ИСПОЛНИТЕЛЬНЫЙ КОМИТЕТ АЛЕКСЕЕВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
ПОСТАНОВЛЕНИЕ
от 12 ноября 2009 г. № 417
О ПОЛИТИКЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИСПОЛНИТЕЛЬНОГО
КОМИТЕТА АЛЕКСЕЕВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
В целях обеспечения защиты конфиденциальной информации, обрабатываемой в автоматизированной системе Исполнительного комитета Алексеевского муниципального района, ПОСТАНОВЛЯЮ:
1. Утвердить Политику
информационной безопасности Исполнительного комитета Алексеевского муниципального района (Приложение).
2. Рекомендовать руководителям исполнительных комитетов городского и сельских поселений Алексеевского муниципального района принять аналогичные решения.
3. Контроль за исполнением настоящего Постановления возложить на Управляющего делами Исполнительного комитета Г.А.Юсупову.
И.о руководителя
Исполнительного комитета
Н.П.ЧУРИН
Утверждена
Постановлением
Руководителя
Исполнительного комитета
Алексеевского муниципального района
от 12 ноября 2009 г. № 417
ПОЛИТИКА
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ИСПОЛНИТЕЛЬНОГО КОМИТЕТА
АЛЕКСЕЕВСКОГО МУНИЦИПАЛЬНОГО РАЙОНА
1. Общие положения
Политика информационной безопасности Исполнительного комитета предполагает создание совокупности взаимоувязанных нормативных и организационно-распорядительных документов, определяющих порядок обеспечения безопасности информации в информационных системах Исполнительного комитета, управления и контроля информационной безопасности, а также выдвигающих требования по поддержанию подобного порядка.
Политика информационной безопасности отражает позицию руководства Исполнительного комитета по вопросу обеспечения информационной безопасности.
Политика информационной безопасности Исполнительного комитета направлена на:
- нормативное регулирование процесса обмена защищаемой информацией Исполнительного комитета с взаимодействующими, юридическими и физическими лицами;
- установление определенного организационно-правового режима использования информационных ресурсов Исполнительного комитета;
- разработку системы нормативных документов Исполнительного комитета, действующих на правах стандартов и определяющих степень конфиденциальности информации, требуемый уровень защищенности объектов информатизации Исполнительного комитета, ответственность должностных лиц и сотрудников за соблюдением этих требований;
- реализацию комплекса организационных, инженерно-технических, технических и аппаратно-программных мероприятий по предупреждению несанкционированных действий с информацией и защиту ее от утечки по техническим каналам;
- предоставление пользователям необходимых сведений для сознательного поддержания установленного уровня защищенности объектов информатизации Исполнительного комитета;
- организацию постоянного контроля эффективности принятых мер защиты и функционирования системы обеспечения информационной безопасности Исполнительного комитета;
- создание в Исполнительном комитете резервов и возможностей по ликвидации последствий нарушения режима защиты информации и восстановления системы обеспечения информационной безопасности.
Настоящий документ разработан в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 17799-2005.
2. Цель обеспечения информационной безопасности
]]>В отношении всех основных и не основных (гости и проч.) сотрудников Исполнительного комитета необходимо осуществлять комплекс мер по обеспечению их работы в автоматизированной системе Исполнительного комитета, в частности регистрацию, выделение определенных информационных ресурсов и установление четких неизбыточных, а только необходимых прав доступа к ним.
Служба регистрации должна обеспечить положительную аутентификацию. Это даст гарантию того, что законный пользователь получит доступ к системе. Необходимо в обязательном порядке регистрировать все удачные и неудачные попытки входа в систему, а также вести аудит доступа сотрудников Исполнительного комитета к ее объектам и периодически просматривать результаты его работы.
При первой же необходимости работы с системой при помощи удаленного доступа или же с локальной сетью необходимо разработать правила безопасности, регламентирующие данные виды работ.
Использование имен и паролей для доступа к информационным ресурсам:
необходимо использовать пароли везде, где это целесообразно;
следует придерживаться следующих правил составления и использования паролей - пароль должен состоять не менее чем из шести символов, состоять из произвольных комбинаций букв, цифр и других символов или же представлять собой бессмысленную комбинацию слов, включающую буквы верхнего регистра;
необходимо менять все пароли не реже, чем раз в два месяца (желательно делать это не по графику), при этом использовать пароли повторно не разрешается;
запрещено использовать одинаковые пароли для доступа к разным информационным ресурсам;
пароли необходимо хранить в надежном, недоступном для посторонних месте или же использовать специальные аппаратные средства для их хранения;
хранение паролей осуществляется операционной системой, и установленный ею уровень защиты не может быть ослаблен;
запрещено сообщать свои пароли третьим лицам в какой бы то ни было форме;
пароли запрещается писать на компьютерных терминалах, помещать в общедоступные места;
необходимо заменить все пароли, назначенные системой по умолчанию, на собственные, а потом, если это возможно, отключить возможность доступа к данному ресурсу по стандартному паролю;
все имена и пароли для доступа к каким-либо информационным ресурсам, которые не используются, подлежат надежной блокировке;
система должна предотвращать попытки регистрации и перерегистрации тех сотрудников, чьи имена и пароли для входа в систему не соответствуют установленным правилам;
при получении доступа к какому-либо информационному ресурсу при помощи процесса авторизации по имени и паролю сотрудник не должен произносить эти данные вслух при вводе их в систему;
изменять пароли необходимо всякий раз, когда есть указания на возможную компрометацию систем или паролей.
13. Управление непрерывностью работы
Исполнительного комитета
Основной целью управления непрерывностью работы Исполнительного комитета является противодействие прерыванию работы и защита рабочих процессов от последствий при значительных сбоях или бедствиях.
Необходимо обеспечивать управление непрерывностью работы с целью минимизации отрицательных последствий, вызванных нарушениями безопасности. Последствия от нарушений безопасности и отказов в обслуживании необходимо анализировать, по результатам анализа разрабатывать и внедрять планы обеспечения непрерывности работы с целью восстановления рабочих процессов в течение требуемого времени при их нарушении. Такие планы следует поддерживать и применять на практике. Должна быть выработана стратегия непрерывности рабочего процесса в соответствии с согласованными целями и приоритетами. Необходимо, чтобы планирование непрерывности работ начиналось с идентификации событий, которые могут быть причиной прерывания работы, например, отказ оборудования, наводнение или пожар. Планирование должно сопровождаться оценкой рисков с целью определения последствий этих прерываний (как с точки зрения масштаба повреждения, так и периода восстановления). Оценка риска должна распространяться на все рабочие процессы и не ограничиваться только средствами обработки информации. В зависимости от результатов оценки рисков необходимо разработать стратегию для определения общего подхода к обеспечению непрерывности работы. Разработанный план должен быть утвержден руководством Исполнительного комитета. Необходимо, чтобы план обеспечения непрерывности работы предусматривал следующие мероприятия по обеспечению информационной безопасности:
- определение и согласование всех обязанностей должностных лиц и процедур на случаи чрезвычайных ситуаций;
- внедрение в случае чрезвычайных ситуаций процедур, обеспечивающих возможность восстановления рабочего процесса в течение требуемого времени;
- особое влияние следует уделять оценке зависимости работы от внешних факторов и существующих контрактов;
- документирование согласованных процедур и процессов;
- соответствующее обучение сотрудников действиям при возникновении чрезвычайных ситуаций, включая кризисное управление.
Необходимо, чтобы план обеспечения непрерывности работы соответствовал требуемым целям работы.
14. Ответственность за нарушение политики безопасности
Все сотрудники Исполнительного комитета несут ответственность за нарушение требований настоящей Политики информационной безопасности согласно действующему законодательству в области защиты информации.
15. Сопровождение правил
Все без исключения положения данного документа имеют одинаково равную силу и должны неукоснительно соблюдаться.
Политика информационной безопасности должна в обязательном порядке периодически перечитываться и пересматриваться (не реже чем один раз в год).
Ежемесячно должна проводиться оценка текущего состояния имеющихся у сотрудников информационных ресурсов. В результате этой оценки в соответствующие документы по безопасности должны вноситься необходимые изменения (если они есть).
При проведении каких-либо изменений в данных правилах соответствующие изменения, при необходимости, должны производиться и в других документах, касающихся обеспечения безопасности.
Если возникли непредвиденные обстоятельства, требующие срочного пересмотра Политики информационной безопасности, то такой пересмотр может быть осуществлен до планового пересмотра.
При возникновении серьезных проблем с безопасностью системы (например, при успешном взломе системы безопасности) возникшая проблема должна быть немедленно проанализирована, а организационно-распорядительные документы по информационной безопасности - пересмотрены в соответствии с проведенным анализом. При этом нужно рассматривать проблему в целом и излишне не фокусировать внимание на отдельных деталях.
Копия настоящей Политики должна находиться в доступном для сотрудников Исполнительного комитета месте.
Управляющий делами
Исполнительного комитета
Г.А.ЮСУПОВА
