Файл: Политика информационной безопасности информационной системы персональных данных ооо Тульские городские электрические сети.doc

ВУЗ: Не указан

Категория: Не указан

Дисциплина: Не указана

Добавлен: 20.03.2024

Просмотров: 76

Скачиваний: 0

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

СОДЕРЖАНИЕ

Содержание

Сокращения

Термины и определения

1. Общие положения Политики безопасности

2. Общие требования по защите персональных данных

3. Система защиты персональных данных

4. Требования к подсистемам СЗПДн

5.ЦЕЛИ И ЗАДАЧИ СЗПДн

6.ОБЪЕКТЫ ЗАЩИТЫ

Перечень информационных систем

В Обществе производится обработка персональных данных в информационных

система обработки персональных данных (ИСПДн).

Перечень ИСПДн определяется на основании Отчета по результатам внутренней

Перечень объектов защиты

Объектами защиты являются – информация, обрабатываемая в ИСПДн, и

технические средства ее обработки и защиты. Перечень персональных данных,

подлежащие защите, определен в Перечне персональных данных, подлежащих защите в

1) Обрабатываемая информация.

2) Технологическая информация.

3) Программно-технические средства обработки.

4) Средства защиты ПДн.

5) Каналы информационного обмена и телекоммуникации.

6) Объекты и помещения, в которых размещены компоненты ИСПДн.

7. Реализация установленных требований к СЗИ от НСД

8. Категории Пользователей ИСПДн

9.КЛАССИФИКАЦИЯ ПОЛЬЗОВАТЕЛЕЙ ИСПДН

10.ОСНОВНЫЕ ПРИНЦИПЫ ПОСТРОЕНИЯ СИСТЕМЫ

КОМПЛЕКСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ

11. Организация парольной защиты при работе на объектах информатизации.

12. Требования к персоналу

13. Технологический процесс обработки персональных данных



Идентификация и проверка подлинности субъектов доступа при входе в систему должно осуществляться средствами СЗИ НСД по индивидуальным имени и паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов.

Рекомендуется для выполнения требований подсистемы идентификации и аутентификации субъектов доступа и объектов доступа использовать СЗИ от НСД «Dallas Lock 8.0-K».

Возможно использовать аналогичные СЗИ НСД прошедшие процедуру сертификации и выполняющие все требования.

    1. Подсистема контроля защищенности персональных данных

Подсистема контроля защищенности персональных данных предназначена для реализации следующих функций:

- обеспечения контроля установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации.


Контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации рекомендуется выполнять организационными мерами и при помощи СЗИ от НСД «Dallas Lock 8.0-K».
4.7 Подсистема защиты технических средств

Подсистема защиты технических средств предназначена для реализации следующих функций:

- обеспечение контроля и управления физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к средствам обработки информации, средствам защиты информации и средствам обеспечения функционирования информационной системы, в помещения и сооружения, в которых они установлены;

- контроль размещения устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр.


Рекомендуется размещать технические средства, обрабатывающие персональные данные в помещении на охраняемой территории и оборудованном техническими средствами охраны.



5.ЦЕЛИ И ЗАДАЧИ СЗПДн


Основной целью СЗПДн является минимизация ущерба от возможной реализации

угроз безопасности ПДн.

Для достижения основной цели система безопасности ПДн ИСПДн должна

обеспечивать эффективное решение следующих задач:

- защиту от вмешательства в процесс функционирования ИСПДн посторонних лиц;

- разграничение доступа зарегистрированных пользователей к аппаратным,

программным и информационным ресурсам ИСПДн (возможность доступа только к тем

ресурсам и выполнения только тех операций с ними, которые необходимы конкретным

пользователям ИСПДн для выполнения своих служебных обязанностей), то есть защиту от

несанкционированного доступа:

1) к информации, циркулирующей в ИСПДн;

2) средствам вычислительной техники ИСПДн;

3) аппаратным, программным и криптографическим средствам защиты,

используемым в ИСПДн;

- регистрацию действий пользователей при использовании защищаемых ресурсов

ИСПДн в системных журналах и периодический контроль корректности действий

пользователей системы путем анализа содержимого этих журналов;

- контроль целостности (обеспечение неизменности) среды исполнения программ и

ее восстановление в случае нарушения;

- защиту от несанкционированной модификации и контроль целостности

используемых в ИСПДн программных средств, а также защиту системы от внедрения

несанкционированных программ;

- защиту ПДн от утечки по техническим каналам при ее обработке, хранении и

передаче по каналам связи;

- защиту ПДн, хранимой, обрабатываемой и передаваемой по каналам связи, от

несанкционированного разглашения или искажения;

- обеспечение живучести криптографических средств защиты информации при

компрометации части ключевой системы;

- своевременное выявление источников угроз безопасности ПДн

, причин и

условий, способствующих нанесению ущерба субъектам ПДн, создание механизма

оперативного реагирования на угрозы безопасности ПДн и негативные тенденции;

- создание условий для минимизации и локализации наносимого ущерба

неправомерными действиями физических и юридических лиц, ослабление негативного

влияния и ликвидация последствий нарушения безопасности ПДн.

6.ОБЪЕКТЫ ЗАЩИТЫ

Перечень информационных систем

В Обществе производится обработка персональных данных в информационных

система обработки персональных данных (ИСПДн).

Перечень ИСПДн определяется на основании Отчета по результатам внутренней

Перечень объектов защиты

Объектами защиты являются – информация, обрабатываемая в ИСПДн, и

технические средства ее обработки и защиты. Перечень персональных данных,

подлежащие защите, определен в Перечне персональных данных, подлежащих защите в

1) Обрабатываемая информация.

2) Технологическая информация.

3) Программно-технические средства обработки.

4) Средства защиты ПДн.

5) Каналы информационного обмена и телекоммуникации.

6) Объекты и помещения, в которых размещены компоненты ИСПДн.

7. Реализация установленных требований к СЗИ от НСД



Реализация требований к СЗИ от НСД для защиты ИСПДн 4 уровня защищенности ООО «Тульские городские электрические сети» отражена в таблице №1

Таблица №1

Подсистемы защиты ИСПДн от НСД

Механизмы защиты сертифицированного программного обеспечения

Подсистема управления доступом

Механизмы управления доступом:

- ОС Windows 7, 8;

- СЗИ от НСД «Dallas Lock 8.0-K»;

Подсистема

регистрации и учета

Механизмы  регистрации и учета:

-  ОС Windows 7, 8;

- СЗИ от НСД «Dallas Lock 8.0-K»;

С помощью организационно-распорядительных мероприятий.

Подсистема обеспечения целостности

Механизмы тестирования (самотестирования) функций безопасности ОС Windows 7, 8,

Отсутствие на ПЭВМ средств разработки исполняемых модулей программного обеспечения.

 Контроль целостности основных конфигурационных файлов СЗИ НСД и ОС обеспечивается использованием программ контроля.

Подсистема  антивирусной защиты

Механизмы тестирования Антивирус DrWeb

Подсистема защиты информационной системы, ее средств, систем связи и передачи данных

Встроенный межсетевой экран СЗИ от НСД «Dallas Lock 8.0-K»

СКЗИ «КриптоПро CSP», версия 4.0


Подсистема идентификации и аутентификации субъектов доступа и объектов доступа

Механизмы идентификация, аутентификация и защиты данных:

- ОС Windows 7, 8;

- СЗИ от НСД «Dallas Lock 8.0-K»;

Подсистема контроля защищенности

Организационные меры и при помощи СЗИ от НСД «Dallas Lock 8.0-K»

Подсистема защиты технических средств

Размещение технических средств, обрабатывающих персональные данные в помещении на охраняемой территории и оборудованном техническими средствами охраны





8. Категории Пользователей ИСПДн



В Политике безопасности определены основные категории пользователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.

В ИСПДн ООО «Тульские городские электрические сети» можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:

Администраторы безопасности ИСПДн;

Пользователи ИСПДН;

Технического специалиста по обслуживанию периферийного оборудования;
8.1 Администратор безопасности ИСПДн

Администратор безопасности ИСПДн, сотрудник ООО «Организация», ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора ИСПДН) к элементам хранящим персональные данные.

Администратор безопасности ИСПДн обладает следующим уровнем доступа и знаний:

обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;

обладает полной информацией о технических средствах и конфигурации ИСПДн;

имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;

обладает правами конфигурирования и административной настройки технических средств ИСПДн.

обладает полной информацией об ИСПДн;

имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;

не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).

реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор ИСПДН) получает возможность работать с элементами ИСПДн;

осуществлять аудит средств защиты;

устанавливать доверительные отношения своей защищенной сети с сетями других Учреждений.
Администратор информационной безопасности назначается приказом руководителя ООО «Тульские городские электрические сети» и отвечает за обеспечение устойчивой работоспособности и информационной безопасности объекта информатизации.