Политика информационной безопасности
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
В настоящем документе использованы ссылки на следующие технические нормативные правовые акты в области технического нормирования и стандартизации:
СТБ ISO/IEC 27001-2012 Информационные технологии. Методы обеспечения безопасности. Системы менеджмента информационной безопасности. Требования.
Для целей настоящего документа применяются следующие основные термины и их определения:
активы – информация, программные, технические и программно-технические средства обработки информации, которые должны быть защищены организационными мерами и средствами защиты информации.
аудит информационной безопасности – систематический, независимый и документированный процесс получения объективных качественных и количественных записей о текущем состоянии информационной безопасности;
аутентификация –
процедура проверки подлинности субъекта доступа при входе в учетные записи в
операционных системах, прикладном программном обеспечении и т.д. путем
сравнения введенного им пароля
с паролем в базе данных;
база данных – структурированный и, как правило, индексированный набор информации, управляемый специальными программными средствами (системой управления базами данных). Помимо пользовательских данных содержит критически важные вспомогательные данные и метаданные, а также управляющие файлы;
вредоносное программное обеспечение – программный код (исполняемый или интерпретируемый), обладающий свойством несанкционированного воздействия на активы;
государственная информационная система – информационная система, создаваемая и (или) приобретаемая за счет средств республиканского или местных бюджетов, государственных внебюджетных фондов, а также средств государственных юридических лиц;
документированная информация – сведения, зафиксированные на материальном носителе с реквизитами, позволяющими их идентифицировать;
доступ к информации – возможность получения информации и пользования ею;
доступ к информационной системе и (или) информационной сети – возможность использования информационной системы и (или) информационной сети;
доступность – избежание временного или постоянного сокрытия информации от субъектов доступа;
дифференциальное резервное копирование – метод организации резервного копирования, при котором производится копирование новых файлов и файлов, модифицированных с момента последнего полного резервного копирования;
журнал аудита – журнал событий, встроенный в операционную систему/прикладное программное обеспечение/средство защиты информации/активное сетевое оборудование, содержащий файл с записями (перечнем событий) о текущем состоянии локальной вычислительной сети, информационных систем и (или) сетей государственного учреждения «Национальная библиотека Беларуси»;
защита информации – комплекс правовых, организационных и технических мер по обеспечению целостности, конфиденциальности, подлинности, доступности и сохранности информации;
защищаемая информация – общедоступная информация, представляющая ценность для государственного учреждения «Национальная библиотека Беларуси» и подлежащая защите; информация, распространение и (или) предоставление которой ограничено, в том числе информация о частной жизни физического лица и персональные данные, иная информация, составляющая охраняемую законом тайну физического лица, распространение и (или) предоставление которой ограничено, в составе информационных ресурсов государственного учреждения «Национальная библиотека Беларуси»;
идентификатор – уникальное представление субъекта доступа (например, строка символов), однозначно его определяющее;
идентификация − сравнение предъявляемого уникального имени (идентификатора) с перечнем присвоенных идентификаторов;
информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;
информационная безопасность – состояние защищенности активов, при котором обеспечивается их конфиденциальность, целостность, доступность и подлинность от угроз информационной безопасности;
информационная система – совокупность банков данных, информационных технологий и комплекса (комплексов) программно-технических средств;
информационный ресурс – организованная совокупность документированной информации, включающая базы данных и другую взаимосвязанную информацию в информационных системах;
инцидент информационной безопасности – одно или ряд нежелательных или непредвиденных событий информационной безопасности, при которых имеется значительная вероятность компрометации функционирования бизнес-процессов и угрозы информационной безопасности;
компрометация – событие, в результате которого информация становится известной лицам, не имеющим прав доступа к ней;
конфиденциальность – свойство информации, определяющее необходимую степень ее защиты от несанкционированного доступа и от использования ее субъектами, не имеющими соответствующих полномочий;
локальная вычислительная сеть – совокупность средств вычислительной техники (персональных электронных вычислительных машин, персональных электронных вычислительных машин с терминальным подключением, серверов и т.д.), соединенных линиями связи, образованная кабелями, сетевыми адаптерами и другим коммуникационным оборудованием (программно-техническая инфраструктура);
межсетевое экранирование – фильтрация входящего/исходящего трафика в соответствии с заданным правилами;
несанкционированный доступ – любой иной преднамеренный доступ неавторизованных лиц, не являющийся разрешенным, к активам с применением технических, аппаратно-программных, программных средств или иным путем;
обезвреживание вредоносного программного обеспечения – процедура изменения программного кода вредоносного программного обеспечения, после которой прекращается вредоносное воздействие на активы;
обнаружение вредоносного программного обеспечения – процедуры контроля, относящиеся к совокупности действий средств защиты от воздействия вредоносного программного обеспечения, после которых локализуется вредоносное воздействие на активы;
полное резервное копирование – метод организации резервного копирования, при котором производится копирование всей выбранной информации;
подлинность – свойство информации сохранять неизменность или обнаруживать факт несанкционированного изменения атрибутов, устанавливающих авторство;
политика информационной безопасности – совокупность правил, процедур и требований управления информационной безопасностью организации;
посетители государственного учреждения «Национальная библиотека Беларуси» – читатели, клиенты, участники экскурсий и иные третьи лица, пребывающие в здании и помещениях государственного учреждения «Национальная библиотека Беларуси» с различными целями;
работники государственного учреждения «Национальная библиотека Беларуси» – лица, взаимодействующие с локальной вычислительной сетью, информационными системами и (или) сетями государственного учреждения «Национальная библиотека Беларуси» и наделенные определенными правами доступа к ним (могут иметь как административные, так и пользовательские привилегии в зависимости от выполняемых функций);
резервирование данных – создание резервных копий данных на устройстве хранения, что позволяет найти и восстановить данные, если оригинал поврежден или уничтожен;
риск информационной безопасности – вероятность реализации угроз информационной безопасности активам, которая может повлечь нарушение или прекращение их функционирования;
система защиты информации – совокупность мер по защите информации, реализованных в информационной системе;
событие информационной безопасности – идентифицированный случай состояния системы или сети, указывающий на возможное нарушение политики информационной безопасности или отказ средств защиты информации, либо ранее неизвестная ситуация, которая может быть связана с угрозой информационной безопасности;
сохранность – свойство обеспечения технической и интеллектуальной аутентичности информации с течением времени;
сторонняя организация – организация, имеющая право на доступ к активам в соответствии с соглашением или договором на доступ к активам (например, для ремонта, технического обслуживания, регламентных работ или аудита информационной безопасности);
субъект доступа – лицо (работник государственного учреждения «Национальная библиотека Беларуси», представитель сторонней организации, работающий по договору (при необходимости) и имеющий доступ к активам) или процесс, действия которого регламентируются правилами разграничения доступа;
угроза информационной безопасности – случайное (неумышленное) или преднамеренное (злоумышленное) воздействие, приводящее к нарушению целостности, доступности и конфиденциальности информации или поддерживающей ее инфраструктуры, которое наносит ущерб собственнику, распорядителю или пользователю информации;
уполномоченные должностные лица, ответственные за обеспечение информационной безопасности – лица, имеющие высшее образование в области защиты информации либо высшее или профессионально-техническое образование и прошедшие переподготовку или повышение квалификации по вопросам технической и криптографической защиты информации в порядке, установленном законодательством, уполномоченные выполнять работы по технической и криптографической защите информации, включая управление системой защиты информации и средствами защиты информации, настройку и конфигурирование средств защиты информации, анализ событий информационной безопасности, а также функции создания, редактирования, удаления учетных записей;
уязвимость – любая характеристика актива, использование которой может привести к реализации угрозы информационной безопасности;
целостность – свойство сохранения полноты состава и неизменности активов;
частичное резервное копирование – метод организации резервного копирования, при котором производится копирование новых файлов и файлов, модифицированных с момента последнего резервного копирования.
Для целей настоящего документа применяются следующие обозначения и сокращения:
|
Аудит безопасности |
– аудит информационной безопасности; |
|
ЗИ |
– защита информации; |
|
ИБ |
– информационная безопасность; |
|
ИТ |
– информационная технология; |
|
КИТС Библиотеки |
– комплекс информационно-технологических систем «Национальной библиотеки Беларуси»; |
|
ЛВС |
– локальная вычислительная сеть; |
|
ЛПА |
– локальный правовой акт; |
|
Библиотека |
– государственное учреждение «Национальная библиотека Беларуси»; |
|
ПО |
– программное обеспечение; |
|
Политика |
– политика информационной безопасности; |
|
ПЭВМ |
– персональная электронная вычислительная машина; |
|
САЗ |
– средство антивирусной защиты; |
|
СЗИ |
– система защиты информации. |
Настоящая Политика является ЛПА верхнего уровня и в том числе входит в состав документированной информации в области обеспечения ИБ КИТС Библиотеки. Иные ЛПА, входящие в состав документированной информации в области обеспечения ИБ КИТС Библиотеки, уточняют (дополняют) положения Политики с учетом детализации конкретных аспектов ИБ.
Настоящая Политика представляет собой официально принятую систему взглядов на вопросы обеспечения ИБ в Библиотеке. Политика содержит систематизированное изложение основных целей, задач, принципов, процедур, правил и способов достижения требуемого уровня ИБ, организационных, технических и процедурных аспектов обеспечения ИБ.
Политика учитывает современное состояние и ближайшие перспективы развития ЛВС, информационных систем и сетей Библиотеки, цели, задачи, правовые основы их создания и эксплуатации, а также режимы их функционирования.
1. Настоящая Политика разработана в соответствии с требованиями [1], СТБ ISO/IEC 27001 и в том числе содержит:
1.1. определение ИБ и ее основные цели;
1.2. разъяснение конкретных положений политики безопасности, принципов, стандартов и требований к ее соблюдению, включая:
1.3. определение общих и конкретных обязанностей по обеспечению ИБ;
1.4. требования к квалификации и осведомленности работников о правилах безопасности;
1.5. требования к осведомленности представителей сторонних организаций о правилах безопасности;
1.6. последствия нарушения политики безопасности.
Положения и требования Политики распространяются на работников всех структурных подразделений Библиотеки. Исполнение положений и требований Политики для работников является обязательным в части их касающейся, при этом положения и требования Политики доводятся до их сведения путем ознакомления (под подпись) с настоящей Политикой целиком.
2. Ряд положений и требований Политики распространяются также на представителей сторонних организаций и посетителей Библиотеки:
2.1. положения и требования Политики доводятся до сведения представителей сторонних организаций путем проведения устного инструктажа уполномоченными должностными лицами, ответственными за обеспечение ИБ, либо путем ознакомления с отдельными выдержками из Политики;
2.2. читатели должны быть проинформированы о требованиях по обеспечению ИБ до получения читательского билета уполномоченными лицами;
2.3. иные посетители Библиотеки должны быть ознакомлены с правилами нахождения в здании и помещениях Библиотеки, при этом они не должны получать доступ к ЛВС, информационным системам и (или) сетям Библиотеки.
Надлежащий контроль исполнения Политики выполняется уполномоченными должностными лицами, ответственными за обеспечение ИБ.
3. Настоящая Политика:
3.1. доступна и поддерживается в виде документированной информации;
3.2. доступна (при необходимости) представителям сторонних организаций в части их касающейся;
3.3. пересматривается и корректируется (при необходимости) через запланированные интервалы времени, но не реже одного раза в год в рамках внутреннего аудита безопасности, а при изменении структуры, условий функционирования ЛВС, информационных систем и (или) сетей Библиотеки либо других факторов, влияющих на их актуальность – внепланово, с целью обеспечения ее постоянного соответствия, адекватности и результативности.
4. Основаниями для внепланового пересмотра Политики являются:
4.1. изменение технологий обработки защищаемой информации;
4.2. модернизация ЛВС, информационных систем и (или) сетей Библиотеки и внедрение новых технологий;
4.3. результаты обследования ИБ (внутреннего аудита безопасности);
4.4. инциденты ИБ, повлекшие значительный ущерб;
4.5. решения руководства Библиотеки, курирующего ИТ и вопросы ИБ, и (или) уполномоченных должностных лиц, ответственных за обеспечение ИБ;
4.6. изменения законодательства Республики Беларусь в области ЗИ.
Инициатором, координатором и владельцем процесса пересмотра и корректировки Политики являются руководство Библиотеки, курирующее ИТ и вопросы ИБ, и уполномоченные должностные лица, ответственные за обеспечение ИБ.
Примечание – Далее по тексту посетители Библиотеки упоминаются только в тех положениях, которые непосредственно их затрагивают.
ГЛАВА 2
ЦЕЛИ, ПРИНЦИПЫ И ОРГАНИЗАЦИЯ ЗАЩИТЫ ИНФОРМАЦИИ В БИБЛИОТЕКЕ
5. Основными целями ИБ в Библиотеке являются защита активов от возможного нанесения им материального, физического, морального или иного ущерба посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также:
5.1. соблюдение требований законодательства Республики Беларусь в области ЗИ;
5.2. снижение уровня рисков ИБ и реального ущерба от инцидентов ИБ;
5.3. эффективное управление рабочими процессами (бизнес-процессами), в том числе в критических ситуациях.
6. Для достижения поставленных целей ИБ приняты следующие принципы:
6.1. принцип системности, в соответствие с которым при создании и эксплуатации СЗИ необходимо учитывать все угрозы и уязвимости ИБ в отношении активов, высокую квалификацию злоумышленников, текущие и возможные в будущем каналы реализации угроз ИБ;
6.2. принцип комплексности, который гарантирует что применяемые средства ЗИ совместимы, отсутствуют слабые места при стыковке различных средств ЗИ, они закрывают все существенные каналы реализации угроз;
6.3. принцип непрерывности ЗИ, который гарантирует, что выполняется непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла информационных систем и (или) сетей Библиотеки;
6.4. принцип разумной достаточности, в соответствии с которым уровень затрат на обеспечение ЗИ соотносится с величиной возможного ущерба от возникновения инцидентов ИБ (выбран достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми);
6.5. принцип поддержания мер безопасности, направленных на:
6.5.1. препятствование созданию условий для возникновения новых угроз ИБ;
6.5.2. обнаружение угроз ИБ;
6.5.3. обнаружение воздействия угроз ИБ на активы;
6.5.4. локализацию угроз ИБ;
6.5.5. ликвидацию воздействия угроз на активы.
6.6. принцип полноты и достаточности мер защиты, который гарантирует, что выполняются все необходимые требования по обеспечению ИБ.
7. Обеспечение ИБ в Библиотеке осуществляется по следующим направлениям, реализуемым организационными и техническими мерами защиты:
7.1. управление доступом к активам с целью предотвращения неправомерных действий;
7.2. идентификация и аутентификация субъектов доступа;
7.3. протоколирование (сбор и накопление) и аудит (анализ) событий ИБ (оперативный аудит безопасности);
7.4. внутренний аудит безопасности;
7.5. защита от вредоносного ПО;
7.6. криптографическая ЗИ;
7.7. межсетевое экранирование;
7.8. ЗИ в виртуальной инфраструктуре;
7.9. регламентация и контроль использования носителей информации, электронной почты и сети Интернет;
7.10. управление процедурами резервирования;
7.11. обновление аппаратных, аппаратно-программных, программных компонентов ЛВС, информационных систем и (или) сетей Библиотеки, СЗИ КИТС Библиотеки;
7.12. реагирование на инциденты ИБ и управление ими;
7.13. информирование и обучение работников по вопросам обеспечения ИБ;
7.14. информирование представителей сторонних организации по вопросам обеспечения ИБ;
7.15. информирование посетителей Библиотеки по вопросам обеспечения ИБ (при необходимости);
7.16. идентификация активов Библиотеки.
Реализация организационных и технических мер по указанным направлениям обеспечения ИБ достигается в том числе посредством СЗИ КИТС Библиотеки.
СЗИ является составной частью КИТС Библиотеки и представляет собой совокупность правовых, организационных и технических мер, направленных на обеспечение его ЗИ.
ГЛАВА 3
РАСПРЕДЕЛЕНИЕ ОБЯЗАННОСТЕЙ РАБОТНИКОВ И ПРЕДСТАВИТЕЛЕЙ СТОРОННИХ ОРГАНИЗАЦИЙ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
8. Руководитель, курирующий ИТ и вопросы ИБ и иные уполномоченные лица, организовывает и контролирует функционирование СЗИ, определяют ее состав и структуру, функции работников и представителей сторонних организаций по обеспечению ИБ, а также:
8.1. принимают стратегические решения по вопросам обеспечения ИБ в Библиотеке и утверждают основополагающие документы, регулирующие порядок функционирования, модернизации и развития ЛВС, информационных систем и (или) сетей Библиотеки, СЗИ КИТС Библиотеки, а также вопросы обеспечения ИБ;
8.2. обеспечивают соответствие уровня затрат на ЗИ величине возможного ущерба при возникновении инцидентов ИБ и выбирают достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми;
8.3. контролируют выполнение требований нормативных правовых актов и технических нормативных правовых актов в области нормирования и стандартизации Республики Беларусь в области ЗИ;
8.4. создают необходимые организационные и структурные условия для поддержки процесса обеспечения ИБ, выделяют для этих целей соответствующие финансовые, технические, кадровые и иные ресурсы;
8.5. определяют меры и приоритеты в области управления рисками ИБ, а также внедряют мероприятия по организационному управлению ИБ с целью минимизации последствий от риска использования уязвимостей и реализации угроз ИБ;
8.6. поддерживают работников, которые вносят вклад в результативность процесса обеспечения ИБ в целом и СЗИ КИТС Библиотеки в частности;
8.7. организовывают информирование и обучение работников, в том числе не реже одного раза в год обеспечивают проведение мероприятий, направленных на повышение уровня знаний работников по вопросам обеспечения ИБ;
8.8. привлекают специалистов или представителей сторонних организаций (при необходимости) для проведения аудита безопасности, технического обслуживания и ремонта средств ЗИ через запланированные промежутки времени или при иной необходимости;
8.9. формируют подразделение ЗИ или назначают уполномоченных должностных лиц, ответственных за обеспечение ИБ из состава уже имеющихся структурных подразделений Библиотеки.
Руководители структурных подразделений Библиотеки отвечают за обеспечение ИБ в своих структурных подразделениях в той же мере, как и за другие бизнес-процессы, а также оформляют заявки на выделение соответствующих материальных ресурсов для адекватной поддержки процесса обеспечения ИБ в структурных подразделениях.
9. Уполномоченные должностные лица, ответственные за обеспечение ИБ, проводят работы по технической и криптографической ЗИ, в том числе:
9.1. участвуют в разработке и корректировке ЛПА по созданию и совершенствованию процесса обеспечения ИБ;
9.2. проводят анализ угроз и расчет рисков ИБ, осуществляют мониторинг и реагирование на возникновение рисков ИБ;
9.3. выполняют оперативный аудит безопасности (просмотр, анализ событий ИБ) с установленной периодичностью, участвуют во внутреннем аудите безопасности;
9.4. доводят до сведения работников и представителей сторонних организаций, работающих по договору (при необходимости), их ответственность и обязанности в области обеспечения ИБ;
9.5. проводят инструктажи, мероприятия по информированию и выработке практических навыков действий по обеспечению ИБ;
9.6. обеспечивают взаимодействие Руководителя, курирующего ИТ и вопросы ИБ, и иных уполномоченных лиц Библиотеки с юридическими и физическими лицами при заключении и исполнении договоров по вопросам обеспечения ИБ;
9.7. противодействуют прерываниям бизнес-процессов и доступа к активам по причине инцидентов ИБ;
9.8. проводят все мероприятия по обеспечению ИБ в соответствии с действующими нормативными правовыми актами и техническими нормативными правовыми актами в области нормирования и стандартизации Республики Беларусь по ЗИ;
9.9. несут ответственность за соблюдение работниками, представителями сторонних организаций и иными лицами требований по обеспечению ИБ в соответствии с установленными политиками и процедурами.
Работники с пользовательскими полномочиями направляют свою деятельность на соблюдение требований по ЗИ для обеспечения должного уровня ИБ.
Представители сторонних организаций могут быть привлечены Библиотекой для выполнения работ (например, аудита безопасности, технического обслуживания) и в обязательном порядке должны быть ознакомлены с требованиями ЛПА Библиотеки, в том числе с документированной информацией в области обеспечения ИБ КИТС Библиотеки, в части их касающейся.
Читатели должны быть проинформированы уполномоченными лицами о требованиях по обеспечению ИБ до получения читательского билета и соблюдать их в ходе пользования библиотечными услугами. Посетители Библиотеки должны соблюдать установленные правила и порядок нахождения в здании и помещениях Библиотеки.
Конкретные обязанности и ответственность, возлагаемые на Руководителя, курирующего вопросы ИБ и иных уполномоченных лиц Библиотеки, работников, представителей сторонних организаций и посетителей Библиотеки определены далее по тексту в рамках детализации отдельных процедур и аспектов безопасности, должностных инструкциях, положениях о структурных подразделениях, договорах, ЛПА Библиотеки, в том числе ЛПА, входящих в состав документированной информации в области обеспечения ИБ КИТС Библиотеки.
ГЛАВА 4
АСПЕКТЫ БЕЗОПАСНОСТИ. УПРАВЛЕНИЕ ПЕРСОНАЛОМ
Подбор работников, формирование требований к их квалификации, предварительный отбор кандидатов, прием работников, их информирование и обучение, перемещение, перевод и увольнение осуществляются в соответствии с законодательством и ЛПА Библиотеки. В настоящей Политике данные процедуры рассматриваются только с точки зрения процесса обеспечения ИБ.
10. При приеме на работу следует учитывать аспекты ИБ и проводить проверки нанимаемых работников, в том числе:
10.1. проверку подлинности предоставленных документов, заявляемой квалификации, точности и полноты биографических фактов, сведений об опыте работы;
10.2. проверку в части профессиональных навыков и оценку профессиональной пригодности.
С целью дополнительных проверок кандидатов на работу в Библиотеке на ряду с установленными мерами предоставления сведений о кандидате, могут осуществляться, с учетом всей полноты неприкосновенности личной жизни, дополнительные проверки, в том числе путем телефонного опроса работников кадровых служб или лиц, знающих их по предыдущим местам работы.
При заключении трудовых договоров (контрактов) с работниками рекомендуется подписывать обязательства о неразглашении информации, распространение и (или) предоставление которой ограничено (соглашение о конфиденциальности), которая может стать им известной при выполнении должностных обязанностей. Указанные обязательства рекомендуется заключать с работниками до того, как им будет предоставлен доступ к активам.
С целью реализации мер ИБ при увольнении, перемещении или изменении должности работниками необходимо определить и довести до их сведения требования по юридической ответственности и условиям контрактов (договоров, соглашений), остающихся в силе в течение определенного периода после увольнения, перемещения или перевода на другую должность.
Ответственность за информирование увольняемого или переводимого работника возлагается на работников кадровых служб Библиотеки и руководителя структурного подразделения, в состав которого входит увольняемый/переводимый работник.
Работники должны получать соответствующие навыки для повышения уровня квалификации и регулярно обновляемые варианты политик и процедур ИБ в соответствии с работой, которую они выполняют.
Информирование работников следует начинать с официального процесса введения в работу, предназначенного для ознакомления с требованиями ЛПА Библиотеки, в том числе документированной информацией в области обеспечения ИБ КИТС Библиотеки, ответственностью за их нарушения, путем ознакомления с указанными документами в части их касающейся и прохождения соответствующих инструктажей со стороны уполномоченных должностных лиц, ответственных за обеспечение ИБ, перед предоставлением доступа к активам.
Далее работники с целью повышения уровня их квалификации должны проходить регулярное информирование и обучение процессам обеспечения ИБ, включая информирование об угрозах ИБ и обучение правилам безопасной работы с активами, посредством различных тренингов, курсов повышения квалификации, информирования со стороны уполномоченных должностных лиц, ответственных за обеспечение ИБ.
В должностных инструкциях работников должны быть отражены все соответствующие должности обязанности и ответственность за ИБ: как общая ответственность за обеспечение ИБ, в том числе выполнение и (или) поддержку ЛПА Библиотеки, в том числе документированной информации в области обеспечения ИБ КИТС Библиотеки, так и конкретные обязанности по защите определенных активов и ответственность за выполнение определенных процедур или действий по обеспечению ИБ.
Работники обязаны соблюдать все установленные меры по обеспечению ИБ.
ГЛАВА 5
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ЗАКЛЮЧЕНИИ ДОГОВОРОВ СО СТОРОННИМИ ОРГАНИЗАЦИЯМИ
При заключении договоров со сторонними организациями следует учитывать аспекты обеспечения ИБ.
При заключении договоров со сторонними организациями необходимо подписывать с их представителями обязательства о неразглашении информации, распространение и (или) предоставление которой ограничено (соглашение о конфиденциальности), которая может стать им известной при выполнении договорных обязательств. Указанные соглашения следует заключать с представителями сторонних организаций до того, как им будет предоставлен доступ к активам.
С целью реализации мер ИБ при разрыве договорных отношений с представителями сторонних организаций, которым предоставлялся доступ к активам, необходимо определить и довести до их сведения требования по юридической ответственности и условиям контрактов (договоров, соглашений), остающихся в силе в течение определенного периода после разрыва договорных отношений.
Ответственность за информирование представителей сторонних организаций, договорные отношения с которыми разрываются, возлагается на руководителей сторонних организаций.
Конкретные обязанности по обеспечению ИБ и ответственность за ее нарушение в обязательном порядке должны включаться в договорные отношения со сторонними организациями.
Представители сторонних организаций должны быть ознакомлены с порядком обеспечения ИБ либо посредством проведения устного инструктажа уполномоченными должностными лицами, ответственными за обеспечение ИБ, либо посредством ознакомления с отдельными выдержками из ЛПА Библиотеки, в том числе документированной информацией в области обеспечения ИБ КИТС Библиотеки.
Представители сторонних организаций обязаны соблюдать все установленные меры по обеспечению ИБ.
ГЛАВА 6
АСПЕКТЫ БЕЗОПАСНОСТИ. ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ ЗДАНИЙ, СООРУЖЕНИЙ И ПОМЕЩЕНИЙ
В целях обеспечения безопасности активов осуществляется защита зданий, сооружений и помещений, в которых они размещаются.
11. Физическая безопасность территории, здания и помещений Библиотеки осуществляется представителями службы безопасности достигается в том числе выполнением следующих мероприятий:
11.1. определение контролируемых зон (периметров физической безопасности) для защиты активов;
11.2. оборудование помещений, в которых размещены активы, средствами ограничения доступа в помещения;
11.3. круглосуточная охрана здания и помещений с размещенными в них активами;
11.4. ограничение круга лиц, имеющих доступ к активам.
Здание и помещения Библиотеки размещаются в пределах одной контролируемой зоны. Здание и помещения Библиотеки обеспечиваются средствами охраны и средствами защиты от противоправных действий: территория контролируемой зоны контролируется, входы/выходы контролируемой зоны оснащены системой контроля и управления доступом, за контролируемой зоной осуществляется видеонаблюдение.
Доступ в здание Библиотеки работнику/представителю сторонней организации/посетителю предоставляется только после предъявления идентификатора доступа (пропуска): магнитного или бумажного.
При входе (выходе) работника/представителя сторонней организации/посетителя в здание Библиотеки система контроля и управления доступом фиксирует факт входа (выхода) с указанием времени и даты входа (выхода) и данных, по которым можно однозначно идентифицировать входящее/выходящее лицо.
Читатели и клиенты Библиотеки допускаются в здание Библиотеки при предъявлении читательского билета, зарегистрированного на их имя.
Представители сторонних организаций, которым необходимо получить доступ к ЛВС Библиотеки и иным критичным активам допускаются в здание и помещения Библиотеки только в сопровождении штатных работников, имеющих допуск.
Представители сторонних организаций и посетители Библиотеки перед входом в контролируемую зону должны быть ознакомлены с действующими требованиями безопасности.
Детализация процедур управления физическим доступом приведена в ЛПА Библиотеки, в том числе в документе «Инструкция о пропускном и внутриобъектовом режиме в здании».
Примечание – Представителям сторонних организаций должен быть выдан идентификатор доступа, имеющий ограниченный срок действия. Представители сторонних организаций обязаны вернуть идентификатор доступа при выходе из контролируемых зон или по истечении срока его действия.
12. Размещение оборудования на штатных местах обеспечивает его безопасное обслуживание и эксплуатацию, в том числе с учетом следующего:
12.1. помещения, в которых расположены активы, оборудованы надежными физическими барьерами для предотвращения несанкционированного доступа (замки, средства сигнализации, охрана, контрольно-пропускной режим и т.д.);
12.2. помещения, в которых расположены активы, оборудованы системами охранной и пожарной сигнализации и приняты меры по обеспечению надлежащих условий среды функционирования (климатических и др.).
Доступ в такие помещения разрешается работникам, представителям сторонних организаций и посетителям только для выполнения должностных обязанностей/в рамках договорных отношений.
Безопасность помещений Библиотеки обеспечивается в соответствии с требованиями законодательства Республики Беларусь.
ГЛАВА 7
АСПЕКТЫ БЕЗОПАСНОСТИ. ФИЗИЧЕСКАЯ БЕЗОПАСНОСТЬ СРЕДСТВ ОБРАБОТКИ, ХРАНЕНИЯ И ПЕРЕДАЧИ ИНФОРМАЦИИ, ЗАЩИТА ОБРАБАТЫВАЕМОЙ ВО ВРЕМЯ РАБОТЫ ИНФОРМАЦИИ
13. С целью предотвращения несанкционированного доступа к информации, распространение и (или) предоставление которой ограничено, хищения технических средств обработки, хранения и передачи информации и несанкционированного управления ими в Библиотеке:
13.1. применяются политика «чистого стола» и политика «чистого экрана» с целью уменьшения рисков несанкционированного доступа, потери и повреждения информации как во время рабочего дня, так и при внеурочной работе, с учетом следующего:
13.1.1. все бумажные документы, съемные носители информации должны находиться под присмотром или быть убраны в полки стола, шкафы, сейфы;
13.1.2. интерактивные сеансы связи должны быть блокированы в случае отсутствия работника/представителя сторонней организации за ПЭВМ/виртуальной машиной/сервером;
13.1.3. не используемые в настоящий момент бумажные и электронные носители информации должны храниться в шкафах и (или) других предметах мебели;
13.1.4. не используемые в настоящий момент носители информации, распространение и (или) предоставление которой ограничено, должны быть помещены в шкаф или иной предмет мебели (например, несгораемый сейф или шкаф);
13.2. ограничен список лиц, которым разрешено присутствие в здании и помещениях Библиотеки, а также список лиц, которым разрешено использовать документацию (системную, рабочую, конструкторскую), содержащую информацию, распространение и (или) предоставление которой ограничено, например, описание прикладных и бизнес-процессов, рабочие процедуры с учетом следующего:
13.2.1. в помещениях Библиотеки во время обработки и отображения на ПЭВМ/виртуальной машине/сервере информации, распространение и (или) предоставление которой ограничено, должны присутствовать только лица, допущенные к работе с данной информацией;
13.2.2. запрещается присутствие посторонних лиц в помещениях Библиотеки, в том числе центра обработки данных и серверном помещении, в которых расположены критичные активы, без сопровождения уполномоченными должностными лицами, ответственными за обеспечение ИБ;
13.2.3. документация (системная, рабочая, конструкторская), содержащая информацию, распространение и (или) предоставление которой ограничено, например, описание прикладных и бизнес-процессов, рабочие процедуры наравне с носителями информации, распространение и (или) предоставление которой ограничено, должна храниться в надежных, запираемых на замки, шкафах или сейфах, а список лиц с правом доступа к данной документации должен быть максимально ограничен;
13.3. средства обработки информации расположены таким образом, чтобы уменьшался риск просмотра информации посторонними лицами во время их использования;
13.4. для сведения к минимуму риска потенциальных инцидентов безопасности, например, пожара, взрывов, задымления, затопления (при аварии водоснабжения), химических воздействий применяется пожарная сигнализация;
13.5. для сведения к минимуму риска несанкционированного доступа к активам и таких потенциальных угроз, как кражи и акты умышленной порчи/повреждения имущества, применяется охранная сигнализация, а также разграничение доступа и контроль доступа в здание и помещения Библиотеки;
13.6. проводится мониторинг условий окружающей среды, например, температуры и влажности, в целях выявления условий, которые могли бы неблагоприятно повлиять на работу средств обработки информации;
13.7. активное сетевое и серверное оборудование размещаются в специализированных помещениях (центре обработки данных, серверной), ограничивающих доступ к ним посторонних лиц.
С целью обеспечения устойчивого функционирования бизнес-процессов уполномоченными лицами осуществляется постоянный мониторинг работоспособности систем электроснабжения, отопления, вентиляции и кондиционирования воздуха в здании и помещениях Библиотеки, входящих в контролируемую зону.
Для обеспечения гарантированной и устойчивой работы всех систем жизнеобеспечения регулярно проводятся проверки и при необходимости проводятся испытания для обеспечения их надлежащего функционирования и уменьшения риска в результате их неисправности или отказа.
Комплекс технических средств Библиотеки защищен от перебоев в электроснабжении и других нарушений, вызванных перебоями в работе служб обеспечения. Для поддержки процессов, имеющих решающее значение, используются устройства бесперебойного питания, обеспечивающие возможность завершения работы в надлежащем порядке.
ГЛАВА 8
АСПЕКТЫ БЕЗОПАСНОСТИ. ПРОЦЕДУРЫ УПРАВЛЕНИЯ ДОСТУПОМ К АКТИВАМ
Процедур управления доступом приведены в ЛПА Библиотеки, в том числе в документах «Инструкция по организации парольной защиты», «Регламент работы в локальной компьютерной сети Национальной библиотеки Беларуси с использованием папки общего доступа».
Процедуры управления доступом в рамках КИТС Библиотеки будут приведены в документе «Комплекс информационно-технологических систем Национальной библиотеки Беларуси. Инструкция по организации порядка доступа», входящем в состав документированной информации в области обеспечения ИБ КИТС Библиотеки.
ГЛАВА 9
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК ЗАЩИТЫ ОТ ВРЕДОНОСНОГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
Защита от воздействия вредоносного ПО на активы осуществляется с помощью установки программных САЗ, обеспечивающих обнаружение, реагирование, обезвреживание вредоносного ПО, сбор событий ИБ, а также с помощью установки обновлений программных САЗ.
Программные САЗ должны быть установлены на всех ПЭВМ, виртуальных машинах и серверах Библиотеки.
Для снижения риска заражения вредоносным ПО или риска вредоносных воздействий на активы следует проводить регулярное обновление программных САЗ.
Ответственность за установку, настройку, контроль работоспособности, а также своевременное обновление программных САЗ возлагается на уполномоченные должностные лица, ответственные за обеспечение ИБ.
Детализация процедур защиты от вредоносного ПО в рамках КИТС Библиотеки будет приведена в документе «Комплекс информационно-технологических систем Национальной библиотеки Беларуси. Регламент защиты от вредоносного программного обеспечения», входящем в состав документированной информации в области обеспечения ИБ КИТС Библиотеки.
ГЛАВА 10
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК ОРГАНИЗАЦИИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
14. Для своевременного выявления событий и инцидентов ИБ, а также оценки соответствия процессов обеспечения ИБ требованиям нормативных правовых актов, технических нормативных правовых актов в области ЗИ и технической документации следует проводить:
14.1. регулярный оперативный аудит безопасности (просмотр и анализ событий ИБ);
14.2. внутренний аудит безопасности (не реже одного раза в год).
Внутренний аудит безопасности проводится в соответствии с утвержденной программой аудита безопасности аудиторской группой, назначаемой Руководителем, курирующим ИТ и вопросы ИБ.
15. Оперативный аудит безопасности выполняют уполномоченные должностные лица, ответственные за обеспечение ИБ, со следующей установленной периодичностью:
15.1. для информационных систем, отнесенных к классу 5-гос типовых информационных систем – не реже одного раза в неделю;
15.2. для информационных систем, отнесенных к классу 3-фл типовых информационных систем – ежедневно.
Для учета объектов оперативного аудита уполномоченные должностным лицам, ответственным за обеспечение ИБ, необходимо вести перечень объектов аудита, который должен быть задан в настройках средств сбора событий ИБ. Определение перечня событий ИБ, подлежащих регистрации, выполняется уполномоченными должностными лицами, ответственными за обеспечение ИБ. Для сбора и хранения информации о событиях ИБ могут быть использованы журналы аудита.
Пересмотр перечня объектов аудита должен осуществляться уполномоченными должностными лицами, ответственными за обеспечение ИБ, не менее чем один раз в год, а также по результатам контроля (мониторинга) за обеспечением уровня ИБ (внутреннего аудита безопасности).
16. В ходе проведения оперативного аудита безопасности уполномоченным должностным лицам, ответственным за обеспечение ИБ, необходимо:
16.1. выполнять мониторинг (просмотр, анализ) событий безопасности с помощью средств сбора и аудита событий (например, журналов аудита);
16.2. в случае выявления событий ИБ, требующих выполнения корректирующих действий:
16.2.1. определить возможные причины событий ИБ;
16.2.2. установить взаимосвязанные события ИБ;
16.2.3. определить возможные нежелательные последствия;
16.2.4. принять меры по недопущению нежелательных последствий;
16.2.5. принять меры по устранению причин возникновения рассматриваемых событий ИБ.
16.3. задокументировать результаты в виде отчетов, содержащих следующие записи:
16.3.1. записи, относящиеся к оперативному аудиту безопасности, например:
отчеты по аудитам;
отчеты о несоответствии;
отчеты о корректирующих и предупреждающих действиях;
16.3.2. записи, относящиеся к лицам, участвующим в оперативном аудите безопасности, и затрагивающие следующие темы:
оценка компетентности и деятельности уполномоченных должностных лиц, ответственных за обеспечение ИБ;
поддержание и повышение компетентности уполномоченных должностных лиц, ответственных за обеспечение ИБ.
Отчеты могут быть использованы для совершенствования мер по ИБ.
В отчете по оперативному аудиту безопасности необходимо предоставлять полные, точные, четкие и достаточные записи по наблюдению событий безопасности.
17. В отчет следует включать ссылки на следующее:
17.1. объем оперативного аудита безопасности, в частности, идентификацию объектов аудита безопасности и процессов управления ИБ, а также охваченный период времени;
17.2. дата и место, проведения оперативного аудита безопасности;
17.3. критерии оперативного аудита безопасности;
17.4. наблюдения оперативного аудита безопасности;
17.5. заключения по результатам оперативного аудита безопасности.
В заключении по результатам оперативного аудита безопасности может быть указана необходимость корректирующих и предупреждающих действий или действий по улучшению ИБ. Руководителю, курирующего ИТ и вопросы ИБ, необходимо контролировать выполнение и результативность корректирующих действий.
Детализация процедур аудита ИБ в рамках КИТС Библиотеки приведена в документе «Комплекс информационно-технологических систем Национальной библиотеки Беларуси. Регламент организации аудита информационной безопасности», входящем в состав документированной информации в области обеспечения ИБ КИТС Библиотеки.
ГЛАВА 11
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Уполномоченные должностные лица, ответственные за обеспечение ИБ, осуществляют управление инцидентами ИБ.
18. На уполномоченных должностных лиц, ответственных за обеспечение ИБ, возлагаются в том числе следующие функции:
18.1. определение регламентов реагирования на инциденты ИБ, обеспечивающих реагирование в сроки, определенные эксплуатационной документацией и иными ЛПА Библиотеки, в том числе настоящей Политикой и ЛПА, входящими в состав документированной информации в области обеспечения ИБ КИТС Библиотеки, в целях исключения (снижения до приемлемого уровня) вероятного ущерба;
18.2. определение периодичности проведения мероприятий по оповещению и отработке действий работников в случае реализации угроз ИБ;
18.3. обучение и отработка действий работников при возникновении инцидентов ИБ;
18.4. обнаружение и реагирование на инциденты ИБ;
18.5. регистрация инцидентов ИБ в журнале инцидентов безопасности;
18.6. обобщенный анализ результатов реагирования на инциденты ИБ;
18.7. выработка предложений по принятию организационных решений по результатам реагирования на инциденты ИБ;
18.8. выработка предложений и инициирование улучшений в процессе обеспечения ИБ;
18.9. выработка предложений по совершенствованию процессов управления инцидентами ИБ.
19. Источниками информации о предполагаемых инцидентах и уязвимостях в области ИБ могут являться:
19.1. работники;
19.2. представители сторонних организаций;
19.3. читатели и клиенты Библиотеки;
19.4. результаты внутреннего аудита безопасности, различных проверок и сканирований);
19.5. журналы аудита;
19.6. доверенные стороны (наладчики и производители прикладного ПО, функционирующего в Библиотеке, в том числе прикладного ПО КИТС Библиотеки, поставщики телекоммуникационных услуг, интернет-провайдеры, хостинг-провайдеры и др.);
19.7. средства массовой информации и официальные веб-сайты.
20. В процессе анализа множества собранных событий ИБ выявляется множество параметров, характеризующих действия/поведение/состояние объектов мониторинга. Анализ выявленных параметров выполняется по правилам (критериям мониторинга ИБ), применение которых обеспечивает решение следующих задач мониторинга:
20.1. оперативное выявление событий ИБ, свидетельствующих об инцидентах ИБ, в целях их последующего использования в рамках управления инцидентами ИБ;
20.2. оперативное выявление фактов нарушения функционирования и (или) нештатного функционирования защитных мер, в том числе средств ЗИ СЗИ КИТС Библиотеки;
20.3. наблюдение за работниками, представителями сторонних организаций и посетителями Библиотеки с целью контроля соблюдения ими установленных норм и требований обеспечения ИБ;
20.4. наблюдение за состоянием активов и поведением работников/представителей сторонних организаций/читателей и клиентов Библиотеки с целью выявления их нетипичного состояния/поведения, представляющего угрозу для активов.
Лицо, непосредственно получившее уведомление о событии, являющемся предполагаемым инцидентом ИБ, или выявившее уязвимость, обязано проинформировать уполномоченных должностных лиц, ответственных за обеспечение ИБ, в установленной форме.
Уполномоченные должностные лица, ответственные за обеспечение ИБ, оперативно проводят оценку полученной от заявителя информации, в том числе перекрестную по данным других источников, на предмет идентификации ошибочных сообщений, принимает решение о возникновении/не возникновении инцидента ИБ и предпринимают дальнейшие действия по управлению им (в случае его возникновения).
Детализация процедур управления инцидентами ИБ в рамках КИТС Библиотеки приведена в документе «Комплекс информационно-технологических систем Национальной библиотеки Беларуси. Инструкция по обеспечению защиты информации», входящем в состав документированной информации в области обеспечения ИБ КИТС Библиотеки.
ГЛАВА 12
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК ПРОВЕДЕНИЯ ПРОЦЕДУР РЕЗЕРВНОГО КОПИРОВАНИЯ ИНФОРМАЦИИ
С целью обеспечения сохранности активов и бесперебойной работы структурных подразделений Библиотеки, уполномоченными должностными лицами, ответственными за обеспечение ИБ, проводятся процедуры резервного копирования, восстановления и создания копий долговременного хранения информации.
21. Организация резервного копирования и восстановления информации строится на следующих основных принципах:
21.1. простота процедур резервного копирования и восстановления данных;
21.2. регулярность проведения резервного копирования в соответствии с установленным расписанием резервного копирования;
21.3. надежное и полное восстановление данных;
21.4. минимизация времени восстановления данных.
Резервному копированию, долговременному хранению и уничтожению подлежат все объекты, оказывающие непосредственное влияние на корректное и безопасное функционирование, а также на обеспечение непрерывности их работоспособности, с целью возможности оперативного восстановления данной информации за приемлемое время при ликвидации инцидентов ИБ.
Перечень объектов, подлежащих резервному копированию, должен быть документально зафиксирован.
Рекомендуется осуществлять трехуровневое резервное копирование (полное, дифференциальное и частичное). Целесообразно создавать резервные копии на съемных носителях различных типов: дисковый массив, ленточная библиотека, библиотека перезаписываемых или с однократной записью CD- и DVD-дисков и т.д. Для этого должна быть обеспечена достаточность съемных носителей информации для выполнения процедур резервного копирования. В целях обеспечения надежной сохранности носители резервных копий должны храниться в запираемых помещениях, несгораемых шкафах, на достаточном возвышении от пола и удалении от источников электромагнитных излучений. Различные экземпляры резервных копий должны храниться в разных помещениях.
Допускается использовать ресурсы и средства оператора облачных технологий для обеспечения процедур резервного копирования для ресурсов информационных систем, расположенных как на площадях Библиотеки, так и на площадях оператора.
Уполномоченным должностным лицам, ответственным за обеспечение ИБ, следует проводить регулярные проверки пригодности резервных копий, включая анализ целостности внешней и внутренней структур носителя.
Восстановление объектов из резервных копий проводится в случае технического сбоя, отказа технических средств или возникновения инцидента ИБ, для устранения последствий которого необходимо переустановить объекты или перенести их на другое аппаратное обеспечение.
Должна периодически проводиться проверка процедур резервного копирования тестовым восстановлением (не реже одного раза в полугодие).
Создание копий долговременного хранения выполняется в целях сокращения окна резервного копирования и уменьшения нагрузки на ЛВС, информационные системы и (или) сети Библиотеки, а также перед плановой ротацией и удалением журналов с жестких дисков серверов и системы хранения данных.
Долговременному хранению в обязательном порядке подлежат локальные копии журналов аудита, журналов анализа событий ИБ (при их наличии).
Перечень объектов, подлежащих долговременному хранению, должен быть документально зафиксирован.
Оборудование, на котором обрабатывается информация (активное сетевое и серверное оборудование и т.д.) применяется с требуемой степенью избыточности.
Детализация процедур резервного копирования, восстановления и долговременного хранения информации в КИТС Библиотеки приведена в документе «Комплекс информационно-технологических систем Национальной библиотеки Беларуси. Регламент резервирования и уничтожения информации», входящем в состав документированной информации в области обеспечения ИБ КИТС Библиотеки.
ГЛАВА 13
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК ОБРАЩЕНИЯ С НОСИТЕЛЯМИ ИНФОРМАЦИИ
Для предотвращения несанкционированного раскрытия, модификации, удаления или уничтожения информации, хранящейся на носителях информации, в том числе съемных носителях информации, и возникновения инцидентов ИБ определен порядок их надлежащего использования и уничтожения.
Работникам и представителям сторонних организаций запрещается подключать личные носители информации, в том числе съемные, как для выполнения должностных обязанностей, так и для личного использования в пределах Библиотеки.
При работе с информацией, распространение и (или) предоставление которой ограничено, работники и представители сторонних организаций должны использовать для этого только специально предназначенные маркированные служебные носители информации, в том числе съемные.
Работникам и представителям сторонних организаций запрещается использовать служебные носители информации, в том числе съемные, в личных целях.
Копирование любой информации, переносимой с помощью служебных носителей информации, в том числе съемных, должно производиться только после проведения процедуры полного антивирусного контроля носителя информации.
Не реже одного раза в год в рамках внутреннего аудита безопасности проводится полная инвентаризация служебных носителей информации, в том числе съемных, целью которой является проверка их наличия и работоспособности.
22. Уничтожение носителей информации, в том числе съемных, используемых при эксплуатации и хранении, осуществляется в том числе в следующих случаях:
22.1. носитель информации был испорчен или выведен из строя;
22.2. при истечении срока хранения копии, содержащейся на однократно записываемом носителе информации;
22.3. при истечении срока эксплуатации носителя информации, определенного производителем.
Ответственность за сохранность служебных носителей информации, а также за утечку информации, распространение и (или) предоставление которой ограничено, записанной на данный носитель, несет работник/представитель сторонних организаций, за которым закреплен данный носитель.
Контроль за использованием носителей информации, в том числе съемных, и организация работ по их уничтожению (при необходимости) возлагается на уполномоченное должностное лицо, ответственное за обеспечение ИБ.
При необходимости по инициативе Руководителя, курирующего ИТ и вопросы ИБ, могут осуществляться внеплановые проверки соблюдения требований по использованию и уничтожению носителей информации.
Посетители Библиотеки вправе использовать личные носители информации в пределах Библиотеки. Использование носителя информации в таком случае должно производиться только после проведения процедуры его полного антивирусного контроля, выполняемой как самим посетителем Библиотеки (в случаях самостоятельного копирования информации на носитель информации), так работником (в случаях, когда копирование информации на носитель информации посетителя Библиотеки выполняет работник).
Детализация процедур обращения с носителями информации приведена в ЛПА Библиотеки.
ГЛАВА 14
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК УДАЛЕННОЙ РАБОТЫ И ИСПОЛЬЗОВАНИЯ МОБИЛЬНЫХ УСТРОЙСТВ
Работникам и представителям сторонних организаций необходимо соблюдать особые меры предосторожности, чтобы не допустить компрометацию информации или возникновение инцидентов ИБ при использовании мобильных устройств (ноутбуков, планшетов и мобильных телефонов).
Запрещено подключение мобильных устройств (ноутбуков, за исключением служебных, мобильных телефонов, карманных персональных компьютеров и т.п.) работниками и представителями сторонних организаций к активам.
Все служебные ноутбуки, предназначенные для доступа к активам, должны быть учтены в соответствии с принятой схемой учета товарно-материальных ценностей в Библиотеки.
23. При использовании служебных ноутбуков необходимо убедиться в том, что на данном устройстве реализованы все необходимые меры по обеспечению ИБ:
23.1. установлены и настроены средства защиты от вредоносного ПО (антивирусное ПО активировано, базы признаков обнаружения вредоносного ПО обновлены);
23.2. установлены и настроены средства криптографической ЗИ (при необходимости организации защищенного канала передачи данных);
23.3. настроены встроенные средства для организации разграничения доступа (пароль на вход и т.п.).
24. При использовании служебных ноутбуков необходимо убедиться в том, что на данном устройстве отсутствуют:
24.1. средства для организации удаленного доступа (если это не предусмотрено характером предполагаемого использования служебного ноутбука);
24.2. средства, при помощи которых возможна реализация действий по преодолению средств ЗИ;
24.3. средства, при помощи которых возможен сбор сведений об имеющейся информационной инфраструктуре (если это не предусмотрено характером предполагаемого использования служебного ноутбука);
24.4. другие средства, способные оказать негативное воздействие на информационную инфраструктуру;
24.5. информация, которая является критичной и к которой лицо, получающее устройство, не имеет прав доступа в силу своих должностных обязанностей.
Читатели Библиотеки могут проносить и использовать ноутбуки в пределах разрешенных площадок, залов и помещений Библиотеки с доступом к сети Интернет, в том числе веб-порталу и личному кабинету: подключение ноутбуков осуществляется к физически изолированному от иных ЛВС Библиотеки сегменту с доступом к сети Интернет.
Уполномоченным лицам следует уведомить посетителей Библиотеки в рамках инструктажа по вопросам обеспечения ИБ и правилам нахождения на территории Библиотеки о базовых правилах безопасности использования мобильных устройств.
Удаленная работа с активами возможна только после реализации мер по технической и криптографической ЗИ.
ГЛАВА 15
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК ОБЕСПЕЧЕНИЯ СЕТЕВОЙ БЕЗОПАСНОСТИ
Для обеспечения сетевой безопасности ЛВС, информационных систем и (или) сетей Библиотеки при взаимодействии с внешними информационными системами и пользователями используются средства межсетевого экранирования. Данные средства должны быть размещены на границах ЛВС, информационных систем и (или) сетей Библиотеки и настроены уполномоченными лицами в присутствии должностных лиц, ответственных за обеспечение ИБ.
На серверах, виртуальных машинах и ПЭВМ запрещено использование технологии беспроводного доступа, а также незащищенное взаимодействие с внешними информационными системами, организациями и пользователями.
К средствам межсетевого экранирования должны быть подключены источники бесперебойного питания.
ГЛАВА 16
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
Криптографическая ЗИ применяется с целью обеспечения конфиденциальности и контроля целостности информации при ее передаче посредством сетей электросвязи общего пользования.
Детализация процедур использования средств криптографической ЗИ в рамках КИТС Библиотеки приведена в документе «Комплекс информационно-технологических систем Национальной библиотеки Беларуси. Регламент криптографической защиты информации», входящем в состав документированной информации в области обеспечения ИБ КИТС Библиотеки.
ГЛАВА 17
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК ТЕХНИЧЕСКОГО ОБСЛУЖИВАНИЯ
Процедуры технического обслуживания осуществляются в соответствии с ЛПА Библиотеки, в том числе с документом «Инструкция по установке, модификации и техническому обслуживанию программного обеспечения и аппаратных средств комплекса информационно-технологических систем».
Объем, виды и технология выполнения операций планового периодического технического обслуживания конкретного комплекса технических средств Библиотеки определяются эксплуатационной документацией.
25. При проведении технического обслуживания запрещается:
25.1. увеличивать время между очередными видами технического обслуживания;
25.2. перепоручать выполнение незавершенных работ;
25.3. проводить техническое обслуживание, не имея соответствующей эксплуатационной документации и квалификации;
25.4. сокращать объем, изменять порядок и последовательность проведения операций технического обслуживания, установленные эксплуатационной документацией;
25.5. приступать к выполнению последующей операции, не проверив фактического выполнения предыдущей, а также до устранения выявленной неисправности;
25.6. оставлять комплекс технических средств Библиотеки после технического обслуживания не приведенными в исходное положение;
25.7. привлекать к работам и мероприятиям представителей сторонних организаций, не связанных с проведением технического обслуживания или ремонта.
ГЛАВА 18
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК ИСПОЛЬЗОВАНИЯ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
В целях автоматизации производственной, управленческой, вспомогательной деятельности разрешено применение ограниченного перечня ПО, необходимого для выполнения производственных задач. Разрешенное к использованию ПО определено в Перечне ПО, разрешенного к использованию в Библиотеке, ответственность за ведение которого возлагается на уполномоченных должностных лиц, ответственных за обеспечение ИБ. Первоначальное формирование Перечня ПО, разрешенного к использованию в Библиотеке, выполняют уполномоченные должностные лица, ответственные за обеспечение ИБ, совместно с работниками отдела библиотечно-информационных технологий Библиотеки.
Использовать имеющееся в распоряжении ПО необходимо исключительно для выполнения своих должностных обязанностей.
В состав каждого рабочего места входит набор ПО для выполнения определенного вида деятельности. Первоначальная комплектация рабочего места определяется работниками отдела библиотечно-информационных технологий Библиотеки. ПО, не входящее в состав рабочего места, не может быть установлено и использовано без процедуры согласования.
Все операции по установке, сопровождению, поддержке и удалению ПО на рабочем месте выполняются уполномоченными должностными лицами, ответственными за обеспечение ИБ/уполномоченными лицами (при наличии соответствующих прав).
В случае необходимости установки ПО руководитель структурного подразделения готовит запрос на установку ПО.
При отсутствии необходимого ПО в ресурсах Библиотеки руководитель структурного подразделения готовит докладную записку на приобретение ПО в установленном порядке.
Приобретение ПО осуществляется согласно действующим правилам закупок.
Поддержка и сопровождение ПО выполняется работниками отделов, ответственных за эксплуатацию ПО на основании договоров на сопровождение со сторонними организациями.
В случае окончания лицензионного срока использования ПО, удаления (вывода из эксплуатации) ПО, замены используемого ПО на альтернативное, прекращения использования ПО вследствие отсутствия надобности уполномоченными должностными лицами, ответственными за обеспечение ИБ, осуществляется вывод его из эксплуатации.
Детализация процедур использования ПО приведена в ЛПА Библиотеки.
ГЛАВА 19
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОРЯДОК ВЗАИМОДЕЙСТВИЯ С ВНЕШНИМИ ИНФОРМАЦИОННЫМИ СИСТЕМАМИ
Информационные системы Библиотеки в процессе своего функционирования взаимодействуют с внешними информационными системами, организациями и пользователями.
В соответствии с требованиями [2, приложение 4], утвержденныму [1]:
информационным системам класса 3-фл, 3-юл, 3-дсп разрешается организация взаимодействия с внешними информационными системами класса 5-частн/5-гос/3-фл/3-юл/3-дсп по физически выделенным каналам передачи данных или по открытым каналам передачи данных (в том числе глобальной компьютерной сети Интернет);
информационным системам класса 4-фл, 4-юл, 4-дсп разрешается организация взаимодействия с внешними информационными системами класса 6-частн/6-гос/4-фл/4-юл/4-дсп по физически выделенным каналам передачи данных.
В соответствии с требованиями [2, приложение 3], утвержденному [1], взаимодействие по сетям электросвязи общего пользования должно быть защищено средствами криптографической ЗИ, обеспечивающими линейное и (или) предварительное шифрование передаваемой информации.
ГЛАВА 20
АСПЕКТЫ БЕЗОПАСНОСТИ. ОБЕСПЕЧЕНИЕ ФУНКЦИОНИРОВАНИЯ ОБОРУДОВАНИЯ, РАСПОЛОЖЕННОГО НА РЕСУРСАХ ВНЕШНЕГО ОПЕРАТОРА
Обеспечение бесперебойного функционирования, физической безопасности, постоянного электропитания, технического обслуживания оборудования Библиотеки, расположенного на платформе совместного общества с ограниченной ответственностью «Белорусские облачные технологии» в рамках услуги «Виртуальный сервер», осуществляется в рамках договорных отношений между Библиотекой и совместным обществом с ограниченной ответственностью «Белорусские облачные технологии».
ГЛАВА 21
АСПЕКТЫ БЕЗОПАСНОСТИ. ПЕРЕЧЕНЬ ИНФОРМАЦИОННЫХ СИСТЕМ, ОТНЕСЕННЫХ К СООТВЕТСТВУЮЩИМ КЛАССАМ ТИПОВЫХ ИНФОРМАЦИОННЫХ СИСТЕМ, ИСПОЛЬЗУЕМЫХ В ОРГАНИЗАЦИИ И ПРИНАДЛЕЖАЩИХ ЕЙ НА ПРАВЕ СОБСТВЕННОСТИ
В Библиотеке ведется перечень информационных систем, отнесенных к соответствующим классам типовых информационных систем, а также отдельно стоящих электронных вычислительных машин, используемых в Библиотеке и принадлежащих ей на праве собственности или ином законном основании, с указанием подразделения, ответственного за обеспечение ИБ. Форма перечня приведена в приложении А.
ГЛАВА 22
АСПЕКТЫ БЕЗОПАСНОСТИ. ПОСЛЕДСТВИЯ НАРУШЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В случае подтверждения фактов нарушений работниками/представителями сторонних организаций требований по обеспечению ИБ, уполномоченными должностными лицами, ответственными за обеспечение ИБ, по согласованию с Руководителем, курирующим ИТ и вопросы ИБ, должен быть начат дисциплинарный процесс.
26. Дисциплинарный процесс должен обеспечить дифференцированные ответные меры, учитывающие:
26.1. характер и степень тяжести нарушений ИБ;
26.2. влияние нарушений ИБ на бизнес-процессы;
26.3. рецидивность нарушений ИБ (первичное или повторное);
26.4. информированность работника/представителя сторонней организации о необходимости соблюдения мер ИБ.
Результаты дисциплинарного процесса следует представлять Руководителю, курирующему ИТ и вопросы ИБ, для определения итогового решения.
На период проведения проверок фактов нарушений ИБ и проведения дисциплинарного процесса уполномоченному должностному лицу, ответственному за обеспечение ИБ, следует оценить необходимость введения ограничений (прекращения) доступа работнику/представителю сторонней организации, совершившему нарушение ИБ, к активам.
Решение о введения ограничений (прекращение) доступа необходимо согласовывать с Руководителем, курирующим ИТ и вопросы ИБ.
[1] Указ Президента Республики Беларусь от 9 декабря 2019 г. № 449 «О совершенствовании государственного регулирования в области защиты информации»
[2] Указ Президента Республики Беларусь от 16.04.2013 N 196 «О некоторых мерах по совершенствованию защиты информации» (вместе с «Положением о технической и криптографической защите информации», «Положением о порядке отнесения объектов информатизации к критически важным объектам информатизации»)
[3] Приказ Оперативно-аналитического центра при Президенте Республики Беларусь от 20 февраля 2020 г. № 66 «О мерах по реализации Указа Президента Республики Беларусь от 9 декабря 2019г. №449»
