г. Костанай, Сибирская 50 +7-(7142)-28-44-26 ozat_kst@mail.ru KZ RU EN
КГУ "Специализированная школа-лицей-интернат информационных технологий "Озат"
Политика информационной безопасности

Политика информационной безопасности
КГУ «Специализированная школа-лицей-интернат информационных технологий «Озат»

Введение
Настоящая Политика информационной безопасности (далее — Политика) КГУ «СШЛИИТ «Озат» (далее — Озат) определяет основные принципы, направления и требования по защите информации, является основой для обеспечения режима информационной безопасности, служит руководством при разработке соответствующих Положений, Правил, Инструкций.
Нормативно-правовую основу Политики составляет законодательство Республики Казахстан по вопросам использования информационных систем, нормативные правовые акты Республики Казахстан, требования международных стандартов управления информационной безопасностью, а именно СТ РК ИСО/МЭК 27001:2008.
Обеспечение информационной безопасности — необходимое условие для успешного осуществления деятельности Озата. Озат рассматривает информацию как один из важнейших активов. Информационная безопасность является элементом общей политики Озата в сфере обеспечения безопасности. Нарушения в данной области могут привести к серьезным последствиям, включая потерю доверия и снижению конкурентоспособности.
Обеспечение информационной безопасности включает в себя любую деятельность, направленную на защиту информации и/или поддерживающей инфраструктуры. Политика охватывает все автоматизированные и телекоммуникационные системы, владельцем и пользователем которых является Озат. Положения настоящего документа относятся ко всем штатным работникам и временным работникам, имеющим доступ к автоматизированным и телекоммуникационным системам Озата.
Неотъемлемой частью организации защиты информации является непрерывный контроль эффективности предпринимаемых мер, определение для работников Озата перечня недопустимых действий, возможных последствий и ответственности.
Реализация Политики должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение), а отдельные разрабатываемые элементы информационной системы должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных) средств и организационных мероприятий.

1. Цели, задачи и основополагающие принципы

1.1 Основной целью системы информационной безопасности является защита корпоративной ИС Озата от возможного нанесения им материального, физического, морального или иного ущерба посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация уровня рисков.
1.2 Основными задачами системы информационной безопасности являются:
1.2.1 отнесение информации к категории несекретной, ограниченного распространения, банковской, коммерческой и другим видам тайн, иной конфиденциальной информации, подлежащей защите от неправомерного использования;
1.2.2 прогнозирование и своевременное выявление угроз безопасности информационным ресурсам Озата, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
1.2.3 создание условий функционирования Озата с наименьшей вероятностью реализации угроз безопасности информационных ресурсов и нанесения ущерба;
1.2.4 создание механизма и условий оперативного реагирования на угрозы информационной безопасности и проявление негативных тенденций в функционировании Озата, на основе нормативных, правовых, организационных и технических мер и средств обеспечения безопасности;

2. Объекты обеспечения информационной безопасности

2.1 Автоматизированная система обработки информации Озата является распределенной структурой, объединяющей в единую ИС подсистемы центрального аппарата. Основными объектами обеспечения информационной безопасности в Озате признаются следующие элементы:
2.1.1 информационные ресурсы, содержащие сведения, отнесенные в соответствии с действующим законодательством к государственной тайне, коммерческой тайне Озата, открытая информация, необходимая для обеспечения нормального функционирования Озата (в дальнейшем — защищаемая информация);
2.1.2 средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации;
2.1.3 программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы Озата, с помощью которых производится обработка защищаемой информации;
2.2 Подлежащая защите информация может находиться:
2.2.1 на бумажных носителях;
2.2.2 в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники);

3. Меры обеспечения безопасности

3.1 Меры обеспечения безопасности. Все меры обеспечения безопасности компьютерных систем подразделяются на:
— правовые (законодательные);
— морально-этические;
— организационные (административные);
— физические;
— технические (аппаратурные и программные).
3.2 Законодательные (правовые) меры защиты. К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые меры защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.
3.3 Морально-этические меры защиты. К морально-этическим мерам относятся нормы поведения, которые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально- этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний. Морально-этические меры защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений.
3.4 Организационные (административные) меры защиты. Организационные (административные) меры защиты — это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности или снизить размер потерь в случае их реализации.
3.5 Физические средства защиты. Физические меры защиты основаны на применении разного рода механических, электро- или электронно-механических устройств и сооружений, специально предназначенных для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к компонентам системы и защищаемой информации, а также технических средств визуального наблюдения, связи и охранной сигнализации.
3.6 Технические (программно-аппаратные) средства защиты. Технические (аппаратно- программные) меры защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав информационных систем Озата и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т.д.).

4. Угрозы информационной безопасности

4.1 Под угрозами информационной безопасности понимаются потенциально возможные негативные воздействия на защищаемую информацию, к числу которых относятся:
4.1.1 утрата сведений, составляющих банковскую тайну, коммерческую тайну Озата и иную защищаемую информацию, а также искажение (несанкционированная модификация, подделка) такой информации;
4.1.2 утечка — несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.);
4.1.3 низкая степень надежности программного обеспечения;
4.1.4 недостаточная осведомленность персонала, низкая квалификация персонала и пользователей в области информационных технологий.
4.2 В результате воздействия указанных угроз могут возникнуть следующие негативные последствия, влияющие на состояние информационной безопасности Озата и его нормальное функционирование:
4.2.1 финансовые потери, связанные с утечкой или разглашением защищаемой информации, с уничтожением и последующим восстановлением утраченной информации;

5. Техническое обеспечение информационной безопасности Озата

5.1 Техническое обеспечение информационной безопасности должно базироваться:
5.1.1 на системе унификации и взаимного дополнения применяемых средств защиты;
5.1.2 на системе лицензирования деятельности;
5.1.3 на системах сертификации всего программного обеспечения и средств защиты.
5.2 Предоставление прав доступа работникам Озата к соответствующей информации определяется в порядке, определяемом внутренними документами Озата.
5.3 Одним из направлений обеспечения информационной безопасности является реализация технической политики, то есть защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа и иных воздействий.
5.4 В рамках обеспечения информационной безопасности, техническая политика предусматривает:
5.4.1 ограничение доступа работников и посторонних лиц в здания, помещения, где обрабатывается (хранится) информация конфиденциального характера, в том числе на объекты информатики;
5.4.2 разграничение доступа пользователей к данным автоматизированных систем различного уровня и назначения;
5.4.3 учет документов, информационных массивов, регистрация действий пользователей ИС, контроль за несанкционированным доступом и действиями пользователей;
5.4.4 предотвращение внедрения в автоматизированные ИС программ вирусного характера.
5.5 Защита информационных ресурсов от несанкционированного доступа
5.6 Обеспечение безопасности ИС предполагает разработку необходимых мер защиты на этапе формирования будущей автоматизированной системы, что заключается в составлении спецификаций на приобретаемое оборудование и программное обеспечение с учетом предъявляемых требований по безопасности.
5.7 В процессе формирования заказа на построение ИС необходимо учитывать не только основной набор функциональных сервисов (бухгалтерские системы, системы автоматизации процедур, делопроизводства и тому подобные), но и ряд необходимых вспомогательных сервисов, обеспечивающих надежное функционирование системы и требуемый уровень безопасности. При этом необходимо учитывать, что в защите нуждаются все сервисы и коммуникационные пути между ними. В случае, если не все функционально законченные сервисы обладают полным набором механизмов безопасности, они требуют объединения в составные сервисы, в совокупности, обладающие таким набором и с внешней точки зрения представляющих собой единое целое.
5.8 Обеспечение единой политики процедур регистрации и предоставления доступа, а также требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, которая предполагает определение для всех пользователей автоматизированных систем доступные им информационные и программные ресурсы, а также конкретные операции (чтение, запись, модификация, удаление, выполнение) с помощью заданных программно-технических средств доступа.
5.9 Обеспечение надежность хранения информации.

6. Разделение полномочий и ответственность

6.1 Руководство Озата осуществляет координацию деятельности всех подразделений для организации и поддержания соответствующего уровня информационной безопасности.
6.2 Решение вопросов стратегического планирования по информационной безопасности, а также контроль нештатных ситуаций и инцидентов в области защиты информации, осуществляет заместитель директора по информационным технологиям совместно с инженером по оборудованию.
6.3 В рамках исполнения настоящей политики Озат проводит регулярный мониторинг и аудит программно-аппаратного комплекса, обеспечивающего функционирование норм и правил настоящей политики. Аудит проводится силами и средствами сотрудников it-отдела организации, на регулярной основе, по согласованному и утвержденному план-графику, с представлением отчетности заместителю директора по информационным технологиям.
6.4 IT-отдел выполняет мониторинг защищенности информационных ресурсов, разрабатывает правила и инструкции, контролирует соблюдение требований информационной безопасности всеми участниками информационного обмена.
6.5 Инженер по оборудованию несёт ответственность за ознакомление работников с требованиями информационной безопасности.
6.6 Сотрудники IT-отдела обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
6.7 Задачей каждого пользователя ИС является соблюдение правил, инструкций, рекомендаций по обеспечению безопасной работы ИС, извещение руководства обо всех подозрительных ситуациях при работе с информационными ресурсами.
6.8 За несоблюдение порядка и правил использования информационных ресурсов к виновным могут быть применены меры, предусмотренные трудовыми договорами, заключенными между Озатом и работником, а также действующим законодательством Республики Казахстан и настоящей Политикой.

7. Порядок пересмотра Политики, документы, регламентирующие Политику

7.1 IT-отделом ежегодно пересматриваются основные принципы, направления и требования по защите информации в Озате. Пересмотр Политики осуществляется в соответствии с изменениями, влияющими на первоначальную оценку риска, путем выявления существенных инцидентов нарушения информационной безопасности, появления новых уязвимостей или изменения организационной, или технологической инфраструктуры Озата.
7.2 Настоящая Политика регламентируется дополнительными документами, предусмотренными пунктом 8.1. настоящей Политики и соответствующими Правилами информационной безопасности по конкретным областям ее применения.

Наша гордость