Нажимая кнопку, вы соглашаетесь с политикой обработки персональных данных и защиты персональной информации.
( каталог )
( наша философия )
( Ozon )
( контакты )
( как пользоваться )
0
( Золотое Яблоко )
( wildberries )
( 01 )
( 02 )
( 03 )
( 04 )
0
Политика информационной безопасности
Политика информационной безопасности ООО «ВЕЙ БЬЮТИ».
1. Общие положения.
1.1. Настоящая Политика информационной безопасности ООО «ВЕЙ БЬЮТИ» (далее – «Общество») разработана в соответствии с положениями:
· Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
· Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
· Федерального закона от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне";
· постановления Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
· приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
· приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
1.2. Настоящая Политика информационной безопасности представляет собой совокупность положений, правил и требований, определяющих структуру, необходимый уровень и способы защиты информации, принимаемой, передаваемой, обрабатываемой и хранимой информационной системой Общества (далее – информационная система).
Информационная система – это система, построенная на базе компьютерной техники, предназначенная для хранения, поиска, обработки и передачи значительных объёмов информации, имеющая определённую практическую сферу применения.
1.3. Защите подлежит вся информация, принимаемая, передаваемая, обрабатываемая и хранимая информационной системой, в том числе содержащая:
· сведения, составляющие служебную и коммерческую тайну, доступ к которым ограничен, как собственником информации, в соответствии с положениями предоставленными Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и Федеральным законом от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне";
· персональные данные, доступ к которым ограничен в соответствии с положениями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
· открытые сведения, в части обеспечения доступности и целостности информации.
1.4. Основными целями Политики информационной безопасности Общества являются:
· обеспечение управления и поддержки информационной безопасности в соответствии с требованиями бизнеса, соответствующими законами и нормами;
· защита субъектов информационных отношений от возможного нанесения им материального, физического, морального или иного ущерба;
· обеспечение целостности и конфиденциальности информации;
· обеспечение соблюдения требований законодательства, руководящих и нормативных документов и общей политики безопасности.
1.5. Основными задачами Политики информационной безопасности Общества являются:
· доступность обрабатываемой информации;
· защита информации от несанкционированного доступа к ней посторонних лиц, от утечки по техническим каналам, от специальных воздействий на информацию в целях её блокирования, уничтожения, искажения;
· контроль целостности и аутентичности (подтверждение авторства) информации, хранимой, обрабатываемой и передаваемой по каналам связи Общества;
· обеспечение конфиденциальности определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи Общества;
· оценка рисков информационной безопасности.
2. Субъекты правоотношений, связанных с использованием информационной системы и обеспечением безопасности информации.
2.1. К субъектам правоотношений, связанных с использованием информационной системы и обеспечением безопасности информации, относятся:
· Общество, как обладатель информации;
· работники Общества, как пользователи информационной системой в соответствии с возложенными на них трудовыми обязанностями;
· иные пользователи (физические и юридические лица), информация о которых обрабатывается, накапливается и хранится в информационной системе.
2.2. Уровень доступа к информационной системе определяется для каждого работника индивидуально с соблюдением следующих требований:
· каждый работник имеет доступ только к той информации, которая необходима ему для выполнения должностных обязанностей;
· конфиденциальная и открытая информация Общества размещается на разных серверах;
· непосредственный руководитель работника имеет право на просмотр информации, используемой работником.
Работники Общества, как пользователи информационной системой в соответствии с возложенными на них трудовыми обязанностями, обязаны соблюдать требования законодательства об информационной безопасности, настоящей Политики.
Все работники должны быть ознакомлены персонально под роспись с организационно-распорядительными документами по защите информации, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации.
Каждый работник при приеме на работу подписывает обязательство о соблюдении требований работы с информационной системой.
Все работники, допущенные к работе с информационной системой, несут персональную ответственность за нарушение правил использования, передачи, хранения информации, в том числе конфиденциальной информации.
3. Требования к организации защиты информации, содержащейся в информационной системе.
3.1. В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.
3.2. Для обеспечения защиты информации, содержащейся в информационной системе, Общества назначается работник, ответственный за защиту информации.
3.3. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы Общества в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности".
3.4. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании".
3.5. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания, в ходе эксплуатации и вывода из эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы (далее - система защиты информации информационной системы).
Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение:
· неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
· неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
· неправомерного блокирования информации (обеспечение доступности информации).
3.6. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
· формирование требований к защите информации, содержащейся в информационной системе;
· разработка системы защиты информации информационной системы;
· внедрение системы защиты информации информационной системы;
· аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие;
· обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
· обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
3.7. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется Обществом с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее – ГОСТ Р 51624) и в том числе включает:
· принятие решения о необходимости защиты информации, содержащейся в информационной системе;
· классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
· определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
· определение требований к системе защиты информации информационной системы.
3.8. При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется:
· анализ целей создания информационной системы и задач, решаемых этой информационной системой;
· определение информации, подлежащей обработке в информационной системе;
· анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
· принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе.
3.9. Классификация информационной системы проводится в зависимости от значимости, обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).
Устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности, содержащейся в ней информации. Самый низкий класс - третий, самый высокий - первый. Класс защищенности информационной системы определяется в соответствии с приложением N 1 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17.
Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей). Требование к классу защищенности включается в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.
Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.
Результаты классификации информационной системы оформляются актом классификации.
Класс защищенности информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры центра обработки данных.
3.10. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.
При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.
По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
3.11. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации.
Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:
· цель и задачи обеспечения защиты информации в информационной системе;
· класс защищенности информационной системы;
· перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
· перечень объектов защиты информационной системы;
· требования к мерам и средствам защиты информации, применяемым в информационной системе;
· стадии (этапы работ) создания системы защиты информационной системы;
· требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
· функции Общества по обеспечению защиты информации в информационной системе;
· требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);
· требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
3.12. При определении требований к системе защиты информации информационной системы учитываются положения настоящей Политики информационной безопасности.
4. Разработка системы защиты информации информационной системы.
4.1. Разработка системы защиты информации информационной системы организуется Обществом.
4.2. Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы с учетом ГОСТ 34.601 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания" (далее - ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает:
· проектирование системы защиты информации информационной системы;
· разработку эксплуатационной документации на систему защиты информации информационной системы;
· макетирование и тестирование системы защиты информации информационной системы (при необходимости).
4.3. Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.
4.4. При разработке системы защиты информации информационной системы учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
4.5. При проектировании системы защиты информации информационной системы:
· определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
· определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
· выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
· определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
· определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
· осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
· определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
· определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
4.6. Результаты проектирования системы защиты информации информационной системы отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы), разрабатываемых с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" (далее - ГОСТ 34.201).
Проектная документация на информационную систему и (или) ее систему защиты информации подлежат согласованию с оператором информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту окончания проектирования системы защиты информации информационной системы и не является заказчиком данной информационной системы.
4.7. При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации, и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по информационной системе и (или) ее системе защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации.
4.8. При проектировании системы защиты информации информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, для блокирования актуальных угроз безопасности информации могут быть применены меры защиты информации, реализуемые в информационно-телекоммуникационной инфраструктуре центра обработки данных.
4.9. Разработка эксплуатационной документации на систему защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.
Эксплуатационная документация на систему защиты информации информационной системы разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:
· структуры системы защиты информации информационной системы;
· состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
· правил эксплуатации системы защиты информации информационной системы.
4.10. При макетировании и тестировании системы защиты информации информационной системы в том числе осуществляются:
· проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
· проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
· корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы.
Макетирование системы защиты информации информационной системы и ее тестирование может проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации.
1. Общие положения.
1.1. Настоящая Политика информационной безопасности ООО «ВЕЙ БЬЮТИ» (далее – «Общество») разработана в соответствии с положениями:
· Федерального закона от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";
· Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
· Федерального закона от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне";
· постановления Правительства РФ от 1 ноября 2012 г. N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
· приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17 "Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах";
· приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных".
1.2. Настоящая Политика информационной безопасности представляет собой совокупность положений, правил и требований, определяющих структуру, необходимый уровень и способы защиты информации, принимаемой, передаваемой, обрабатываемой и хранимой информационной системой Общества (далее – информационная система).
Информационная система – это система, построенная на базе компьютерной техники, предназначенная для хранения, поиска, обработки и передачи значительных объёмов информации, имеющая определённую практическую сферу применения.
1.3. Защите подлежит вся информация, принимаемая, передаваемая, обрабатываемая и хранимая информационной системой, в том числе содержащая:
· сведения, составляющие служебную и коммерческую тайну, доступ к которым ограничен, как собственником информации, в соответствии с положениями предоставленными Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации" и Федеральным законом от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне";
· персональные данные, доступ к которым ограничен в соответствии с положениями Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
· открытые сведения, в части обеспечения доступности и целостности информации.
1.4. Основными целями Политики информационной безопасности Общества являются:
· обеспечение управления и поддержки информационной безопасности в соответствии с требованиями бизнеса, соответствующими законами и нормами;
· защита субъектов информационных отношений от возможного нанесения им материального, физического, морального или иного ущерба;
· обеспечение целостности и конфиденциальности информации;
· обеспечение соблюдения требований законодательства, руководящих и нормативных документов и общей политики безопасности.
1.5. Основными задачами Политики информационной безопасности Общества являются:
· доступность обрабатываемой информации;
· защита информации от несанкционированного доступа к ней посторонних лиц, от утечки по техническим каналам, от специальных воздействий на информацию в целях её блокирования, уничтожения, искажения;
· контроль целостности и аутентичности (подтверждение авторства) информации, хранимой, обрабатываемой и передаваемой по каналам связи Общества;
· обеспечение конфиденциальности определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи Общества;
· оценка рисков информационной безопасности.
2. Субъекты правоотношений, связанных с использованием информационной системы и обеспечением безопасности информации.
2.1. К субъектам правоотношений, связанных с использованием информационной системы и обеспечением безопасности информации, относятся:
· Общество, как обладатель информации;
· работники Общества, как пользователи информационной системой в соответствии с возложенными на них трудовыми обязанностями;
· иные пользователи (физические и юридические лица), информация о которых обрабатывается, накапливается и хранится в информационной системе.
2.2. Уровень доступа к информационной системе определяется для каждого работника индивидуально с соблюдением следующих требований:
· каждый работник имеет доступ только к той информации, которая необходима ему для выполнения должностных обязанностей;
· конфиденциальная и открытая информация Общества размещается на разных серверах;
· непосредственный руководитель работника имеет право на просмотр информации, используемой работником.
Работники Общества, как пользователи информационной системой в соответствии с возложенными на них трудовыми обязанностями, обязаны соблюдать требования законодательства об информационной безопасности, настоящей Политики.
Все работники должны быть ознакомлены персонально под роспись с организационно-распорядительными документами по защите информации, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации.
Каждый работник при приеме на работу подписывает обязательство о соблюдении требований работы с информационной системой.
Все работники, допущенные к работе с информационной системой, несут персональную ответственность за нарушение правил использования, передачи, хранения информации, в том числе конфиденциальной информации.
3. Требования к организации защиты информации, содержащейся в информационной системе.
3.1. В информационной системе объектами защиты являются информация, содержащаяся в информационной системе, технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.
3.2. Для обеспечения защиты информации, содержащейся в информационной системе, Общества назначается работник, ответственный за защиту информации.
3.3. Для проведения работ по защите информации в ходе создания и эксплуатации информационной системы Общества в соответствии с законодательством Российской Федерации при необходимости привлекаются организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации в соответствии с Федеральным законом от 4 мая 2011 г. N 99-ФЗ "О лицензировании отдельных видов деятельности".
3.4. Для обеспечения защиты информации, содержащейся в информационной системе, применяются средства защиты информации, прошедшие оценку соответствия в форме обязательной сертификации на соответствие требованиям по безопасности информации в соответствии со статьей 5 Федерального закона от 27 декабря 2002 г. N 184-ФЗ "О техническом регулировании".
3.5. Защита информации, содержащейся в информационной системе, является составной частью работ по созданию и эксплуатации информационной системы и обеспечивается на всех стадиях (этапах) ее создания, в ходе эксплуатации и вывода из эксплуатации путем принятия организационных и технических мер защиты информации, направленных на блокирование (нейтрализацию) угроз безопасности информации в информационной системе, в рамках системы (подсистемы) защиты информации информационной системы (далее - система защиты информации информационной системы).
Организационные и технические меры защиты информации, реализуемые в рамках системы защиты информации информационной системы, в зависимости от информации, содержащейся в информационной системе, целей создания информационной системы и задач, решаемых этой информационной системой, должны быть направлены на исключение:
· неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
· неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
· неправомерного блокирования информации (обеспечение доступности информации).
3.6. Для обеспечения защиты информации, содержащейся в информационной системе, проводятся следующие мероприятия:
· формирование требований к защите информации, содержащейся в информационной системе;
· разработка системы защиты информации информационной системы;
· внедрение системы защиты информации информационной системы;
· аттестация информационной системы по требованиям защиты информации (далее - аттестация информационной системы) и ввод ее в действие;
· обеспечение защиты информации в ходе эксплуатации аттестованной информационной системы;
· обеспечение защиты информации при выводе из эксплуатации аттестованной информационной системы или после принятия решения об окончании обработки информации.
3.7. Формирование требований к защите информации, содержащейся в информационной системе, осуществляется Обществом с учетом ГОСТ Р 51583 "Защита информации. Порядок создания автоматизированных систем в защищенном исполнении. Общие положения" (далее - ГОСТ Р 51583) и ГОСТ Р 51624 "Защита информации. Автоматизированные системы в защищенном исполнении. Общие требования" (далее – ГОСТ Р 51624) и в том числе включает:
· принятие решения о необходимости защиты информации, содержащейся в информационной системе;
· классификацию информационной системы по требованиям защиты информации (далее - классификация информационной системы);
· определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
· определение требований к системе защиты информации информационной системы.
3.8. При принятии решения о необходимости защиты информации, содержащейся в информационной системе, осуществляется:
· анализ целей создания информационной системы и задач, решаемых этой информационной системой;
· определение информации, подлежащей обработке в информационной системе;
· анализ нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
· принятие решения о необходимости создания системы защиты информации информационной системы, а также определение целей и задач защиты информации в информационной системе, основных этапов создания системы защиты информации информационной системы и функций по обеспечению защиты информации, содержащейся в информационной системе.
3.9. Классификация информационной системы проводится в зависимости от значимости, обрабатываемой в ней информации и масштаба информационной системы (федеральный, региональный, объектовый).
Устанавливаются три класса защищенности информационной системы, определяющие уровни защищенности, содержащейся в ней информации. Самый низкий класс - третий, самый высокий - первый. Класс защищенности информационной системы определяется в соответствии с приложением N 1 к Требованиям о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденным приказом Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. N 17.
Класс защищенности определяется для информационной системы в целом и, при необходимости, для ее отдельных сегментов (составных частей). Требование к классу защищенности включается в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602 "Информационная технология. Комплекс стандартов на автоматизированные системы. Техническое задание на создание автоматизированной системы" (далее - ГОСТ 34.602), ГОСТ Р 51583 и ГОСТ Р 51624.
Класс защищенности информационной системы подлежит пересмотру при изменении масштаба информационной системы или значимости обрабатываемой в ней информации.
Результаты классификации информационной системы оформляются актом классификации.
Класс защищенности информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры центра обработки данных.
3.10. Угрозы безопасности информации определяются по результатам оценки возможностей (потенциала) внешних и внутренних нарушителей, анализа возможных уязвимостей информационной системы, возможных способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации (конфиденциальности, целостности, доступности).
В качестве исходных данных для определения угроз безопасности информации используется банк данных угроз безопасности информации (bdu.fstec.ru), ведение которого осуществляется ФСТЭК России в соответствии с подпунктом 21 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, (далее - банк данных угроз безопасности информации ФСТЭК России), а также иные источники, содержащие сведения об уязвимостях и угрозах безопасности информации.
При определении угроз безопасности информации учитываются структурно-функциональные характеристики информационной системы, включающие структуру и состав информационной системы, физические, логические, функциональные и технологические взаимосвязи между сегментами информационной системы, с иными информационными системами и информационно-телекоммуникационными сетями, режимы обработки информации в информационной системе и в ее отдельных сегментах, а также иные характеристики информационной системы, применяемые информационные технологии и особенности ее функционирования.
При определении угроз безопасности информации в информационной системе, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, должны учитываться угрозы безопасности информации, актуальные для информационно-телекоммуникационной инфраструктуры центра обработки данных.
По результатам определения угроз безопасности информации при необходимости разрабатываются рекомендации по корректировке структурно-функциональных характеристик информационной системы, направленные на блокирование (нейтрализацию) отдельных угроз безопасности информации.
Модель угроз безопасности информации должна содержать описание информационной системы и ее структурно-функциональных характеристик, а также описание угроз безопасности информации, включающее описание возможностей нарушителей (модель нарушителя), возможных уязвимостей информационной системы, способов реализации угроз безопасности информации и последствий от нарушения свойств безопасности информации.
Для определения угроз безопасности информации и разработки модели угроз безопасности информации применяются методические документы, разработанные и утвержденные ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085.
3.11. Требования к системе защиты информации информационной системы определяются в зависимости от класса защищенности информационной системы и угроз безопасности информации, включенных в модель угроз безопасности информации.
Требования к системе защиты информации информационной системы включаются в техническое задание на создание информационной системы и (или) техническое задание (частное техническое задание) на создание системы защиты информации информационной системы, разрабатываемые с учетом ГОСТ 34.602, ГОСТ Р 51583 и ГОСТ Р 51624, и должны в том числе содержать:
· цель и задачи обеспечения защиты информации в информационной системе;
· класс защищенности информационной системы;
· перечень нормативных правовых актов, методических документов и национальных стандартов, которым должна соответствовать информационная система;
· перечень объектов защиты информационной системы;
· требования к мерам и средствам защиты информации, применяемым в информационной системе;
· стадии (этапы работ) создания системы защиты информационной системы;
· требования к поставляемым техническим средствам, программному обеспечению, средствам защиты информации;
· функции Общества по обеспечению защиты информации в информационной системе;
· требования к защите средств и систем, обеспечивающих функционирование информационной системы (обеспечивающей инфраструктуре);
· требования к защите информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
3.12. При определении требований к системе защиты информации информационной системы учитываются положения настоящей Политики информационной безопасности.
4. Разработка системы защиты информации информационной системы.
4.1. Разработка системы защиты информации информационной системы организуется Обществом.
4.2. Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы с учетом ГОСТ 34.601 "Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Стадии создания" (далее - ГОСТ 34.601), ГОСТ Р 51583 и ГОСТ Р 51624 и в том числе включает:
· проектирование системы защиты информации информационной системы;
· разработку эксплуатационной документации на систему защиты информации информационной системы;
· макетирование и тестирование системы защиты информации информационной системы (при необходимости).
4.3. Система защиты информации информационной системы не должна препятствовать достижению целей создания информационной системы и ее функционированию.
4.4. При разработке системы защиты информации информационной системы учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
4.5. При проектировании системы защиты информации информационной системы:
· определяются типы субъектов доступа (пользователи, процессы и иные субъекты доступа) и объектов доступа, являющихся объектами защиты (устройства, объекты файловой системы, запускаемые и исполняемые модули, объекты системы управления базами данных, объекты, создаваемые прикладным программным обеспечением, иные объекты доступа);
· определяются методы управления доступом (дискреционный, мандатный, ролевой или иные методы), типы доступа (чтение, запись, выполнение или иные типы доступа) и правила разграничения доступа субъектов доступа к объектам доступа (на основе списков, меток безопасности, ролей и иных правил), подлежащие реализации в информационной системе;
· выбираются меры защиты информации, подлежащие реализации в системе защиты информации информационной системы;
· определяются виды и типы средств защиты информации, обеспечивающие реализацию технических мер защиты информации;
· определяется структура системы защиты информации информационной системы, включая состав (количество) и места размещения ее элементов;
· осуществляется выбор средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, с учетом их стоимости, совместимости с информационными технологиями и техническими средствами, функций безопасности этих средств и особенностей их реализации, а также класса защищенности информационной системы;
· определяются требования к параметрам настройки программного обеспечения, включая программное обеспечение средств защиты информации, обеспечивающие реализацию мер защиты информации, а также устранение возможных уязвимостей информационной системы, приводящих к возникновению угроз безопасности информации;
· определяются меры защиты информации при информационном взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также при применении вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.
4.6. Результаты проектирования системы защиты информации информационной системы отражаются в проектной документации (эскизном (техническом) проекте и (или) в рабочей документации) на информационную систему (систему защиты информации информационной системы), разрабатываемых с учетом ГОСТ 34.201 "Информационная технология. Комплекс стандартов на автоматизированные системы. Виды, комплектность и обозначение документов при создании автоматизированных систем" (далее - ГОСТ 34.201).
Проектная документация на информационную систему и (или) ее систему защиты информации подлежат согласованию с оператором информационной системы в случае, если он определен таковым в соответствии с законодательством Российской Федерации к моменту окончания проектирования системы защиты информации информационной системы и не является заказчиком данной информационной системы.
4.7. При отсутствии необходимых средств защиты информации, сертифицированных на соответствие требованиям по безопасности информации, организуется разработка (доработка) средств защиты информации, и их сертификация в соответствии с законодательством Российской Федерации или производится корректировка проектных решений по информационной системе и (или) ее системе защиты информации с учетом функциональных возможностей имеющихся сертифицированных средств защиты информации.
4.8. При проектировании системы защиты информации информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, для блокирования актуальных угроз безопасности информации могут быть применены меры защиты информации, реализуемые в информационно-телекоммуникационной инфраструктуре центра обработки данных.
4.9. Разработка эксплуатационной документации на систему защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и (или) техническим заданием (частным техническим заданием) на создание системы защиты информации информационной системы.
Эксплуатационная документация на систему защиты информации информационной системы разрабатывается с учетом ГОСТ 34.601, ГОСТ 34.201 и ГОСТ Р 51624 и должна в том числе содержать описание:
· структуры системы защиты информации информационной системы;
· состава, мест установки, параметров и порядка настройки средств защиты информации, программного обеспечения и технических средств;
· правил эксплуатации системы защиты информации информационной системы.
4.10. При макетировании и тестировании системы защиты информации информационной системы в том числе осуществляются:
· проверка работоспособности и совместимости выбранных средств защиты информации с информационными технологиями и техническими средствами;
· проверка выполнения выбранными средствами защиты информации требований к системе защиты информации информационной системы;
· корректировка проектных решений, разработанных при создании информационной системы и (или) системы защиты информации информационной системы.
Макетирование системы защиты информации информационной системы и ее тестирование может проводиться в том числе с использованием средств и методов моделирования информационных систем и технологий виртуализации.
ЧАСТЬ 2