Утверждено

Советом директоров

Протокол № 7

от "18" мая 2011 г.

Политика информационной безопасности

небанковской кредитной организации «Сибирский расчетный центр» - закрытое акционерное общество

1. Общие положения

1.1. Термины и определения

    Автоматизированная система обработки информации - организационно-техническая система, представляющая собой совокупность следующих взаимосвязанных компонентов: технических средств обработки и передачи данных (средств вычислительной техники и связи), методов и алгоритмов обработки в виде соответствующего программного обеспечения, массивов (наборов, баз) данных на различных носителях, персонала и пользователей, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки данных с целью удовлетворения информационных потребностей потребителей информации; Авторизованный субъект доступа - субъект, которому предоставлены соответствующие права доступа к объектам системы (полномочия); Атака на информационную систему - любое действие, выполняемое нарушителем, которое приводит к реализации угрозы, путем использования уязвимостей системы, Безопасность информации - защищенность информации от нежелательного (для соответствующих субъектов информационных отношений) ее разглашения (нарушения конфиденциальности), искажения (нарушения целостности), утраты или снижения степени доступности информации, а также незаконного ее тиражирования; Безопасность информационной технологии - защищенность технологического процесса переработки информации; Безопасность любого ресурса информационной системы - складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности; Конфиденциальность компонента системы заключается в том, что он доступен только тем субъектам доступа (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия. Целостность компонента предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени. Доступность компонента означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы (ресурсу); Безопасность субъектов информационных отношений - защищенность жизненно важных интересов субъектов информационных отношений от нанесения им материального, морального или иного вреда путем воздействия на информацию и/или средства ее обработки и передачи. Безопасность достигается проведением единой Концепции в области охраны и защиты важных ресурсов, системой мер экономического, организационного и иного характера, адекватных угрозам жизненно важным интересам; Внешний воздействующий фактор - воздействующий фактор, внешний по отношению к объекту информатизации; Внутренний воздействующий фактор - воздействующий фактор, внутренний по отношению к объекту информатизации; Вредоносные программы - программы или измененные программы объекта информатизации, приводящие к несанкционированному уничтожению, блокированию, модификации либо копированию информации или нарушению работы; Выделенное помещение - помещение для размещения технических средств защищенного объекта информатизации, а также помещение, предназначенное для проведения семинаров, совещаний, бесед и других мероприятий, в котором циркулирует конфиденциальная речевая информация; Документ - зафиксированная на материальном носителе информация с реквизитами, позволяющими его идентифицировать; Доступ к информации - ознакомление с информацией или получение возможности ее обработки. Доступ к информации регламентируется ее правовым режимом и должен сопровождаться строгим соблюдением его требований. Доступ к информации, осуществленный с нарушениями требований ее правового режима, рассматривается как несанкционированный доступ; Доступ к ресурсу - получение субъектом доступа возможности манипулировать (использовать, управлять, изменять характеристики и т. п.) данным ресурсом; Доступность информации - важнейшее свойство системы, в которой циркулирует информация (средств и технологии ее обработки), характеризующееся способностью обеспечивать своевременный беспрепятственный доступ к информации субъектов, имеющих на это надлежащие полномочия; Естественные угрозы - это угрозы, вызванные воздействиями на информационную систему и ее компоненты объективных физических процессов техногенного характера или стихийных природных явлений, независящих от человека; Жизненно важные интересы - совокупность потребностей, удовлетворение которых необходимо для надежного обеспечения существования и возможности прогрессивного развития субъекта. Замысел защиты - основная идея, раскрывающая состав, содержание, взаимосвязь и последовательность мероприятий, необходимых для достижения цели защиты информации и объекта; Защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на информацию; Защита информации от несанкционированного доступа - деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации; Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации; Злоумышленник - нарушитель, действующий намеренно из корыстных, идейных или иных побуждений; Информативный сигнал - электрические сигналы, акустические, электромагнитные и другие физические поля, по параметрам которых может быть раскрыта информация ограниченного распространения, передаваемая, хранимая, обрабатываемая или обсуждаемая в выделенных помещениях; Информация - сведения о предметах, фактах, событиях, явлениях и процессах независимо от формы их представления; Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах; Информационная среда - совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений; Информационная система Центра - организационно упорядоченная совокупность документов (массивов документов), независимо от формы их представления, и информационных технологий, в том числе с использованием вычислительной техники и связи. Информационная система Центра включает в себя множество всех документов, существующих в Центре; Информационные способы нарушения безопасности информации включают:

·  противозаконный сбор, распространение и использование информации;

·  манипулирование информацией (дезинформация, сокрытие или искажение информации);

·  незаконное копирование информации (данных и программ);

·  незаконное уничтожение информации;

·  хищение информации из баз и Центров данных;

·  нарушение адресности и оперативности информационного обмена;

·  нарушение технологии обработки данных и информационного обмена.

    Искусственные угрозы - это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

·  непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т. п.;

·  преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников);

    Компьютерная информация - информация в виде:

·  записей в памяти компьютеров, электронных устройствах, на машинных носителях (элементы, файлы, блоки, базы данных, микропрограммы, прикладные и системные программы, пакеты и библиотеки программ, микросхемы, программно-информационные комплексы и др.), обеспечивающих функционирование объекта информатизации (сети);

·  сообщений, передаваемых по сетям передачи данных;

·  программно-информационного продукта, являющегося результатом генерации новой или обработки исходной документированной информации, представляемого непосредственно на экранах дисплеев, на внешних носителях данных (магнитные диски, магнитные ленты, оптические диски, дискеты, бумага для распечатки и т. п.) или через сети передачи данных;

·  электронных записей о субъектах прав;

    Контролируемая зона - это пространство, в котором исключено неконтролируемое пребывание лиц, не имеющих постоянного или разового допуска, и посторонних транспортных средств. Границей контролируемой зоны могут являться:

·  периметр охраняемой территории Центра;

·  ограждающие конструкции охраняемого здания, охраняемой части здания, выделенного помещения.

·  В отдельных случаях на период обработки техническими средствами секретной информации (проведения закрытого мероприятия) контролируемая зона временно может устанавливаться большей, чем охраняемая территория предприятия. При этом должны приниматься организационно-режимные и технические меры, исключающие или существенно затрудняющие возможность ведения перехвата информации в этой зоне;

    Конфиденциальность информации - субъективно определяемая (приписываемая) информации характеристика (свойство), указывающая на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемая способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на право доступа к ней; Корпоративная информационная система - автоматизированная система обработки информации Центра; Лицензия в области защиты информации - разрешение на право проведения тех или иных работ в области защиты информации; Морально-этические меры защиты информации - традиционно сложившиеся в стране или обществе нормы поведения и правила обращения с информацией. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т. п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний; Нарушитель - это лицо (субъект), которое предприняло (пыталось предпринять) попытку несанкционированного доступа к ресурсам системы (попытку выполнения запрещенных ему действий с данным ресурсом) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или с целью самоутверждения и т. п.) и использовавшее для этого различные возможности, методы и средства; Несанкционированное действие - действие субъекта в нарушение установленных в системе правил обработки информации; Несанкционированный доступ - доступ субъекта к объекту в нарушение установленных в системе правил разграничения доступа; Объект - пассивный компонент системы, единица ресурса информационной системы, доступ к которому регламентируется правилами разграничения доступа; Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. Организационно-правовые способы нарушения безопасности информации включают:

·  закупку несовершенных, устаревших или неперспективных средств информатизации и информационных технологий;

·  невыполнение требований законодательства или нормативных актов и задержки в разработке и принятии необходимых нормативных правовых и технических документов в области безопасности информации.

    Организационные меры защиты - это меры, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности циркулирующей в ней информации; Организационный контроль эффективности защиты информации - проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации. Пароль - служебное слово, которое считается известным узкому кругу лиц (одному лицу) и используется для ограничения доступа к информации, в помещение, на территорию; Пользователь - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации; Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов к объектам в некоторой системе; Правовые меры защиты информации - действующие в стране законы, указы и другие нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушения, препятствующие тем самым неправомерному ее использованию и являющиеся сдерживающим фактором для потенциальных нарушителей; Программно-математические способы нарушения безопасности информации включают:

·  внедрение программ-вирусов;

·  внедрение программных закладок как на стадии проектирования системы (в том числе путем заимствования "зараженного" закладками программного продукта), так и на стадии ее эксплуатации, позволяющих осуществить несанкционированный доступ или действия по отношению к информации и системам ее защиты (блокирование, обход и модификация систем защиты, извлечение, подмена идентификаторов и т. д.) и приводящих к компрометации системы защиты информации.

    Разграничение доступа к ресурсам - это такой порядок использования ресурсов системы, при котором субъекты получают доступ к объектам в строгом соответствии с установленными правилами; Секретная информация - речевая информация, информация, циркулирующая в средствах вычислительной техники и связи, телекоммуникациях, а также другие информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, представленные в виде информативных акустических и электрических сигналов, физических полей, материальных носителей (в том числе на магнитной и оптической основе), информационных массивов и баз данных. Система информационной безопасности - совокупность (комплекс) специальных мер правового (законодательного) и административного характера, организационных мероприятий, физических и технических (программных и аппаратных) средств защиты, а также специального персонала, предназначенных для обеспечения информационной безопасности Центра; Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации. Субъект - активный компонент системы (пользователь, процесс, программа), действия которого регламентируются правилами разграничения доступа; Субъекты информационных отношений - государство, государственные органы, государственные, общественные или коммерческие организации (объединения) и предприятия (юридические лица), отдельные граждане (физические лица) и иные субъекты, взаимодействующие с целью совместной обработки информации; Технические (аппаратно-программные) средства защиты - различные электронные устройства и специальные программы, которые выполняют (самостоятельно или в комплексе с другими средствами) функции защиты информации (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации и т. д.); Технология обеспечения информационной безопасности - определенное распределение функций и регламентация порядка их исполнения, а также порядка взаимодействия подразделений и сотрудников Центра по обеспечению комплексной защиты информационных ресурсов Центра; Угроза - реально или потенциально возможные действия по реализации опасных воздействующих факторов с целью преднамеренного или случайного (неумышленного) нарушения режима функционирования объекта и нарушения свойств защищаемой информации или других ресурсов объекта; Угроза безопасности информации - потенциально возможное событие, действие, процесс или явление, которое может привести к нарушению конфиденциальности, целостности, доступности информации, а также неправомерному ее тиражированию, которое наносит ущерб собственнику, владельцу или пользователю информации; Угроза интересам субъектов информационных отношений - потенциально возможное событие, действие, процесс или явление, которое посредством воздействия на информацию и другие информационной системы может привести к нанесению ущерба интересам данных субъектов; Уровень защиты (класс и категория защищенности) - характеристика, описываемая в нормативных документах определенной группой требований к данному классу и категории защищенности; Уязвимость автоматизированной системы - любая характеристика автоматизированной системы, использование которой может привести к реализации угрозы; Уязвимость информации - подверженность информации воздействию различных дестабилизирующих факторов, которые могут привести к нарушению ее конфиденциальности, целостности, доступности, или неправомерному ее тиражированию; Уязвимость субъекта информационных отношений - потенциальная подверженность субъекта нанесению ущерба его жизненно важным интересам посредством воздействия на критичную для него информацию, ее носители и процессы обработки; Физические меры защиты - это разного рода механические, электро - или электронно-механические устройства и сооружения, специально предназначенные для создания физических препятствий на возможных путях проникновения и доступа потенциальных нарушителей к защищаемой информации и другим ресурсам информационной системы, а также технические средства визуального наблюдения, связи и охранной сигнализации; Физические способы нарушения безопасности информации - включают:

·  уничтожение, хищение и разрушение средств обработки и защиты информации, средств связи, целенаправленное внесение в них неисправностей;

·  уничтожение, хищение и разрушение машинных или других оригиналов носителей информации;

·  хищение ключей (ключевых документов) средств криптографической защиты информации, программных или аппаратных ключей средств защиты информации от несанкционированного доступа;

·  воздействие на обслуживающий персонал и пользователей системы с целью создания благоприятных условий для реализации угроз безопасности информации;

·  диверсионные действия по отношению к объектам безопасности информации (взрывы, поджоги, технические аварии и т. д.).

    Физический канал утечки информации - неконтролируемый физический путь от источника информации за пределы организации или круга лиц, обладающих охраняемыми сведениями, посредством которого возможно неправомерное (несанкционированное) овладение нарушителем защищаемой информацией; Целостность информации - свойство информации, заключающееся в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию); Цель защиты информации - предотвращение или минимизация наносимого ущерба (прямого или косвенного, материального, морального или иного) субъектам информационных отношений посредством нежелательного воздействия на компоненты информационной системы, а также разглашения (утечки), искажения (модификации), утраты (снижения степени доступности) или незаконного тиражирования информации.

1.2. Назначение и правовая основа документа

Политика информационной безопасности небанковской кредитной организации «Сибирский расчетный центр» - закрытое акционерное общество (далее - Политика) определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, как одно или несколько правил, процедур, практических приемов и руководящих принципов в области информационной безопасности, которыми руководствуется организация банковской системы Российской Федерации в своей деятельности, а также основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в небанковской кредитной организации «Сибирский расчетный центр» - закрытое акционерное общество (далее - Центр).

Политика учитывает современное состояние и ближайшие перспективы развития информационных технологий в Центре, цели, задачи и правовые основы их эксплуатации, режимы функционирования, а также содержит анализ угроз безопасности для объектов и субъектов информационных отношений Центра.

Основные положения и требования данного документа распространяются на все структурные подразделения Центра. Основные вопросы Политики также распространяются на другие организации и учреждения, взаимодействующие с Центром в качестве поставщиков и потребителей информационных ресурсов Центра в том или ином качестве.

Законодательной основой настоящей Политики являются Конституция Российской Федерации, Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации, Федерального агентства правительственной связи и информации при Президенте Российской Федерации.

Политика является методологической основой для:

    формирования и проведения единой политики в области обеспечения безопасности информации в Центре; принятия управленческих решений и разработке практических мер по воплощению политика безопасности информации и выработки комплекса согласованных мер, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации; координации деятельности структурных подразделений Центра при проведении работ по созданию, развитию и эксплуатации информационных технологий с соблюдением требований по обеспечению безопасности информации; разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения безопасности информации в Центре.

Использование данной Политики в качестве основы для построения комплексной системы информационной безопасности Центра позволит оптимизировать затраты на ее построение.

При разработке Политики учитывались основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно-программных средств защиты и противодействия угрозам безопасности информации.

Основные положения Политики базируются на качественном осмыслении вопросов безопасности информации и не затрагивают вопросов экономического (количественного) анализа рисков и обоснования необходимых затрат на защиту информации.

2. Объекты защиты

Основными объектами системы информационной безопасности в Центре являются:

    информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, персональные данные или иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, а также открытая (общедоступная) информация, необходимая для работы Центра, независимо от формы и вида ее представления; процессы обработки информации в информационной системе Центра информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, персонал разработчиков и пользователей системы и ее обслуживающий персонал; информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные элементы информационной среды Центра.

2.1. Структура, состав и размещение основных объектов защиты, информационные связи

Информационная среда Центра представляет собой комплексы автоматизированных рабочих мест, объединенных в единую информационную систему средствами связи без использования технологии удаленного доступа (локальные информационные системы).

К основным особенностям информационной среды Центра, относятся:

    объединение в единую систему разнообразных технических средств обработки и передачи информации; использования автоматизированных систем обработки информации, распространение информационно-управляющих систем в Центре; разнообразие решаемых задач и типов обрабатываемых данных, сложные режимы автоматизированной обработки информации с совмещением выполнения информационных запросов различных пользователей; значительная важность и ответственность решений, принимаемых на основе автоматизированной обработки данных; объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности; абстрагирование владельцев данных от физических структур и места размещения данных (информации); наличие информационных каналов взаимодействия с "внешним миром" (источниками и потребителями информации); необходимость обеспечения непрерывности функционирования Центра; разнообразие категорий пользователей и обслуживающего персонала системы.

В этих условиях возрастает уязвимость информации и одним из важнейших элементов информационной среды Центра становится корпоративная информационная система, в которой обрабатываются и накапливаются значительные объемы информации, совместно используемой различными пользователями, различной организационной принадлежности.

2.2. Категории информационных ресурсов, подлежащих защите

В Центре циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, коммерческая, банковская информация, персональные данные), и открытые сведения.

Защите подлежит вся информация и информационные ресурсы Центра, независимо от ее представления и местонахождения в информационной среде Центра:

    сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации в соответствии с Федеральным законом ‘’Об информации, информатизации и защите информации”; сведения, составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом "О банках и банковской деятельности"; сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом “О персональных данных”; открытая информация, необходимая для обеспечения нормального функционирования Центра.

3. Цели и задачи обеспечения безопасности информации

3.1. Интересы затрагиваемых субъектов информационных отношений

Субъектами информационных отношений при обеспечении информационной безопасности Центра являются:

    Центр, как собственник информационных ресурсов; руководство и сотрудники структурных подразделений Центра, в соответствии с возложенными на них функциями; юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в информационной системе Центра; другие юридические и физические лица, задействованные в обеспечении выполнения Центром своих функций (консультанты, разработчики, обслуживающий персонал, организации, привлекаемые для оказания услуг и пр.).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

    своевременного доступа к необходимой им информации (ее доступности); достоверности (полноты, точности, адекватности, целостности) информации; конфиденциальности (сохранения в тайне) определенной части информации; защиты от навязывания им ложной (недостоверной, искаженной) информации; разграничения ответственности за нарушения их прав (интересов) и установленных правил обращения с информацией; возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации; защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т. п.).

3.2. Цели защиты

Основной целью, на достижение которой направлены все положения настоящей Политики, является защита субъектов информационных отношений Центра от возможного нанесения им материального, физического, морального или иного ущерба, посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи, а также минимизация уровня операционного и других рисков (риск нанесения урона деловой репутации Центра, правовой риск и т. д.).

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации:

    доступности информации для легальных пользователей (устойчивого функционирования информационной системы Центра, при котором пользователи имеют возможность получения необходимой информации и результатов решения задач за приемлемое для них время); целостности и аутентичности (подтверждение авторства) информации, хранимой и обрабатываемой в информационной системе Центра и передаваемой по каналам связи; конфиденциальности - сохранения в тайне определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;

Необходимый уровень доступности, целостности и конфиденциальности информации обеспечивается соответствующими множеству значимых угроз методами и средствами.

3.3. Основные задачи системы обеспечения безопасности информации Центра

Для достижения основной цели защиты и обеспечения указанных свойств информации система обеспечения информационной безопасности Центра должна обеспечивать эффективное решение следующих задач:

    своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационной системы Центра; создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции; создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации; защиту от вмешательства в процесс функционирования информационной системы Центра посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи); разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам Центра (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа; обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации); защиту от несанкционированной модификации используемых в корпоративной информационной системе Центра программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы; защиту информации ограниченного пользования от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи; обеспечение живучести криптографических средств защиты информации.

3.4. Основные пути решения задач системы защиты

Поставленные основные цели защиты и решение перечисленных выше задач достигаются:

    строгим учетом всех подлежащих защите ресурсов информационной системы Центра (информации, задач, документов, каналов связи, серверов, автоматизированных рабочих мест); журналированием действий персонала, осуществляющего обслуживание и модификацию программных и технических средств корпоративной информационной системы; полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов Центра по вопросам обеспечения безопасности информации; подготовкой должностных лиц (сотрудников), ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации и процессов ее обработки; наделением каждого сотрудника (пользователя) минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к информационным ресурсам Центра; четким знанием и строгим соблюдением всеми пользователями информационной системы Центра требований организационно-распорядительных документов по вопросам обеспечения безопасности информации; персональной ответственностью за свои действия каждого сотрудника, в рамках своих функциональных обязанностей имеющего доступ к информационным ресурсам Центра; непрерывным поддержанием необходимого уровня защищенности элементов информационной среды Центра; применением физических и технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования; эффективным контролем над соблюдением пользователями информационных ресурсов Центра требований по обеспечению безопасности информации; юридической защитой интересов Центра при взаимодействии его подразделений с внешними организациями (связанном с обменом информацией) от противоправных действий, как со стороны этих организаций, так и от несанкционированных действий обслуживающего персонала и третьих лиц;

4. Основные угрозы безопасности информации Центра

4.1. Угрозы безопасности информации и их источники

Все множество потенциальных угроз безопасности информации по природе их возникновения разделяются на два класса: естественные (объективные) и искусственные (субъективные).

    Естественные угрозы - это угрозы, вызванные воздействиями на информационную систему и ее компоненты объективных физических процессов техногенного характера или стихийных природных явлений, независящих от человека; Искусственные угрозы - это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:
      непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании информационной системы и ее элементов, ошибками в действиях персонала и т. п.; преднамеренные (умышленные) угрозы, связанные с корыстными, идейными или иными устремлениями людей (злоумышленников).

Источники угроз по отношению к самой информационной системе могут быть как внешними, так и внутренними.

Основными источниками угроз безопасности информации Центра являются:

Из за большого объема этот материал размещен на нескольких страницах:
1 2 3