<
Чтобы постоянно улучшать работу сайта и предложения для вас, мы используем файлы cookie. Мы никому не передаем полученные данные. Если вы продолжаете пользоваться сайтом, это означает, что вы не возражаете против применения данной технологии.
Подробнее: Политика конфиденциальности и использования cookie.

Политика информационной безопасности

ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящая Политика информационной безопасности (далее – Политика) разработана во исполнение требований пункта 10 Положения о порядке технической и криптографической защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено, утвержденного Приказом Оперативно-аналитического центра при Президенте Республики Беларусь 20.02.2020 № 66 (далее – Приказ ОАЦ №66), и направлена на обеспечение информационной безопасности (далее – ИБ) при предоставлении и эксплуатации ИТ-услуг, ИТ-инфраструктуры ЗАО «АТЛАНТ».

2. В настоящей Политике используются термины и определения:

Доступность – свойство нахождения в состоянии готовности и пригодности для использования по запросу авторизованного логического объекта (СТБ ISO/IEC 27000).

Информация, распространение и (или) предоставление которой ограничено – информация, к которой относится:

  • информация о частной жизни физического лица и персональные данные;
  • сведения, составляющие государственные секреты;
  • служебная информация ограниченного распространения;
  • информация, составляющая коммерческую, профессиональную, банковскую и иную охраняемую законом тайну;
  • информация, содержащаяся в делах об административных правонарушениях, материалах и уголовных делах органов уголовного преследования и суда до завершения производства по делу;
  • иная информация, доступ к которой ограничен законодательными актами (Закон №453-3).

Информационная безопасность – сохранение конфиденциальности, целостности и доступности информации (СТБ ISO/IEC 27000).

Инцидент информационной безопасности – одно или ряд нежелательных или непредвиденных событий в области информационной безопасности, при которых имеется значительная вероятность компрометации функционирования бизнеса и угрозы информационной безопасности (СТБ ISO/IEC 27000).

Конфиденциальность – свойство, указывающее, что информация остается недоступной или нераскрытой для неавторизованных лиц или процессов (СТБ ISO/IEC 27000).

Меры обеспечения информационной безопасности – совокупность действий, направленных на разработку и/или практическое применение способов и средств обеспечения информационной безопасности (ГОСТ Р 53114).

Обеспечение информационной безопасности организации – деятельность, направленная на устранение (нейтрализацию, парирование) внутренних и внешних угроз информационной безопасности организации или на минимизацию ущерба от возможной реализации таких угроз (ГОСТ Р 53114).

Подлинность – свойство, указывающее, что объект представляет собой то, что он заявляет о себе (СТБ ISO/IEC 27000).

Политика информационной безопасности – общие намерения по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, документально закрепленные собственником (владельцем) информационной системы (Закон №453-3);

Принцип минимальных привилегий – принцип организации доступа к ресурсам, когда каждый пользователь должен иметь доступ к информации и ресурсам, которые минимально необходимы для успешного выполнения его рабочей цели.

Событие в области информационной безопасности – идентифицированное возникновение состояния системы, услуги или сети, указывающее на возможное нарушение требований информационной безопасности или отказ средств управления, а также возникновение ранее неизвестной cитуации, которая может быть связана с безопасностью (СТБ ISO/IEC 27000).

Угроза (безопасности информации) – совокупность условий и факторов, создающих потенциальную или реальную существующую опасность нарушения безопасности информации (СТБ ГОСТ Р 50922).

Целостность – свойство сохранения точности и полноты (СТБ ISO/IEC 27000).

3. Политика представляет собой систематизированное изложение целей и задач защиты ИТ-услуг, ИТ-инфраструктуры ЗАО «АТЛАНТ» и обрабатываемой в них информации, основных принципов построения, организационных, технологических и процедурных аспектов ее обеспечения.

4. Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на корпоративных веб-сайтах https:\\atlant.by\ и https:\\bsz.by\.

ГЛАВА 2
ЦЕЛИ И ЗАДАЧИ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

5. Цель Политики – создание и постоянное соблюдение условий, при которых риски, связанные с нарушением целостности, доступности и конфиденциальности ИТ-услуг и информации, постоянно контролируются и исключаются, либо находятся на допустимом (приемлемом) уровне остаточного риска.

6. Задачи Политики:

  • снижение рисков ИБ, связанных с использованием ИТ-услуг;
  • оптимизация затрат на обеспечение ИБ;
  • своевременное выявление угроз ИБ;
  • минимизация потерь ЗАО «АТЛАНТ» при возникновении угроз ИБ;
  • обеспечение безопасности услуг и информации ЗАО «АТЛАНТ» в условиях неблагоприятных событий (атаки злоумышленников, сбои и отказы ИТ-услуг, неверные действия персонала, природные и техногенные катастрофы, террористические угрозы и др.).

ГЛАВА 3
ПРИНЦИПЫ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

7. Обязательства владельца ИС:

  • соответствовать требованиям законодательства по защите информации;
  • постоянно совершенствовать систему защиты информации.

8. Парольная политика:

  • порядок генерации и смены идентификационных и аутентификационных данных пользователей определен и регламентирован.

9. Принцип минимальных привилегий:

  • доступ работников к ИТ-услугам и операции по предоставлению доступа или назначению полномочий осуществляются в соответствии с установленными процедурами.

10. Документированность:

  • процессы и процедуры обеспечения ИБ определяются и документируются.

11. Комплексность защиты:

  • меры по обеспечению ИБ принимаются по всем идентифицированным видам угроз с учетом оценки рисков ИБ;

12. Непрерывность контроля обеспечения ИБ осуществляется посредством:

  • ежедневного мониторинга событий ИБ;
  • ежегодного аудита системы обеспечения ИБ;
  • анализа эффективности мер обеспечения ИБ с учетом изменений ИT-среды, появления новых угроз, инцидентов и проблем;
  • планирования и внедрения дополнительных мер защиты, реализация которых устанавливается в планы работ.

13. Контроль со стороны руководства:

  • на регулярной основе рассматриваются отчеты о состоянии ИБ и фактах нарушений установленных требований, а также общие и частные вопросы ИБ, связанные с использованием технологий повышенного риска или существенно влияющие на процессы.

14. Повышение осведомленности пользователей в области ИБ выполняется посредством:

  • ознакомления пользователей с ЛПА по обеспечению ИБ;
  • публикации материалов на корпоративном портале ЗАО «АТЛАНТ»;
  • массовой рассылки информации об угрозах ИБ;
  • учений ИБ в виде фишинговых симуляций;
  • дистанционного обучения на корпоративном портале обучения АтлантIQ;
  • проведения разъяснительной работы работниками, ответственными за защиту информации.

15. персональная ответственность:

  • ответственность за нарушения требований ИБ установлена в должностных инструкциях работников, в ЛПА по обеспечению ИБ.

ГЛАВА 4
ОБЛАСТЬ ДЕЙСТВИЯ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

16. ИБ распространяется на:

  • информацию, обрабатываемую с помощью услуг;
  • ИТ-инфраструктуру.

17. Основными объектами ИБ являются:

  • информация, распространение и (или) предоставление которой ограничено;
  • ИТ-услуги, при помощи которых обрабатывается информация – регламенты и процедуры сбора, обработки, хранения и передачи информации;
  • ИТ-инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, системы и средства защиты информации, объекты и помещения, в которых размещены критические компоненты информационной системы;
  • персонал разработчиков и персонал, обслуживающий ИТ-услуги.

18. Основными субъектами ИБ являются работники структурных подразделений – пользователи ИТ-услуг.

ГЛАВА 5
ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

19. Методы обеспечения ИБ:

  • технические – мероприятия по обеспечению ИБ;
  • организационные – требования ИБ использования услуг.

20. Мероприятия по обеспечению ИБ:

  • использование технических, программно-аппаратных и программных средств, в том числе средств защиты информации, размещенных на территории Республики Беларусь;
  • применение средств защиты информации, прошедших подтверждение соответствия требованиям технического регламента Республики Беларусь «Информационные технологии. Средства защиты информации. Информационная безопасность» (ТР 2013/027/BY), утвержденного постановлением Совета Министров Республики Беларусь от 15 мая 2013 г. № 375;
  • наличие структурной и логической схем объектов информационной инфраструктуры, поддержание таких схем в актуальном состоянии;
  • определение порядка генерации и смены идентификационных и аутентификационных данных пользователей (паролей), обновления программного обеспечения, в том числе к средствам защиты информации;
  • изменение установленных по умолчанию идентификационных и аутентификационных данных (реквизитов доступа) к объектам информационной инфраструктуры, в том числе к средствам защиты информации, либо блокирование возможности их использования;
  • использование модели управления доступом (разграничения доступа) к объектам информационной инфраструктуры, в том числе к средствам защиты информации;
  • идентификация и аутентификация пользователей, своевременное блокирование неиспользуемых идентификационных данных пользователей;
  • регламентированный доступ к настройкам (администрированию) объектов информационной инфраструктуры, в том числе средств защиты информации;
  • организация резервного копирования информации, содержащейся в информационной системе;
  • синхронизация системного времени от единого (общего) источника;
  • межсетевое экранирование при внешнем информационном взаимодействии по портам протоколов сетевого и транспортного уровней;
  • обнаружение и предотвращение вторжений при внешнем информационном взаимодействии;
  • защита от воздействия вредоносных программ;
  • централизованный сбор сведений о событиях информационной безопасности, а также хранение такой информации не менее одного года
  • выявление, предупреждение и исследование кибератак и вызванных ими киберинцидентов в рамках регламента обеспечения кибербезопасности объекта информационной инфраструктуры (на основании договора на оказание услуг по обеспечению кибербезопасности с аттестованным центром кибербезопасности);
  • контроль за соблюдением требований, установленных в нормативных правовых актах, документации на систему защиты информации собственника (владельца) информационной системы.

21. Требования ИБ использования ИТ-услуг:

  • порядок использования информационной системы;
  • защита от несанкционированного доступа;
  • защита от воздействия вредоносных программ;
  • порядок использования внешних носителей информации;
  • порядок использования корпоративной электронной почты;
  • порядок использования глобальной компьютерной сети Интернет, мессенджеров и социальных сетей;
  • порядок использования удаленного доступа к ИТ-услугам.
Политика информационной безопасности Политика информационной безопасности Политика информационной безопасности