Вспомогательные антивирусные средства
не предназначены для постоянной антивирусной
защиты объектов, и используются периодически
специалистами подразделений антивирусной
защиты, как дополнительные инструментальные
средства для погашения вирусных эпизодов,
ликвидации последствий, профилактики
заражений и т.п. В качестве вспомогательных
средств могут использоваться как платные,
так и бесплатные программные антивирусные
средства.
Вспомогательные антивирусные средства
должны:
- Платные средства должны быть
официально приобретены, и использоваться
согласно приобретенной лицензии
(лицензиям). Бесплатные средства
должны использоваться согласно
лицензии на их использование;
- Иметь возможность обновления
антивирусных баз и самих программ
с серверов
производителей перед их использованием;
- Быть недоступными для обычных
пользователей ИС.
Назначение
Настоящая политика определяет
основные правила и требования по защите
персональных данных и иной конфиденциальной
информации предприятия от неавторизованного
доступа, утраты или модификации.
Положения
политики
Во время работы с конфиденциальной
информацией должен предотвращаться ее
просмотр не допущенными к ней лицами.
При любом оставлении рабочего
места, рабочая станция должна быть заблокирована,
съемные машинные носители, содержащие
конфиденциальную информацию, заперты
в помещении, шкафу или ящике стола или
в сейфе.
Несанкционированное использование
печатающих, факсимильных, копировально-множительных
аппаратов и сканеров должно предотвращаться
путем их размещения в помещениях с ограниченным
доступом, использования паролей или иных
доступных механизмов разграничения доступа.
Сотрудники получают доступ
к ресурсам вычислительной сети после
ознакомления с документами, утвержденными
стандартами предприятия, (согласно занимаемой
должности), а именно с инструкциями по
обращению с носителями конфиденциальной
информации, «Перечень сведений конфиденциального
характера».
Доступ к компонентам операционной
системы и командам системного администрирования
на рабочих станциях пользователей ограничен.
Право на доступ к подобным компонентам
предоставлено только администратор информационной
безопасности. Конечным пользователям
предоставляется доступ только к тем командам,
которые необходимы для выполнения их
должностных обязанностей.
Доступ к информации предоставляется
только лицам, имеющим обоснованную необходимость
в работе с этими данными для выполнения
своих должностных обязанностей.
Пользователям запрещается
устанавливать неавторизованные программы
на компьютеры.
Конфигурация программ на компьютерах
должна проверяться ежемесячно на предмет
выявления установки неавторизованных
программ.
Техническое обслуживание должно
осуществляться только на основании обращения
пользователя к системному администратору.
Локальное техническое обслуживание
должно осуществляться только в личном
присутствии пользователя.
Дистанционное техническое
обслуживание должно осуществляться только
со специально выделенных автоматизированных
рабочих мест, конфигурация и состав которых
должны быть стандартизованы, а процесс
эксплуатации регламентирован и контролироваться.
При проведении технического
обслуживания должен выполняться минимальный
набор действий, необходимых для устранения
проблемы, явившейся причиной обращения,
и использоваться любые возможности, позволяющие
впоследствии установить авторство внесенных
изменений.
Копирование конфиденциальной
информации и временное изъятие носителей
конфиденциальной информации (в том числе
в составе АРМ) допускаются только с санкции
пользователя. В случае изъятия носителей,
содержащих конфиденциальную информацию,
пользователь имеет право присутствовать
при дальнейшем проведении работ.
Программное обеспечение должно
устанавливаться со специальных ресурсов
или съемных носителей и в соответствии
с лицензионным соглашением с его правообладателем.
Конфигурации устанавливаемых
рабочих станций должны быть стандартизованы,
а процессы установки, настройки и ввода
в эксплуатацию - регламентированы.
АРМ, на которых предполагается
обрабатывать конфиденциальную информацию,
должны быть закреплены за соответствующими
сотрудниками Управления. Запрещается
использование указанных АРМ другими
пользователями без согласования с администратором
информационной безопасности Управления.
При передаче указанного АРМ другому пользователю,
должна производиться гарантированная
очистка диска (форматирование).
Системный администратор вправе
отказать в устранении проблемы, вызванной
наличием на рабочем месте программного
обеспечения или оборудования, установленного
или настроенного пользователем в обход
действующей процедуры.
- Порядок сопровождения
ИС Управления
Обеспечение информационной
безопасности информационных систем на
стадиях жизненного цикла ИБ ИС должна
обеспечиваться на всех стадиях жизненного
цикла (ЖЦ) ИС, автоматизирующих технологические
процессы, с учетом всех сторон, вовлеченных
в процессы ЖЦ (разработчиков, заказчиков,
поставщиков продуктов и услуг, эксплуатирующих
и надзорных подразделений организации).
Разработка технических заданий, проектирование,
создание, тестирование, приемка средств
и систем защиты ИС проводится при участии
администратора информационной безопасности
и системного администратора. Порядок
разработки и внедрения ИС должен быть
регламентирован и контролироваться.
При разработке ИС необходимо
придерживаться требований и методических
указаний, определенных стандартами, входящими
в группу ГОСТ 34.ххх «Стандарты информационной
технологии».
Ввод в действие, эксплуатация,
снятие с эксплуатации ИС в части вопросов
ИБ должны осуществляться при участии
администратора информационной безопасности.
На стадиях, связанных с разработкой
ИС (определение требований заинтересованных
сторон, анализ требований, архитектурное
проектирование, реализация, интеграция
и верификация, поставка, ввод в действие),
разработчиком должна быть обеспечена
защита от угроз:
неверной формулировки требований
к ИС;
выбора неадекватной модели
ЖЦ ИС, в том числе неадекватного выбора
процессов ЖЦ и вовлеченных в них участников;
принятия неверных проектных
решений;
внесения разработчиком дефектов
на уровне архитектурных решений;
внесения разработчиком недокументированных
возможностей в ИС;
неадекватной (неполной, противоречивой,
некорректной и пр.) реализации требований
к ИС;
разработки некачественной
документации;
сборки ИС разработчиком/производителем
с нарушением требований, что приводит
к появлению недокументированных возможностей
в ИС либо к неадекватной реализации требований;
неверного конфигурирования
ИС;
приемки ИС, не отвечающей требованиям
заказчика;
внесения недокументированных
возможностей в ИС в процессе проведения
приемочных испытаний посредством недокументированных
возможностей функциональных тестов и
тестов ИБ.
Привлекаемые для разработки
средств и систем защиты ИС на договорной
основе специализированные организации
должны иметь лицензии на данный вид деятельности
в соответствии с законодательством РФ.
При приобретении готовых ИС
и их компонентов разработчиком должна
быть предоставлена документация, содержащая,
в том числе, описание защитных мер, предпринятых
разработчиком в отношении угроз информационной
безопасности.
Также разработчиком должна
быть представлена документация, содержащая
описание защитных мер, предпринятых разработчиком
ИС и их компонентов относительно безопасности
разработки, безопасности поставки, эксплуатации,
поддержки жизненного цикла, включая описание
модели жизненного цикла, оценки уязвимости.
Данная документация может быть представлена
в рамках декларации о соответствии или
быть результатом оценки соответствия
изделия, проведенной в рамках соответствующей
системы оценки.
В договор (контракт) о поставке
ИС и их компонентов рекомендуется включать
положения по сопровождению поставляемых
изделий на весь срок их службы. В случае
невозможности включения в договор (контракт)
указанных требований к разработчику
должна быть рассмотрена возможность
приобретения полного комплекта рабочей
конструкторской документации на изделие,
обеспечивающее возможность сопровождения
ИС и их компонентов без участия разработчика.
Если оба указанных варианта неприемлемы,
например, вследствие высокой стоимости,
руководство Управления, должно обеспечить
анализ влияния угрозы невозможности
сопровождения ИС и их компонентов на
обеспечение непрерывности работы.
На стадии эксплуатации должна
быть обеспечена защита от следующих угроз:
умышленное несанкционированное
раскрытие, модификация или уничтожение
информации;
неумышленная модификация или
уничтожение информации;
недоставка или ошибочная доставка
информации;
отказ в обслуживании или ухудшение
обслуживания.
Кроме этого, актуальной является
угроза отказа от авторства сообщения.
На стадии сопровождения должна быть обеспечена
защита от угроз:
внесения изменений в ИС, приводящих
к нарушению ее функциональности либо
к появлению недокументированных возможностей;
невнесения разработчиком/поставщиком
изменений, необходимых для поддержки
правильного функционирования и правильного
состояния ИС.
На стадии снятия с эксплуатации
должно быть обеспечено удаление информации,
несанкционированное использование которой
может нанести ущерб Управления, и информации,
используемой средствами обеспечения
ИБ, из постоянной памяти ИС или с внешних
носителей.
Требования ИБ должны включаться
во все договора и контракты на проведение
работ или оказание услуг на всех стадиях
ЖЦ ИС.
- Профилактика нарушений
политик информационной безопасности
Под профилактикой нарушений
политик информационной безопасности
понимается проведение регламентных работ
по защите информации, предупреждение
возможных нарушений информационной безопасности
на предприятии и проведение разъяснительной
работы по информационной безопасности
среди пользователей.
Проведение в ИС предприятия
регламентных работ по защите информации
предполагает выполнение процедур контрольного
тестирования (проверки) функций СЗИ, что
гарантирует ее работоспособность с точностью
до периода тестирования. Контрольное
тестирование функций СЗИ может быть частичным
или полным и должно проводиться с установленной
в ИС степенью периодичности.
Задача предупреждения в ИС
предприятия возможных нарушений информационной
безопасности решается по мере наступления
следующих событий:
включение в состав ИС новых
программных и технических средств (новых
рабочих станций, серверного или коммуникационного
оборудования и др.) при условии появления уязвимых мест в СЗИ
ИС;
изменение конфигурации программных
и технических средств ИС (изменение конфигурации
программного обеспечения рабочих станций,
серверного или коммуникационного оборудования
и др.) при условии появления уязвимых
мест в СЗИ ИС;
при появлении сведений о выявленных
уязвимых местах в составе операционных
систем и/или программного обеспечения
технических средств, используемых в ИС.
Администратор информационной
безопасности (возможно, при помощи сторонней
организации специализирующейся в области
информационной безопасности) собирает
и анализирует информацию о выявленных
уязвимых местах в составе операционных
систем и/или программного обеспечения
относительно ИС предприятия. Источниками
подобного рода сведений могут служить
официальные издания и публикации различных
компаний, общественных объединений и
других организаций, специализирующихся
в области защиты информации.
Администратор информационной
безопасности (возможно, при помощи сторонней
организации, специализирующейся в области
информационной безопасности) организовывает
периодическую проверку СЗИ ИС путем моделирования
возможных попыток осуществления НСД
к защищаемым информационным ресурсам.
Для решения задач контроля
защищенности ИС используются инструментальные
средства для тестирования реализованных
в составе СЗИ ИС средств и функций защиты.
По результатам профилактических работ,
проводимых в ИС, необходимо сделать соответствующие
записи в специальном журнале (Журнале
проверки исправности и технического
обслуживания).