Антиспам политика

Главная / Антиспам политика

Положение о порядке организации и проведения работ по защите информации сайта

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение определяет порядок организации и проведения работ по защите конфиденциальной информации в Startcom Innovation Corp Company (далее – Компания).
1.2. Мероприятия по защите конфиденциальной информации, проводимые в Компании, являются составной частью управленческой и иной служебной деятельности и осуществляются во взаимосвязи с мерами по обеспечению установленной конфиденциальности проводимых работ.
1.3. Информационные системы и ресурсы, являющиеся собственностью Компании.
1.4. Режим защиты конфиденциальной информации устанавливается собственником информационных ресурсов или уполномоченным лицом в соответствии с законодательством.
1.5. Конфиденциальная информация должна обрабатываться (передаваться) с использованием защищенных систем и средств информатизации и связи или с использованием технических и программных средств технической защиты конфиденциальной информации, сертифицируемых в установленном порядке. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для технической защиты конфиденциальной информации.
1.5.1. Уровень технической защиты конфиденциальной информации, а также перечень необходимых мер защиты определяется дифференцировано по результатам обследования объекта информатизации, с учетом соотношения затрат на организацию технической защиты конфиденциальной информации и величины ущерба, который может быть нанесен собственнику конфиденциальной информации при ее разглашении, утрате, уничтожении и искажении.
1.6. Системы и средства информатизации и связи, предназначенные для обработки (передачи) конфиденциальной информации должны быть аттестованы в реальных условиях эксплуатации на предмет соответствия принимаемых мер и средств защиты требуемому уровню безопасности информации.
1.7. Проведение любых мероприятий и работ с конфиденциальной информацией, без принятия необходимых мер технической защиты информации не допускается.
1.8. Объектами защиты в Компании являются:
1.8.1. средства и системы информатизации и связи (средства вычислительной техники, локальная вычислительная сеть (ЛВС), используемые для обработки, хранения и передачи информации, содержащей конфиденциальную информацию (далее основные технические средства и системы (ОТСС);
1.8.2. технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается конфиденциальной информация - далее вспомогательные технические средства и системы (ВТСС);
1.9. Ответственность за выполнение требований настоящего Положения возлагается на руководителя Компании, руководителей подразделений Компании, а также на сотрудников допущенных к обработке, передаче и хранению в технических средствах информации, содержащей конфиденциальную информацию.
1.10. Непосредственное руководство работами по защите конфиденциальной информации осуществляет руководитель Компании.

2. ОХРАНЯЕМЫЕ СВЕДЕНИЯ
2.1. Сведения, составляющие конфиденциальную информацию, определяются Перечнем сведений конфиденциального характера в соответствии с Указом Президента РФ от 6.03.1997 № 188.
2.2. Перечень сведений конфиденциального характера включает:
2.2.1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2.2.2. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений и т.д.).
2.2.3. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом РФ и федеральными законами (коммерческая тайна).

3. ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ, НЕСАНКЦИОНИРОВАННОГО ДОСТУПА И СПЕЦИАЛЬНЫХ ВОЗДЕЙСТВИЙ НА НЕЁ
3.1. Доступ к конфиденциальной информации, нарушение ее целостности и доступности возможно реализовать за счет:
3.1.1. несанкционированного доступа к конфиденциальной информации при ее обработке в информационных системах и ресурсах;
3.1.2. утечки конфиденциальной информации по техническим каналам.

4. ОЦЕНКА ВОЗМОЖНОСТЕЙ ТЕХНИЧЕСКИХ РАЗВЕДОК И ДРУГИХ ИСТОЧНИКОВ УГРОЗ БЕЗОПАСНОСТИ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
4.1. Для добывания конфиденциальных сведений могут использоваться:
4.1.1. компьютерная разведка, использующая различные способы и средства несанкционированного доступа к информации и специальных воздействий на нее.
4.2. Угроза компьютерной разведки объектам защиты возможна в случае подключения АС, обрабатывающим информацию ограниченного доступа к внешним, в первую очередь - глобальным сетям.
4.3. Несанкционированный доступ к информации и специальные воздействия на нее могут осуществляться при ее обработке на отдельных автоматизированных рабочих местах, в локальных вычислительных сетях, в распределенных телекоммуникационных системах.
4.4. Кроме перехвата информации техническими средствами возможно непреднамеренное попадание защищаемой информации к лицам, не допущенным к ней. Это возможно, например, в следствие:
4.4.1. некомпетентных или ошибочных действий пользователей и администраторов АС при работе вычислительных сетей;
4.4.2. просмотра информации с экранов дисплеев и других средств ее отображения.
4.5. Оценка возможностей средств технической разведки осуществляется с использованием нормативных документов ФСТЭК России.
4.6. Оценка возможности несанкционированного доступа (далее – НСД) к информации в средствах вычислительной техники и автоматизированных системах осуществляется с использованием следующих руководящих документов ФСТЭК России:
4.6.1. Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации;
4.6.2. Руководящий документ. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации;
4.6.3. Руководящий документ. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по технической защите конфиденциальной информации.
4.7. НСД к информации и специальные воздействия на нее реально возможны, если не выполняются требования перечисленных выше документов, дифференцированные в зависимости от степени конфиденциальности обрабатываемой информации, уровня полномочий пользователей по доступу к конфиденциальной информации и режимов обработки данных в автоматизированных системах.

5. ОРГАНИЗАЦИОННЫЕ И ТЕХНИЧЕСКИЕ МЕРОПРИЯТИЯ ПО ТЕХНИЧЕСКОЙ ЗАЩИТЕ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
5.1. Разработка мер, и обеспечение защиты конфиденциальной информации осуществляются отдельными специалистами, назначаемыми руководителем Компании для проведения таких работ. Разработка мер защиты информации может осуществляться также сторонними предприятиями, имеющими соответствующие лицензии ФСТЭК России и ФСБ России на право осуществления соответствующих работ.
5.2. Для защиты конфиденциальной информации, используются сертифицированные по требованиям безопасности технические средства защиты.
5.3. Объекты информатизации должны быть аттестованы по требованиям безопасности информации в соответствии с нормативными документами ФСТЭК России.
5.4. Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей подразделений Компании, эксплуатирующих объекты информатизации.
5.5. Техническая защита информации в средствах вычислительной техники (СВТ) и автоматизированных системах (АС) от несанкционированного доступа в соответствии с требованиями руководящих документов ФСТЭК (Гостехкомиссии) России должна обеспечиваться путем:
5.5.1. проведения классификации СВТ и АС;
5.5.2. выполнения необходимых организационных мер защиты;
5.5.3. установки сертифицированных программных и аппаратно-технических средств защиты информации от НСД.
5.5.4. защита каналов связи, предназначенных для передачи конфиденциальной информации.
5.5.5. защиты информации от воздействия программ-закладок и компьютерных вирусов.
5.6. Организация и проведение работ по антивирусной защите информации с ограниченным доступом, при ее обработке техническими средствами определяются настоящим документом, действующими государственными стандартами и другими нормативными и методическими документами ФСТЭК (Гостехкомиссии) России.

6. ОРГАНИЗАЦИЯ АНТИВИРУСНОЙ ЗАЩИТЫ ИНФОРМАЦИИ НА ОБЪЕКТАХ ИНФОРМАТИЗАЦИИ ДОСТИГАЕТСЯ ПУТЁМ:
6.1. установки и применения средств антивирусной защиты информации;
6.2. обновления баз данных средств антивирусной защиты информации;
6.3. действий должностных лиц при обнаружении заражения информационно-вычислительных ресурсов программными вирусами.
6.4. Организация работ по антивирусной защите информации возлагается на руководителя Компании.
6.5. Защита информации от воздействия программных вирусов на объектах информатизации должна осуществляться посредством применения средств антивирусной защиты. Порядок применения средств антивирусной защиты устанавливается с учетом следующих требований:
6.5.1. обязательный входной контроль на отсутствие программных вирусов всех поступающих на объект информатизации носителей информации, информационных массивов, программных средств общего и специального назначения;
6.5.2. периодическая проверка пользователями жестких магнитных дисков (не реже одного раза в неделю) и обязательная проверка используемых в работе носителей информации перед началом работы с ними на отсутствие программных вирусов;
6.5.3. внеплановая проверка носителей информации на отсутствие программных вирусов в случае подозрения на наличие программного вируса;
6.5.4. восстановление работоспособности программных средств и информационных массивов в случае их повреждения программными вирусами.
6.6. К использованию допускается только лицензированные, сертифицированные по требованиям ФСТЭК России антивирусные средства.
6.7. Порядок применения средств антивирусной защиты во всех случаях устанавливается с учетом следующих требований:
6.7.1. Входной антивирусный контроль всей поступающей на внешних носителях информации и программных средств любого назначения.
6.7.2. Входной антивирусный контроль всей информации поступающей с электронной почтой;
6.7.3. Входной антивирусный контроль всей поступающей информации из сети INTERNET;
6.7.4. Выходной антивирусный контроль всей исходящей информации на любых внешних носителях и/или передаваемой по локальной сети на другие рабочие станции/сервера, а также передача информации посредством электронной почты;
6.7.5. Периодическая антивирусная проверка на отсутствие компьютерных вирусов на жестких дисках рабочих станций и серверов;
6.7.6. Обязательная антивирусная проверка используемых в работе внешних носителей информации;
6.7.7. Постоянный антивирусный контроль на рабочих станциях и серверах с использованием резидентных антивирусных мониторов в автоматическом режиме;
6.7.8. Обеспечение получения обновлений антивирусных программ в автоматическом режиме, включая обновления вирусных баз и непосредственно новых версий программ;
6.7.9. Внеплановая антивирусная проверка внешних носителей и жестких дисков рабочих станций и серверов на отсутствие компьютерных вирусов в случае подозрения на наличие компьютерного вируса;
6.7.10. Восстановление работоспособности программных и аппаратных средств, а также непосредственно информации в случае их повреждения компьютерными вирусами.
6.8. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке и руководством по эксплуатации конкретного антивирусного программного продукта.
6.8.1. При обнаружении на носителе информации или в полученных файлах программных вирусов пользователи докладывают об этом руководителю Компании или ответственному сотруднику, и принимают меры по восстановлению работоспособности программных средств и данных.
6.8.2. О факте обнаружения программных вирусов сообщается в организацию или физическому лицу, от которой поступили зараженные файлы, для принятия мер по локализации и устранению программных вирусов.
6.8.3. Перед отправкой массивов информации и программных средств, осуществляется ее проверка на наличие программных вирусов.
6.8.4. При обнаружении программных вирусов пользователь обязан немедленно прекратить все работы на АРМ, поставить в известность руководителя Компании или своего непосредственного руководителя и принять меры к их локализации и удалению с помощью имеющихся антивирусных средств защиты.
6.8.5. При функционировании АРМ в качестве рабочей станции вычислительной сети производится ее отключение от локальной сети, локализация и удаление программных вирусов в вычислительной сети.
6.8.6. Ликвидация последствий воздействия программных вирусов осуществляется сотрудниками соответствующего подразделения или специалиста Компании.
6.8.7. Организация антивирусной защиты конфиденциальной информации должна быть направлена на предотвращение заражения рабочих станций, входящих в состав локальных компьютерных сетей, и серверов различного уровня и назначения вирусами.
6.8.8. Необходимо постоянно осуществлять обновление вирусных баз. Частоту обновления установить в зависимости от используемых антивирусных средств и частоты выпуска обновления указанных баз.
6.8.9. Порядок установки и использования средств антивирусной защиты определяется инструкцией по установке, руководством по эксплуатации конкретного антивирусного программного продукта и инструкцией по антивирусной защите.
6.9. Организационное и техническое обеспечение процессов генерации, использования, смены и прекращения действия паролей в информационных системах возлагается на системного администратора Компании.
6.9.1. Личные пароли должны генерироваться и распределяться централизованно с учетом следующих требований:
– длина пароля должна быть не менее 8 символов;
– пароль не должен включать в себя легко вычисляемые сочетания символов (имена, фамилии, наименования АРМ и т.д.), а также общепринятые сокращения;
– при смене пароля новое значение должно отличаться от предыдущего не менее чем в 6 позициях;
– личный пароль пользователь не имеет права сообщать никому.
6.9.2. Владельцы паролей должны быть ознакомлены под роспись с перечисленными выше требованиями и предупреждены об ответственности за использование паролей, не соответствующих данным требованиям, а также за разглашение парольной информации.
6.9.3. Формирование личных паролей пользователей осуществляется централизованно. Для генерации «стойких» значений паролей могут применяться специальные программные средства. Система централизованной генерации и распределения паролей должна исключать возможность ознакомления (самих уполномоченных сотрудников, а также руководителей подразделений) с паролями других сотрудников подразделений.
6.9.4. Полная плановая смена паролей пользователей должна проводиться регулярно.
6.9.5. Внеплановая смена личного пароля или удаление учетной записи пользователя информационной системы в случае прекращения его полномочий (увольнение, переход на другую работу и т.п.) должна производиться немедленно после окончания последнего сеанса работы данного пользователя с системой.
6.9.6. В случае компрометации личного пароля пользователя информационной системы должны быть немедленно предприняты меры в соответствии с п.6.9.5 настоящего Положения.
6.9.7. Повседневный контроль за действиями исполнителей и обслуживающего персонала системы при работе с паролями, соблюдением порядка их смены и использования в подразделениях возлагается на специалиста по защите информации или иного ответственного сотрудника Компании.

7. ОБЯЗАННОСТИ И ПРАВА ДОЛЖНОСТНЫХ ЛИЦ
7.1. Руководство технической защитой конфиденциальной информации в Компании возлагается на руководителя Компании.
7.2. Специалист по защите информации или иное лицо, назначенное руководителем Компании организует и обеспечивает техническую защиту информации, циркулирующую в технических средствах и объекта IT-инфраструктуры Компании.
7.3. Владельцы и пользователи ОТСС обеспечивают уровень технической защиты информации в соответствии с требованиями (нормами), установленными в нормативных документах.
7.4. Руководители подразделений, владельцы и пользователи ОТСС обязаны вносить предложения о приостановке работ с использованием сведений, составляющих конфиденциальную или служебную тайну, в случае обнаружения утечки (или предпосылок к утечке) этих сведений. Предложения докладываются руководителю Компании напрямую.

8. КОНТРОЛЬ СОСТОЯНИЯ ТЕХНИЧЕСКОЙ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ
8.1. Основными задачами контроля состояния технической защиты конфиденциальной информации являются оценка уровня защищенности Компании и эффективности принятых мер защиты, своевременное выявление и предотвращение утечки по техническим каналам информации, составляющей конфиденциальную или служебную тайну, НСД к информации, преднамеренных программно-технических воздействий на информацию с целью ее уничтожения, искажения, блокирования, нарушения правового режима использования информации.
8.2. Контроль осуществляется:
8.2.1. ФСТЭК России (силами Управления ФСТЭК России Северо-Западному федеральному округу);
8.2.2. ФСБ России (силами Управления Федеральной службы безопасности Российской Федерации по городу Санкт-Петербургу и Ленинградской области);
8.2.3. Специалистом по защите информации Компании или иным лицом, назначенным руководителем Компании.
8.3. Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты конфиденциальной информации, решений ФСТЭК России, наличия соответствующих документов по технической защите конфиденциальной информации, в инструментальной и визуальной проверке ОТСС на наличие каналов утечки информации, на соответствие требованиям и нормам технической защиты информации.

Войти

или авторизуйтесь с помощью соцсетей

Еще не зарегистрированы? Забыли пароль?
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:

Регистрация

Принимаю условия соглашения

или авторизуйтесь с помощью соцсетей

Уже зарегистрированы?

Войти
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:

Восстановить пароль

Ответ