Политика информационной безопасности
Политика информационной безопасности НББ
Подробное описание
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
В настоящем документе
использованы ссылки на следующие технические нормативные правовые акты в
области технического нормирования и стандартизации:
СТБ ISO/IEC 27001-2024
Информационная безопасность, кибербезопасность и защита конфиденциальности. Системы
менеджмента информационной безопасности. Требования.
Для целей
настоящего документа применяются следующие основные термины и их определения:
активы –
информация, программные, технические и программно-технические средства
обработки информации, которые должны быть защищены организационными мерами и
средствами защиты информации;
аудит
информационной безопасности – систематический, независимый и документированный
процесс получения объективных качественных и количественных записей о текущем
состоянии информационной безопасности;
аутентификация –
процедура проверки подлинности субъекта доступа при входе в учетные записи в
операционных системах, прикладном программном обеспечении и т.д. путем
сравнения введенного им пароля
с паролем в базе данных;
база данных –
структурированный и, как правило, индексированный набор информации, управляемый
специальными программными средствами (системой управления базами данных).
Помимо пользовательских данных содержит критически важные вспомогательные
данные и метаданные, а также управляющие файлы;
вредоносное
программное обеспечение – программный код (исполняемый или интерпретируемый),
обладающий свойством несанкционированного воздействия на активы;
государственная
информационная система – информационная система, создаваемая и (или)
приобретаемая за счет средств республиканского или местных бюджетов,
государственных внебюджетных фондов, а также средств государственных
юридических лиц;
документированная
информация – сведения, зафиксированные
на материальном носителе с реквизитами, позволяющими
их идентифицировать;
доступ к
информации – возможность получения информации
и пользования ею;
доступ к
информационной системе и (или) информационной сети – возможность использования
информационной системы и (или) информационной сети;
доступность –
избежание временного или постоянного сокрытия информации от субъектов доступа;
дифференциальное
резервное копирование – метод организации
резервного копирования, при котором производится копирование новых файлов и
файлов, модифицированных с момента последнего полного резервного копирования;
журнал аудита –
журнал событий, встроенный в операционную систему/прикладное программное
обеспечение/средство защиты информации/активное сетевое оборудование,
содержащий файл с записями (перечнем событий) о текущем состоянии локальной
вычислительной сети, информационных систем и (или) сетей государственного
учреждения «Национальная библиотека Беларуси»;
защита
информации – комплекс правовых, организационных
и технических мер по обеспечению целостности, конфиденциальности, подлинности,
доступности и сохранности информации;
защищаемая
информация – общедоступная информация, представляющая ценность для
государственного учреждения «Национальная библиотека Беларуси» и подлежащая
защите; информация, распространение и (или) предоставление которой ограничено,
в том числе информация о частной жизни физического лица и персональные данные,
иная информация, составляющая охраняемую законом тайну физического лица,
распространение и (или) предоставление которой ограничено,
в составе информационных ресурсов государственного учреждения «Национальная
библиотека Беларуси»;
идентификатор –
уникальное представление субъекта доступа (например, строка символов),
однозначно его определяющее;
идентификация − сравнение
предъявляемого уникального имени (идентификатора) с перечнем присвоенных
идентификаторов;
информация – сведения
о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы
их представления;
информационная
безопасность – состояние защищенности активов, при котором обеспечивается их
конфиденциальность, целостность, доступность и подлинность от угроз
информационной безопасности;
информационная
система – совокупность банков данных, информационных технологий и комплекса
(комплексов) программно-технических средств;
информационный
ресурс – организованная совокупность документированной информации, включающая
базы данных и другую взаимосвязанную
информацию в информационных системах;
инцидент информационной
безопасности – одно или ряд нежелательных или непредвиденных событий
информационной безопасности, при которых имеется значительная вероятность
компрометации функционирования бизнес-процессов и угрозы информационной
безопасности;
компрометация –
событие, в результате которого информация становится известной лицам, не
имеющим прав доступа к ней;
конфиденциальность –
свойство информации, определяющее необходимую степень ее защиты от
несанкционированного доступа и от использования ее субъектами, не имеющими
соответствующих полномочий;
локальная вычислительная сеть – совокупность
средств вычислительной техники (персональных электронных вычислительных машин,
персональных электронных вычислительных машин
с терминальным подключением, серверов и т.д.), соединенных линиями связи,
образованная кабелями, сетевыми адаптерами и другим коммуникационным
оборудованием (программно-техническая инфраструктура);
межсетевое экранирование – фильтрация
входящего/исходящего трафика в соответствии с заданным правилами;
несанкционированный
доступ – любой иной преднамеренный доступ неавторизованных лиц, не являющийся
разрешенным, к активам
с применением технических, аппаратно-программных, программных средств или иным
путем;
обезвреживание вредоносного
программного обеспечения – процедура изменения
программного кода вредоносного программного обеспечения, после которой
прекращается вредоносное воздействие на активы;
обнаружение вредоносного
программного обеспечения – процедуры контроля, относящиеся к совокупности
действий средств защиты
от воздействия вредоносного программного обеспечения, после которых
локализуется вредоносное воздействие на активы;
полное резервное копирование –
метод организации резервного копирования, при котором производится копирование
всей выбранной информации;
подлинность – свойство
информации сохранять неизменность
или обнаруживать факт несанкционированного изменения атрибутов, устанавливающих
авторство;
политика
информационной безопасности – совокупность правил, процедур и требований
управления информационной безопасностью организации;
посетители
государственного учреждения «Национальная библиотека Беларуси» – читатели,
клиенты, участники экскурсий и иные третьи лица, пребывающие в здании и
помещениях государственного учреждения «Национальная библиотека Беларуси» с
различными целями;
работники
государственного учреждения «Национальная библиотека Беларуси» – лица,
взаимодействующие с локальной вычислительной сетью, информационными системами и
(или) сетями государственного учреждения «Национальная библиотека Беларуси» и
наделенные определенными правами доступа к ним (могут иметь
как административные, так и пользовательские привилегии в зависимости от
выполняемых функций);
резервирование
данных – создание резервных копий данных
на устройстве хранения, что позволяет найти и восстановить данные, если оригинал
поврежден или уничтожен;
риск
информационной безопасности – вероятность реализации угроз информационной
безопасности активам, которая может повлечь нарушение или прекращение их функционирования;
система защиты информации – совокупность мер
по защите информации, реализованных в информационной системе;
событие информационной безопасности –
идентифицированный случай состояния системы или сети, указывающий на возможное
нарушение политики информационной безопасности или отказ средств защиты информации,
либо ранее неизвестная ситуация, которая может быть связана с угрозой
информационной безопасности;
сохранность – свойство обеспечения технической и интеллектуальной аутентичности информации с течением времени;
сторонняя
организация – организация, имеющая право на доступ
к активам в соответствии с соглашением или договором на доступ
к активам (например, для ремонта, технического обслуживания, регламентных работ
или аудита информационной безопасности);
субъект доступа
– лицо (работник государственного учреждения «Национальная библиотека
Беларуси», представитель сторонней организации, работающий по договору (при
необходимости) и имеющий доступ к активам) или процесс,
действия которого регламентируются правилами разграничения доступа;
угроза информационной
безопасности – случайное (неумышленное) или преднамеренное (злоумышленное)
воздействие, приводящее
к нарушению целостности, доступности и конфиденциальности информации или поддерживающей
ее инфраструктуры, которое наносит ущерб собственнику, распорядителю или
пользователю информации;
уполномоченные должностные лица,
ответственные за обеспечение информационной безопасности – лица, имеющие высшее
образование
в области защиты информации либо высшее или профессионально-техническое
образование и прошедшие переподготовку или повышение квалификации по вопросам
технической и криптографической защиты информации в порядке, установленном
законодательством, уполномоченные выполнять работы по технической и криптографической
защите информации, включая управление системой защиты информации и средствами
защиты информации, настройку и конфигурирование средств защиты информации,
анализ событий информационной безопасности,
а также функции создания, редактирования, удаления учетных записей;
уязвимость –
любая характеристика актива, использование которой может привести к реализации
угрозы информационной безопасности;
целостность –
свойство сохранения полноты состава и неизменности активов;
частичное
резервное копирование – метод организации
резервного копирования, при котором производится копирование новых файлов
и файлов, модифицированных с момента последнего резервного копирования.
Для целей
настоящего документа применяются следующие обозначения и сокращения:
|
Аудит
безопасности |
– аудит
информационной безопасности; |
|
ЗИ |
– защита
информации; |
|
ИБ |
– информационная
безопасность; |
|
ИТ |
– информационная
технология; |
|
КИТС Библиотеки |
– комплекс
информационно-технологических систем «Национальной библиотеки Беларуси»; |
|
ЛВС |
– локальная
вычислительная сеть; |
|
ЛПА |
– локальный
правовой акт; |
|
Библиотека |
– государственное
учреждение «Национальная библиотека Беларуси»; |
|
ПО |
– программное
обеспечение; |
|
Политика |
– политика
информационной безопасности; |
|
ПЭВМ |
– персональная
электронная вычислительная машина; |
|
САЗ |
– средство антивирусной защиты; |
|
СЗИ |
– система защиты информации. |
Настоящая
Политика является ЛПА верхнего уровня и в том числе входит в состав
документированной информации в области обеспечения ИБ КИТС Библиотеки. Иные
ЛПА, входящие в состав документированной информации в области обеспечения ИБ
КИТС Библиотеки, уточняют (дополняют) положения Политики с учетом детализации
конкретных аспектов ИБ.
Настоящая
Политика представляет собой официально принятую систему взглядов на вопросы
обеспечения ИБ в Библиотеке. Политика
содержит систематизированное изложение основных целей, задач, принципов,
процедур, правил и способов достижения требуемого уровня ИБ, организационных,
технических и процедурных аспектов обеспечения ИБ.
Политика
учитывает современное состояние и ближайшие перспективы развития ЛВС,
информационных систем и сетей Библиотеки,
цели, задачи, правовые основы их создания и эксплуатации, а также режимы их
функционирования.
1. Настоящая
Политика разработана в соответствии с требованиями [1], СТБ ISO/IEC 27001 и в том числе содержит:
1.1. определение ИБ и ее основные
цели;
1.2. разъяснение конкретных
положений политики безопасности, принципов, стандартов и требований к ее
соблюдению, включая:
1.3. определение общих и
конкретных обязанностей по обеспечению ИБ;
1.4. требования к квалификации и
осведомленности работников
о правилах безопасности;
1.5. требования к осведомленности
представителей сторонних организаций о правилах безопасности;
1.6. последствия нарушения
политики безопасности.
Положения и
требования Политики распространяются на работников всех структурных
подразделений Библиотеки. Исполнение
положений
и требований Политики для работников является обязательным в части
их касающейся, при этом положения и требования Политики доводятся
до их сведения путем ознакомления (под подпись) с настоящей Политикой целиком.
2. Ряд положений
и требований Политики распространяются также
на представителей сторонних организаций и посетителей Библиотеки:
2.1. положения и
требования Политики доводятся до сведения представителей сторонних организаций
путем проведения устного инструктажа уполномоченными должностными лицами,
ответственными за обеспечение ИБ, либо путем ознакомления с отдельными
выдержками
из Политики;
2.2. читатели
должны быть проинформированы о требованиях
по обеспечению ИБ до получения читательского билета уполномоченными лицами;
2.3. иные
посетители Библиотеки должны быть ознакомлены
с правилами нахождения в здании и помещениях Библиотеки, при этом они не должны
получать доступ к ЛВС, информационным системам и (или) сетям Библиотеки.
Надлежащий
контроль исполнения Политики выполняется уполномоченными должностными лицами,
ответственными за обеспечение ИБ.
3. Настоящая Политика:
3.1. доступна и поддерживается в
виде документированной информации;
3.2. доступна (при необходимости)
представителям сторонних организаций в части их касающейся;
3.3. пересматривается и
корректируется (при необходимости) через запланированные интервалы времени, но
не реже одного раза в год в рамках внутреннего аудита безопасности, а при
изменении структуры, условий функционирования ЛВС, информационных систем и (или)
сетей Библиотеки либо других факторов,
влияющих на их актуальность – внепланово, с целью обеспечения ее постоянного
соответствия, адекватности и результативности.
4. Основаниями для внепланового
пересмотра Политики являются:
4.1. изменение технологий
обработки защищаемой информации;
4.2. модернизация ЛВС,
информационных систем и (или) сетей Библиотеки
и внедрение новых технологий;
4.3. результаты обследования ИБ
(внутреннего аудита безопасности);
4.4. инциденты ИБ, повлекшие
значительный ущерб;
4.5. решения руководства Библиотеки, курирующего ИБ, и (или) уполномоченных
должностных лиц, ответственных за обеспечение ИБ;
4.6. изменения законодательства
Республики Беларусь в области ЗИ.
Инициатором,
координатором и владельцем процесса пересмотра
и корректировки Политики являются руководство Библиотеки, курирующее ИБ, и
уполномоченные должностные лица, ответственные
за обеспечение ИБ.
Примечание – Далее по тексту
посетители Библиотеки упоминаются только в тех положениях, которые
непосредственно их затрагивают.