Политика информационной безопасности

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

1. Политика информационной безопасности в ЧУП «Маникюрня ВОК» (далее - Политика) определяет общие намерения по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, в том числе и персональных данных, документально закрепленные собственником информационной системы ЧУП «Маникюрня ВОК».
2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.
3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в ЧУП «Маникюрня ВОК» (далее - Организация) вопросы защиты информации в информационных системах, предназначенных для обработки информации, распространение и (или) предоставление которой ограничено.
4. Ответственность за соблюдение информационной безопасности несет каждый сотрудник Организации, при этом первоочередной задачей является обеспечение безопасности всех активов Организации. Это значит, что информация должна быть защищена не менее надежно, чем любой другой основной актив Организации. Главные цели Организации не могут быть достигнуты без своевременного и полного обеспечения сотрудников информацией, необходимой им для выполнения своих служебных обязанностей.
5. В настоящей Политике под термином «сотрудник» понимаются все сотрудники Организации. На лиц, работающих в Организации по договорам гражданско-правового характера, в том числе прикомандированных, положения настоящей Политики распространяются в случае, если это обусловлено в таком договоре.

ГЛАВА 2

ЦЕЛИ И ПРИЧИНЫ ЗАЩИТЫ ИНФОРМАЦИИ

6. Целями и причинами защиты информации являются:
6.1. сохранение конфиденциальности информационных ресурсов;
6.2. обеспечение непрерывности доступа к информационным ресурсам Организации для поддержки бизнес-деятельности;
6.3. защита целостности деловой информации с целью поддержания возможности Организации по оказанию услуг высокого качества и принятию эффективных управленческих решений.

ГЛАВА 3

НАЗНАЧЕНИЕ НАСТОЯЩЕЙ ПОЛИТИКИ

7. Повышение осведомленности пользователей в области рисков, связанных с информационными ресурсами Организации.
8. Определение степени ответственности и обязанностей сотрудников по обеспечению информационной безопасности в Организации.
9. Обеспечение регулярного контроля за соблюдением положений настоящей Политики и проведение периодических проверок соблюдения информационной безопасности с последующим представлением отчета по результатам указанной проверки директору Организации.

ГЛАВА 4

ОБЛАСТЬ ПРИМЕНЕНИЯ НАСТОЯЩЕЙ ПОЛИТИКИ

10. Требования настоящей Политики распространяются на всю информацию и ресурсы обработки информации Организации. Соблюдение настоящей Политики обязательно для всех сотрудников (как постоянных, так и временных). В договорах с третьими лицами, получающими доступ к информации Организации, должна быть оговорена обязанность третьего лица по соблюдению требований настоящей Политики.
11. Организации принадлежат на праве собственности (в том числе на праве интеллектуальной собственности) вся деловая информация и вычислительные ресурсы, приобретенные (полученные) и введенные в эксплуатацию в целях осуществления ею деятельности в соответствии с действующим законодательством.
Указанное право собственности распространяется на голосовую и факсимильную связь, осуществляемую с использованием оборудования Организации, лицензионное и разработанное программное обеспечение, содержание ящиков электронной почты, бумажные и электронные документы всех функциональных подразделений и персонала Организации.

ГЛАВА 5

ПЕРЕЧЕНЬ ИНФОРМАЦИОННЫХ СИСТЕМ И СРЕДСТВ ВЫЧИСЛИТЕЛЬНОЙ ТЕХНИКИ

12. В Организации используется информационная система, в которой обрабатываются персональные данные, за исключением специальных персональных данных, и которая не имеет подключений к открытым каналам передачи данных, отнесенная к соответствующему классу 4-ин типовых информационных систем.
13. В Организации используются следующие средства вычислительной техники:
13.1. Ноутбук acer aspire e1 v5we2;
13.2. Смартфон Huawei P Smart (FIG-LX1);

ГЛАВА 6

СВЕДЕНИЯ О ПОДРАЗДЕЛЕНИИ ЗАЩИТЫ ИНФОРМАЦИИ

14. В Организации подразделением защиты информации, ответственным за обеспечение защиты информации, в том числе и персональных данных, является отдел по защите информации.
15. Основными задачами отдела по защите информации являются:
15.1. разработка и внедрение организационных и технических мероприятий по комплексной защите информации Организации;
15.2. сохранение конфиденциальности документированной информации;
15.3. разработка проектов перспективных и текущих планов работ по комплексной защите информации Организации, составление отчетов об их выполнении;
15.4. разработка технических средств контроля по комплексной защите информации Организации;
15.5. формирование целей и задач работы по созданию безопасных информационных технологий, отвечающих требованиям комплексной защиты информации Организации;
15.6. обеспечение контроля за соблюдением нормативных требований по надежной защите информации;
15.7. обеспечение комплексного использования технических средств, методов и организационных мероприятий для защиты информации Организации.

ГЛАВА 7

ОБЩИЕ ПОЛОЖЕНИЯ КОНТРОЛЯ ДОСТУПА К ИНФОРМАЦИОННЫМ СИСТЕМАМ

16. Все работы в пределах офисов Организации выполняются в соответствии с официальными должностными обязанностями только на компьютерах, разрешенных к использованию в Организации.
17. Внос в здания и помещения Организации личных портативных компьютеров и внешних носителей информации (диски, дискеты, флэш-карты и т. п.), а также вынос их за пределы Организации производится только при согласовании с начальником отдела по защите информации.
18. Все данные (конфиденциальные или строго конфиденциальные), составляющие коммерческую тайну Организации и хранящиеся на жестких дисках портативных компьютеров, должны быть зашифрованы. Все портативные компьютеры Организации должны быть оснащены программным обеспечением по шифрованию жесткого диска. Руководители подразделений должны периодически пересматривать права доступа своих сотрудников и других пользователей к соответствующим информационным ресурсам.
19. В целях обеспечения санкционированного доступа к информационному ресурсу любой вход в систему должен осуществляться с использованием уникального имени пользователя и пароля.
20. Пользователи должны руководствоваться рекомендациями по защите своего пароля на этапе его выбора и последующего использования. Запрещается сообщать свой пароль другим лицам или предоставлять свою учетную запись другим, в том числе членам своей семьи и близким, если работа выполняется дома.
21. В процессе своей работы сотрудники обязаны постоянно использовать режим «Экранной заставки» с парольной защитой. Рекомендуется устанавливать максимальное время «простоя» компьютера до появления экранной заставки не дольше 15 минут.

ГЛАВА 8

ДОСТУП ТРЕТЬИХ ЛИЦ К ИНФОРМАЦИОННЫМ СИСТЕМАМ ОРГАНИЗАЦИИ

22. Каждый сотрудник обязан немедленно уведомить начальника отдела по защите информации обо всех случаях предоставления доступа третьим лицам к ресурсам корпоративной сети.
23. Доступ третьих лиц к информационным системам Организации должен быть обусловлен производственной необходимостью. В связи с этим порядок доступа к информационным ресурсам Организации должен быть четко определен, контролируем и защищен.

ГЛАВА 9

УДАЛЕННЫЙ ДОСТУП

24. Пользователи получают право удаленного доступа к информационным ресурсам Организации с учетом их взаимоотношений с Организацией.
25. Сотрудникам, использующим в работе портативные компьютеры Организации, может быть предоставлен удаленный доступ к сетевым ресурсам Организации в соответствии с правами в информационной системе Организации.
26. Сотрудникам, работающим за пределами Организации с использованием компьютера, не принадлежащего Организации, запрещено копирование данных на компьютер, с которого осуществляется удаленный доступ.
27. Сотрудники и третьи лица, имеющие право удаленного доступа к информационным ресурсам Организации, должны соблюдать требование, исключающее одновременное подключение их компьютера к сети Организации и к каким-либо другим сетям, не принадлежащим Организации.
28. Все компьютеры, подключаемые посредством удаленного доступа к информационной сети Организации, должны иметь программное обеспечение антивирусной защиты с последними обновлениями.

ГЛАВА 10

ДОСТУП К СЕТИ ИНТЕРНЕТ

29. Доступ к сети Интернет обеспечивается только в производственных целях и не может использоваться для незаконной деятельности.
30. Рекомендованные правила:
30.1. сотрудникам Организации разрешается использовать сеть Интернет только в служебных целях;
30.2. запрещается посещение любого сайта в сети Интернет, который считается оскорбительным для общественного мнения или содержит информацию сексуального характера, пропаганду расовой ненависти, комментарии по поводу различия (превосходства) полов, дискредитирующие заявления или иные материалы с оскорбительными высказываниями по поводу чьего-либо возраста, сексуальной ориентации, религиозных или политических убеждений, национального происхождения или недееспособности;
30.3. работа сотрудников Организации с интернет-ресурсами допускается только режимом просмотра информации, исключая возможность передачи информации Организации в сеть Интернет;
30.4. сотрудники Организации перед открытием или распространением файлов, полученных через сеть Интернет, должны проверить их на наличие вирусов;
30.5. запрещен доступ в интернет через сеть Организации для всех лиц, не являющихся сотрудниками Организации, включая членов семьи сотрудников Организации.
31. Специалисты отдела по защите информации имеют право контролировать содержание всего потока информации, проходящей через канал связи к сети Интернет в обоих направлениях.

ГЛАВА 11

ЗАЩИТА ОБОРУДОВАНИЯ

32. Сотрудники должны постоянно помнить о необходимости обеспечения физической безопасности оборудования, на котором хранится информация Организации.
33. Сотрудникам запрещено самостоятельно изменять конфигурацию аппаратного и программного обеспечения. Все изменения производят специалисты отдела по защите информации.

ГЛАВА 12

АППАРАТНОЕ ОБЕСПЕЧЕНИЕ

34. Все компьютерное оборудование (серверы, стационарные и портативные компьютеры), периферийное оборудование (например, принтеры и сканеры), аксессуары (манипуляторы типа «мышь», шаровые манипуляторы, дисководы для СD-дисков), коммуникационное оборудование (например, факс-модемы, сетевые адаптеры и концентраторы) для целей настоящей Политики вместе именуются компьютерным оборудованием.
Компьютерное оборудование, предоставленное Организацией, является ее собственностью и предназначено для использования исключительно в производственных целях.
35. Пользователи портативных компьютеров, содержащих информацию, составляющую коммерческую тайну Организации, обязаны обеспечить их хранение в физически защищенных помещениях, запираемых ящиках рабочего стола, шкафах или обеспечить их защиту с помощью аналогичного по степени эффективности защитного устройства в случаях, когда данный компьютер не используется.
36. Каждый сотрудник, получивший в пользование портативный компьютер, обязан принять надлежащие меры по обеспечению его сохранности как в офисе, так и по месту проживания. В ситуациях, когда возрастает степень риска кражи портативных компьютеров, например, в гостиницах, аэропортах, в офисах деловых партнеров и т. д., пользователи обязаны ни при каких обстоятельств не оставлять их без присмотра.
37. Во время поездки в автомобиле портативный компьютер должен находиться в багажнике. На ночь его следует перенести из автомобиля.
38. Все компьютеры должны защищаться паролем при загрузке системы, активации по горячей клавише и после выхода из режима «Экранной заставки». Для установки режимов защиты пользователь должен обратиться в службу технической поддержки. Данные не должны быть скомпрометированы в случае халатности или небрежности, приведшей к потере оборудования. Перед утилизацией все компоненты оборудования, в состав которых входят носители данных (включая жесткие диски), необходимо проверять, чтобы убедиться в отсутствии на них конфиденциальных данных и лицензионных продуктов. Должна выполняться процедура форматирования носителей информации, исключающая возможность восстановления данных.
39. При записи какой-либо информации на носитель для передачи его контрагентам или партнерам по бизнесу необходимо убедиться в том, что носитель чист, то есть не содержит никаких иных данных. Простое переформатирование носителя не дает гарантии полного удаления записанной на нем информации.
40. Карманные персональные компьютеры, а также мобильные телефоны, имеющие функцию электронной почты, и прочие переносные устройства не относятся к числу устройств, имеющих надежные механизмы защиты данных. В подобных устройствах не рекомендуется хранить конфиденциальную информацию.
41. Порты передачи данных, в том числе FD и CD-дисководы, в стационарных компьютерах сотрудников Организации блокируются, за исключением тех случаев, когда сотрудником получено разрешение на запись информации у специалиста отдела по защите информации.

ГЛАВА 13

ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ

42. Все программное обеспечение, установленное на предоставленном Организацией компьютерном оборудовании, является собственностью Организации и должно использоваться исключительно в производственных целях.
43. Сотрудникам запрещается устанавливать на предоставленном в пользование компьютерном оборудовании нестандартное, нелицензионное программное обеспечение или программное обеспечение, не имеющее отношения к их производственной деятельности. Если в ходе выполнения технического обслуживания будет обнаружено не разрешенное к установке программное обеспечение, оно будет удалено, а сообщение о нарушении будет направлено непосредственному руководителю сотрудника и в отдел по защите информации.
44. На всех портативных компьютерах должны быть установлены программы, необходимые для обеспечения защиты информации:
44.1. персональный межсетевой экран;
44.2. антивирусное программное обеспечение;
44.3. программное обеспечение шифрования жестких дисков;
44.4. программное обеспечение шифрования почтовых сообщений.
45. Все компьютеры, подключенные к сети Организации, должны быть оснащены системой антивирусной защиты, утвержденной начальником отдела по защите информации.
46. Сотрудники Организации не должны:
46.1. блокировать антивирусное программное обеспечение;
46.2. устанавливать другое антивирусное программное обеспечение;
46.3. изменять настройки и конфигурацию антивирусного программного обеспечения.
47. Организация предпочитает приобретать программное обеспечение, а не разрабатывать собственные программы, поэтому пользователям, желающим внедрить новые возможности бизнес-процессов, необходимо обсудить свое предложение со специалистами отдела по защите информации.

ГЛАВА 14

РЕКОМЕНДУЕМЫЕ ПРАВИЛА ПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ПОЧТОЙ

48. Электронные сообщения (удаленные или не удаленные) могут быть доступны или получены государственными органами или конкурентами по бизнесу для их использования в качестве доказательств в процессе судебного разбирательства или при ведении бизнеса. Поэтому содержание электронных сообщений должно строго соответствовать стандартам Организации в области деловой этики.
49. Использование электронной почты в личных целях допускается в случаях, когда получение (отправка) сообщения не мешает работе других пользователей и не препятствует бизнес-деятельности.
50. Сотрудникам запрещается направлять партнерам конфиденциальную информацию Организации по электронной почте без использования систем шифрования. Строго конфиденциальная информация Организации ни при каких обстоятельствах не подлежит пересылке третьим лицам по электронной почте.
51. Сотрудникам Организации запрещается использовать личные почтовые ящики электронной почты для осуществления деятельности Организации.
52. Использование сотрудниками Организации личных почтовых ящиков электронной почты осуществляется только при согласовании со специалистами отдела по защите информации при условии применения механизмов шифрования.
53. Сотрудники Организации для обмена документами с бизнес-партнерами должны использовать только свой официальный адрес электронной почты.
54. Сообщения, пересылаемые по электронной почте, имеют тот же статус, что и письма и факсимильные сообщения. Электронные сообщения подлежат такому же утверждению и хранению, что и прочие средства письменных коммуникаций.
55. В целях предотвращения ошибок при отправке сообщений пользователи перед отправкой должны внимательно проверить правильность написания имен и адресов получателей. В случае получения сообщения лицом, вниманию которого это сообщение не предназначается, такое сообщение необходимо переправить непосредственному получателю. Если полученная таким образом информация носит конфиденциальный характер, об этом следует незамедлительно проинформировать специалистов отдела по защите информации.
56. Отправитель электронного сообщения, документа или лицо, которое его переадресовывает, должен указать свое имя и фамилию, служебный адрес и тему сообщения.
57. Недопустимые действия и случаи использования электронной почты:
57.1. рассылка сообщений личного характера, использующих значительные ресурсы электронной почты;
57.2. групповая рассылка всем пользователям Организации сообщений/писем;
57.3. рассылка рекламных материалов, не связанных с деятельностью Организации;
57.4. подписка на рассылку, участие в дискуссиях и подобные услуги, использующие значительные ресурсы электронной почты в личных целях;
57.5. поиск и чтение сообщений, направленных другим лицам (независимо от способа их хранения);
57.6. пересылка любых материалов, как сообщений, так и приложений, содержание которых является противозаконным, непристойным, злонамеренным, оскорбительным, угрожающим, клеветническим, злобным или способствует поведению, которое может рассматриваться как уголовное преступление или административный проступок либо приводит к возникновению гражданско-правовой ответственности, беспорядков или противоречит стандартам Организации в области этики.
58. Ко всем исходящим сообщениям, направляемым внешним пользователям, пользователь может добавлять уведомление о конфиденциальности.
59. Вложения, отправляемые вместе с сообщениями, следует использовать с должной осторожностью. Во вложениях всегда должна указываться дата их подготовки, и они должны оформляться в соответствии с установленными в Организации процедурами документооборота.
60. Пересылка значительных объемов данных в одном сообщении может отрицательно повлиять на общий уровень доступности сетевой инфраструктуры Организации для других пользователей. Объем вложений не должен превышать 2 Мбайт.

ГЛАВА 15

СООБЩЕНИЯ ОБ ИНЦИДЕНТАХ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, РЕАГИРОВАНИЕ И ОТЧЕТНОСТЬ

61. Все пользователи должны быть осведомлены о своей обязанности сообщать об известных или подозреваемых ими нарушениях информационной безопасности, а также должны быть проинформированы о том, что ни при каких обстоятельствах они не должны пытаться использовать ставшие им известными слабые стороны системы безопасности.
62. В случае кражи переносного компьютера следует незамедлительно сообщить об инциденте начальнику отдела по защите информации.
63. Пользователи должны знать способы информирования об известных или предполагаемых случаях нарушения информационной безопасности с использованием телефонной связи, электронной почты и других методов. Необходимо обеспечить контроль и учет сообщений об инцидентах и принятие соответствующих мер.
64. Если имеется подозрение или выявлено наличие вирусов или иных разрушительных компьютерных кодов, то сразу после их обнаружения сотрудник обязан:
64.1. проинформировать специалистов отдела по защите информации;
64.2. не пользоваться и не выключать зараженный компьютер;
64.3. не подсоединять этот компьютер к компьютерной сети Организации до тех пор, пока на нем не будет произведено удаление обнаруженного вируса и полное антивирусное сканирование специалистами отдела по защите информации.

ГЛАВА 16

ПОМЕЩЕНИЯ С ТЕХНИЧЕСКИМИ СРЕДСТВАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

65. Конфиденциальные встречи (заседания) должны проходить только в защищенных техническими средствами информационной безопасности помещениях.
66. Перечень помещений с техническими средствами информационной безопасности утверждается директором Организации.
67. Участникам заседаний запрещается входить в помещения с записывающей аудио/видеоаппаратурой, фотоаппаратами, радиотелефонами и мобильными телефонами без предварительного согласования со специалистами отдела по защите информации.
68. Доступ участников конфиденциального заседания в помещение для его проведения осуществляется на основании утвержденного перечня, контроль за которым ведет лицо, отвечающее за организацию встречи.

ГЛАВА 17

УПРАВЛЕНИЕ СЕТЬЮ

69. Уполномоченные специалисты отдела по защите информации контролируют содержание всех потоков данных, проходящих через сеть Организации.
70. Сотрудникам Организации запрещается:
70.1. нарушать информационную безопасность и работу сети Организации;
70.2. сканировать систему безопасности;
70.3. контролировать работу сети с перехватом данных;
70.4. получать доступ к компьютеру, сети или учетной записи в обход системы идентификации пользователя или безопасности;
70.5. использовать любые программы, команды или передавать сообщения с целью вмешаться в работу или отключить пользователя устройства;
70.6. передавать информацию о сотрудниках или списки сотрудников Организации посторонним лицам;
70.7. создавать, обновлять или распространять компьютерные вирусы и прочее разрушительное программное обеспечение.

ГЛАВА 18

ЗАЩИТА И СОХРАННОСТЬ ДАННЫХ

71. Ответственность за сохранность данных на стационарных и портативных персональных компьютерах лежит на пользователях. Специалисты отдела по защите информации обязаны оказывать пользователям содействие в проведении резервного копирования данных на соответствующие носители.
72. Необходимо регулярно делать резервные копии всех основных служебных данных и программного обеспечения.
73. Только специалисты отдела по защите информации на основании заявок руководителей подразделений могут создавать и удалять совместно используемые сетевые ресурсы и папки общего пользования, а также управлять полномочиями доступа к ним.
74. Сотрудники имеют право создавать, модифицировать и удалять файлы в совместно используемых сетевых ресурсах только на тех участках, которые выделены лично для них, для их рабочих групп или к которым они имеют разрешенный доступ.
75. Все заявки на проведение технического обслуживания компьютеров должны направляться в отдел по защите информации.

ГЛАВА 19

РАБОТА С КРИПТОГРАФИЧЕСКИМИ СИСТЕМАМИ

76. К работе с криптографическими системами допускаются только сотрудники Организации, имеющие соответствующее разрешение от директора Организации.
77. Секретные ключи электронно-цифровых подписей и шифрования должны храниться в сейфах под ответственностью уполномоченных лиц. Доступ неуполномоченных лиц к носителям секретных ключей и шифрования должен быть исключен.
78. Категорически запрещается:
78.1. выводить секретные ключи и шифрования на дисплей компьютера или принтер;
78.2. устанавливать в дисковод компьютера носитель секретных ключей и шифрования в непредусмотренных режимах функционирования;
78.3. записывать на носитель секретных ключей и шифрования постороннюю информацию.
79. При компрометации секретных ключей, шифрования и прочей электронной информации Организацией принимаются меры для прекращения любых операций с использованием этих ключей и прочей информации; принимаются меры для смены ключей и шифрования, паролей. По факту компрометации организуется служебное расследование, результаты которого отражаются в акте и доводятся до сведения директора Организации.

ГЛАВА 20

РАЗРАБОТКА СИСТЕМ И УПРАВЛЕНИЕ ВНЕСЕНИЕМ ИЗМЕНЕНИЙ

80. Все операционные процедуры и процедуры внесения изменений в информационные системы и сервисы должны быть документированы и согласованы с начальником отдела по защите информации.