Политика информационной безопасности
в учреждении образования «Пинский государственный колледж техники и технологий»
ГЛАВА 1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика разработана в соответствии с законодательством Республики Беларусь в части обеспечения информационной безопасности.
1.2. Настоящая Политика является документом, доступным любому работнику учреждения образования «Пинский государственный профессионально-технический колледж легкой промышленности» (далее – колледж) и пользователю его ресурсов, и представляет собой официально принятую систему взглядов на проблему обеспечения информационной безопасности, и устанавливает принципы построения системы управления информационной безопасностью на – основе систематизированного изложения целей, процессов и – процедур информационной безопасности колледжа.
1.3. Руководство колледжа осознает важность и необходимость развития и совершенствования мер, и средств обеспечения информационной безопасности. Соблюдение требований информационной безопасности позволит упорядочить бизнес-процессы колледжа, привести к соответствию правовым нормам, улучшить имидж и деловую репутацию.
1.4. Требования информационной безопасности, которые предъявляются колледжем, соответствуют политике и миссии колледжа и предназначены для снижения рисков, связанных с информационной безопасностью.
1.5. Стратегия колледжа в области обеспечения информационной безопасности и защиты информации наряду с прочим включает выполнение в практической деятельности законодательства Республики Беларусь в области безопасности, безопасности информационных технологий и защиты информации, безопасности персональных данных.
1.6. Необходимые требования обеспечения – информационной безопасности колледжа должны неукоснительно соблюдаться работниками и учащимися колледжа.
1.7. Работники колледжа, не ознакомленные с настоящей Политикой, не допускаются к работе с информационными системами и ресурсами колледжа.
1.8. Настоящая Политика распространяется на все бизнес-процессы колледжа и обязательна для применения всеми работниками колледжа, а также пользователями её информационных ресурсов без исключения.
1.9. Дополнительно к данной политике могут быть разработаны отдельные документы, детализирующие положения Политики применительно к одной или нескольким информационным системам, видам и технологиям деятельности колледжа.
ГЛАВА 2. СПИСОК ТЕРМИНОВ И ОПРЕДЕЛЕНИЙ
2.1. Бизнес-процесс – последовательность технологически связанных операций по осуществлению уставной деятельности колледжа и конкретного вида обеспечивающей деятельности колледжа.
2.2. Информационная безопасность (ИБ) – в настоящей Политике состояние защищенности технологических и бизнес-процессов колледжа, объединяющих в своем составе работников колледжа, технические и программные средства обработки информации, информацию в условиях угроз в информационной сфере.
2.3. Информационная система колледжа – совокупность программно-аппаратных комплексов колледжа, применяемых для обеспечения бизнес-процессов колледжа.
2.4. Инцидент информационной безопасности – это появление одного или нескольких нежелательных рисковых событий информационной безопасности, с которыми связана значительная вероятность нарушения конфиденциальности, целостности или доступности информационных активов и инфраструктуры и создания угрозы информационной безопасности.
2.5. Конфиденциальная информация (далее — КИ) — информация, в отношении которой колледжем установлен режим конфиденциальности.
2.6. Модель угроз – описательное представление свойств или характеристик угроз безопасности информации.
2.7. Модель нарушителя – описательное представление опыта, знаний, доступных ресурсов возможных нарушителей ИБ, необходимых им для реализации угрозы ИБ, и возможной мотивации действий.
2.8. Ответственный работник – работник, функциями которого является внедрение настоящей Политики, разработка, внедрение и поддержка систем обеспечения информационной безопасности.
2.9. Пользователь информационной системы – физическое лицо, обладающее возможностью доступа к информационной системе колледжа.
2.10. Режим конфиденциальности информации – организационно-технические мероприятия по защите информации, позволяющие обладателю КИ при любых обстоятельствах обеспечить её сохранность и конфиденциальность, включающие в себя:
2.10.1. перечень КИ определяется в Приложении 1 к данному Положению;
2.10.2. ограничение доступа к КИ путем установления порядка обращения с этой информацией и контроля над соблюдением такого порядка;
2.10.3. учет лиц, получивших доступ к КИ, и (или) лиц, которым такая информация была предоставлена или передана;
2.10.4. регулирование отношений по использованию КИ работниками на основании трудовых договоров (контрактов) на основании гражданско-правовых договоров и соглашений.
2.11. Рисковое событие информационной безопасности – это событие, повлекшее или способное повлечь за собой репутационные и финансовые потери колледжа и произошедшее по причине ошибочности или сбоя процессов, действий людей и систем, а также по причине внешних событий.
2.12. Угроза информационной безопасности – любой риск, влияющий на нарушение одного (или нескольких) свойств информации – целостности, конфиденциальности, доступности объектов защиты.
ГЛАВА 3. ОПИСАНИЕ ОБЪЕКТА ЗАЩИТЫ
3.1. Основными объектами защиты системы информационной безопасности в колледже являются:
3.1.1. информационные ресурсы, содержащие служебную тайну и конфиденциальную информацию, персональные данные физических лиц, сведения ограниченного распространения, а также открыто распространяемая информация, необходимая для работы колледжа, независимо от формы и вида ее представления;
3.1.2. работники колледжа и их представители, учащиеся и другие лица, являющиеся пользователями информационных систем колледжа;
3.1.3. информационная инфраструктура, включающая системы хранения, обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены такие системы.
ГЛАВА 4. ЦЕЛИ И ПРИНЦИПЫ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
4.1. Целью деятельности по обеспечению информационной безопасности колледжа является снижение угроз информационной безопасности.
4.2. Основные принципы по обеспечению информационной безопасности колледжа:
4.2.1. своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба субъектам информационных отношений, нарушению нормального функционирования систем колледжа;
4.2.2. предотвращение инцидентов информационной безопасности;
4.2.3. создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации;
4.2.4. защиту от вмешательства в процесс функционирования систем колледжа посторонних лиц (доступ к информационным ресурсам должны иметь только зарегистрированные в установленном порядке пользователи);
4.2.5. разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам колледжа – обеспечение доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей;
4.2.6. обеспечение аутентификации пользователей имеющих допуск в информационные сети и участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
защиту от несанкционированной модификации используемых в системах колледжа программных средств, а также защиту систем от внедрения несанкционированных программ, включая компьютерные вирусы;
4.2.8. защиту информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.
ГЛАВА 5. УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
5.1. Под антропогенными угрозами ИБ в колледже понимается:
5.1.1. угрозы, вызванные ошибками в проектировании информационной системы и ее элементов;
5.1.2. ошибки в действиях персонала и т.п.;
5.1.3. умышленные действия, связанные с корыстными, идейными или иными устремлениями людей;
5.1.4. угрозы, связанные с нестабильностью и противоречивостью требований регуляторов деятельности колледжа и контрольных органов;
5.1.5. угрозы, связанные с действиями в руководстве и управлении, неадекватными целям и сложившимся условиям, с потребляемыми услугами, с человеческим фактором.
5.2. Под техногенными угрозами ИБ в колледже понимается:
5.2.1. угрозы объективных физических процессов техногенного характера;
5.2.2. техническое состояние окружения объекта угрозы или его самого, не обусловленное напрямую деятельностью человека;
5.2.3. сбои в работе или разрушение систем, созданных человеком, находящихся вне зоны ответственности колледжа.
5.3. Под природными угрозами ИБ в колледже понимается:
5.3.1. угрозы объективных физических процессов природного характера;
5.3.2. стихийных природных явлений;
5.3.3. состояний физической среды, не обусловленных напрямую деятельностью человека;
5.3.4. угрозы метеорологические, атмосферные, геофизические, геомагнитные и пр., включая экстремальные климатические условия, метеорологические явления, стихийные бедствия.
ГЛАВА 6. МОДЕЛЬ НАРУШИТЕЛЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
6.1. В качестве потенциальных внутренних нарушителей колледжем рассматриваются:
6.1.1. зарегистрированные пользователи информационных систем колледжа (работники и учащиеся);
6.1.2. работники, не являющиеся зарегистрированными пользователями и не допущенные к ресурсам информационных систем колледжа, но имеющие доступ в здания и помещения;
6.1.3. персонал, обслуживающий технические средства корпоративной информационной системы колледжа;
6.1.4. руководители различных уровней.
6.2. В качестве потенциальных внешних нарушителей колледжем рассматриваются:
6.2.1. бывшие работники колледжа и выпускники;
6.2.2. сторонние организации или их представители, задействованные в разработке и сопровождении программного обеспечения и взаимодействующие по вопросам технического обеспечения колледжа;
6.2.3. сторонние организации или их представители, предоставляющие собственные ресурсы в пользование колледжа;
6.2.4. посетители информационных ресурсов колледжа;
6.2.5. посетители зданий и помещений колледжа;
6.2.6. члены преступных организаций, работники спецслужб или лица, действующие по их заданию;
6.2.7. лица, случайно или умышленно проникшие в информационную систему колледжа из внешних телекоммуникационных сетей (хакеры).
6.3. В отношении внутренних и внешних нарушителей принимаются следующие ограничения и предположения о характере их возможных действий:
6.3.1. нарушитель скрывает свои несанкционированные действия от других работников колледжа;
6.3.2. несанкционированные действия нарушителя могут быть следствием ошибок пользователей, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;
6.3.3. в своей деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей;
6.3.4. внешний нарушитель может действовать в сговоре с внутренним нарушителем.
ГЛАВА 7. ОСНОВНЫЕ ПОЛОЖЕНИЯ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
7.1. Требования об обеспечении информационной безопасности колледжа обязательны к соблюдению всеми работниками колледжа, учащимися, другими обучающимися и пользователями информационных систем.
7.2. Стратегия колледжа в части противодействия угрозам ИБ заключается в реализации взаимодополняющих мер по обеспечению безопасности: от организационных мер на уровне руководства колледжа, до специализированных мер информационной безопасности по каждому выявленному в колледже риску.
7.3. При планировании мероприятий по обеспечению информационной безопасности в колледже осуществляются:
7.3.1. определение и распределение ролей персонала колледжа, связанного с обеспечением информационной безопасности (ролей информационной безопасности);
7.3.2. оценка важности информационных активов с учетом потребности в обеспечении их свойств с точки зрения информационной безопасности (перечень используемых информационных систем, отнесенных к соответствующим классам типовых информационных систем представлен в Приложении 2);
7.3.3. управление рисками информационной безопасности.
7.4. В рамках реализации деятельности по обеспечению информационной безопасности в колледже осуществляются:
7.4.1. Управление инцидентами информационной безопасности, включающее, но не исключительно:
7.4.1.1. учет всех подлежащих защите информационных систем;
7.4.1.2. сбор информации о событиях информационной безопасности;
7.4.1.3. выявление и анализ инцидентов информационной безопасности;
7.4.1.4. расследование инцидентов информационной безопасности;
7.4.1.5. оперативное реагирование на инцидент информационной безопасности;
7.4.1.6. минимизация негативных последствий инцидентов информационной безопасности;
7.4.1.7. оперативное доведение до руководства колледжа информации о наиболее значимых инцидентах информационной безопасности и оперативное принятие решений по ним, включая регламентирование порядка реагирования на инциденты информационной безопасности;
7.4.1.8. взаимодействие с компетентными органами безопасности по выявленным инцидентам;
7.4.1.9. выполнение принятых решений по всем инцидентам информационной безопасности в установленные сроки;
7.4.1.10. пересмотр применяемых требований, мер и механизмов по обеспечению информационной безопасности по результатам рассмотрения инцидентов информационной безопасности;
7.4.1.11. повышение уровня знаний персонала колледжа в вопросах обеспечения информационной безопасности;
7.4.1.12. обеспечение регламентации и управления доступом к программным и программно-техническим средствам и сервисам автоматизированных систем колледжа и информации, обрабатываемой в них;
7.4.1.13. обеспечение бесперебойной работы автоматизированных систем и сетей связи;
7.4.1.14. обеспечение возобновления работы автоматизированных систем и сетей связи после прерываний и нештатных ситуаций;
7.4.1.15. применение средств защиты от вредоносных программ;
7.4.1.16. обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных систем колледжа, связанных с проектированием, разработкой, приобретением, поставкой, вводом в действие, сопровождением (сервисным обслуживанием);
7.4.1.17. обеспечение информационной безопасности при использовании доступа в сеть Интернет и услуг электронной почты;
7.4.1.18. подготовка должностных лиц (работников), ответственных за организацию и осуществление практических мероприятий по обеспечению информационной безопасности.
7.4.2. Обеспечение защиты информации от утечки по техническим каналам, включающее:
7.4.2.1. применение мер и технических средств, снижающих вероятность несанкционированного получения информации в устной форме – пассивная защита;
7.4.2.2. применение мер и технических средств, создающих помехи при попытке несанкционированного получения информации – активная защита;
7.4.2.3. применение мер и технических средств, позволяющих выявлять каналы несанкционированного получения информации – поиск.
7.5. В целях проверки деятельности по обеспечению информационной безопасности в колледже осуществляются:
7.5.1. контроль правильности реализации и использования мер защиты;
7.5.2. контроль изменений конфигурации систем и подсистем колледжа;
7.5.3. мониторинг факторов рисков и соответствующий их пересмотр;
7.5.4. контроль реализации и исполнения требований работниками колледжа действующих внутренних нормативных документов по обеспечению информационной безопасности колледжа;
7.6. В целях совершенствования деятельности по обеспечению информационной безопасности в колледже осуществляется периодическое и, при необходимости, оперативное уточнение и пересмотр целей и задач обеспечения информационной безопасности.
ГЛАВА 8. ОРГАНИЗАЦИОННАЯ ОСНОВА ДЕЯТЕЛЬНОСТИ ПО ОБЕСПЕЧЕНИЮ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
8.1. В целях выполнения задач по обеспечению информационной безопасности колледжа, в соответствии с рекомендациями Белорусских и международных стандартов по безопасности в колледже должны быть определены следующие роли:
8.1.1. Ответственный работник;
8.1.2. Работник колледжа.
8.2. При необходимости могут быть определены и другие роли по информационной безопасности.
8.3. Оперативная деятельность и планирование деятельности по обеспечению информационной безопасности колледжа осуществляются и координируются Ответственным работником. Задачами Ответственного работника являются:
8.3.1. установление потребностей колледжа в применении мер обеспечения информационной безопасности, определяемых внутренними требованиями и требованиями нормативных актов;
8.3.2. соблюдение действующего законодательства, нормативных актов в области обеспечения безопасности и технической защиты информации;
8.3.3. разработка и пересмотр внутренних нормативных документов по обеспечению информационной безопасности колледжа, включая планы, политики, положения, регламенты, инструкции, методики, перечни сведений и иные виды внутренних нормативных документов;
8.3.4. осуществление контроля актуальности и непротиворечивости внутренних нормативных документов (планов, методик и т.д.), затрагивающих вопросы информационной безопасности колледжа;
8.3.5. обучение, контроль и непосредственная работа с персоналом колледжа в области обеспечения информационной безопасности;
8.3.6. планирование применения и эксплуатации средств обеспечения информационной безопасности на объектах и системах в колледжа;
8.3.7. выявление и предотвращение реализации угроз информационной безопасности;
8.3.8. выявление и реагирование на инциденты информационной безопасности;
8.3.9. информирование в установленном порядке ответственных лиц об угрозах и рисковых событиях информационной безопасности;
8.3.10. прогнозирование и предупреждение инцидентов информационной безопасности;
8.3.11. пресечение несанкционированных действий нарушителей информационной безопасности;
8.3.12. обеспечение эксплуатации средств и механизмов обеспечения информационной безопасности;
8.3.13. мониторинг и оценка информационной безопасности, включая оценку полноты и достаточности, защитных мер и видов деятельности по обеспечению информационной безопасности колледжа;
8.3.14. контроль обеспечения информационной – безопасности колледжа, в том числе, и на основе информации об инцидентах информационной безопасности, результатах мониторинга, оценки и аудита информационной безопасности;
8.3.15. информирование руководства колледжа и руководителей структурных подразделений об угрозах информационной безопасности, влияющих на деятельность колледжа.
8.4. Финансирование работ по реализации положений настоящей Политики осуществляется в рамках выделяемых средств на информатизацию колледжа.
8.5. Основными задачами работников колледжа, при выполнении возложенных на них обязанностей и в рамках их участия в оперативной деятельности по обеспечению информационной безопасности колледжа, являются:
8.5.1. осознание персональной ответственности за свои действия, в рамках своих функциональных обязанностей имеющего доступ к информационным ресурсам;
8.5.2. соблюдение требований информационной безопасности, устанавливаемых нормативными документами колледжа;
8.5.3. выявление и предотвращение реализации угроз информационной безопасности в пределах своей компетенции;
8.5.4. выявление и реагирование на инциденты информационной безопасности;
8.5.5. информирование в установленном порядке ответственных лиц о выявленных угрозах и рисковых событиях информационной безопасности;
8.5.6. прогнозирование и предупреждение инцидентов информационной безопасности в рамках своего участка работы (рабочего места, учебного кабинета во время проводимого учебного занятия, закрепленного учебного кабинета, структурного подразделения) и в пределах своей компетенции;
8.5.7. мониторинг и анализ информационной безопасности в рамках своего участка работы и в пределах своей компетенции;
8.5.8. информирование своего руководства и Ответственного работника о выявленной угрозе в информационной среде колледжа.
ГЛАВА 9. ОТВЕТСТВЕННОСТЬ ЗА СОБЛЮДЕНИЕ
ПОЛОЖЕНИЙ ПОЛИТИКИ
9.1. Общее руководство обеспечением информационной безопасности колледжа осуществляет заместитель директора по учебной работе.
9.2. Ответственность за поддержание положений настоящей Политики в актуальном состоянии, создание, внедрение, координацию и внесение изменений в процессы системы менеджмента информационной безопасности колледжа лежит на Ответственном работнике.
9.3. Неисполнение или некачественное исполнение работниками колледжа, учащимися и пользователями информационных систем обязанностей по обеспечению информационной безопасности может повлечь лишение доступа к информационным системам, а также применение к виновным административных мер воздействия, степень которых определяется установленным в колледже порядком либо требованиями действующего законодательства.
ГЛАВА 10. КОНТРОЛЬ НАД СОБЛЮДЕНИЕМ
ПОЛОЖЕНИЙ ПОЛИТИКИ
10.1. Общий контроль состояния информационной безопасности колледжа осуществляется заместителем директора по учебной работе.
10.2. Текущий контроль соблюдения настоящей Политики осуществляет Ответственный работник. Контроль осуществляется путем проведения мониторинга инцидентов информационной безопасности колледжа, по результатам оценки информационной безопасности, а также в рамках иных контрольных мероприятий. Периодичность проведения мониторинга составляет не менее одного раза в год.
ГЛАВА 11. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
11.1. Требования настоящей Политики могут развиваться другими внутренними нормативными документами колледжа, которые дополняют и уточняют ее.
11.2. В случае изменения действующего законодательства и иных нормативных актов, а также Устава колледжа настоящая Политика и изменения к ней применяются в части, не противоречащей вновь принятым законодательным и иным нормативным актам, а также Уставу колледжа. В этом случае Ответственный работник обязан незамедлительно инициировать внесение соответствующих изменений.
11.3. Внесение изменений в настоящую Политику осуществляется на периодической и внеплановой основе:
11.3.1. периодическое внесение изменений в настоящую Политику должно осуществляться не реже одного раза в 24 месяца;
11.3.2. внеплановое внесение изменений в настоящую Политику может производиться по результатам анализа инцидентов информационной безопасности, актуальности, достаточности и эффективности используемых мер обеспечения информационной безопасности, результатам проведения внутренних аудитов информационной безопасности и других контрольных мероприятий.
11.4. Ответственным за внесение изменений в настоящую Политику является заместитель директора по учебной работе.