Настоящая Политика информационной безопасности (далее – Политика) муниципального автономного общеобразовательного учреждения «Средняя общеобразовательная школа № 25» (Далее - Учреждения), является официальным документом.
Политика разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных.
Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (с последующими изменениями), Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (с последующими изменениями), постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (с последующими изменениями) и другими нормативно-правовыми актами.
В Политике определены требования к персоналу ИСПДн, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности сотрудников, ответственных за обеспечение безопасности персональных данных в ИСПДн Учреждения.
-
Общие положения
Целью настоящей Политики является обеспечение безопасности объектов защиты Учреждения от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности ПДн (УБПДн).
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Информация и связанные с ней ресурсы должны быть доступны для авторизованных пользователей. Должно осуществляться своевременное обнаружение и реагирование на УБПДн.
Должно осуществляться предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.
Требования настоящей Политики распространяются на всех сотрудников Учреждения (штатных, временных, работающих по договору и т.п.), а также всех прочих лиц (подрядчики, аудиторы и т.п.).
-
Система защиты персональных данных
Система защиты персональных данных (СЗПДн), строится на основании:
-
перечня персональных данных, подлежащих защите;
-
акта классификации информационной системы персональных данных;
-
модели угроз безопасности персональных данных;
-
положения о разграничении прав доступа к обрабатываемым персональным данным.
На основании этих документов определяется необходимый уровень защищенности ПДн каждой ИСПДн Учреждения. На основании анализа актуальных угроз безопасности ПДн описанного в Модели угроз и Актов классификации информационных систем, делается заключение о необходимости использования технических средств и организационных мероприятий для обеспечения безопасности ПДн.
Каждая ИСПДн должна соответствовать техническим средствам защиты, а также программному обеспечению, участвующего в обработке ПДн, на всех элементах ИСПДн:
-
АРМ пользователей;
-
сервера приложений;
-
СУБД;
-
граница ЛВС;
-
каналов передачи в сети общего пользования и (или) международного обмена, если по ним передаются ПДн.
В зависимости от уровня защищенности ИСПДн и актуальных угроз, СЗПДн может включать следующие технические средства:
-
антивирусные средства для рабочих станций пользователей и серверов;
-
средства межсетевого экранирования;
-
средства криптографической защиты информации, при передаче защищаемой информации по каналам связи.
В ИСПДн должны быть включены функции защиты, обеспечиваемые штатными средствами обработки ПДн операционными системами (ОС), прикладным ПО и специальными комплексами, реализующими средства защиты.
Функции защиты:
-
управление и разграничение доступа пользователей;
-
регистрация и учет действий с информацией;
-
обеспечение целостности данных;
-
обнаружение вторжений.
-
Требования к подсистемам СЗПДн
СЗПДн включает в себя следующие подсистемы:
-
управления доступом, регистрации и учета;
-
обеспечения целостности и доступности;
-
антивирусной защиты;
-
межсетевого экранирования;
-
анализа защищенности;
-
обнаружения вторжений;
-
криптографической защиты.
-
-
Подсистемы управления доступом, регистрации и учета
-
Подсистема управления доступом, регистрации и учета предназначена для реализации следующих функций:
-
идентификации и проверка подлинности субъектов доступа при входе в ИСПДн;
-
идентификации терминалов, узлов сети, каналов связи, внешних устройств по логическим именам;
-
идентификации программ, томов, каталогов, файлов, записей, полей записей по именам;
-
регистрации входа (выхода) субъектов доступа в систему (из системы), либо регистрация загрузки и инициализации операционной системы и ее останова;
-
регистрации попыток доступа программных средств (программ, процессов, задач, заданий) к защищаемым файлам;
-
регистрации попыток доступа программных средств к терминалам, каналам связи, программам, томам, каталогам, файлам, записям, полям записей.
Подсистема управления доступом может быть реализована с помощью штатных средств обработки ПДн (операционных систем, приложений и СУБД). Так же может быть внедрено специальное техническое средство или их комплекс осуществляющие дополнительные меры по аутентификации и контролю. Например, применение единых хранилищ учетных записей пользователей и регистрационной информации, использование биометрических и технических (с помощью электронных пропусков) мер аутентификации и других.
-
-
Подсистема обеспечения целостности и доступности
-
Подсистема обеспечения целостности и доступности предназначена для обеспечения целостности и доступности ПДн, программных и аппаратных средств ИСПДн Учреждения, а также средств защиты, при случайной или намеренной модификации.
Подсистема реализуется с помощью организации резервного копирования обрабатываемых данных, а также резервированием ключевых элементов ИСПДн.
-
-
Подсистема антивирусной защиты
-
Подсистема антивирусной защиты предназначена для обеспечения антивирусной защиты серверов и АРМ пользователей ИСПДн Учреждения.
Средства антивирусной защиты предназначены для реализации следующих функций:
-
резидентный антивирусный мониторинг;
-
антивирусное сканирование;
-
скрипт-блокирование;
-
централизованную/удаленную установку/деинсталляцию антивирусного продукта, настройку, администрирование, просмотр отчетов и статистической информации по работе продукта;
-
автоматизированное обновление антивирусных баз;
-
ограничение прав пользователя на остановку исполняемых задач и изменения настроек антивирусного программного обеспечения;
-
автоматический запуск сразу после загрузки операционной системы.
Подсистема реализуется путем внедрения специального антивирусного программного обеспечения на все элементы ИСПДн.
-
-
Подсистема межсетевого экранирования
-
Подсистема межсетевого экранирования предназначена для реализации следующих функций:
-
фильтрации открытого и зашифрованного (закрытого) IP-трафика;
-
фиксации во внутренних журналах информации о проходящем открытом и закрытом IP-трафике;
-
идентификации и аутентификацию администратора межсетевого экрана при его локальных запросах на доступ;
-
регистрации входа (выхода) администратора межсетевого экрана в систему (из системы) либо загрузки и инициализации системы;
-
контроля целостности своей программной и информационной части;
-
фильтрации пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
-
фильтрации с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
-
регистрации и учета запрашиваемых сервисов прикладного уровня;
-
блокирования доступа не идентифицированного объекта или субъекта, подлинность которого при аутентификации не подтвердилась, методами, устойчивыми к перехвату;
-
контроля за сетевой активностью приложений и обнаружения сетевых атак.
Подсистема реализуется внедрением программно-аппаратных комплексов межсетевого экранирования на границе ЛСВ, классом не ниже 4.
-
-
Подсистема анализа защищенности
-
Подсистема анализа защищенности, должна обеспечивать выявления уязвимостей, связанных с ошибками в конфигурации ПО ИСПДн, которые могут быть использованы нарушителем для реализации атаки на систему.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
-
-
Подсистема обнаружения вторжений
-
Подсистема обнаружения вторжений, должна обеспечивать выявление сетевых атак на элементы ИСПДн подключенные к сетям общего пользования и (или) международного обмена.
Функционал подсистемы может быть реализован программными и программно-аппаратными средствами.
-
-
Подсистема криптографической защиты
-
Подсистема криптографической защиты предназначена для исключения НСД к защищаемой информации в ИСПДн Учреждения, при ее передаче по каналам связи сетей общего пользования и (или) международного обмена.
Подсистема реализуется внедрения криптографических программно-аппаратных комплексов.
-
Пользователи ИСПДн
В Концепции информационной безопасности Российской Федерации определены основные категории пользователей. На основании этих категории должна быть произведена типизация пользователей ИСПДн, определен их уровень доступа и возможности.
В ИСПДн Учреждения можно выделить следующие группы пользователей, участвующих в обработке и хранении ПДн:
-
администратора ИСПДн;
-
администратора безопасности;
-
оператора АРМ;
-
администратора сети;
-
технического специалиста по обслуживанию периферийного оборудования;
-
программист-разработчик ИСПДн.
-
-
Администратор ИСПДн
-
Администратор ИСПДн, сотрудник Учреждения, ответственный за настройку, внедрение и сопровождение ИСПДн. Обеспечивает функционирование подсистемы управления доступом ИСПДн и уполномочен осуществлять предоставление и разграничение доступа конечного пользователя (Оператора АРМ) к элементам, хранящим персональные данные.
Администратор ИСПДн обладает следующим уровнем доступа и знаний:
-
обладает полной информацией о системном и прикладном программном обеспечении ИСПДн;
-
обладает полной информацией о технических средствах и конфигурации ИСПДн;
-
имеет доступ ко всем техническим средствам обработки информации и данным ИСПДн;
-
обладает правами конфигурирования и административной настройки технических средств ИСПДн.
-
-
Администратор безопасности
-
Администратор безопасности, сотрудник Учреждения, ответственный за функционирование СЗПДн, включая обслуживание и настройку административной, серверной и клиентской компонент.
Администратор безопасности обладает следующим уровнем доступа и знаний:
-
обладает правами Администратора ИСПДн;
-
обладает полной информацией об ИСПДн;
-
имеет доступ к средствам защиты информации и протоколирования и к части ключевых элементов ИСПДн;
-
не имеет прав доступа к конфигурированию технических средств сети за исключением контрольных (инспекционных).
Администратор безопасности уполномочен:
-
реализовывать политики безопасности в части настройки СКЗИ, межсетевых экранов и систем обнаружения атак, в соответствии с которыми пользователь (Оператор АРМ) получает возможность работать с элементами ИСПДн;
-
осуществлять аудит средств защиты;
-
устанавливать доверительные отношения своей защищенной сети с сетями других Учреждений.
-
-
Оператор АРМ
-
Оператор АРМ, сотрудник Учреждения, осуществляющий обработку ПДн. Обработка ПДн включает: возможность просмотра ПДн, ручной ввод ПДн в систему ИСПДн, формирование справок и отчетов по информации, полученной из ИСПД. Оператор не имеет полномочий для управления подсистемами обработки данных и СЗПДн.
Оператор ИСПДн обладает следующим уровнем доступа и знаний:
-
обладает всеми необходимыми атрибутами (например, паролем), обеспечивающими доступ к некоторому подмножеству ПДн;
-
располагает конфиденциальными данными, к которым имеет доступ.
-
-
Администратор сети
-
Администратор сети, сотрудник Учреждения, ответственный за функционирование телекоммуникационной подсистемы ИСПДн. Администратор сети не имеет полномочий для управления подсистемами обработки данных и безопасности.
Администратор сети обладает следующим уровнем доступа и знаний:
-
обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
-
обладает частью информации о технических средствах и конфигурации ИСПДн;
-
имеет физический доступ к техническим средствам обработки информации и средствам защиты;
-
знает, по меньшей мере, одно легальное имя доступа.
-
-
Технический специалист по обслуживанию периферийного оборудования
-
Технический специалист по обслуживанию, сотрудник Учреждения, осуществляет обслуживание и настройку периферийного оборудования ИСПДн. Технический специалист по обслуживанию не имеет доступа к ПДн, не имеет полномочий для управления подсистемами обработки данных и безопасности.
Технический специалист по обслуживанию обладает следующим уровнем доступа и знаний:
-
обладает частью информации о системном и прикладном программном обеспечении ИСПДн;
-
обладает частью информации о технических средствах и конфигурации ИСПДн;
-
знает, по меньшей мере, одно легальное имя доступа.
-
-
Программист-разработчик ИСПДн
-
Программисты-разработчики (поставщики) прикладного программного обеспечения, обеспечивающие его сопровождение на защищаемом объекте. К данной группе могут относиться как сотрудники Учреждения, так и сотрудники сторонних организаций.
Лицо этой категории:
-
обладает информацией об алгоритмах и программах обработки информации на ИСПДн;
-
обладает возможностями внесения ошибок, недекларированных возможностей, программных закладок, вредоносных программ в программное обеспечение ИСПДн на стадии ее разработки, внедрения и сопровождения;
-
может располагать любыми фрагментами информации о топологии ИСПДн и технических средствах обработки и защиты ПДн, обрабатываемых в ИСПДн.
-
Требования к персоналу по обеспечению защиты ПДн
Все сотрудники Учреждения, являющиеся пользователями ИСПДн, должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.
При вступлении в должность нового сотрудника необходимо организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ИСПДн.
Сотрудники Учреждения, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей) и не допускать НСД к ним, а также возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.
Сотрудники Учреждения должны следовать установленным процедурам поддержания режима безопасности ПДн при выборе и использовании паролей (если не используются технические средства аутентификации).
Сотрудники Учреждения должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.
Сотрудникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.
Сотрудникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами Учреждения, третьим лицам.
При работе с ПДн в ИСПДн сотрудники Учреждения обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов АРМ или терминалов.
При завершении работы с ИСПДн сотрудники обязаны защитить АРМ или терминалы с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.
Сотрудники Учреждения должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение. Они должны быть ознакомлены с утвержденной формальной процедурой наложения дисциплинарных взысканий на сотрудников, которые нарушили принятые политику и процедуры безопасности ПДн.
Сотрудники обязаны без промедления сообщать обо всех наблюдаемых или подозрительных случаях работы ИСПДн, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству подразделения и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.
-
Ответственность сотрудников ИСПДн Учреждения
В соответствии со ст. 24 Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных» лица, виновные в нарушении требований данного Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.
Действующее законодательство РФ позволяет предъявлять требования по обеспечению безопасной работы с защищаемой информацией и предусматривает ответственность за нарушение установленных правил эксплуатации ЭВМ и систем, неправомерный доступ к информации, если эти действия привели к уничтожению, блокированию, модификации информации или нарушению работы ЭВМ или сетей (статьи 272, 273 и 274 УК РФ).
При нарушениях сотрудниками Учреждения – пользователей ИСПДн правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.