от утечки по техническим каналам при ее обработке, хранении и
передаче по каналам связи;
- защиту ПДн, хранимой, обрабатываемой и передаваемой по каналам связи, от
несанкционированного разглашения или искажения;
- обеспечение живучести криптографических средств защиты информации при
компрометации части ключевой системы;
- своевременное выявление источников угроз безопасности ПДн
, причин и
условий, способствующих нанесению ущерба субъектам ПДн, создание механизма
оперативного реагирования на угрозы безопасности ПДн и негативные тенденции;
- создание условий для минимизации и локализации наносимого ущерба
неправомерными действиями физических и юридических лиц, ослабление негативного
влияния и ликвидация последствий нарушения безопасности ПДн.
6.ОБЪЕКТЫ ЗАЩИТЫ
Перечень информационных систем
В Обществе производится обработка персональных данных в информационных
система обработки персональных данных (ИСПДн).
Перечень ИСПДн определяется на основании Отчета по результатам внутренней
Перечень объектов защиты
Объектами защиты являются – информация, обрабатываемая в ИСПДн, и
технические средства ее обработки и защиты. Перечень персональных данных,
подлежащие защите, определен в Перечне персональных данных, подлежащих защите в
1) Обрабатываемая информация.
2) Технологическая информация.
3) Программно-технические средства обработки.
4) Средства защиты ПДн.
5) Каналы информационного обмена и телекоммуникации.
6) Объекты и помещения, в которых размещены компоненты ИСПДн.
7. Реализация установленных требований к СЗИ от НСД
Реализация требований к СЗИ от НСД для защиты ИСПДн 4 уровня защищенности ООО «Тульские городские электрические сети» отражена в таблице №1
Таблица №1
Подсистемы защиты ИСПДн от НСД | Механизмы защиты сертифицированного программного обеспечения |
Подсистема управления доступом | Механизмы управления доступом: - ОС Windows 7, 8; - СЗИ от НСД «Dallas Lock 8.0-K»; |
Подсистема регистрации и учета | Механизмы регистрации и учета: - ОС Windows 7, 8; - СЗИ от НСД «Dallas Lock 8.0-K»; С помощью организационно-распорядительных мероприятий. |
Подсистема обеспечения целостности | Механизмы тестирования (самотестирования) функций безопасности ОС Windows 7, 8, Отсутствие на ПЭВМ средств разработки исполняемых модулей программного обеспечения. Контроль целостности основных конфигурационных файлов СЗИ НСД и ОС обеспечивается использованием программ контроля. |
Подсистема антивирусной защиты | Механизмы тестирования Антивирус DrWeb |
Подсистема защиты информационной системы, ее средств, систем связи и передачи данных | Встроенный межсетевой экран СЗИ от НСД «Dallas Lock 8.0-K» СКЗИ «КриптоПро CSP», версия 4.0 |
Подсистема идентификации и аутентификации субъектов доступа и объектов доступа | Механизмы идентификация, аутентификация и защиты данных: - ОС Windows 7, 8; - СЗИ от НСД «Dallas Lock 8.0-K»; |
Подсистема контроля защищенности | Организационные меры и при помощи СЗИ от НСД «Dallas Lock 8.0-K» |
Подсистема защиты технических средств | Размещение технических средств, обрабатывающих персональные данные в помещении на охраняемой территории и оборудованном техническими средствами охраны |
8. Категории Пользователей ИСПДн
В Политике безопасности определены основные категории пользователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.
В ИСПДн ООО «Тульские городские электрические сети» можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:
Администраторы безопасности ИСПДн;
Пользователи ИСПДН;
Технического специалиста по обслуживанию периферийного оборудования;
8.1 Администратор безопасности ИСПДн
Администратор безопасности ИСПДн, сотрудник ООО «Организация», ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора ИСПДН) к элементам хранящим персональные данные.
Администратор безопасности ИСПДн обладает следующим уровнем доступа и знаний:
обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
обладает полной информацией о технических средствах и конфигурации ИСПДн;
имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
обладает правами конфигурирования и административной настройки технических средств ИСПДн.
обладает полной информацией об ИСПДн;
имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор ИСПДН) получает возможность работать с элементами ИСПДн;
осуществлять аудит средств защиты;
устанавливать доверительные отношения своей защищенной сети с сетями других Учреждений.
Администратор информационной безопасности назначается приказом руководителя ООО «Тульские городские электрические сети» и отвечает за обеспечение устойчивой работоспособности и информационной безопасности объекта информатизации.