Типовая концепция информационной безопасности

К О Н Ц Е П Ц И Я

информационной безопасности

<Наименование компании>

Концепция информационной безопасности представляет собой систему взглядов на проблемы информационной безопасности <Наименование компании> (далее – Компания) и пути их решения в виде систематизированного изложения целей, задач, принципов и способов достижения информационной безопасности. Концепция является методологической основой практических мер по обеспечению информационной безопасности Компании.

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. В настоящей Концепции используются следующие основные понятия:

- информационная безопасность — это защищенность информации и поддерживающей инфраструктуры от способных нанести ущерб ее владельцам и пользователям неблагоприятных и несанкционированных воздействий случайного или преднамеренного характера, естественного или искусственного происхождения. Информационная безопасность предполагает обеспечение целостности, доступности и конфиденциальности информации;

- конфиденциальность – свойство информации, указывающее на необходимость введения ограничений на круг лиц, имеющих доступ к данной информации, и обеспечиваемое способностью системы сохранять указанную информацию в тайне от лиц, не имеющих полномочий на право доступа к ней;

- целостность – свойство информации, указывающее, что информация не подверглась несанкционированной модификации или несанкционированному уничтожению;

- доступность – свойство информации, обеспечивающее беспрепятственный доступ к ней определенного круга лиц для проведения санкционированных операций по ознакомлению, документированию, модификации и уничтожению;

- коммерческая тайна – информация, имеющая действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам, к ней нет свободного доступа на законном основании и Компания, как обладатель такой информации, принимает меры к охране ее конфиденциальности. Соблюдение всех перечисленных условий позволяет Компании потребовать возмещения убытков, понесенных от разглашения коммерческой тайны.

- конфиденциальная информация – информация, распространение которой и доступ к которой должны быть ограничены по каким-либо причинам, ограниченным кругом лиц, и компрометация которой может привести к негативным для Компании или третьих лиц последствиям. К конфиденциальной информации относится в том числе коммерческая информация, персональные данные в объеме, защищаемом федеральным законом №152-ФЗ «О персональных данных», информация о взаиморасчетах Компании с работниками.

- носители информации, содержащие конфиденциальную информацию:

- автоматизированные системы и телекоммуникационные сети различного назначения, в которых информация обрабатывается, хранится и передается;

- материальные носители (бумажные, магнитные, оптические носители, чипы), в которых сведения, составляющие конфиденциальную информацию, находят свое отображение в виде символов, образов, сигналов, технических решений и процессов;

- сотрудники, допущенные к сведениям, составляющим коммерческую информацию;

- документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

- допуск к конфиденциальной информации - процедура оформления доступа сотрудников к конфиденциальной информации;

- доступ к конфиденциальной информации - санкционированное полномочным должностным лицом ознакомление сотрудников со конфиденциальной информацией;

- гриф конфиденциальности - реквизит, свидетельствующий о степени конфиденциальности сведений, содержащихся на их носителе, проставляемый на самом носителе и (или) в сопроводительной документации к нему;

- перечень сведений, составляющих конфиденциальной информации - совокупность категорий сведений, в соответствии с которыми сведения считаются конфиденциальными и охраняются на основаниях и в порядке, установленных федеральным законодательством и внутренними документами Компании;

- утечка (компрометация) информации - результат несанкционированного ознакомления с нею неопределенного круга лиц;

- разглашение конфиденциальной информации — предание огласке сведений лицом, которому эти сведений были доверены по службе, работе или стали известны иным путем, в результате чего они стали достоянием посторонних лиц;

- утрата документов или материальных носителей, содержащих сведения, относящиеся к конфиденциальной информации - выход (в том числе и временный) документов или материальных носителей из владения ответственного за их сохранность лица, которому они были доверены по службе или работе, являющийся результатом нарушения установленных правил обращения с ними, вследствие чего эти документы или материальные носители стали, либо могли стать достоянием посторонних лиц;

- идентификация — присвоение пользователю и объекту доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;

- аутентификация — проверка принадлежности пользователя предъявленным им идентификаторам, подтверждение подлинности.

- система информационной безопасности – совокупность методологических, организационных и технических мероприятий по обеспечению информационной безопасности, предназначенного для реализации мер оборудования и реализующего указанные меры персонала.

2. ЦЕЛИ И ЗАДАЧИ

2.1. Главной целью системы информационной безопасности является обеспечение устойчивого функционирования Компании и защита информационных ресурсов, принадлежащих Компании, её акционерам, инвесторам и клиентам от случайных (ошибочных) и направленных противоправных посягательств, разглашения, утраты, утечки, искажения, модификации и уничтожения охраняемых сведений.

2.2. Целями Концепции являются:

- формирование целостного представления о мероприятиях по информационной безопасности и взаимосвязь с другими элементами системы безопасности Компании;

- определение путей реализации мероприятий, обеспечивающих необходимый уровень информационной безопасности.

2.3. Задачами системы информационной безопасности Компании являются:

- обеспечение конституционных прав граждан по сохранению личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

- прогнозирование, своевременное выявление и устранение угроз объектам информационной безопасности на основе правовых, организационных и инженерно-технических мер и средств обеспечения защиты;

- минимизация ущерба и быстрейшее восстановление программных и аппаратных средств, информации, пострадавших в результате кризисных ситуаций, расследование причин возникновения таких ситуаций и принятие соответствующих мер по их предотвращению.

3. ПРИНЦИПЫ ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

3.1. Организация и функционирование системы информационной безопасности должны соответствовать следующим принципам:

- Обоснованность. Используемые возможности и средства защиты информационных ресурсов должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности.

- Комплексность. Предполагает обеспечение защиты информационных ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями, обеспечение согласованности организационных мер и мероприятий, инженерно-технических и программно-аппаратных средств, обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки и использования, во всех режимах функционирования.

- Непрерывность. Означает постоянное поддержание всей системы защиты в актуальном состоянии и совершенствование ее в соответствии с изменяющимися условиями функционирования Компании.

- Законность. Предполагает разработку системы информационной безопасности Компании на основе Федерального законодательства в области банковской деятельности, информатизации и защиты информации и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.

- Специализация. Эксплуатация технических средств и реализация системы мер по обеспечению информационной безопасности должны осуществляться профессионально подготовленными специалистами.

- Взаимодействие и координация. Означает осуществление мер обеспечения информационной безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, координации их усилий для достижения поставленных целей.

- Совершенствование. Предусматривает развитие мер и средств обеспечения информационной безопасности на основе собственного опыта, появления новых технических средств.

- Централизация управления. Означает управление информационной безопасностью по единым организационным, функциональным и методологическим принципам.

4. ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

4.1. Правовая форма защиты информации - защита информации, базирующаяся на применении Гражданского и Уголовного кодексов, Федеральных законов и других нормативно-правовых актов, регулирующих деятельность в области информатики, информационных отношений и защиты информации.

4.2. Настоящая Концепция базируется на следующих нормативно-правовых актах (с учетом изменений):

- «Гражданский кодекс Российской Федерации» от 30.11.94 г., №151-ФЗ ч.1, ст. 139;

- «Гражданский кодекс Российской Федерации» от 21.01.96 г., №14-ФЗ ч.2, ст. 857;

- «Уголовный Кодекс Российской Федерации» от 13.06.96г., №63-ФЗ ст. 183, 272, 273, 274;

- «Трудовой кодекс Российской Федерации» от 30.12.01, №197-ФЗ ст. 85,86,87,88,89,90;

- «Кодекс Российской Федерации об административных правонарушениях» от 30.12.01, №195-ФЗ ст. 13.12, 13.13, 13.14;

- Федеральный Закон Российской Федерации «Об информации, информационных технологиях и о защите информации» от 27.07.2006г. № 149-ФЗ;

- Указ Президента РФ от 06.03.97г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

- Приказ ФАПСИ от 13.06.01г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну».

- Федеральный Закон Российской Федерации «О персональных данных» от 27.07.2006г. № 152-ФЗ;

4.3. Гражданский кодекс РФ и Закон «Об информации, информационных технологиях и о защите информации» позволяют рассматривать информацию как специфический объект права. Закон выделяет три категории информации:

- информация, составляющая государственную тайну;

- персональные данные;

- информация, составляющая коммерческую тайну.

Предметом рассмотрения данной Концепции является информация второй и третьей категорий. Компания в процессе осуществления своей деятельности выступает не только собственником, но и пользователем информации, доверенной ему клиентами, контрагентами или сотрудниками. Компания вправе распоряжаться такой информацией, а, следовательно, и выбирать степень её защиты.

4.4. Решение задач правового обеспечения информационной безопасности Компании достигается формированием системы внутренних инструкций, положений, планов, правил.

5. ВИДЫ ИНФОРМАЦИИ, ПОДЛЕЖАЩЕЙ ЗАЩИТЕ

5.1. К информации, подлежащим защите от нарушения целостности и доступности, относятся:

- вся информация в электронной форме, размещенная на информационных ресурсах Компании, за исключением публичной информации, которая может быть в разумные сроки получена из сторонних источников и личной информации сотрудников, не относящейся к персональным данным.

-  информация на бумажных и иных носителях, размещенная в специально предназначенных для хранения такой информации местах;

- технические и программные средства ввода, хранения, передачи, обработки и вывода информации.

5.2. К информации, подлежащей защите от нарушения конфиденциальности, относится (конфиденциальной информацией является):

- Сведения, содержащие персональные данные;

- Сведения, отнесенные к коммерческой тайне в соответствии с Регламентом «Основные положения по установлению режима конфиденциальной информации в <Наименование компании>»;

- Приказы, распоряжения, переписка, протоколы совещаний, договорная документация, поручения, выданные в письменной форме.

6. ОБЪЕКТЫ ЗАЩИТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

К объектам защиты информационной безопасности относятся:

- все электронные информационные ресурсы;

-  электронные и бумажные архивы, прочие места (помещения) расположения и обработки информации на материальных носителях и сами носители;

- иные технические и программные средства ввода, хранения, передачи, обработки и вывода информации.

7. ОСНОВНЫЕ ВИДЫ УГРОЗ ОБЪЕКТАМ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

7.1. Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам.

Под угрозой интересам субъектов информационных отношений понимают потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты информационной системы может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.

Определение и прогнозирование возможных угроз и степени их опасности необходимы для обоснования, выбора и реализации защитных мероприятий. Комплексный подход к проблеме защиты информации необходимо проводить с учётом двух факторов: предполагаемой вероятности возникновения угрозы и возможного ущерба от её осуществления. Объективность оценки достигается проведением детального аудита функционирования Компании. Аудит проводится собственными силами или с привлечением сторонних организаций.

7.2. Угрозы информационной безопасности могут быть классифицированы по различным признакам:

7.2.1. По аспекту информационной безопасности, на который направлены угрозы:

7.2.1.1. Угрозы конфиденциальности (неправомерный доступ к информации). Угроза нарушения конфиденциальности заключается в том, что информация становится известной тому, кто не располагает полномочиями доступа к ней. Она имеет место, когда получен доступ к некоторой секретной информации, хранящейся в вычислительной системе или передаваемой от одной системы к другой. В связи с угрозой нарушения конфиденциальности, используется термин «утечка». Подобные угрозы могут возникать вследствие «человеческого фактора» (например, случайное делегировании тому или иному пользователю привилегий другого пользователя), сбоев работе программных и аппаратных средств.

7.2.1.2. Угрозы целостности (неправомерное изменение данных). Угрозы нарушения целостности – это угрозы, связанные с вероятностью модификации той или иной информации, хранящейся в информационной системе. Нарушение целостности может быть вызвано различными факторами – от умышленных действий персонала до выхода из строя оборудования.

7.2.1.3. Угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы). Нарушение доступности представляет собой создание таких условий, при которых доступ к услуге или информации будет либо заблокирован, либо возможен за время, которое не обеспечит выполнение тех или иных бизнес-целей.

7.2.2. По расположению источника угроз:

7.2.2.1. Внутренние (источники угроз располагаются внутри системы);

7.2.2.2. Внешние (источники угроз находятся вне системы).

7.2.3. По размерам наносимого ущерба:

7.2.3.1. Общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба);

7.2.3.2. Локальные (причинение вреда отдельным частям объекта безопасности);

7.2.3.3. Частные (причинение вреда отдельным свойствам элементов объекта безопасности).

7.2.4. По степени воздействия на информационную систему:

7.2.4.1. Пассивные (структура и содержание системы не изменяются);

7.2.4.2. Активные (структура и содержание системы подвергается изменениям).

7.2.5. По природе возникновения:

7.2.5.1. Естественные (объективные) — вызванные воздействием на информационную среду объективных физических процессов или стихийных природных явлений, не зависящих от воли человека;

7.2.5.2. Искусственные (субъективные) — вызванные воздействием на информационную сферу человека. Среди искусственных угроз в свою очередь выделяют:

7.2.5.2.1. Непреднамеренные (случайные) угрозы — ошибки программного обеспечения, персонала, сбои в работе систем, отказы вычислительной и коммуникационной техники;

7.2.5.2.2. Преднамеренные (умышленные) угрозы — неправомерный доступ к информации, разработка специального программного обеспечения, используемого для осуществления неправомерного доступа, разработка и распространение вирусных программ и т.д. Преднамеренные угрозы обусловлены действиями людей. Основные проблемы информационной безопасности связаны прежде всего с умышленными угрозами, так как они являются главной причиной преступлений и правонарушений.

7.3 Ситуация, возникающая в результате воздействия какой-либо угрозы, называется кризисной. Кризисные ситуации могу быть преднамеренными и непреднамеренными и иметь различную степень тяжести в зависимости от вызвавших их факторов риска, степени их воздействия, уязвимого места, категории информации. Кризисные ситуации могут иметь следующие степени тяжести:

угрожающая - воздействие на объект информационной безопасности, которое может привести к полному выходу его из строя, а также уничтожение, модификацию или компрометацию (утечку) наиболее важной для Компании информации. Для устранения угрожающей ситуации требуется, как правило, полная или частичная замена оборудования, программ и данных.

серьезная - воздействие на объект информационной безопасности, которое может привести к выходу из строя отдельных компонентов, потере производительности, а также осуществлению несанкционированного доступа к программам и данным. В этом случае система сохраняет работоспособность. Для устранения серьезной ситуации требуется, как правило, частичная замена (восстановление) оборудования, программ и данных, корректировка параметров системы, проведение организационно-технических мероприятий.

обычная - попытка воздействия на объект информационной безопасности, не наносящая ощутимого ущерба, но требующая реакции и расследования. Для устранения обычной ситуации, как правило, требуется корректировка параметров защиты.

8. ОСНОВНЫЕ ИСТОЧНИКИ УГРОЗ

8.1. Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность), так и объективные проявления, например, конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

8.2. Все источники угроз информационной безопасности можно разделить на три основные группы:

8.2.1. Обусловленные действиями субъекта (антропогенные источники) – субъекты, действия которых могут привести к нарушению безопасности информации, данные действия могут быть квалифицированы как умышленные или случайные преступления. Источники, действия которых могут привести к нарушению безопасности информации могут быть как внешними, так и внутренними. Данные источники можно спрогнозировать, и принять адекватные меры.

8.2.2. Обусловленные техническими средствами (техногенные источники) – эти источники угроз менее прогнозируемы, напрямую зависят от свойств техники и поэтому требуют особого внимания. Данные источники угроз информационной безопасности, также могут быть как внутренними, так и внешними.

8.2.3. Стихийные источники – данная группа объединяет обстоятельства, составляющие непреодолимую силу (стихийные бедствия или другие обстоятельства, которые невозможно предусмотреть или предотвратить или возможно предусмотреть, но невозможно предотвратить), такие обстоятельства, которые носят объективный и абсолютный характер, распространяющийся на всех. Такие источники угроз совершенно не поддаются прогнозированию и, поэтому меры против них должны применяться всегда. Стихийные источники, как правило, являются внешними по отношению к защищаемому объекту и под ними, как правило, понимаются природные катаклизмы

8.3. Антропогенные источники угрозы, также называемые нарушителями, делятся на следующие категории:

8.3.1. По наличию прав доступа

- внутренние нарушители - нарушители, имеющие право доступа в контролируемую зону территории (помещения), автоматизированной системы, иного информационного ресурса.

- внешние нарушители - нарушители, не имеющие права доступа в контролируемую зону территории (помещения), автоматизированной системы, иного информационного ресурса.

8.3.2. По наличию возможности доступа:

нулевой уровень - определяется отсутствием возможности какого-либо использования программ;

первый уровень - ограничивается возможностью запуска задач/программ из фиксированного набора, предназначенного для обработки защищаемой информации (уровень неквалифицированного пользователя);

второй уровень - учитывает возможность создания и запуска пользователем собственных программ с новыми функциями по обработке информации (уровень квалифицированного пользователя, программиста);

третий уровень - определяется возможностью управления функционированием сетью, то есть воздействием на базовое программное обеспечение, ее состав и конфигурацию (уровень системного администратора);

четвертый уровень - определяется всем объемом возможностей субъектов, осуществляющих проектирование и ремонт технических средств, вплоть до включения в состав сети собственных технических средств с новыми функциями по обработке информации (уровень разработчика и администратора).

Нулевой уровень является самым низким уровнем возможностей по ведению диалога источника угроз с защищаемой сетью. При оценке возможностей антропогенных источников предполагается, что субъект, совершающий противоправные действия, либо обладает, либо может воспользоваться правами соответствующего уровня.

9. ПОРЯДОК ПРОВЕДЕНИЯ РАБОТ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Работа по обеспечению информационной безопасности в Компании включает следующие этапы:

9.1. определение перечня объектов защиты и их классификация;

9.2. формирование модели угроз – соотношение объекта защиты и применимым к нему угрозам;

9.3. определение модели нарушителя – перечня лиц, которые имеют, могут получить или заинтересованы в получении доступа, нарушении целостности или доступности информации в соотношении с моделью угроз;

9.4. определение критичности и стоимости реализации угроз по отношению к защищаемым объектам;

9.5. определение информационных ресурсов и оборудования, связанных с вводом, хранением, передачей, обработкой и выводом конфиденциальной информации;

9.6. описание системы, определение факторов риска, определение уязвимых мест информационных ресурсов;

9.7. выбор средств и мер защиты для предотвращения воздействия факторов риска и их минимизации;

9.8.  выбор средств и мер контроля и управления для своевременной локализации и минимизации воздействия факторов риска;

9.9.  определение соответствия стоимости реализации угроз со стоимостью защиты объекта и определение целесообразности защиты;

9.10. реализация мер по обеспечению защиты информации;

9.11. информирование работников Компании о задачах и требованиях по защите информации и обеспечению информационной безопасности.

10. УПРАВЛЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТЬЮ

10.1. Общее руководство информационной безопасностью в Компании осуществляет <должность ответственного лица уровня заместителя генерального директора> исходя из представленных в Концепции задач, принципов организации и функционирования системы обеспечения информационной безопасности, основных угроз.

Определяются следующие направления деятельности Компании по управлению информационной безопасностью:

- организация управления информационной безопасностью в автоматизированных системах и сетях;

- организация защиты речевой информации;

- обеспечение физической защиты объектов Компании, на которых обрабатывается и хранится конфиденциальная информация;

- участие в организации общего делового документооборота;

- организация и защита оборота конфиденциальных документов и иной конфиденциальной информации на физических носителях.

10.2. Управление средствами защиты, установление полномочий пользователям и контроль должны осуществляться централизованно, с учетом особенностей обработки и передачи информации в конкретных системах и участках сети. Работы по обеспечению информационной безопасности в системах и сетях непосредственно осуществляют:

- сотрудники <подразделение, обеспечивающее информационную безопасность>;

- администраторы систем и сетей;

- иные лица, ответственные за информационную безопасность в подразделениях Компании.

10.3. Текущий контроль за выполнением требований по защите информации возлагается на <подразделение, обеспечивающее информационную безопасность> Компании.

11. ОТВЕТСТВЕННОСТЬ

11.1. Ответственность за разглашение сведений, составляющих коммерческую тайну Компании, и утрату документов, изделий и магнитных носителей, содержащих такие сведения, устанавливается в соответствии с действующим законодательством Российской Федерации.

11.2. Ответственность за разглашение и утрату сведений, содержащих коммерческую тайну, несет персонально каждый сотрудник Компании, имеющий доступ к ним.

12. СИСТЕМА ДОКУМЕНТАЦИИ ИНФОРМАЦИОНОЙ БЕЗОПАСНОСТИ

Система документации информационной безопасности Компании должна включать следующие документы:

12.1.              Классификатор информации.

12.2.              Перечень видов контролируемой и защищаемой информации.

12.3.              Модель нарушителя.

12.4.              Модель угроз для видов информации, подлежащих защите.

12.5.              Модель угроз для информационных ресурсов и оборудования, связанная с вводом, хранением, передачей, обработкой и выводом подлежащей защите информации.

12.6.              Политика мониторинга событий ИБ.

12.7.              Процедура управления инцидентами ИБ.

12.8.              Процедура управления документами и записями ИБ.

12.9.              Набор политик информационной безопасности, определяющих меры по предотвращению воздействия факторов риска и их минимизации и своевременной локализации, и минимизации воздействия факторов риска.