Палітыка інфармацыйнай бяспекі

ГЛАВА 1
АГУЛЬНЫЯ ПАЛАЖЭННІ

У гэтым дакуменце выкарыстаны спасылкі на наступныя тэхнічныя нарматыўныя прававыя акты ў галіне тэхнічнага нарміравання і стандартызацыі:

СТБ ISO/IEC 27001-2012 Інфармацыйныя тэхналогіі. Метады забеспячэння бяспекі. Сістэмы менеджменту інфармацыйнай бяспекі. Патрабаванні.

Для мэт гэтага дакумента прымяняюцца наступныя асноўныя тэрміны і іх азначэнні:

актывы – інфармацыя, праграмныя, тэхнічныя і праграмна-тэхнічныя сродкі апрацоўкі інфармацыі, якія павінны быць абаронены арганізацыйнымі мерамі і сродкамі аховы інфармацыі;

аўдыт інфармацыйнай бяспекі – сістэматычны, незалежны і дакументаваны працэс атрымання аб’ектыўных якасных і колькасных запісаў аб бягучым стане інфармацыйнай бяспекі;

аўтэнтыфікацыя – працэдура праверкі сапраўднасці суб’екта доступу пры ўваходзе ва ўліковыя запісы ў аперацыйных сістэмах, прыкладным праграмным забеспячэнні і г. д. шляхам параўнання ўведзенага ім пароля з паролем у базе даных;

база даных – структураваны і, як правіла, індэксаваны набор інфармацыі, кіруемы спецыяльнымі праграмнымі сродкамі (сістэмай кіравання базамі даных). Акрамя карыстальніцкіх даных змяшчае крытычна важныя дапаможныя даныя і метаданыя, а таксама кіруючыя файлы;

шкоднае праграмнае забеспячэнне – праграмны код (выконваемы або інтэрпрэтуемы), які валодае ўласцівасцю несанкцыянаванага ўздзеяння на актывы;

дзяржаўная інфармацыйная сістэма – інфармацыйная сістэма, якая ствараецца і (або) набываецца за кошт сродкаў рэспубліканскага або мясцовых бюджэтаў, дзяржаўных пазабюджэтных фондаў, а таксама сродкаў дзяржаўных юрыдычных асоб;

дакументаваная інфармацыя – звесткі, зафіксаваныя на матэрыяльным носьбіце з рэквізітамі, якія дазваляюць іх ідэнтыфікаваць;

доступ да інфармацыі – магчымасць атрымання інфармацыі і карыстання ёю;

доступ да інфармацыйнай сістэмы і (або) інфармацыйнай сеткі – магчымасць выкарыстання інфармацыйнай сістэмы і (або) інфармацыйнай сеткі;

даступнасць – пазбяганне часовага ці пастаяннага ўтойвання інфармацыі ад суб’ектаў доступу;

дыферэнцыяльнае рэзервовае капіраванне – метад арганізацыі рэзервовага капіравання, пры якім ажыццяўляецца капіраванне новых файлаў і файлаў, мадыфікаваных з моманту апошняга поўнага рэзервовага капіравання;

журнал аўдыту – журнал падзей, убудаваны ў аперацыйную сістэму / прыкладное праграмнае забеспячэнне / сродак абароны інфармацыі / актыўнае сеткавае абсталяванне, які змяшчае файл з запісамі (пералікам падзей) аб бягучым стане лакальнай вылічальнай сеткі, інфармацыйных сістэм і (або) сетак дзяржаўнай установы “Нацыянальная бібліятэка Беларусі”;

абарона інфармацыі – комплекс прававых, арганізацыйных і тэхнічных мер па забеспячэнні цэласнасці, канфідэнцыяльнасці, сапраўднасці, даступнасці і захаванасці інфармацыі;

абараняемая інфармацыя – агульнадаступная інфармацыя, якая прадстаўляе каштоўнасць для дзяржаўнай установы “Нацыянальная бібліятэка Беларусі” і падлягае абароне; інфармацыя, распаўсюджванне і (або) прадастаўленне якой абмежавана, у тым ліку інфармацыя аб прыватным жыцці фізічнай асобы і персанальныя даныя, іншая інфармацыя, якая складае ахоўваемую законам тайну фізічнай асобы, распаўсюджванне і (або) прадастаўленне якой абмежавана, у складзе інфармацыйных рэсурсаў дзяржаўнай установы “Нацыянальная бібліятэка Беларусі”;

ідэнтыфікатар – унікальнае прадстаўленне суб’екта доступу (напрыклад, радок сімвалаў), якое адназначна яго вызначае;

ідэнтыфікацыя – параўнанне прад’яўляемага ўнікальнага імя (ідэнтыфікатара) з пералікам прысвоеных ідэнтыфікатараў;

інфармацыя – звесткі аб асобах, прадметах, фактах, падзеях, з’явах і працэсах незалежна ад формы іх прадстаўлення;

інфармацыйная бяспека – стан абароненасці актываў, пры якім забяспечваецца іх канфідэнцыяльнасць, цэласнасць, даступнасць і сапраўднасць, ад пагроз інфармацыйнай бяспекі;

інфармацыйная сістэма – сукупнасць банкаў даных, інфармацыйных тэхналогій і комплексу (комплексаў) праграмна-тэхнічных сродкаў;

інфармацыйны рэсурс – арганізаваная сукупнасць дакументаванай інфармацыі, якая ўключае базы даных і іншую ўзаемазвязаную інфармацыю ў інфармацыйных сістэмах;

інцыдэнт інфармацыйнай бяспекі – адно або шэраг непажаданых або непрадбачаных падзей інфармацыйнай бяспекі, пры якіх ёсць значная імавернасць кампраметацыі функцыянавання бізнес-працэсаў і пагрозы інфармацыйнай бяспекі;

кампраметацыя – падзея, у выніку якой інфармацыя становіцца вядомай асобам, якія не маюць правоў доступу да яе;

канфідэнцыяльнасць – уласцівасць інфармацыі, якая вызначае неабходную ступень яе абароны ад несанкцыянаванага доступу і ад выкарыстання яе суб’ектамі, якія не маюць адпаведных паўнамоцтваў;

лакальная вылічальная сетка – сукупнасць сродкаў вылічальнай тэхнікі (персанальных электронных вылічальных машын, персанальных электронных вылічальных машын з тэрмінальным падключэннем, сервераў і г. д.), злучаных лініямі сувязі, утвораная кабелямі, сеткавымі адаптарамі і іншым камунікацыйным абсталяваннем (праграмна-тэхнічная інфраструктура);

міжсеткавае экранаванне – фільтраванне ўваходнага / выходнага трафіку ў адпаведнасці з зададзенымі правіламі;

несанкцыянаваны доступ – любы іншы наўмысны доступ неаўтарызаваных асоб, які не з’яўляецца дазволеным, да актываў з ужываннем тэхнічных, апаратна-праграмных, праграмных сродкаў ці іншым шляхам;

абясшкоджванне шкоднага праграмнага забеспячэння – працэдура змянення праграмнага кода шкоднага праграмнага забеспячэння, пасля якой спыняецца шкоднае ўздзеянне на актывы;

выяўленне шкоднага праграмнага забеспячэння – працэдуры кантролю, якія адносяцца да сукупнасці дзеянняў сродкаў абароны ад уздзеяння шкоднага праграмнага забеспячэння, пасля якіх лакалізуецца шкоднае ўздзеянне на актывы;

поўнае рэзервовае капіраванне – метад арганізацыі рэзервовага капіравання, пры якім выконваецца капіраванне ўсёй выбранай інфармацыі;

сапраўднасць – уласцівасць інфармацыі захоўваць нязменнасць або выяўляць факт несанкцыянаванага змянення атрыбутаў, якія ўстанаўліваюць аўтарства;

палітыка інфармацыйнай бяспекі – сукупнасць правіл, працэдур і патрабаванняў кіравання інфармацыйнай бяспекай арганізацыі;

наведвальнікі дзяржаўнай установы “Нацыянальная бібліятэка Беларусі – чытачы, кліенты, удзельнікі экскурсій і іншыя трэція асобы, якія знаходзяцца ў будынку і памяшканнях дзяржаўнай установы “Нацыянальная бібліятэка Беларусі” з рознымі мэтамі;

работнікі дзяржаўнай установы “Нацыянальная бібліятэка Беларусі” – асобы, якія ўзаемадзейнічаюць з лакальнай вылічальнай сеткай, інфармацыйнымі сістэмамі і (або) сеткамі дзяржаўнай установы “Нацыянальная бібліятэка Беларусі” і надзеленыя пэўнымі правамі доступу да іх (могуць мець як адміністрацыйныя, так і карыстальніцкія прывілегіі ў залежнасці ад выконваемых функцый);

рэзерваванне даных – стварэнне рэзервовых копій даных на ўстройстве захоўвання, што дазваляе знайсці і аднавіць даныя, калі арыгінал пашкоджаны або знішчаны;

рызыка інфармацыйнай бяспекі – імавернасць рэалізацыі пагроз інфармацыйнай бяспекі актывам, якая можа выклікаць парушэнне або спыненне іх функцыянавання;

сістэма абароны інфармацыі – сукупнасць мер па абароне інфармацыі, рэалізаваных у інфармацыйнай сістэме;

падзея інфармацыйнай бяспекі – ідэнтыфікаваны выпадак стану сістэмы або сеткі, які паказвае на магчымае парушэнне палітыкі інфармацыйнай бяспекі або адмову сродкаў абароны інфармацыі, або раней невядомая сітуацыя, якая можа быць звязана з пагрозай інфармацыйнай бяспекі;

захаванасць – уласцівасць забеспячэння тэхнічнай і інтэлектуальнай аўтэнтычнасці інфармацыі з цягам часу;

пабочная арганізацыя – арганізацыя, якая мае права на доступ да актываў у адпаведнасці з пагадненнем або дагаворам на доступ да актываў (напрыклад, для рамонту, тэхнічнага абслугоўвання, рэгламентных работ або аўдыту інфармацыйнай бяспекі);

суб’ект доступу – асоба (работнік дзяржаўнай установы “Нацыянальная бібліятэка Беларусі”, прадстаўнік іншай арганізацыі, які працуе па дагаворы (пры неабходнасці) і мае доступ да актываў, або працэс, дзеянні якога рэгламентуюцца правіламі размежавання доступу;

пагроза інфармацыйнай бяспекі – выпадковае (ненаўмыснае) або наўмыснае (зламыснае) уздзеянне, якое прыводзіць да парушэння цэласнасці, даступнасці і прыватнасці інфармацыі або інфраструктуры, што падтрымлівае яе, якое наносіць шкоду ўласніку, распарадчыку або карыстальніку інфармацыі;

упаўнаважаныя службовыя асобы, адказныя за забеспячэнне інфармацыйнай бяспекі, – асобы, якія маюць вышэйшую адукацыю ў галіне абароны інфармацыі або вышэйшую ці прафесійна-тэхнічную адукацыю і якія прайшлі перападрыхтоўку ці павышэнне кваліфікацыі па пытаннях тэхнічнай і крыптаграфічнай абароны інфармацыі ў парадку, устаноўленым заканадаўствам, упаўнаважаныя выконваць работы па тэхнічнай і крыптаграфічнай абароне інфармацыі, уключаючы кіраванне сістэмай абароны інфармацыі і сродкамі абароны інфармацыі, настройка і канфігураванне сродкаў абароны інфармацыі, аналіз падзей інфармацыйнай бяспекі, а таксама функцыі стварэння, рэдагавання, выдалення ўліковых запісаў;

уразлівасць – любая характарыстыка актыву, выкарыстанне якой можа прывесці да рэалізацыі пагрозы інфармацыйнай бяспекі;

цэласнасць – уласцівасць захавання паўнаты складу і нязменнасці актываў;

частковае рэзервовае капіраванне – метад арганізацыі рэзервовага капіравання, пры якім ажыццяўляецца капіраванне новых файлаў і файлаў, мадыфікаваных з моманту апошняга рэзервовага капіравання.

Для мэт гэтага дакумента прымяняюцца наступныя абазначэнні і скарачэнні:

Аўдыт бяспекі	аўдыт інфармацыйнай бяспекі
АІ	абарона інфармацыі
ІБ	інфармацыйная бяспека
ІТ	інфармацыйная тэхналогія
КІТС Бібліятэкі	комплекс інфармацыйна-тэхналагічных сістэм “Нацыянальнай бібліятэкі Беларусі”
ЛВС	лакальная вылічальная сетка
ЛПА	лакальны прававы акт
Бібліятэка	дзяржаўная ўстанова “Нацыянальная бібліятэка Беларусі”
ПЗ	праграмнае забеспячэнне
Палітыка	палітыка інфармацыйнай бяспекі
ПЭВМ	персанальная электронная вылічальная машына
САА	сродак антывіруснай абароны
САІ	сістэма абароны інфармацыі

Гэтая Палітыка з’яўляецца ЛПА верхняга ўзроўню і ў тым ліку ўваходзіць у склад дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі. Іншыя ЛПА, якія ўваходзяць у склад дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі, удакладняюць (дапаўняюць) палажэнні Палітыкі з улікам дэталізацыі канкрэтных аспектаў ІБ.

Гэтая Палітыка ўяўляе сабой афіцыйна прынятую сістэму поглядаў на пытанні забеспячэння ІБ у Бібліятэцы. Палітыка змяшчае сістэматызаваны выклад асноўных мэт, задач, прынцыпаў, працэдур, правіл і спосабаў дасягнення патрабуемага ўзроўню ІБ, арганізацыйных, тэхнічных і працэдурных аспектаў забеспячэння ІБ.

Палітыка ўлічвае сучасны стан і найбліжэйшыя перспектывы развіцця ЛВС, інфармацыйных сістэм і сетак Бібліятэкі, мэты, задачы, прававыя асновы іх стварэння і эксплуатацыі, а таксама рэжымы іх функцыянавання.

1. Гэтая Палітыка распрацавана ў адпаведнасці з патрабаваннямі [1], СТБ ISO/IEC 27001 і ў тым ліку змяшчае:

1.1. азначэнне ІБ і яе асноўныя мэты;

1.2. тлумачэнне канкрэтных палажэнняў палітыкі бяспекі, прынцыпаў, стандартаў і патрабаванняў да яе выканання, уключаючы:

1.3. вызначэнне агульных і канкрэтных абавязкаў па забеспячэнні ІБ;

1.4. патрабаванні да кваліфікацыі і дасведчанасці работнікаў аб правілах бяспекі;

1.5. патрабаванні да дасведчанасці прадстаўнікоў іншых арганізацый аб правілах бяспекі;

1.6. наступствы парушэння палітыкі бяспекі.

Палажэнні і патрабаванні Палітыкі распаўсюджваюцца на работнікаў усіх структурных падраздзяленняў Бібліятэкі. Выкананне палажэнняў і патрабаванняў Палітыкі для работнікаў з’яўляецца абавязковым у частцы, якая іх тычыцца, пры гэтым палажэнні і патрабаванні Палітыкі даводзяцца да іх ведама шляхам азнаямлення (пад подпіс) з гэтай Палітыкай цалкам.

2. Шэраг палажэнняў і патрабаванняў Палітыкі распаўсюджваюцца таксама на прадстаўнікоў іншых арганізацый і наведвальнікаў бібліятэкі:

2.1. палажэнні і патрабаванні Палітыкі даводзяцца да ведама прадстаўнікоў іншых арганізацый шляхам правядзення вуснага інструктажу ўпаўнаважанымі службовымі асобамі, адказнымі за забеспячэнне ІБ, або шляхам азнаямлення з асобнымі вытрымкамі з Палітыкі;

2.2. чытачы павінны быць праінфармаваны аб патрабаваннях па забеспячэнні ІБ да атрымання чытацкага білета ўпаўнаважанымі асобамі;

2.3. іншыя наведвальнікі Бібліятэкі павінны быць азнаёмлены з правіламі знаходжання ў будынку і памяшканнях Бібліятэкі, пры гэтым яны не павінны атрымліваць доступ да ЛВС, інфармацыйных сістэм і (або) сетак Бібліятэкі.

Належны кантроль за выкананнем Палітыкі ажыццяўляецца ўпаўнаважанымі службовымі асобамі, адказнымі за забеспячэнне ІБ.

3. Гэтая Палітыка:

3.1. даступная і падтрымліваецца ў выглядзе дакументаванай інфармацыі;

3.2. даступная (пры неабходнасці) прадстаўнікам іншых арганізацый у частцы іх датычнай;

3.3. пераглядаецца і карэкціруецца (пры неабходнасці) праз запланаваныя інтэрвалы часу, але не радзей за адзін раз у год у межах унутранага аўдыту бяспекі, а пры змяненні структуры, умоў функцыянавання ЛВС, інфармацыйных сістэм і (або) сетак Бібліятэкі або іншых фактараў, якія ўплываюць на іх актуальнасць, –пазапланава, з мэтай забеспячэння яе пастаяннай адпаведнасці, адэкватнасці і выніковасці.

4. Падставамі для пазапланавага перагляду палітыкі з’яўляюцца:

4.1. змяненне тэхналогій апрацоўкі ахоўваемай інфармацыі;

4.2. мадэрнізацыя ЛВС, інфармацыйных сістэм і (або) сетак Бібліятэкі і ўкараненне новых тэхналогій;

4.3. вынікі абследавання ІБ (унутранага аўдыту бяспекі);

4.4. інцыдэнты ІБ, якія выклікалі значны ўрон;

4.5. рашэнні кіраўніцтва Бібліятэкі, якое курыруе ІТ і пытанні ІБ, і (або) ўпаўнаважаных службовых асоб, адказных за забеспячэнне ІБ;

4.6. змяненні заканадаўства Рэспублікі Беларусь у галіне АІ.

Ініцыятарам, каардынатарам і ўладальнікам працэсу перагляду і карэкціроўкі Палітыкі з’яўляюцца кіраўніцтва Бібліятэкі, якое курыруе ІТ і пытанні ІБ, і ўпаўнаважаныя службовыя асобы, адказныя за забеспячэнне ІБ.

Заўвага – далей у тэксце наведвальнікі Бібліятэкі згадваюцца толькі ў тых палажэннях, якія непасрэдна іх закранаюць.

ГЛАВА 2
МЭТЫ, ПРЫНЦЫПЫ І АРГАНІЗАЦЫЯ АБАРОНЫ ІНФАРМАЦЫІ Ў БІБЛІЯТЭЦЫ

5. Асноўнымі мэтамі ІБ у Бібліятэцы з’яўляюцца абарона актываў ад магчымага нанясення ім матэрыяльнай, фізічнай, маральнай ці іншай шкоды з дапамогай выпадковага ці наўмыснага ўздзеяння на інфармацыю, яе носьбіты, працэсы апрацоўкі і перадачы, а таксама:

5.1. выкананне патрабаванняў заканадаўства Рэспублікі Беларусь у галіне АІ;

5.2. зніжэнне ўзроўню рызык ІБ і рэальных страт ад інцыдэнтаў ІБ;

5.3. эфектыўнае кіраванне рабочымі працэсамі (бізнес-працэсамі), у тым ліку ў крытычных сітуацыях.

6. Для дасягнення пастаўленых мэт ІБ прыняты наступныя прынцыпы:

6.1. прынцып сістэмнасці, адпаведна якому пры стварэнні і эксплуатацыі САІ неабходна ўлічваць усе пагрозы і ўразлівасці ІБ адносна актываў, высокую кваліфікацыю зламыснікаў, бягучыя і магчымыя ў будучыні каналы рэалізацыі пагроз ІБ;

6.2. прынцып комплекснасці, які гарантуе, што выкарыстоўваемыя сродкі АІ сумяшчальныя, адсутнічаюць слабыя месцы пры стыкоўцы розных сродкаў АІ, яны закрываюць усе істотныя каналы рэалізацыі пагроз;

6.3. прынцып бесперапыннасці АІ гарантуе, што выконваецца бесперапынны мэтанакіраваны працэс, які прадугледжвае прыняцце адпаведных мер на ўсіх этапах жыццёвага цыкла інфармацыйных сістэм і (або) сетак Бібліятэкі;

6.4. прынцып разумнай дастатковасці, адпаведна якому ўзровень затрат на забеспячэнне АІ суадносіцца з велічынёй магчымага ўрону ад узнікнення інцыдэнтаў ІБ (абраны дастатковы ўзровень абароны, пры якім затраты, рызыка і памер магчымай страты былі б прымальнымі);

6.5. прынцып падтрымання мер бяспекі, накіраваных на:

6.5.1. перашкоду стварэнню ўмоў для ўзнікнення новых пагроз ІБ;

6.5.2. выяўленне пагроз ІБ;

6.5.3. выяўленне ўздзеяння пагроз ІБ на актывы;

6.5.4. лакалізацыю пагроз ІБ;

6.5.5. ліквідацыю ўздзеяння пагроз на актывы.

6.6. прынцып паўнаты і дастатковасці мер абароны, які гарантуе, што выконваюцца ўсе неабходныя патрабаванні па забеспячэнні ІБ.

7. Забеспячэнне ІБ у Бібліятэцы ажыццяўляецца па наступных напрамках, што рэалізуюцца арганізацыйнымі і тэхнічнымі мерамі абароны:

7.1. кіраванне доступам да актываў з мэтай прадухілення неправамерных дзеянняў;

7.2. ідэнтыфікацыя і аўтэнтыфікацыя суб’ектаў доступу;

7.3. пратакаліраванне (збор і назапашванне) і аўдыт (аналіз) падзей ІБ (аператыўны аўдыт бяспекі);

7.4. унутраны аўдыт бяспекі;

7.5. абарона ад шкоднага ПЗ;

7.6. крыптаграфічная АІ;

7.7. міжсеткавае экранаванне;

7.8. АІ ў віртуальнай інфраструктуры;

7.9. рэгламентацыя і кантроль за выкарыстаннем носьбітаў інфармацыі, электроннай пошты і сеткі інтэрнэт;

7.10. кіраванне працэдурамі рэзервавання;

7.11. абнаўленне апаратных, апаратна-праграмных, праграмных кампанентаў ЛВС, інфармацыйных сістэм і (або) сетак Бібліятэкі, САІ КІТС Бібліятэкі;

7.12. рэагаванне на інцыдэнты ІБ і кіраванне імі;

7.13. інфармаванне і навучанне работнікаў па пытаннях забеспячэння ІБ;

7.14. інфармаванне прадстаўнікоў іншых арганізацый па пытаннях забеспячэння ІБ;

7.15. інфармаванне наведвальнікаў Бібліятэкі па пытаннях забеспячэння ІБ (пры неабходнасці);

7.16. ідэнтыфікацыя актываў Бібліятэкі.

Рэалізацыя арганізацыйных і тэхнічных мер па адзначаных напрамках забеспячэння ІБ дасягаецца ў тым ліку з дапамогай САІ КІТС Бібліятэкі.

САІ з’яўляецца складнікам КІТС Бібліятэкі і ўяўляе сабой сукупнасць прававых, арганізацыйных і тэхнічных мер, накіраваных на забеспячэнне яго АІ.

ГЛАВА 3
РАЗМЕРКАВАННЕ АБАВЯЗКАЎ РАБОТНІКАЎ І ПРАДСТАЎНІКОЎ ІНШЫХ АРГАНІЗАЦЫЙ ПА ЗАБЕСПЯЧЭННІ ІНФАРМАЦЫЙНАЙ БЯСПЕКІ

8. Кіраўнік, які курыруе ІТ і пытанні ІБ, і іншыя ўпаўнаважаныя асобы, арганізоўваюць і кантралююць функцыянаванне САІ, вызначаюць яе склад і структуру, функцыі работнікаў і прадстаўнікоў іншых арганізацый па забеспячэнні ІБ, а таксама:

8.1. прымаюць стратэгічныя рашэнні па пытаннях забеспячэння ІБ у Бібліятэцы і зацвярджаюць асноўныя дакументы, якія рэгулююць парадак функцыянавання, мадэрнізацыі і развіцця ЛВС, інфармацыйных сістэм і (або) сетак Бібліятэкі, САІ КІТС Бібліятэкі, а таксама пытанні забеспячэння ІБ;

8.2. забяспечваюць адпаведнасць узроўню затрат на АІ велічыні магчымай страты пры ўзнікненні інцыдэнтаў ІБ і выбіраюць дастатковы ўзровень абароны, пры якім затраты, рызыка і памер магчымай шкоды былі б прымальнымі;

8.3. кантралююць выкананне патрабаванняў нарматыўных прававых актаў і тэхнічных нарматыўных прававых актаў у галіне нармавання і стандартызацыі Рэспублікі Беларусь у галіне АІ;

8.4. ствараюць неабходныя арганізацыйныя і структурныя ўмовы для падтрымкі працэсу забеспячэння ІБ, выдзяляюць для гэтых мэт адпаведныя фінансавыя, тэхнічныя, кадравыя і іншыя рэсурсы;

8.5. вызначаюць меры і прыярытэты ў галіне кіравання рызыкамі ІБ, а таксама ўкараняюць мерапрыемствы па арганізацыйным кіраванні ІБ з мэтай мінімізацыі наступстваў ад рызыкі выкарыстання ўразлівасцей і рэалізацыі пагроз ІБ;

8.6. падтрымліваюць работнікаў, якія ўносяць уклад у выніковасць працэсу забеспячэння ІБ у цэлым і САІ КІТС Бібліятэкі ў прыватнасці;

8.7. арганізоўваюць інфармаванне і навучанне работнікаў, у тым ліку не радзей за адзін раз на год забяспечваюць правядзенне мерапрыемстваў, накіраваных на павышэнне ўзроўню ведаў работнікаў па пытаннях забеспячэння ІБ;

8.8. прыцягваюць спецыялістаў або прадстаўнікоў іншых арганізацый (пры неабходнасці) для правядзення аўдыту бяспекі, тэхнічнага абслугоўвання і рамонту сродкаў АІ праз запланаваныя прамежкі часу або пры іншай неабходнасці;

8.9. фарміруюць падраздзяленне АІ або прызначаюць упаўнаважаных службовых асоб, адказных за забеспячэнне ІБ са складу ўжо наяўных структурных падраздзяленняў Бібліятэкі.

Кіраўнікі структурных падраздзяленняў Бібліятэкі адказваюць за забеспячэнне ІБ у сваіх структурных падраздзяленнях у той жа ступені, як і за іншыя бізнес-працэсы, а таксама афармляюць заяўкі на выдзяленне адпаведных матэрыяльных рэсурсаў для адэкватнай падтрымкі працэсу забеспячэння ІБ у структурных падраздзяленнях.

9. Упаўнаважаныя службовыя асобы, адказныя за забеспячэнне ІБ, праводзяць работы па тэхнічнай і крыптаграфічнай АІ, у тым ліку:

9.1. удзельнічаюць у распрацоўцы і карэкціроўцы ЛПА па стварэнні і ўдасканаленні працэсу забеспячэння ІБ;

9.2. праводзяць аналіз пагроз і разлік рызык ІБ, ажыццяўляюць маніторынг і рэагаванне на ўзнікненне рызык ІБ;

9.3. выконваюць аператыўны аўдыт бяспекі (прагляд, аналіз падзей ІБ) з вызначанай перыядычнасцю, удзельнічаюць ва ўнутраным аўдыце бяспекі;

9.4. даводзяць да ведама работнікаў і прадстаўнікоў іншых арганізацый, якія працуюць па дагаворы (пры неабходнасці), іх адказнасць і абавязкі ў галіне забеспячэння ІБ;

9.5. праводзяць інструктажы, мерапрыемствы па інфармаванні і выпрацоўцы практычных навыкаў дзеянняў па забеспячэнні ІБ;

9.6. забяспечваюць узаемадзеянне Кіраўніка, які курыруе ІТ і пытанні ІБ, і іншых упаўнаважаных асоб Бібліятэкі з юрыдычнымі і фізічнымі асобамі пры заключэнні і выкананні дагавораў па пытаннях забеспячэння ІБ;

9.7. процідзейнічаюць перапыненням бізнес-працэсаў і доступу да актываў па прычыне інцыдэнтаў ІБ;

9.8. праводзяць усе мерапрыемствы па забеспячэнні ІБ у адпаведнасці з дзеючымі нарматыўнымі прававымі актамі і тэхнічнымі нарматыўнымі прававымі актамі ў галіне нармавання і стандартызацыі Рэспублікі Беларусь па АІ;

9.9. нясуць адказнасць за выкананне работнікамі, прадстаўнікамі іншых арганізацый і іншымі асобамі патрабаванняў па забеспячэнні ІБ у адпаведнасці з устаноўленымі палітыкамі і працэдурамі.

Работнікі з карыстальніцкімі паўнамоцтвамі накіроўваюць сваю дзейнасць на выкананне патрабаванняў па АІ для забеспячэння належнага ўзроўню ІБ.

Прадстаўнікі іншых арганізацый могуць быць прыцягнутыя Бібліятэкай для выканання работ (напрыклад, аўдыту бяспекі, тэхнічнага абслугоўвання) і ў абавязковым парадку павінны быць азнаёмлены з патрабаваннямі ЛПА Бібліятэкі, у тым ліку з дакументаванай інфармацыяй у галіне забеспячэння ІБ КІТС Бібліятэкі, у частцы іх датычнай.

Чытачы павінны быць праінфармаваны ўпаўнаважанымі асобамі аб патрабаваннях па забеспячэнні ІБ да атрымання чытацкага білета і выконваць іх у ходзе карыстання бібліятэчнымі паслугамі. Наведвальнікі Бібліятэкі павінны выконваць устаноўленыя правілы і парадак знаходжання ў будынку і памяшканнях Бібліятэкі.

Канкрэтныя абавязкі і адказнасць, ускладзеныя на Кіраўніка, які курыруе пытанні ІБ, і іншых упаўнаважаных асоб Бібліятэкі, работнікаў, прадстаўнікоў іншых арганізацый і наведвальнікаў Бібліятэкі, вызначаны далей у тэксце ў межах дэталізацыі асобных працэдур і аспектаў бяспекі, службовых інструкцыях, палажэннях аб структурных падраздзяленнях, дагаворах, ЛПА Бібліятэкі, у тым ліку ЛПА, якія ўваходзяць у склад дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі.

ГЛАВА 4
АСПЕКТЫ БЯСПЕКІ. КІРАВАННЕ ПЕРСАНАЛАМ

Падбор работнікаў, фарміраванне патрабаванняў да іх кваліфікацыі, папярэдні адбор кандыдатаў, прыём работнікаў, іх інфармаванне і навучанне, перамяшчэнне, перавод і звальненне ажыццяўляюцца ў адпаведнасці з заканадаўствам і ЛПА Бібліятэкі. У гэтай Палітыцы дадзеныя працэдуры разглядаюцца толькі з пункту гледжання працэсу забеспячэння ІБ.

10. Пры прыёме на працу неабходна ўлічваць аспекты ІБ і праводзіць праверкі наймаемых работнікаў, у тым ліку:

10.1. праверку сапраўднасці прадастаўленых дакументаў, заяўляемай кваліфікацыі, дакладнасці і паўнаты біяграфічных фактаў, звестак аб вопыце работы;

10.2. праверку ў частцы прафесійных навыкаў і ацэнку прафесійнай прыгоднасці.

З мэтай дадатковых праверак кандыдатаў на працу ў Бібліятэцы разам з устаноўленымі мерамі прадастаўлення звестак пра кандыдата могуць ажыццяўляцца з улікам усёй паўнаты недатыкальнасці асабістага жыцця дадатковыя праверкі, у тым ліку шляхам тэлефоннага апытання работнікаў кадравых службаў або асоб, якія ведаюць іх па папярэдніх месцах працы.

Пры заключэнні працоўных дагавораў (кантрактаў) рэкамендуецца падпісваць з работнікамі абавязацельствы аб невыдаванні інфармацыі, распаўсюджванне і (або) прадастаўленне якой абмежавана (пагадненне аб канфідэнцыяльнасці), якая можа стаць ім вядомай пры выкананні службовых абавязкаў. Адзначаныя абавязацельствы рэкамендуецца заключаць з работнікамі да таго, як ім будзе прадастаўлены доступ да актываў.

З мэтай рэалізацыі мер ІБ пры звальненні, перамяшчэнні або змене пасады работнікаў неабходна вызначыць і давесці да іх ведама патрабаванні па юрыдычнай адказнасці і ўмовах кантрактаў (дагавораў, пагадненняў), якія застаюцца ў сіле на працягу пэўнага перыяду пасля звальнення, перамяшчэння або пераводу на іншую пасаду.

Адказнасць за інфармаванне работніка, які звальняецца або пераводзіцца, ускладаецца на работнікаў кадравых службаў Бібліятэкі і кіраўніка структурнага падраздзялення, у склад якога ўваходзіць работнік, які звальняецца / пераводзіцца.

Работнікі павінны атрымліваць адпаведныя навыкі для павышэння ўзроўню кваліфікацыі і рэгулярна абнаўляемыя варыянты палітык і працэдур ІБ у адпаведнасці з працай, якую яны выконваюць.

Інфармаванне работнікаў варта пачынаць з афіцыйнага працэсу ўвядзення ў працу, прызначанага для азнаямлення з патрабаваннямі ЛПА Бібліятэкі, у тым ліку дакументаванай інфармацыяй у галіне забеспячэння ІБ КІТС Бібліятэкі, а таксама з адказнасцю за іх парушэнні шляхам азнаямлення з названымі дакументамі ў частцы, якая іх тычыцца, і праходжання адпаведных інструктажоў з боку ўпаўнаважаных службовых асоб, адказных за забеспячэнне ІБ, перад прадастаўленнем доступу да актываў.

Далей работнікі з мэтай павышэння ўзроўню іх кваліфікацыі павінны праходзіць рэгулярнае інфармаванне і навучанне працэсам забеспячэння ІБ, уключаючы інфармаванне пра пагрозы ІБ і навучанне правілам бяспечнай працы з актывамі, з дапамогай розных трэнінгаў, курсаў павышэння кваліфікацыі, інфармавання з боку ўпаўнаважаных службовых асоб, адказных за забеспячэнне ІБ.

У службовых інструкцыях работнікаў павінны быць адлюстраваны ўсе адпаведныя пасады, абавязкі і адказнасць за ІБ: як агульная адказнасць за забеспячэнне ІБ, у тым ліку выкананне і (або) падтрымку ЛПА Бібліятэкі, у тым ліку дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі, так і канкрэтныя абавязкі па абароне пэўных актываў і адказнасць за выкананне пэўных працэдур або дзеянняў па забеспячэнні ІБ.

Работнікі абавязаны выконваць усе ўстаноўленыя меры па забеспячэнні ІБ.

ГЛАВА 5
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК ЗАБЕСПЯЧЭННЯ ІНФАРМАЦЫЙНАЙ БЯСПЕКІ ПРЫ ЗАКЛЮЧЭННІ ДАГАВОРАЎ З ІНШЫМІ АРГАНІЗАЦЫЯМІ

Пры заключэнні дагавораў з іншымі арганізацыямі неабходна ўлічваць аспекты забеспячэння ІБ.

Пры заключэнні дагавораў з іншымі арганізацыямі неабходна падпісваць з іх прадстаўнікамі абавязацельствы аб невыдаванні інфармацыі, распаўсюджванне і (або) прадастаўленне якой абмежавана (пагадненне аб канфідэнцыяльнасці), якая можа стаць ім вядомай пры выкананні дагаворных абавязацельстваў. Адзначаныя пагадненні неабходна заключаць з прадстаўнікамі іншых арганізацый да таго, як ім будзе прадастаўлены доступ да актываў.

З мэтай рэалізацыі мер ІБ пры разрыве дагаворных адносін з прадстаўнікамі іншых арганізацый, якім прадастаўляўся доступ да актываў, неабходна вызначыць і давесці да іх ведама патрабаванні па юрыдычнай адказнасці і ўмовах кантрактаў (дагавораў, пагадненняў), якія застаюцца ў сіле на працягу пэўнага перыяду пасля разрыву дагаворных адносін.

Адказнасць за інфармаванне прадстаўнікоў іншых арганізацый, дагаворныя адносіны з якімі разрываюцца, ускладаецца на кіраўнікоў іншых арганізацый.

Канкрэтныя абавязкі па забеспячэнні ІБ і адказнасць за яе парушэнне ў абавязковым парадку павінны ўключацца ў дагаворныя адносіны з пабочнымі арганізацыямі.

Прадстаўнікі пабочных арганізацый павінны быць азнаёмлены з парадкам забеспячэння ІБ або з дапамогай правядзення вуснага інструктажу ўпаўнаважанымі службовымі асобамі, адказнымі за забеспячэнне ІБ, або з дапамогай азнаямлення з асобнымі вытрымкамі з ЛПА Бібліятэкі, у тым ліку дакументаванай інфармацыяй у галіне забеспячэння ІБ КІТС Бібліятэкі.

Прадстаўнікі іншых арганізацый абавязаны выконваць усе ўстаноўленыя меры па забеспячэнні ІБ.

ГЛАВА 6
АСПЕКТЫ БЯСПЕКІ. ФІЗІЧНАЯ БЯСПЕКА БУДЫНКАЎ, ЗБУДАВАННЯЎ І ПАМЯШКАННЯЎ

У мэтах забеспячэння бяспекі актываў ажыццяўляецца абарона будынкаў, збудаванняў і памяшканняў, у якіх яны размяшчаюцца.

11. Фізічная бяспека тэрыторыі, будынка і памяшканняў Бібліятэкі ажыццяўляецца прадстаўнікамі службы бяспекі і дасягаецца ў тым ліку выкананнем наступных мерапрыемстваў:

11.1. вызначэнне кантралюемых зон (перыметраў фізічнай бяспекі) для абароны актываў;

11.2. абсталяванне памяшканняў, у якіх размешчаны актывы, сродкамі абмежавання доступу ў памяшканні;

11.3. кругласутачная ахова будынка і памяшканняў з размешчанымі ў іх актывамі;

11.4. абмежаванне кола асоб, якія маюць доступ да актываў.

Будынак і памяшканні Бібліятэкі размяшчаюцца ў межах адной кантралюемай зоны. Будынак і памяшканні Бібліятэкі забяспечваюцца сродкамі аховы і сродкамі абароны ад супрацьпраўных дзеянняў: тэрыторыя кантралюемай зоны кантралюецца, уваходы / выхады кантралюемай зоны аснашчаны сістэмай кантролю і кіравання доступам, за кантралюемай зонай ажыццяўляецца відэаназіранне.

Доступ у будынак Бібліятэкі работніку / прадстаўніку іншай арганізацыі / наведвальніку прадастаўляецца толькі пасля прад’яўлення ідэнтыфікатара доступу (пропуску): магнітнага або папяровага.

Пры ўваходзе (выхадзе) работніка / прадстаўніка іншай арганізацыі / наведвальніка ў будынак Бібліятэкі сістэма кантролю і кіравання доступам фіксуе факт уваходу (выхаду) з указаннем часу і даты ўваходу (выхаду) і даных, па якіх можна адназначна ідэнтыфікаваць асобу, якая ўваходзіць / выходзіць.

Чытачы і кліенты Бібліятэкі дапускаюцца ў будынак Бібліятэкі пры прад’яўленні чытацкага білета, зарэгістраванага на іх імя.

Прадстаўнікі пабочных арганізацый, якім неабходна атрымаць доступ да ЛВС Бібліятэкі і іншых крытычных актываў, дапускаюцца ў будынак і памяшканні Бібліятэкі толькі ў суправаджэнні штатных работнікаў, якія маюць допуск.

Прадстаўнікі пабочных арганізацый і наведвальнікі Бібліятэкі перад уваходам у кантралюемую зону павінны быць азнаёмлены з дзеючымі патрабаваннямі бяспекі.

Дэталізацыя працэдур кіравання фізічным доступам прыведзена ў ЛПА Бібліятэкі, у тым ліку ў дакуменце “Інструкцыя аб прапускным і ўнутрыаб’ектавым рэжыме ў будынку”.

Заўвага. Прадстаўнікам пабочных арганізацый павінен быць выдадзены ідэнтыфікатар доступу, які мае абмежаваны тэрмін дзеяння. Прадстаўнікі пабочных арганізацый абавязаны вярнуць ідэнтыфікатар доступу пры выхадзе з кантралюемых зон або па заканчэнні тэрміну яго дзеяння.

12. Размяшчэнне абсталявання на штатных месцах забяспечвае яго бяспечнае абслугоўванне і эксплуатацыю, уключаючы наступнае:

12.1. памяшканні, у якіх размешчаны актывы, абсталяваны надзейнымі фізічнымі бар’ерамі для прадухілення несанкцыянаванага доступу (замкі, сродкі сігналізацыі, ахова, кантрольна-прапускны рэжым і г.д.);

12.2. памяшканні, у якіх размешчаны актывы, абсталяваны сістэмамі ахоўнай і пажарнай сігналізацыі і прыняты меры па забеспячэнні належных умоў асяроддзя функцыянавання (кліматычных і інш.).

Доступ у такія памяшканні дазваляецца работнікам, прадстаўнікам пабочных арганізацый і наведвальнікам толькі для выканання службовых абавязкаў / у рамках дагаворных адносін.

Бяспека памяшканняў Бібліятэкі забяспечваецца ў адпаведнасці з патрабаваннямі заканадаўства Рэспублікі Беларусь.

ГЛАВА 7
АСПЕКТЫ БЯСПЕКІ. ФІЗІЧНАЯ БЯСПЕКА СРОДКАЎ АПРАЦОЎКІ, ЗАХОЎВАННЯ І ПЕРАДАЧЫ ІНФАРМАЦЫІ, АБАРОНА ІНФАРМАЦЫІ, ЯКАЯ АПРАЦОЎВАЕЦЦА ПАДЧАС ПРАЦЫ

13. З мэтай прадухілення несанкцыянаванага доступу да інфармацыі, распаўсюджванне і (або) прадастаўленне якой абмежавана, крадзяжу тэхнічных сродкаў апрацоўкі, захоўвання і перадачы інфармацыі і несанкцыянаванага кіравання імі ў Бібліятэцы:

13.1. прымяняюцца палітыка “чыстага стала” і палітыка “чыстага экрана” з мэтай памяншэння рызык несанкцыянаванага доступу, страты і пашкоджання інфармацыі як падчас працоўнага дня, так і пры пазаўрочнай працы, з улікам наступнага:

13.1.1. усе папяровыя дакументы, здымныя носьбіты інфармацыі павінны знаходзіцца пад наглядам або змяшчацца ў паліцы стала, шафы, сейфы;

13.1.2. інтэрактыўныя сеансы сувязі павінны быць заблакіраваны ў выпадку адсутнасці работніка / прадстаўніка пабочнай арганізацыі за ПЭВМ / віртуальнай машынай / серверам;

13.1.3. папяровыя і электронныя носьбіты інфармацыі, што не выкарыстоўваюцца ў дадзены момант, павінны захоўвацца ў шафах і (або) іншых прадметах мэблі;

13.1.4. пры адсутнасці неабходнасці выкарыстання ў бягучы момант носьбіты інфармацыі, распаўсюджванне і (або) прадастаўленне якой абмежавана, павінны быць змешчаны ў шафу ці іншы прадмет мэблі (напрыклад, незгаральны сейф або шафу);

13.2. абмежаваны спіс асоб, якім дазволена прысутнасць у будынку і памяшканнях Бібліятэкі, а таксама спіс асоб, якім дазволена выкарыстоўваць дакументацыю (сістэмную, рабочую, канструктарскую), што змяшчае інфармацыю, распаўсюджванне і (або) прадастаўленне якой абмежавана, напрыклад, апісанне прыкладных і бізнес-працэсаў, рабочыя працэдуры з улікам наступнага:

13.2.1. у памяшканнях Бібліятэкі падчас апрацоўкі і адлюстравання на ПЭВМ / віртуальнай машыне / серверы інфармацыі, распаўсюджванне і (або) прадастаўленне якой абмежавана, павінны прысутнічаць толькі асобы, дапушчаныя да працы з дадзенай інфармацыяй;

13.2.2. забараняецца прысутнасць пабочных асоб у памяшканнях Бібліятэкі, у тым ліку цэнтра апрацоўкі даных і серверным памяшканні, у якіх размешчаны крытычныя актывы, без суправаджэння ўпаўнаважаных службовых асоб, адказных за забеспячэнне ІБ;

13.2.3. дакументацыя (сістэмная, рабочая, канструктарская), што змяшчае інфармацыю, распаўсюджванне і (або) прадастаўленне якой абмежавана, напрыклад, апісанне прыкладных і бізнес-працэсаў, рабочыя працэдуры нараўне з носьбітамі інфармацыі, распаўсюджванне і (або) прадастаўленне якой абмежавана, павінна захоўвацца ў надзейных шафах або сейфах, якія замыкаюцца, а спіс асоб з правам доступу да гэтай дакументацыі павінен быць максімальна абмежаваны;

13.3. сродкі апрацоўкі інфармацыі размешчаны такім чынам, каб падчас іх выкарыстання памяншалася рызыка прагляду інфармацыі пабочнымі асобамі;

13.4. для звядзення да мінімуму рызыкі патэнцыяльных інцыдэнтаў бяспекі, напрыклад, пажару, выбухаў, задымлення, затаплення (пры аварыі водазабеспячэння), хімічных уздзеянняў прымяняецца пажарная сігналізацыя;

13.5. для звядзення да мінімуму рызыкі несанкцыянаванага доступу да актываў і такіх патэнцыяльных пагроз, як крадзяжы і наўмыснае псаванне / пашкоджанне маёмасці, прымяняецца ахоўная сігналізацыя, а таксама размежаванне доступу і кантроль доступу ў будынак і памяшканні Бібліятэкі;

13.6. праводзіцца маніторынг умоў навакольнага асяроддзя, напрыклад, тэмпературы і вільготнасці, у мэтах выяўлення ўмоў, якія маглі б неспрыяльна паўплываць на працу сродкаў апрацоўкі інфармацыі;

13.7. актыўнае сеткавае і сервернае абсталяванне размяшчаецца ў спецыялізаваных памяшканнях (цэнтры апрацоўкі даных, сервернай), доступ у якія абмяжаваны для пабочных асоб.

З мэтай забеспячэння ўстойлівага функцыянавання бізнес-працэсаў упаўнаважанымі асобамі ажыццяўляецца пастаянны маніторынг працаздольнасці сістэм электразабеспячэння, ацяплення, вентыляцыі і кандыцыяніравання паветра ў будынку і памяшканнях Бібліятэкі, якія ўваходзяць у кантралюемую зону.

Для забеспячэння гарантаванай і ўстойлівай працы ўсіх сістэм жыццезабеспячэння рэгулярна праводзяцца праверкі і пры неабходнасці праводзяцца выпрабаванні для забеспячэння іх належнага функцыянавання і памяншэння рызыкі ў выніку іх няспраўнасці або адмовы.

Комплекс тэхнічных сродкаў Бібліятэкі абаронены ад перабояў у электразабеспячэнні і іншых парушэнняў, выкліканых перабоямі ў працы службаў забеспячэння. Для падтрымкі працэсаў, што маюць вырашальнае значэнне, выкарыстоўваюцца прылады бесперабойнага забеспячэння, якія забяспечваюць магчымасць заканчэння працы ў належным парадку.

ГЛАВА 8
АСПЕКТЫ БЯСПЕКІ. ПРАЦЭДУРЫ КІРАВАННЯ ДОСТУПАМ ДА АКТЫВАЎ

Працэдуры кіравання доступам прыведзены ў ЛПА Бібліятэкі, у тым ліку ў дакументах “Інструкцыя па арганізацыі парольнай абароны”, “Рэгламент працы ў лакальнай камп’ютарнай сетцы Нацыянальнай бібліятэкі Беларусі з выкарыстаннем папкі агульнага доступу”.

Працэдуры кіравання доступам у межах КІТС Бібліятэкі будуць прыведзены ў дакуменце “Комплекс інфармацыйна-тэхналагічных сістэм Нацыянальнай бібліятэкі Беларусі. Інструкцыя па арганізацыі парадку доступу”, які ўваходзіць у склад дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі.

ГЛАВА 9
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК АБАРОНЫ АД ШКОДНАГА ПРАГРАМНАГА ЗАБЕСПЯЧЭННЯ

Абарона ад уздзеяння шкоднага ПЗ на актывы ажыццяўляецца з дапамогай устаноўкі праграмных САА, якія забяспечваюць выяўленне, рэагаванне, абясшкоджванне шкоднага ПЗ, збор падзей ІБ, а таксама з дапамогай устаноўкі абнаўленняў праграмных САА.

Праграмныя САА павінны быць устаноўлены на ўсіх ПЭВМ, віртуальных машынах і серверах Бібліятэкі.

Для зніжэння рызыкі заражэння шкодным ПЗ або рызыкі шкодных уздзеянняў на актывы неабходна праводзіць рэгулярнае абнаўленне праграмных САА.

Адказнасць за ўстаноўку, наладку, кантроль працаздольнасці, а таксама своечасовае абнаўленне праграмных САА ўскладаецца на ўпаўнаважаныя службовыя асобы, адказныя за забеспячэнне ІБ.

Дэталізацыя працэдур абароны ад шкоднага ПЗ у межах КІТС Бібліятэкі будзе прыведзена ў дакуменце “Комплекс інфармацыйна-тэхналагічных сістэм Нацыянальнай бібліятэкі Беларусі. Рэгламент абароны ад шкоднага праграмнага забеспячэння”, які ўваходзіць у склад дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі.

ГЛАВА 10
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК АРГАНІЗАЦЫІ АЎДЫТУ ІНФАРМАЦЫЙНАЙ БЯСПЕКІ

14. Для своечасовага выяўлення падзей і інцыдэнтаў ІБ, а таксама ацэнкі адпаведнасці працэсаў забеспячэння ІБ патрабаванням нарматыўных прававых актаў, тэхнічных нарматыўных прававых актаў у галіне АІ і тэхнічнай дакументацыі неабходна праводзіць:

14.1. рэгулярны аператыўны аўдыт бяспекі (прагляд і аналіз падзей ІБ);

14.2. унутраны аўдыт бяспекі (не радзей за адзін раз у год).

Унутраны аўдыт бяспекі праводзіцца ў адпаведнасці з зацверджанай праграмай аўдыту бяспекі аўдытарскай групай, якая назначаецца кіраўніком, што курыруе ІТ і пытанні ІБ.

Унутраны аўдыт бяспекі праводзіцца ў адпаведнасці з зацверджанай праграмай аўдыту бяспекі аўдытарскай групай, якая назначаецца кіраўніком, што курыруе ІТ і пытанні ІБ.

15. Аператыўны аўдыт бяспекі выконваюць упаўнаважаныя службовыя асобы, адказныя за забеспячэнне ІБ, з наступнай вызначанай перыядычнасцю:

15.1. для інфармацыйных сістэм, аднесеных да класа 5-дзярж тыпавых інфармацыйных сістэм, – не радзей за адзін раз на тыдзень;

15.2. для інфармацыйных сістэм, аднесеных да класа 3-фа тыпавых інфармацыйных сістэм, – штодзённа.

Для ўліку аб’ектаў аператыўнага аўдыту ўпаўнаважаным службовым асобам, адказным за забеспячэнне ІБ, неабходна весці пералік аб’ектаў аўдыту, які павінен быць зададзены ў настройках сродкаў збору падзей ІБ. Вызначэнне пераліку падзей ІБ, якія падлягаюць рэгістрацыі, выконваецца ўпаўнаважанымі службовымі асобамі, адказнымі за забеспячэнне ІБ. Для збору і захоўвання інфармацыі пра падзеі ІБ могуць быць выкарыстаны журналы аўдыту.

Перагляд пераліку аб’ектаў аўдыту павінен ажыццяўляцца ўпаўнаважанымі службовымі асобамі, адказнымі за забеспячэнне ІБ, не менш чым адзін раз у год, а таксама па выніках кантролю (маніторынгу) за забеспячэннем узроўню ІБ (унутранага аўдыту бяспекі).

16. У ходзе правядзення аператыўнага аўдыту бяспекі ўпаўнаважаным службовым асобам, адказным за забеспячэнне ІБ, неабходна:

16.1. выконваць маніторынг (прагляд, аналіз) падзей бяспекі з дапамогай сродкаў збору і аўдыту падзей (напрыклад, журналаў аўдыту);

16.2. у выпадку выяўлення падзей ІБ, якія патрабуюць выканання карэкціравання:

16.2.1. вызначыць магчымыя прычыны падзей ІБ;

16.2.2. вызначыць узаемазвязаныя падзеі ІБ;

16.2.3. вызначыць магчымыя непажаданыя наступствы;

16.2.4. прыняць меры па недапушчэнні непажаданых наступстваў;

16.2.5. прыняць меры па ліквідацыі прычын узнікнення разглядаемых падзей ІБ.

16.3. задакументаваць вынікі ў выглядзе справаздач, якія змяшчаюць наступныя запісы:

16.3.1. запісы, якія адносяцца да аператыўнага аўдыту бяспекі, напрыклад:

справаздачы па аўдытах;

справаздачы аб неадпаведнасці;

справаздачы аб дзеяннях па карэкціраванні і прадухіленні;

16.3.2. запісы, якія адносяцца да ўдзельнікаў у аператыўным аўдыце бяспекі і якія закранаюць наступныя тэмы:

ацэнка кампетэнтнасці і дзейнасці ўпаўнаважаных службовых асоб, адказных за забеспячэнне ІБ;

падтрыманне і павышэнне кампетэнтнасці ўпаўнаважаных службовых асоб, адказных за забеспячэнне ІБ.

Справаздачы могуць быць выкарыстаны для ўдасканалення мер па ІБ.

У справаздачы па аператыўным аўдыце бяспекі неабходна прадастаўляць поўныя, дакладныя, выразныя і дастатковыя запісы па назіранні падзей бяспекі.

17. У справаздачу варта ўключаць спасылкі на наступнае:

17.1. аб’ём аператыўнага аўдыту бяспекі, у прыватнасці, ідэнтыфікацыю аб’ектаў аўдыту бяспекі і працэсаў кіравання ІБ, а таксама ахоплены перыяд часу;

17.2. дата і месца правядзення аператыўнага аўдыту бяспекі;

17.3. крытэрыі аператыўнага аўдыту бяспекі;

17.4. назіранні аператыўнага аўдыту бяспекі;

17.5. заключэнні па выніках аператыўнага аўдыту бяспекі.

У заключэнні па выніках аператыўнага аўдыту бяспекі можа быць адзначана неабходнасць дзеянняў па карэкціраванні і прадухіленні або дзеянняў па паляпшэнні ІБ. Кіраўніку, які курыруе АТ і пытанні ІБ, неабходна кантраляваць выкананне і выніковасць дзеянняў па карэкціраванні.

Дэталізацыя працэдур аўдыту ІБ у межах КІТС Бібліятэкі прыведзена ў дакуменце “Комплекс інфармацыйна-тэхналагічных сістэм Нацыянальнай бібліятэкі Беларусі. Рэгламент арганізацыі аўдыту інфармацыйнай бяспекі”, які ўваходзіць у склад дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі.

ГЛАВА 11
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК РЭАГАВАННЯ НА ІНЦЫДЭНТЫ ІНФАРМАЦЫЙНАЙ БЯСПЕКІ

Упаўнаважаныя службовыя асобы, адказныя за забеспячэнне ІБ, ажыццяўляюць кіраванне інцыдэнтамі ІБ.

18. На ўпаўнаважаных службовых асоб, адказных за забеспячэнне ІБ, ускладаюцца ў тым ліку наступныя функцыі:

18.1. вызначэнне рэгламентаў рэагавання на інцыдэнты ІБ, якія забяспечваюць рэагаванне ў тэрміны, вызначаныя эксплуатацыйнай дакументацыяй і іншымі ЛПА Бібліятэкі, у тым ліку гэтай Палітыкай і ЛПА, якія ўваходзяць у склад дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі, у мэтах выключэння (зніжэння да прымальнага ўзроўню) магчымай шкоды;

18.2. вызначэнне перыядычнасці правядзення мерапрыемстваў па апавяшчэнні і адпрацоўцы дзеянняў работнікаў у выпадку рэалізацыі пагроз ІБ;

18.3. навучанне і адпрацоўка дзеянняў работнікаў пры ўзнікненні інцыдэнтаў ІБ;

18.4. выяўленне і рэагаванне на інцыдэнты ІБ;

18.5. рэгістрацыя інцыдэнтаў ІБ у журнале інцыдэнтаў бяспекі;

18.6. абагульнены аналіз вынікаў рэагавання на інцыдэнты ІБ;

18.7. выпрацоўка прапаноў па прыняцці арганізацыйных рашэнняў па выніках рэагавання на інцыдэнты ІБ;

18.8. выпрацоўка прапаноў і ініцыіраванне паляпшэнняў у працэсе забеспячэння ІБ;

18.9. выпрацоўка прапаноў па ўдасканаленні працэсаў кіравання інцыдэнтамі ІБ.

19. Крыніцамі інфармацыі аб мяркуемых інцыдэнтах і ўразлівасцях у галіне ІБ могуць з’яўляцца:

19.1. работнік;

19.2. прадстаўнікі іншых арганізацый;

19.3. чытачы і кліенты Бібліятэкі;

19.4. вынікі ўнутранага аўдыту бяспекі, розных праверак і сканаванняў;

19.5. журналы аўдыту;

19.6. давераныя бакі (наладчыкі і вытворцы прыкладнога ПЗ, якое функцыянуе ў Бібліятэцы, у тым ліку прыкладнога ПЗ КІТС Бібліятэкі, пастаўшчыкі тэлекамунікацыйных паслуг, інтэрнэт-правайдары, хостынг-правайдары і інш.);

19.7. сродкі масавай інфармацыі і афіцыйныя вэб-сайты.

20. У працэсе аналізу мноства сабраных падзей ІБ выяўляецца мноства параметраў, якія характарызуюць дзеянні / паводзіны / стан аб’ектаў маніторынгу. Аналіз выяўленых параметраў выконваецца па правілах (крытэрыях маніторынгу ІБ), прымяненне якіх забяспечвае рашэнне наступных задач маніторынгу:

20.1. аператыўнае выяўленне падзей ІБ, якія сведчаць аб інцыдэнтах ІБ, у мэтах іх наступнага выкарыстання ў рамках кіравання інцыдэнтамі ІБ;

20.2. аператыўнае выяўленне фактаў парушэння функцыянавання і (або) няштатнага функцыянавання ахоўных мер, у тым ліку сродкаў АІ САІ КІТС Бібліятэкі;

20.3. назіранне за работнікамі, прадстаўнікамі пабочных арганізацый і наведвальнікамі Бібліятэкі з мэтай кантролю выканання імі ўстаноўленых норм і патрабаванняў забеспячэння ІБ;

20.4. назіранне за станам актываў і паводзінамі работнікаў / прадстаўнікоў пабочных арганізацый / чытачоў і кліентаў Бібліятэкі з мэтай выяўлення іх нетыповага стану / паводзін, якія прадстаўляюць пагрозу для актываў.

Асоба, якая непасрэдна атрымала паведамленне пра падзею, што з’яўляецца магчымым інцыдэнтам ІБ, або выявіла ўразлівасць, абавязана праінфармаваць упаўнаважаных службовых асоб, адказных за забеспячэнне ІБ, у вызначанай форме.

Упаўнаважаныя службовыя асобы, адказныя за забеспячэнне ІБ, аператыўна праводзяць ацэнку атрыманай ад заяўніка інфармацыі, у тым ліку перакрыжаваную з данымі іншых крыніц, на прадмет ідэнтыфікацыі памылковых паведамленняў, прымае рашэнне аб узнікненні / неўзнікненні інцыдэнту ІБ і робяць далейшыя дзеянні па кіраванні ім (у выпадку яго ўзнікнення).

Дэталізацыя працэдур кіравання інцыдэнтамі ІБ у межах КІТС Бібліятэкі прыведзена ў дакуменце “Комплекс інфармацыйна-тэхналагічных сістэм Нацыянальнай бібліятэкі Беларусі. Інструкцыя па забеспячэнні абароны інфармацыі”, які ўваходзіць у склад дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі.

ГЛАВА 12
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК ПРАВЯДЗЕННЯ ПРАЦЭДУР РЭЗЕРВОВАГА КАПІРАВАННЯ ІНФАРМАЦЫІ

З мэтай забеспячэння захаванасці актываў і бесперабойнай работы структурных падраздзяленняў Бібліятэкі, упаўнаважанымі службовымі асобамі, адказнымі за забеспячэнне ІБ, праводзяцца працэдуры рэзервовага капіравання, аднаўлення і стварэння копій доўгачасовага захоўвання інфармацыі.

21. Арганізацыя рэзервовага капіравання і аднаўлення інфармацыі будуецца на наступных асноўных прынцыпах:

21.1. прастата працэдур рэзервовага капіравання і аднаўлення даных;

21.2. рэгулярнасць правядзення рэзервовага капіравання ў адпаведнасці з устаноўленым раскладам рэзервовага капіравання;

21.3. надзейнае і поўнае аднаўленне даных;

21.4. мінімізацыя часу аднаўлення даных.

Рэзервоваму капіраванню, доўгачасоваму захоўванню і знішчэнню падлягаюць усе аб’екты, якія аказваюць непасрэдны ўплыў на карэктнае і бяспечнае функцыянаванне, а таксама на забеспячэнне бесперапыннасці іх працаздольнасці з мэтай магчымасці аператыўнага аднаўлення дадзенай інфармацыі за прымальны час пры ліквідацыі інцыдэнтаў ІБ.

Пералік аб’ектаў, якія падлягаюць рэзервоваму капіраванню, павінен быць дакументальна зафіксаваны.

Рэкамендуецца ажыццяўляць трохузроўневае рэзервовае капіраванне (поўнае, дыферэнцыяльнае і частковае). Мэтазгодна ствараць рэзервовыя копіі на здымных носьбітах розных тыпаў: дыскавы масіў, стужачная бібліятэка, бібліятэка перазапісваемых або з аднаразовым запісам CD- і DVD-дыскаў і г. д. Для гэтага павінна быць забяспечана дастатковасць здымных носьбітаў інфармацыі для выканання працэдур рэзервовага капіравання. У мэтах забеспячэння надзейнай захаванасці носьбіты рэзервовых копій павінны захоўвацца ў памяшканнях, што замыкаюцца, незгаральных шафах, на дастатковым узвышэнні ад падлогі і аддаленні ад крыніц электрамагнітных выпраменьванняў. Розныя асобнікі рэзервовых копій павінны захоўвацца ў розных памяшканнях.

Дапускаецца выкарыстоўваць рэсурсы і сродкі аператара воблачных тэхналогій для забеспячэння працэдур рэзервовага капіравання для рэсурсаў інфармацыйных сістэм, размешчаных як на плошчах Бібліятэкі, так і на плошчах аператара.

Упаўнаважаным службовым асобам, адказным за забеспячэнне ІБ, неабходна праводзіць рэгулярныя праверкі прыгоднасці рэзервовых копій, уключаючы аналіз цэласнасці знешняй і ўнутранай структур носьбіта.

Аднаўленне аб’ектаў з рэзервовых копій праводзіцца ў выпадку тэхнічнага збою, адмовы тэхнічных сродкаў або ўзнікнення інцыдэнту ІБ, для ліквідацыі наступстваў якога неабходна пераўсталяваць аб’екты або перанесці іх на іншае апаратнае забеспячэнне.

Павінна перыядычна праводзіцца праверка працэдур рэзервовага капіравання тэставым аднаўленнем (не радзей за адзін раз у паўгоддзе).

Стварэнне копій доўгачасовага захоўвання выконваецца ў мэтах скарачэння акна рэзервовага капіравання і памяншэння нагрузкі на ЛВС, інфармацыйныя сістэмы і (або) сеткі Бібліятэкі, а таксама перад планавай ратацыяй і выдаленнем журналаў з цвёрдых дыскаў сервераў і сістэмы захоўвання даных.

Доўгачасоваму захоўванню ў абавязковым парадку падлягаюць лакальныя копіі журналаў аўдыту, журналаў аналізу падзей ІБ (пры іх наяўнасці).

Пералік аб’ектаў, якія падлягаюць доўгачасоваму захоўванню, павінен быць дакументальна зафіксаваны.

Абсталяванне, на якім апрацоўваецца інфармацыя (актыўнае сеткавае і сервернае абсталяванне і г.д.), выкарыстоўваецца з неабходнай ступенню лішку.

Дэталізацыя працэдур рэзервовага капіравання, аднаўлення і доўгачасовага захоўвання інфармацыі ў КІТС Бібліятэкі прыведзена ў дакуменце “Комплекс інфармацыйна-тэхналагічных сістэм Нацыянальнай бібліятэкі Беларусі. Рэгламент рэзервавання і знішчэння інфармацыі”, які ўваходзіць у склад дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі.

ГЛАВА 13
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК АБЫХОДЖАННЯ З НОСЬБІТАМІ ІНФАРМАЦЫІ

Для прадухілення несанкцыянаванага раскрыцця, мадыфікацыі, выдалення або знішчэння інфармацыі, якая захоўваецца на носьбітах інфармацыі, у тым ліку здымных носьбітах інфармацыі, і ўзнікнення інцыдэнтаў ІБ вызначаны парадак іх належнага выкарыстання і знішчэння.

Работнікам і прадстаўнікам пабочных арганізацый забараняецца падключаць асабістыя носьбіты інфармацыі, у тым ліку здымныя, як для выканання службовых абавязкаў, так і для асабістага выкарыстання ў межах Бібліятэкі.

Пры працы з інфармацыяй, распаўсюджванне і (або) прадастаўленне якой абмежавана, работнікі і прадстаўнікі пабочных арганізацый павінны выкарыстоўваць для гэтага толькі спецыяльна прызначаныя маркіраваныя службовыя носьбіты інфармацыі, у тым ліку здымныя.

Работнікам і прадстаўнікам пабочных арганізацый забараняецца выкарыстоўваць службовыя носьбіты інфармацыі, у тым ліку здымныя, у асабістых мэтах.

Капіраванне любой інфармацыі, якая пераносіцца з дапамогай службовых носьбітаў інфармацыі, у тым ліку здымных, павінна рабіцца толькі пасля правядзення працэдуры поўнага антывіруснага кантролю носьбіта інфармацыі.

Не радзей за адзін раз на год у межах унутранага аўдыту бяспекі праводзіцца поўная інвентарызацыя службовых носьбітаў інфармацыі, у тым ліку здымных, мэтай якой з’яўляецца праверка іх наяўнасці і працаздольнасці.

22. Знішчэнне носьбітаў інфармацыі, у тым ліку здымных, якія выкарыстоўваюцца пры эксплуатацыі і захоўванні, ажыццяўляецца ў тым ліку ў наступных выпадках:

22.1. носьбіт інфармацыі быў сапсаваны або выведзены са строю;

22.2. пры заканчэнні тэрміну захоўвання копіі, якая змяшчаецца на аднаразовым носьбіце інфармацыі;

22.3. пры заканчэнні тэрміну эксплуатацыі носьбіта інфармацыі, вызначанага вытворцам.

Адказнасць за захаванасць службовых носьбітаў інфармацыі, а таксама за ўцечку інфармацыі, распаўсюджванне і (або) прадастаўленне якой абмежавана, запісанай на дадзены носьбіт, нясе работнік / прадстаўнік пабочнай арганізацыі, за якім замацаваны дадзены носьбіт.

Кантроль за выкарыстаннем носьбітаў інфармацыі, у тым ліку здымных, і арганізацыя работ па іх знішчэнні (пры неабходнасці) ускладаецца на ўпаўнаважаную службовую асобу, адказную за забеспячэнне ІБ.

Пры неабходнасці па ініцыятыве Кіраўніка, які курыруе АТ і пытанні ІБ, могуць ажыццяўляцца пазапланавыя праверкі выканання патрабаванняў па выкарыстанні і знішчэнні носьбітаў інфармацыі.

Наведвальнікі Бібліятэкі маюць права выкарыстоўваць асабістыя носьбіты інфармацыі ў межах Бібліятэкі. Выкарыстанне носьбіта інфармацыі ў такім выпадку павінна ажыццяўляцца толькі пасля правядзення працэдуры яго поўнага антывіруснага кантролю, якая выконваецца як самім наведвальнікам Бібліятэкі (у выпадках самастойнага капіравання інфармацыі на носьбіт інфармацыі), так і работнікам (у выпадках, калі капіраванне інфармацыі на носьбіт інфармацыі наведвальніка Бібліятэкі выконвае работнік).

Дэталізацыя працэдур абыходжання з носьбітамі інфармацыі прыведзена ў ЛПА Бібліятэкі.

ГЛАВА 14
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК АДДАЛЕНАЙ ПРАЦЫ І ВЫКАРЫСТАННЯ МАБІЛЬНЫХ ПРЫЛАД

Работнікам і прадстаўнікам іншых арганізацый неабходна выконваць асаблівыя меры засцярогі, каб не дапусціць кампраметацыю інфармацыі або ўзнікненне інцыдэнтаў ІБ пры выкарыстанні мабільных прылад (ноўтбукаў, планшэтаў і мабільных тэлефонаў).

Забаронена падключэнне мабільных прылад (ноўтбукаў, за выключэннем службовых, мабільных тэлефонаў, кішэнных персанальных камп’ютараў і да т.п.) работнікамі і прадстаўнікамі пабочных арганізацый да актываў.

Усе службовыя ноўтбукі, прызначаныя для доступу да актываў, павінны быць улічаны ў адпаведнасці з прынятай у Бібліятэцы схемай уліку таварна-матэрыяльных каштоўнасцей.

23. Пры выкарыстанні службовага ноўтбука неабходна пераканацца ў тым, што на ім рэалізаваны ўсе неабходныя меры па забеспячэнні ІБ:

23.1. устаноўлены і настроены сродкі абароны ад шкоднага ПЗ (антывіруснае ПЗ актывавана, базы прымет выяўлення шкоднага ПЗ абноўлены);

23.2. устаноўлены і настроены сродкі крыптаграфічнай АІ (пры неабходнасці арганізацыі абароненага канала перадачы даных);

23.3. настроены ўбудаваныя сродкі для арганізацыі размежавання доступу (пароль на ўваход і да т.п.).

24. Пры выкарыстанні службовага ноўтбука неабходна пераканацца ў тым, што на ім адсутнічаюць:

24.1. сродкі для арганізацыі аддаленага доступу (калі гэта не прадугледжана характарам мяркуемага выкарыстання службовага ноўтбука);

24.2. сродкі, пры дапамозе якіх магчыма рэалізацыя дзеянняў па пераадоленні сродкаў АІ;

24.3. сродкі, пры дапамозе якіх магчымы збор звестак аб наяўнай інфармацыйнай інфраструктуры (калі гэта не прадугледжана характарам мяркуемага выкарыстання службовага ноўтбука);

24.4. іншыя сродкі, здольныя аказаць негатыўнае ўздзеянне на інфармацыйную інфраструктуру;

24.5. інфармацыя, якая з’яўляецца крытычнай і да якой асоба, што атрымлівае прыладу, не мае правоў доступу адпаведна сваім службовым абавязкам.

Чытачы Бібліятэкі могуць праносіць і выкарыстоўваць ноўтбукі ў межах дазволеных пляцовак, залаў і памяшканняў Бібліятэкі з доступам да сеткі інтэрнэту, у тым ліку вэб-партала і асабістага кабінета: падключэнне ноўтбукаў ажыццяўляецца да фізічна ізаляванага ад іншых ЛВС Бібліятэкі сегменту з доступам да сеткі інтэрнэту.

Упаўнаважаным асобам неабходна паведаміць наведвальнікам Бібліятэкі ў межах інструктажу па пытаннях забеспячэння ІБ і правіл знаходжання на тэрыторыі Бібліятэкі аб базавых правілах бяспекі выкарыстання мабільных прылад.

Аддаленая праца з актывамі магчыма толькі пасля рэалізацыі мер па тэхнічнай і крыптаграфічнай АІ.

ГЛАВА 15
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК ЗАБЕСПЯЧЭННЯ СЕТКАВАЙ БЯСПЕКІ

Для забеспячэння сеткавай бяспекі ЛВС, інфармацыйных сістэм і (або) сетак Бібліятэкі пры ўзаемадзеянні са знешнімі інфармацыйнымі сістэмамі і карыстальнікамі выкарыстоўваюцца сродкі міжсеткавага экранавання. Дадзеныя сродкі павінны быць размешчаны на межах ЛВС, інфармацыйных сістэм і (або) сетак Бібліятэкі і настроены ўпаўнаважанымі асобамі ў прысутнасці службовых асоб, адказных за забеспячэнне ІБ.

На серверах, віртуальных машынах і ПЭВМ забараняецца выкарыстанне тэхналогіі бесправаднога доступу, а таксама неабароненае ўзаемадзеянне са знешнімі інфармацыйнымі сістэмамі, арганізацыямі і карыстальнікамі.

Да сродкаў міжсеткавага экранавання павінны быць падключаны крыніцы бесперабойнага забеспячэння.

ГЛАВА 16
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК КРЫПТАГРАФІЧНАЙ АБАРОНЫ ІНФАРМАЦЫІ

Крыптаграфічная АІ прымяняецца з мэтай забеспячэння прыватнасці і кантролю цэласнасці інфармацыі пры яе перадачы з дапамогай сетак электрасувязі агульнага карыстання.

Дэталізацыя працэдур выкарыстання сродкаў крыптаграфічнай АІ ў межах КІТС Бібліятэкі прыведзена ў дакуменце “Комплекс інфармацыйна-тэхналагічных сістэм Нацыянальнай бібліятэкі Беларусі. Рэгламент крыптаграфічнай абароны інфармацыі”, які ўваходзіць у склад дакументаванай інфармацыі ў галіне забеспячэння ІБ КІТС Бібліятэкі.

ГЛАВА 17
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК ТЭХНІЧНАГА АБСЛУГОЎВАННЯ

Працэдуры тэхнічнага абслугоўвання ажыццяўляюцца ў адпаведнасці з ЛПА Бібліятэкі, у тым ліку з дакументам “Інструкцыя па ўстаноўцы, мадыфікацыі і тэхнічным абслугоўванні праграмнага забеспячэння і апаратных сродкаў комплексу інфармацыйна-тэхналагічных сістэм”.

Аб’ём, віды і тэхналогія выканання аперацый планавага перыядычнага тэхнічнага абслугоўвання канкрэтнага комплексу тэхнічных сродкаў Бібліятэкі вызначаюцца эксплуатацыйнай дакументацыяй.

25. Пры правядзенні тэхнічнага абслугоўвання забараняецца:

25.1. павялічваць час паміж чарговымі відамі тэхнічнага абслугоўвання;

25.2. перадаручаць выкананне няскончаных работ;

25.3. праводзіць тэхнічнае абслугоўванне, не маючы адпаведнай эксплуатацыйнай дакументацыі і кваліфікацыі;

25.4. скарачаць аб’ём, змяняць парадак і паслядоўнасць правядзення аперацый тэхнічнага абслугоўвання, устаноўленыя эксплуатацыйнай дакументацыяй;

25.5. пачынаць выкананне наступнай аперацыі, не праверыўшы фактычнага выканання папярэдняй, а таксама да ліквідацыі выяўленай няспраўнасці;

25.6. пакідаць комплекс тэхнічных сродкаў Бібліятэкі пасля тэхнічнага абслугоўвання не прыведзенымі ў зыходнае становішча;

25.7. прыцягваць да работ і мерапрыемстваў прадстаўнікоў пабочных арганізацый, не звязаных з правядзеннем тэхнічнага абслугоўвання або рамонту.

ГЛАВА 18
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК ВЫКАРЫСТАННЯ ПРАГРАМНАГА ЗАБЕСПЯЧЭННЯ

У мэтах аўтаматызацыі вытворчай, кіраўніцкай, дапаможнай дзейнасці дазволена прымяненне абмежаванага пераліку ПЗ, неабходнага для выканання вытворчых задач. Дазволенае да выкарыстання ПЗ вызначана ў Пераліку ПЗ, дазволенага да выкарыстання ў Бібліятэцы, адказнасць за вядзенне якога ўскладаецца на ўпаўнаважаных службовых асоб, адказных за забеспячэнне ІБ. Першапачатковае фарміраванне пераліку ПЗ, дазволенага да выкарыстання ў Бібліятэцы, выконваюць упаўнаважаныя службовыя асобы, адказныя за забеспячэнне ІБ, сумесна з работнікамі аддзела бібліятэчна-інфармацыйных тэхналогій Бібліятэкі.

Выкарыстоўваць наяўнае ПЗ неабходна выключна для выканання сваіх службовых абавязкаў.

У склад кожнага рабочага месца ўваходзіць набор ПЗ для выканання пэўнага віду дзейнасці. Першапачатковая камплектацыя рабочага месца вызначаецца работнікамі аддзела бібліятэчна-інфармацыйных тэхналогій Бібліятэкі. ПЗ, якое не ўваходзіць у склад рабочага месца, не можа быць ўстаноўлена і выкарыстана без працэдуры ўзгаднення.

Усе аперацыі па ўстаноўцы, суправаджэнні, падтрымцы і выдаленні ПЗ на рабочым месцы выконваюцца ўпаўнаважанымі службовымі асобамі, адказнымі за забеспячэнне ІБ / упаўнаважанымі асобамі (пры наяўнасці адпаведных правоў).

У выпадку неабходнасці ўстаноўкі ПЗ кіраўнік структурнага падраздзялення рыхтуе запыт на ўстаноўку ПЗ. 

Пры адсутнасці неабходнага ПЗ у рэсурсах Бібліятэкі кіраўнік структурнага падраздзялення рыхтуе дакладную запіску на набыццё ПЗ ва ўстаноўленым парадку.

Набыццё ПЗ ажыццяўляецца згодна з дзеючымі правіламі закупак.

Падтрымка і суправаджэнне ПЗ выконваецца работнікамі аддзелаў, адказных за эксплуатацыю ПЗ на падставе дагавораў на суправаджэнне з пабочнымі арганізацыямі.

У выпадку заканчэння ліцэнзійнага тэрміну выкарыстання ПЗ, выдалення (вываду з эксплуатацыі) ПЗ, замены выкарыстоўваемага ПЗ на альтэрнатыўнае, спынення выкарыстання ПЗ з прычыны адсутнасці патрэбы ўпаўнаважанымі службовымі асобамі, адказнымі за забеспячэнне ІБ, ажыццяўляецца вывад яго з эксплуатацыі.

Дэталізацыя працэдур выкарыстання ПЗ прыведзена ў ЛПА Бібліятэкі.

ГЛАВА 19
АСПЕКТЫ БЯСПЕКІ. ПАРАДАК УЗАЕМАДЗЕЯННЯ СА ЗНЕШНІМІ ІНФАРМАЦЫЙНЫМІ СІСТЭМАМІ

Інфармацыйныя сістэмы Бібліятэкі ў працэсе свайго функцыянавання ўзаемадзейнічаюць са знешнімі інфармацыйнымі сістэмамі, арганізацыямі і карыстальнікамі.

У адпаведнасці з патрабаваннямі [2, дадатак 4], зацверджанымі [1]:

інфармацыйным сістэмам класа 3-фа, 3-юа, 3-дсп дазваляецца арганізацыя ўзаемадзеяння са знешнімі інфармацыйнымі сістэмамі класа 5-прыватн/5-дзярж/3-фа/3-юа / 3-дсп па фізічна выдзеленых каналах перадачы даных або па адкрытых каналах перадачы даных (у тым ліку глабальнай камп’ютарнай сеткі інтэрнэт);

інфармацыйным сістэмам класа 4-фл, 4-юл, 4-дск дазваляецца арганізацыя ўзаемадзеяння са знешнімі інфармацыйнымі сістэмамі класа 6-прыватна/6-дзярж/4-фа/4-юа/4-дсп па фізічна выдзеленых каналах перадачы даных.

У адпаведнасці з патрабаваннямі [2, дадатак 3], зацверджанымі [1], узаемадзеянне па сетках электрасувязі агульнага карыстання павінна быць абаронена сродкамі крыптаграфічнай АІ, якія забяспечваюць лінейнае і (або) папярэдняе шыфраванне перадаваемай інфармацыі.

ГЛАВА 20
АСПЕКТЫ БЯСПЕКІ. ЗАБЕСПЯЧЭННЕ ФУНКЦЫЯНАВАННЯ АБСТАЛЯВАННЯ, РАЗМЕШЧАНАГА НА РЭСУРСАХ ВОНКАВАГА АПЕРАТАРА

Забеспячэнне бесперабойнага функцыянавання, фізічнай бяспекі, пастаяннага электрасілкавання, тэхнічнага абслугоўвання абсталявання Бібліятэкі, размешчанага на платформе сумеснага таварыства з абмежаванай адказнасцю “Беларускія воблачныя тэхналогіі” ў межах паслугі “віртуальны сервер”, ажыццяўляецца ў межах дагаворных адносін паміж Бібліятэкай і сумесным таварыствам з абмежаванай адказнасцю “Беларускія воблачныя тэхналогіі”.

ГЛАВА 21
АСПЕКТЫ БЯСПЕКІ. ПЕРАЛІК ІНФАРМАЦЫЙНЫХ СІСТЭМ, АДНЕСЕНЫХ ДА АДПАВЕДНЫХ КЛАСАЎ ТЫПАВЫХ ІНФАРМАЦЫЙНЫХ СІСТЭМ, ЯКІЯ ВЫКАРЫСТОЎВАЮЦЦА Ў АРГАНІЗАЦЫІ І НАЛЕЖАЦЬ ЁЙ НА ПРАВЕ ЎЛАСНАСЦІ

У Бібліятэцы вядзецца пералік інфармацыйных сістэм, аднесеных да адпаведных класаў тыпавых інфармацыйных сістэм, а таксама асобных электронных вылічальных машын, якія выкарыстоўваюцца ў Бібліятэцы і належаць ёй на праве ўласнасці або іншай законнай падставе, з указаннем падраздзялення, адказнага за забеспячэнне ІБ. Форма пераліку прыведзена ў дадатку А.

ГЛАВА 22
АСПЕКТЫ БЯСПЕКІ. НАСТУПСТВЫ ПАРУШЭННЯ ІНФАРМАЦЫЙНАЙ БЯСПЕКІ

У выпадку пацвярджэння фактаў парушэнняў работнікамі / прадстаўнікамі іншых арганізацый патрабаванняў па забеспячэнні ІБ, упаўнаважанымі службовымі асобамі, адказнымі за забеспячэнне ІБ, па ўзгадненні з кіраўніком, які курыруе ІТ і пытанні ІБ, павінен быць пачаты дысцыплінарны працэс.

26. Дысцыплінарны працэс павінен забяспечыць дыферэнцыраваныя меры ў адказ, якія ўлічваюць:

26.1. характар і ступень цяжару парушэнняў ІБ;

26.2. уплыў парушэнняў ІБ на бізнес-працэсы;

26.3. рэцыдыўнасць парушэнняў ІБ (першаснае або паўторнае);

26.4. інфармаванасць работніка / прадстаўніка пабочнай арганізацыі аб неабходнасці выканання мер ІБ.

Вынікі дысцыплінарнага працэсу неабходна прадстаўляць Кіраўніку, які курыруе АТ і пытанні ІБ, для вызначэння выніковага рашэння.

На перыяд правядзення праверак фактаў парушэнняў ІБ і правядзення дысцыплінарнага працэсу ўпаўнаважанай службовай асобе, адказнай за забеспячэнне ІБ, патрэбна ацаніць неабходнасць увядзення абмежаванняў (спынення) доступу работніку / прадстаўніку пабочнай арганізацыі, які здзейсніў парушэнне ІБ, да актываў.

Рашэнне аб увядзенні абмежаванняў (спыненне) доступу неабходна ўзгадняць з Кіраўніком, які курыруе АТ і пытанні ІБ.

---

[1] Указ Прэзідэнта Рэспублікі Беларусь ад 9 снежня 2019 г. № 449 “Аб удасканаленні дзяржаўнага рэгулявання ў галіне абароны інфармацыі”

[2] Указ Прэзідэнта Рэспублікі Беларусь ад 16.04.2013 № 196 “Аб некаторых мерах па ўдасканаленні абароны інфармацыі” (разам з “Палажэннем аб тэхнічнай і крыптаграфічнай абароне інфармацыі”, “Палажэннем аб парадку аднясення аб’ектаў інфарматызацыі да крытычна важных аб’ектаў інфарматызацыі”)

[3] Загад Аператыўна-аналітычнага цэнтра пры Прэзідэнце Рэспублікі Беларусь ад 20 лютага 2020 г. № 66 “Аб мерах па рэалізацыі Указа Прэзідэнта Рэспублікі Беларусь ад 9 снежня 2019 г. № 449”