г. Костанай, Сибирская 50 +7-(7142)-28-44-26 ozat_kst@mail.ru KZ RU EN
"Озат" мамандандырылған ақпараттық технологиялар мектеп-лицей-интернаты" КММ
Ақпараттық қауіпсіздік саясаты

Ақпараттық қауіпсіздік саясаты

«Озат» мамандандырылған ақпараттық технологиялар мектеп-лицей-интернаты» КММ

 

Кіріспе

Осы «Озат» СШЛИИТ» КММ (бұдан әрі – Озат) Ақпараттық қауіпсіздік саясаты (бұдан әрі – Саясат) ақпаратты қорғаудың негізгі қағидаттарын, бағыттарын және талаптарын айқындайды, ақпараттық қауіпсіздік режимін қамтамасыз ету үшін негіз болып табылады, тиісті Ережелерді, Ережелерді, Нұсқауларды әзірлеуде нұсқаулық.

Саясаттың құқықтық негізін Қазақстан Республикасының ақпараттық жүйелерді пайдалану туралы заңнамасы, Қазақстан Республикасының нормативтік құқықтық актілері, ақпараттық қауіпсіздікті басқарудың халықаралық стандарттарының талаптары, атап айтқанда ҚР СТ ИСО/МЭК 27001:2008 құрайды.

Ақпараттық қауіпсіздікті қамтамасыз ету Озат қызметін табысты жүзеге асырудың қажетті шарты болып табылады. Озат ақпаратты өзінің ең маңызды байлығының бірі ретінде қарастырады. Ақпараттық қауіпсіздік Озаттың жалпы қауіпсіздік саясатының бір бөлігі болып табылады. Бұл саладағы бұзушылықтар ауыр зардаптарға, соның ішінде сенімді жоғалтуға және бәсекеге қабілеттілікті жоғалтуға әкелуі мүмкін.

Ақпараттық қауіпсіздік ақпаратты қорғауға және/немесе инфрақұрылымды қолдауға бағытталған кез келген әрекетті қамтиды. Саясат Озатқа тиесілі және басқаратын барлық автоматтандырылған және телекоммуникациялық жүйелерді қамтиды. Осы құжаттың ережелері «Озаттың» автоматтандырылған және телекоммуникациялық жүйелеріне қол жеткізе алатын барлық қызметкерлер мен уақытша қызметкерлерге қатысты.

Ақпараттық қауіпсіздікті ұйымдастырудың құрамдас бөлігі қабылданған шаралардың тиімділігін үздіксіз бақылау, жол берілмейтін әрекеттер тізбесін, ықтимал салдарларды және «Озат» қызметкерлері үшін жауапкершілікті анықтау болып табылады.

Саясатты іске асыру ақпараттық қауіпсіздіктің қажетті деңгейін бір бөлек құралдың (шараның) көмегімен ғана емес, сонымен қатар олардың қарапайым комбинациясының көмегімен қамтамасыз ету мүмкін емес деген алғышарттан шығуы керек. Оларды бір-бірімен жүйелік үйлестіру (кешенді қолданбалы) қажет, ал әзірленіп жатқан ақпараттық жүйенің жеке элементтері техникалық (аппараттық, бағдарламалық) құралдардың оңтайлы арақатынасы мен қорғалған дизайндағы бірыңғай ақпараттық жүйенің бөлігі ретінде қарастырылуы керек. ұйымдастыру шаралары.

 

  1. Мақсаттар, міндеттер және негізгі принциптер

 

1.1 Ақпараттық қауіпсіздік жүйесінің негізгі мақсаты – «Озаттың» корпоративтік АЖ-ын ақпаратқа, оны тасымалдаушыларға, өңдеу және беру процестеріне кездейсоқ немесе қасақана әсер ету арқылы мүмкін болатын материалдық, физикалық, моральдық немесе басқа да зияннан қорғау, сондай-ақ оның деңгейін барынша азайту. тәуекелдер.

1.2 Ақпараттық қауіпсіздік жүйесінің негізгі міндеттері:

1.2.1 құпия емес, таратылуы шектелген, банктік, коммерциялық және құпияның басқа түрлері, теріс пайдаланудан қорғалатын басқа да құпия ақпарат ретінде ақпаратты жіктеу;

1.2.2 Озаттың ақпараттық ресурстарына қауіп төндіретін қауіптерді, қаржылық, материалдық және моральдық зиян келтіруге, оның қалыпты жұмыс істеуі мен дамуын бұзуға ықпал ететін себептер мен жағдайларды болжау және уақтылы анықтау;

1.2.3 ақпараттық ресурстардың қауіпсіздігіне қауіп төндіретін және залал келтіретін «Озаттың» жұмыс істеуі үшін жағдай жасау;

1.2.4 Нормативтік-құқықтық, ұйымдастырушылық-техникалық шаралар мен қауіпсіздікті қамтамасыз ету құралдарына негізделген ақпараттық қауіпсіздікке төнетін қатерлерге және «Озат» АҚ қызметіндегі жағымсыз тенденциялардың көріністеріне жедел ден қою механизмі мен жағдайын жасау;

 

  1. Ақпараттық қауіпсіздікті қамтамасыз ету объектілері

 

2.1 «Озаттың» автоматтандырылған ақпаратты өңдеу жүйесі орталық аппараттың ішкі жүйелерін бір АЖ-ге біріктіретін бөлінген құрылым болып табылады. Озатта ақпараттық қауіпсіздіктің негізгі объектілері ретінде келесі элементтер танылады:

2.1.1 Қолданыстағы заңнамаға сәйкес мемлекеттік құпияға, «Озаттың» коммерциялық құпиясына жатқызылған мәліметтерді, «Озаттың» қалыпты жұмыс істеуін қамтамасыз ету үшін қажетті ашық ақпаратты қамтитын ақпараттық ресурстар (бұдан әрі – қорғалатын ақпарат);

2.1.2 қорғалатын ақпаратты өңдеу, беру және сақтау жүзеге асырылатын ақпараттандыру құралдары мен жүйелері (есептеу техникасы, ақпараттық-есептеу кешендері, желілер, жүйелер);

2.1.3 «Озат» автоматтандырылған жүйесінің бағдарламалық құралдары (операциялық жүйелер, деректер қорын басқару жүйелері, басқа да жалпы жүйелік және қолданбалы бағдарламалық қамтамасыз ету), олардың көмегімен қорғалатын ақпарат өңделеді;

2.2 Қорғалған ақпарат мына жерде болуы мүмкін:

2.2.1 қағазда;

2.2.2 электронды түрде (компьютерлік технологияның көмегімен өңделеді, беріледі және сақталады);

  1. Қауіпсіздік шаралары

 

3.1 Қауіпсіздік шаралары. Компьютерлік жүйелердің қауіпсіздігін қамтамасыз ету бойынша барлық шаралар мыналарға бөлінеді:

— құқықтық (заңнамалық);

— моральдық-этикалық;

— ұйымдастырушылық (әкімшілік);

– физикалық;

— техникалық (аппараттық және бағдарламалық қамтамасыз ету).

3.2 Заңнамалық (құқықтық) қорғау шаралары. Құқықтық қорғау шараларына ақпаратпен жұмыс істеу ережелерін реттейтін, оны өңдеу және пайдалану процесінде ақпараттық қатынастарға қатысушылардың құқықтары мен міндеттерін бекітетін, сондай-ақ осы ережелерді бұзғаны үшін жауапкершілікті белгілейтін елде қолданылып жүрген заңдар, қаулылар мен ережелер жатады. , осылайша ақпаратты теріс пайдалануды болдырмайды және ықтимал бұзушыларға тосқауыл ретінде әрекет етеді. Құқықтық қорғау шаралары негізінен белсенді, профилактикалық сипатқа ие және жүйені пайдаланушылармен және техникалық қызмет көрсетуші персоналмен тұрақты түсіндіру жұмысын талап етеді.

3.3 Моральдық-этикалық қорғау шаралары. Моральдық-этикалық шараларға компьютерлер елде немесе қоғамда кең тараған сайын дәстүрлі түрде қалыптасқан немесе дамып келе жатқан мінез-құлық нормалары жатады. Бұл нормалар негізінен заңмен бекітілген нормативтік актілер ретінде міндетті емес болып табылады, алайда олардың сақталмауы әдетте адамның, адамдар тобының немесе ұйымның беделінің, беделінің төмендеуіне әкеледі. Моральдық-этикалық нормалар жазылмаған да (мысалы, адалдықтың, патриотизмнің жалпыға бірдей танылған нормалары және т.б.) және жазбаша, яғни қандай да бір ережелер немесе ережелер жиынтығында (жарғысында) рәсімделген болуы мүмкін. Моральдық-этикалық қорғау шаралары профилактикалық болып табылады және бөлімдер ұжымдарында салауатты моральдық ахуалды қалыптастыру бойынша тұрақты жұмысты талап етеді.

3.4 Ұйымдастырушылық (әкімшілік) қорғау шаралары. Ұйымдастырушылық (әкімшілік) қорғау шаралары – мәліметтерді өңдеу жүйесінің жұмысын, оның ресурстарын пайдалануды, техникалық қызмет көрсетуші персоналдың қызметін, сондай-ақ пайдаланушылардың жүйемен өзара әрекеттесу тәртібін реттейтін ұйымдастырушылық шаралар. қауiпсiздiкке қатерлердi iске асыру мүмкiндiгiне кедергi келтiру немесе жоққа шығару немесе олар жүзеге асырылған жағдайда ысыраптардың мөлшерiн азайту.

3.5 Қорғаныстың физикалық құралдары. Физикалық қорғау шаралары жүйенің құрамдас бөліктеріне және қорғалатын ақпаратқа ықтимал зиянкестердің енуі мен қол жеткізуінің ықтимал жолдарында физикалық кедергілер жасау үшін арнайы әзірленген әртүрлі механикалық, электро- немесе электронды-механикалық құрылғылар мен құрылымдарды пайдалануға негізделген. визуалды бақылау, байланыс және күзет дабылының техникалық құралдары ретінде.

3.6 Техникалық (бағдарламалық және аппараттық) қорғаныс құралдары. Техникалық (аппараттық-бағдарламалық) қорғау шаралары «Озаттың» ақпараттық жүйелерінің құрамына кіретін және (тәуелсіз немесе басқа құралдармен бірге) қорғау функцияларын (пайдаланушыларды сәйкестендіру және аутентификациялау, қол жеткізуді басқару) орындайтын әртүрлі электрондық құрылғылар мен арнайы бағдарламаларды пайдалануға негізделген. ресурстар, оқиғаларды тіркеу, ақпаратты криптографиялық жабу және т.б.).

 

  1. Ақпараттық қауіпсіздікке қауіптер

 

4.1 Ақпараттық қауіпсіздік қатерлері қорғалатын ақпаратқа ықтимал жағымсыз әсерлер ретінде түсініледі, олар мыналарды қамтиды:

4.1.1 банк құпиясын, Озаттың коммерциялық құпиясын және басқа да қорғалатын ақпаратты жоғалту, сондай-ақ мұндай ақпаратты бұрмалау (рұқсатсыз өзгерту, қолдан жасау);

4.1.2 ағып кету – қорғалған ақпаратқа рұқсат етілмеген тұлғалардың рұқсатсыз қол жеткізуі (рұқсат етілмеген қол жеткізу, көшіру, ұрлау және т.б.);

4.1.3 бағдарламалық қамтамасыз ету сенімділігінің төмен деңгейі;

4.1.4 персоналдың хабардар болмауы, персонал мен пайдаланушылардың ақпараттық технологиялар саласындағы біліктілігінің төмендігі.

4.2 Осы қатерлердің әсерінен Озаттың ақпараттық қауіпсіздігінің жай-күйіне және оның қалыпты жұмыс істеуіне әсер ететін келесі жағымсыз салдарлар туындауы мүмкін:

4.2.1 қорғалатын ақпараттың ағып кетуіне немесе ашылуына, жоғалған ақпаратты жоюға және кейіннен қалпына келтіруге байланысты қаржылық шығындар;

 

  1. Озаттың ақпараттық қауіпсіздігін техникалық қамтамасыз ету

 

5.1 Ақпараттық қауіпсіздікті техникалық қамтамасыз ету мыналарға негізделуі керек:

5.1.1 Қолданылатын қорғаныс құралдарын біріздендіру және өзара толықтыру жүйесі туралы;

5.1.2 қызметті лицензиялау жүйесі туралы;

5.1.3 Барлық бағдарламалық қамтамасыз ету және қорғау құралдарының сертификаттау жүйелері бойынша.

5.2 «Озат» қызметкерлеріне тиісті ақпаратқа қол жеткізу құқығын беру Озаттың ішкі құжаттарында айқындалған тәртіппен анықталады.

5.3 Ақпараттық қауіпсіздікті қамтамасыз ету бағыттарының бірі техникалық саясатты жүзеге асыру болып табылады, яғни рұқсат етілмеген қол жеткізу және басқа да әсерлерден ақпараттық ресурстарды ұрланудан, жоғалудан, жойылудан, жария етуден, ағып кетуден, бұрмалаудан және қолдан жасаудан қорғау.

5.4 Ақпараттық қауіпсіздікті қамтамасыз ету шеңберінде техникалық саясат мыналарды көздейді:

5.4.1 құпия ақпарат өңделетін (сақталған) ғимараттарға, үй-жайларға, оның ішінде информатика объектілеріне қызметкерлер мен бөгде адамдардың кіруін шектеу;

5.4.2 әртүрлі деңгейдегі және мақсаттағы автоматтандырылған жүйелердің деректеріне пайдаланушының қол жеткізуін саралау;

5.4.3 Құжаттарды, ақпарат массивтерін есепке алу, АЖ пайдаланушылардың әрекеттерін тіркеу, пайдаланушылардың рұқсат етілмеген кіруін және әрекеттерін бақылау;

5.4.4 Автоматтандырылған АЖ-ға вирустық сипаттағы бағдарламаларды енгізудің алдын алу.

5.5 Ақпараттық ресурстарды рұқсатсыз кіруден қорғау

5.6 АЖ қауіпсіздігін қамтамасыз ету болашақ автоматтандырылған жүйені қалыптастыру сатысында қауіпсіздік талаптарын ескере отырып, сатып алынатын жабдық пен бағдарламалық қамтамасыз ету үшін техникалық шарттарды жасаудан тұратын қажетті қорғау шараларын әзірлеуді болжайды.

5.7 АЖ құруға тапсырысты қалыптастыру процесінде функционалдық қызметтердің негізгі жиынтығын (есептік жүйелер, процедураларды автоматтандыру жүйелері, іс жүргізу және т.б.) ғана емес, сонымен қатар бірқатар қызметтерді де ескеру қажет. жүйенің сенімді жұмысын және қауіпсіздіктің қажетті деңгейін қамтамасыз ететін қажетті көмекші қызметтер. Бұл ретте олардың арасындағы барлық қызметтер мен байланыс жолдары қорғауды қажет ететінін ескеру қажет. Барлық функционалдық толық қызметтерде қауіпсіздік тетіктерінің толық жиынтығы болмаған жағдайда, олар жиынтықта осындай жиынтыққа ие және сыртқы тұрғыдан біртұтас тұтастықты білдіретін композиттік қызметтерге біріктіруді талап етеді.

5.8 Тіркеу және рұқсат беру рәсімдерінің бірыңғай саясатын қамтамасыз ету, сондай-ақ ақылға қонымды қолжетімділік талаптары автоматтандырылған жүйелердің барлық пайдаланушылары үшін ақпаратты анықтауды көздейтін жұмысқа, құжаттарға және ақпаратқа рұқсат беру жүйесі шеңберінде жүзеге асырылады. және оларға қолжетімді бағдарламалық қамтамасыз ету ресурстары, сондай-ақ көрсетілген бағдарламалық және аппараттық құралдарға қол жеткізу құралдарын пайдалана отырып, нақты операциялар (оқу, жазу, өзгерту, жою, орындау).

5.9 Ақпаратты сақтаудың сенімділігін қамтамасыз ету.

 

  1. Билік пен жауапкершілікті бөлу

 

6.1 «Озаттың» басшылығы ақпараттық қауіпсіздіктің тиісті деңгейін ұйымдастыру және қолдау бойынша барлық бөлімдердің қызметін үйлестіреді.

6.2 Ақпараттық қауіпсіздікті стратегиялық жоспарлау мәселелерін шешуді, сондай-ақ ақпараттық қауіпсіздік саласындағы төтенше жағдайлар мен инциденттерді бақылауды директордың ақпараттық технологиялар жөніндегі орынбасары жабдық инженерімен бірге жүзеге асырады.

6.3 Осы саясатты іске асыру шеңберінде Озат осы саясаттың ережелері мен ережелерінің жұмыс істеуін қамтамасыз ететін бағдарламалық-аппараттық кешеннің мониторингін және аудитін жүйелі түрде жүзеге асырады. Аудит ұйымның ақпараттық технологиялар бөлімінің қызметкерлерінің күші мен құралдарымен, директордың ақпараттық технологиялар жөніндегі орынбасарына есеп бере отырып, келісілген және бекітілген кесте бойынша тұрақты негізде жүргізіледі.

6.4 АТ бөлімі ақпараттық ресурстардың қауіпсіздігін бақылайды, ережелер мен нұсқауларды әзірлейді, ақпарат алмасуға қатысушылардың барлығының ақпараттық қауіпсіздік талаптарын сақтауын бақылайды.

6.5 Жабдық инженері жұмысшыларды ақпараттық қауіпсіздік талаптарымен таныстыруға жауапты.

6.6 АТ бөлімінің қызметкерлері желінің үздіксіз жұмысын қамтамасыз етеді және қауіпсіздік саясатын қамтамасыз ету үшін қажетті техникалық шаралардың орындалуына жауапты.

6.7 Әрбір АЖ пайдаланушының міндеті – АЖ қауіпсіз жұмыс істеуін қамтамасыз ету бойынша ережелерді, нұсқауларды, ұсыныстарды сақтау, ақпараттық ресурстармен жұмыс істеу кезінде барлық күдікті жағдайлар туралы басшылықты хабардар ету.

6.8 Ақпараттық ресурстарды пайдалану тәртібі мен ережелерін сақтамағаны үшін кінәлілерге Озат пен қызметкер арасында жасалған еңбек шарттарында, сондай-ақ Қазақстан Республикасының қолданыстағы заңнамасында және осы Саясатта көзделген шаралар қолданылуы мүмкін. .

  1. Саясатты, Саясатты реттейтін құжаттарды қайта қарау тәртібі

 

7.1 Ақпараттық технологиялар бөлімі жыл сайын Озаттың ақпараттық қауіпсіздігінің негізгі принциптерін, бағыттарын және талаптарын қарастырады. Саясатты қайта қарау маңызды ақпараттық қауіпсіздік инциденттерін, жаңа осалдықтардың пайда болуын немесе Озаттың ұйымдастырушылық немесе технологиялық инфрақұрылымындағы өзгерістерді анықтау арқылы тәуекелдерді бастапқы бағалауға әсер ететін өзгерістерге сәйкес жүзеге асырылады.

7.2 Осы Саясат 8.1 тармағында қарастырылған қосымша құжаттармен реттеледі. осы Саясаттың және оны қолданудың нақты салаларына арналған тиісті Ақпараттық қауіпсіздік ережелерінің.