Умный поиск Нравится Корзина
Ру Войти

Каталог

Техника

Книги

Школьные принадлежности

Мебель

Школьные принадлежности

Школьные принадлежности

Главная Политика конфиденциальности

ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ООО «TECHNOLOGY COMMUNITY GROUP»

  1. Настоящая Политика информационной безопасности ООО «Technology community group»

(далее — Политика) определяет цели и принципы обеспечения информационной безопасности, излагает основные направления и требования по защите информации, является основой для обеспечения режима информационной безопасности, служит руководством при разработке соответствующих внутренних документов ООО «Technology community group» (далее — Компания).

  1. Нормативно-правовую основу Политики составляют положения законодательства Республики Узбекистан по вопросам использования информационных систем и информационной безопасности, а также требования международных стандартов управления информационной безопасностью.
  2. Положения Политики обязательны для исполнения всеми работниками Компании,

а также должны доводиться до сведения клиентов и иных третьих лиц, имеющих доступ к информационным системам и документам Компании, в той их части, которая непосредственно взаимосвязана с Компанией и ее деятельностью.

  1. Политика охватывает все информационные системы и документы, владельцем и пользователем которых является Компания. Компания обеспечивает создание и функционирование системы управления информационной безопасностью, являющейся частью общей системы управления Компании, предназначенной для управления процессом обеспечения информационной безопасности Обеспечение информационной безопасности — одно из условий для успешного осуществления коммерческой деятельности Компании. Информация, циркулирующая в Компании, является одним из важнейших активов.
  2. Информационная безопасность (далее — ИБ) Компании — состояние защищенности электронных информационных ресурсов, информационных систем и информационно-коммуникационной инфраструктуры от внешних и внутренних угроз, которые могут привести к материальному ущербу, нанести ущерб репутации Компании или повлечь нанесение иного ущерба Компании, его акционерам, работникам или клиентам.
  3. Являясь элементом общей политики руководства Компании, ИБ основывается на требованиях бизнеса, разрабатывается и реализуется в соответствии с общими правилами управления рисками в Компании. Нарушения в данной области могут привести к серьезным последствиям, включая потерю доверия со стороны клиентов и снижению конкурентоспособности.
  4. Обеспечение ИБ включает в себя применение всех доступных средств и инструментов в рамках компетенций работников Компании, направленных на защиту информации и поддерживающей ее инфраструктуры.
  5. Неотъемлемой частью организации ИБ является непрерывный контроль эффективности предпринимаемых мер, определение для работников перечня недопустимых действий (бездействия), возможных последствий и ответственности.

Нормативные ссылки:

  1. Политика и система ИБ в целом основываются на следующих нормативно-правовых актах и международных стандартах (в данном разделе указаны основные нормативные акты, непосредственно влияющие на процесс создания системы ИБ Компании, в то же время существует ряд документов, который либо описывает стратегические аспекты развития ИБ на государственном уровне, либо регламентирует правила по информационной защите отдельных направлений деятельности):
    • O'z DSt ISO/IEC 15408—1:2016 Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель;
  • O'z DSt ISO/IEC 13335-1:2009 Информационная технология. Методы обеспечения безопасности. Управление безопасностью информационно-коммуникационных технологий. (Часть1). Концепции и модели управления безопасностью информационно-коммуникационных технологий;
    • O'z DSt ISO/IEC 15408—2:2016 Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности:
    • O‘z DSt ISO/IEC 15408—3:2016 Информационная технология. Методы обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности;
    • O'z DSt ISO/IEC 27000:2014 «Информационная технология. Методы обеспечения безопасности. Системы управления информационной безопасностью. Обзор и словарь»:
    • O‘z DSt ISO/IEC 27001:2016 «Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования»;
    • O‘z DSt ISO/IEC 27002:2016 «Информационная технология. Методы обеспечения безопасности. Практические правила управления информационной безопасности»;
    • O'z DSt ISO/IEC 27003:2014 «Информационная технология. Методы обеспечения безопасности. Руководство по внедрению системы управления информационной безопасностью»:
    • O‘z DSt ISO/IEC 27005:2013 «Информационная технология. Методы обеспечения безопасности. Управление рисками информационной безопасности»:
    • O‘z DSt 3388:2019 Информационная технология. Методы обеспечения безопасности.
    • Требования к органам, осуществляющим аудит и сертификацию систем управления информационной безопасности;
    • O‘z DSt ISO/IEC 27007:2015 Информационная технология.
    • Методы обеспечения безопасности. Руководящие указания по
    • аудиту систем управления информационной безопасностью:
    • O'z DSt ISO/IEC 27010:2015 Информационная технология. Методы обеспечения безопасности. Руководство по управлению информационной безопасностью при коммуникациях между отраслями и организациями;
    • O‘z DSt ISO/IEC 27011:2014 «Информационная технология. Методы обеспечения безопасности. Руководящие указания по управлению информационной безопасностью в организациях телекоммуникаций»:
    • O'z DSt 3386:2019 Информационная технология. Методы обеспечения безопасности.
    • Управление инцидентами информационной безопасности. Часть 1. Принципы менеджмента инцидентов:
    • O‘z DSt 3387:2019 Информационная технология. Методы обеспечения безопасности.
    • Управление инцидентами информационной безопасности. Часть 2. Руководящие указания по планированию и подготовке к реагированию на инциденты;
    • O'z DSt 2814:2014 «Информационная технология. Автоматизированные системы.
    • Классификация по уровню защищенности от несанкционированного доступа к информации»:
    • O'z DSt 2815:2014 «Информационная технология. Межсетевые экраны. Классификация по уровню защищенности от несанкционированного доступа к информации»:
    • O‘z DSt 2816:2014 «Информационная технология. Классификация программного обеспечения средств защиты информации по уровню контроля отсутствия не декларированных возможностей»;
    • O'z DSt 2817:2014 «Информационная технология. Средства вычислительной техники.
    • Классификация по уровню защищенности от несанкционированного доступа к информации»:
    • O'z DSt 2927:2015 «Информационная технология. Информационная безопасность.
    • Термины и определения»:
    • O‘z DSt 1047:2018 «Информационная технология. Термины и определения»:
    • Методические пособия по разработке политики информационной безопасности на территории Республики Узбекистан (Приложение №10 к протоколу Республиканской комиссии по координации реализации Комплексной программы развития Национальной информационно-коммуникационной системы Республики Узбекистан на 2013-2020 годы от 23 февраля 2016 года № 7);
    • «Регламент взаимодействия между Министерством по развитию информационных технологий и коммуникаций Республики Узбекистан и органами государственного и хозяйственного управления по реагированию и расследованию и предотвращению инцидентов информационной безопасности» (Приложение №1 и №2 к протоколу Технического совета по вопросам информационно коммуникационной безопасности Республики Узбекистан №7 от 17.11.2017 г.);
    • «Требования обеспечения информационной безопасности органов государственного и хозяйственного управления, государственной власти на местах» (Приложение № 2 к протоколу Республиканской комиссии по координации реализации Комплексной программы развития национальной информационно-коммуникационной системы Республики Узбекистан на 2013- 2020 годы от 11 ноября 2017 года № 7):
  1. Политика ИБ распространяется на всех сотрудников Компании, включая практикантов, контрактников и внешних посетителей (клиенты, технический обслуживающий персонал и т.п.), которые по тем или иным причинам имеют легитимный доступ к ИР Компании, его клиентов и корреспондентов. Также она применяется в отношении к APM персонала Компании, оргтехнике и другим ресурсам информационной структуры Компании.
  2. Политика, информационной безопасности не распространяется на информационные системы и объекты информатизации, предназначенные для передачи, обработки, хранения сведений, содержащих государственные секреты. Защита информации, содержащая государственные секреты, обеспечивается в соответствии с Законодательством Республики Узбекистан.
  3. Основной целью, на достижение которой направлены все положения Политики, является минимизация ущерба от событий, таящих угрозу безопасности информации, посредством их предотвращения или сведения их последствий к минимуму.

Процесс создания надежной информационной защиты является непрерывным. В целях обеспечения достаточно надежной системы ИБ необходима постоянная регулировка ее параметров, адаптация для отражения новых угроз, исходящих из внешней и внутренней среды. Не должно существовать каких-либо препятствий при внесении изменений в стандарты, процедуры или Политику по мере возникновения такой необходимости.

В соответствии с данным положением определяются следующие этапы цикла управления ИБ (модель PDCA: Plan-Do-Check-Act):

Plan — Планирование (разработка) — анализ рисков, определение Политики, целей, задач, процессов, процедур, программно-аппаратных средств, относящихся к управлению рисками и совершенствованию ИБ для получения результатов в соответствии с общей стратегией и целями Компании;

Do — Реализация (внедрение и эксплуатация) — внедрение и эксплуатация Политики, механизмов контроля, процессов, процедур, программно-аппаратных средств;

Check — Проверка (мониторинг и анализ) — оценка, и там, где это применимо — измерение характеристик исполнения процессов в соответствии с Политикой, целями и практическим опытом, анализ изменения внешних и внутренних факторов, влияющих на защищенность информационных ресурсов, предоставление отчетов руководству для анализа:

Act — Корректировка (сопровождение и совершенствование) — принятие корректирующих и превентивных мер, основанных на результатах внутренних и внешних проверок состояния ИБ, требований со стороны руководства, иных факторов в целях обеспечения непрерывного совершенствования системы управления ИБ.

Построение системы управления ИБ Компании и ее функционирование должны осуществляться в соответствии со следующими основными принципами:

законность — любые действия, предпринимаемые для обеспечения ИБ, осуществляются на основе действующего законодательства с применением всех дозволенных законодательством методов обнаружения, предупреждения, локализации и пресечения негативных воздействий на объекты защиты информации Компании;

ориентированность на бизнес — ИБ рассматривается как процесс поддержки основной деятельности Компании. Любые меры по обеспечению ИБ не должны повлечь за собой серьезных препятствий деятельности Компании:

непрерывность — применение средств управления системами защиты информации, реализация любых мероприятий по обеспечению информационной защиты Компании должны осуществляться без прерывания или остановки текущих бизнес—процессов Компании;

комплексность — обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла на всех технологических этапах их использования во всех режимах функционирования:

обоснованность и экономическая целесообразность — используемые возможности и средства защиты должны быть реализованы на соответствующем уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности и должны соответствовать предъявляемым требованиям и нормам. Во всех случаях стоимость мер и систем ИБ должна быть меньше размера возможного ущерба от любых видов риска:

приоритетность — категорирование (ранжирование) всех информационных ресурсов Компании по степени важности при оценке реальных, а также потенциальных угроз ИБ;

необходимое знание и наименьший уровень привилегий — пользователь получает минимальный уровень привилегий и доступ только к тем данным, которые являются необходимыми для выполнения им деятельности в рамках своих полномочий;

специализация — эксплуатация технических средств и реализация мер ИБ должны осуществляться профессионально подготовленными специалистами Компании:

информированность и персональная ответственность — руководители всех уровней и исполнители должны быть осведомлены обо всех требованиях ИБ и несут персональную ответственность за выполнение этих требований и соблюдение установленных мер ИБ;

взаимодействие и координация — меры ИБ осуществляются на основе взаимосвязи соответствующих структурных подразделений Компании, координации их усилий для достижения поставленных целей, а также установления необходимых связей с внешними организациями, профессиональными ассоциациями и сообществами, государственными органами, юридическими и физическими лицами:

подтверждаемость — важная документация и все записи — документы, подтверждающие исполнение требований по ИБ и эффективность системы ее организации, должны

создаваться и храниться с возможностью оперативного доступа и восстановления.

ИБ состоит из трех основных компонентов:

конфиденциальность: свойство, указывающее на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемое способностью системы (среды) сохранять указанную информацию в тайне от субъектов, не имеющих полномочий на доступ к ней;

целостность: свойство информации, заключающееся в ее существовании

в неискаженном виде (неизменном по отношению к некоторому фиксированному

ее состоянию);

доступность: свойство, характеризующееся способностью своевременного беспрепятственного доступа к информации субъектов, имеющих на это надлежащие полномочия.

Политика ИБ предусматривает обеспечение ИБ на основе использования совокупности организационных, режимных, технических, программных и других методов и средств защиты информации, а также осуществления всестороннего непрерывного контроля эффективности реализованных мер по обеспечению ИБ.

18. B процессе реализации Политики ИБ в неё могут вноситься изменения и   дополнения.

Основными объектами обеспечения ИБ в Компании признаются следующие элементы:

информационные ресурсы Компании, его клиентов и корреспондентов, содержащие сведения, отнесенные в соответствии с действующим законодательством и внутренними нормативными документами Компании к платежной и коммерческой тайне, персональным данным, финансовой информации, и любой иной информации, необходимой для обеспечения нормального функционирования Компании (далее — защищаемая информация);

средства и системы информатизации (средства вычислительной техники, информационно-вычислительные комплексы, сети, системы), на которых производится обработка, передача и хранение защищаемой информации:

программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) автоматизированной системы Компании, с помощью которых производится обработка защищаемой информации:

процессы Компании, связанные с управлением и использованием информационных ресурсов:

помещения, в которых расположены средства обработки защищаемой информации:

рабочие помещения и кабинеты работников Компании, помещения Компании, предназначенные для ведения закрытых переговоров и совещаний:

персонал Компании, имеющий доступ к защищаемой информации:

технические средства и системы, обрабатывающие открытую информацию, но размещенные в помещениях, в которых обрабатывается защищаемая информация.

Список пользователей информационных систем Компании, их права и приоритеты на доступ к информации, заведен в матрицы доступов, полномочия к программным и техническим средствам предоставляются в соответствии с матрицами доступов подразделений Компании, процессы регламентированы Правилами допустимого использования информационных ресурсов Компании и Правилами управления логическим доступом к информационным ресурсам Компании.

Подлежащая защите информация может:

  • размещаться на бумажных носителях;
  • существовать в электронном виде (обрабатываться, передаваться и храниться средствами вычислительной техники, записываться и воспроизводиться с помощью технических средств);
  • передаваться по телефону, телефаксу, телексу и т.п. в виде электрических сигналов;
  • присутствовать в виде акустических и вибросигналов в воздушной среде и ограждающих конструкциях во время совещаний и переговоров.

Риски информационной безопасности

Риск ИБ — это потенциальная возможность использования уязвимостей актива или группы активов с конкретной угрозой для причинения ущерба Компании. Для управления рисками ИБ необходимы соответствующие методы определения и обработки рисков, которые могут включать расчет затрат и экономического эффекта, требования законодательных актов, интересы заинтересованных сторон и другие соответствующие данные.

Процесс определения рисков, принятый в Компании, включает идентификацию, сравнительную оценку риска, и назначение им приоритетов в соответствии с критериями принятия риска и важностью целей для Компании. Результаты определения рисков ИБ помогут руководству принять решения относительно управления рисками ИБ, назначения приоритетов при управлении рисками ИБ и внедрения соответствующих средств управления безопасностью для защиты от этих рисков.

Для оценки риска, процесс определения рисков включает систематический метод оценки величины риска (анализ риска) и процесс сравнения предполагаемого риска с соответствующим

критериями риска. Определение риска должно выполняться периодически, это позволит своевременно учитывать изменения требований ИБ и возникновение рискованных ситуаций, а также произошедшие существенные изменения. Для определения риска следует использовать методы, обеспечивающие сопоставимые и воспроизводимые результаты.

 

Для эффективного определения риска ИБ четко определяется область его действия. Определение риска ИБ будет взаимосвязано с определениями рисков для других областей деятельности (при необходимости). До начала обработки рисков устанавливается критерии принятия рисков. Риск принимается, если определено, что его уровень низкий или стоимость его обработки для Компании экономически невыгодна, эти критерии документируются.

После определения риска для каждого идентифицированного риска должно быть принято решение об его обработке. К возможным опциям обработки рисков относятся:

применение соответствующих средств управления для снижения рисков:

осознанное и объективное принятие рисков, если они однозначно удовлетворяют требованиям и критериям принятия рисков Компании;

разделение совместных рисков с другими сторонами, например, страховщиками или поставщиками

После принятия решения об обработке рисков используются соответствующие средства управления, которые прежде были выбраны и внедрены. При случаях доступа сторонних организаций к информационным активам Компании и средствам обработки информации необходимого по производственным причинам, а также, в случае получения товаров и услуг от сторонних организаций, проводится анализ рисков для определения возможных последствий для безопасности информации и требований к средствам управления. Такие мероприятия следует согласовывать и определять в договорах со сторонней организацией.

Все действия по определению, обработке и принятию рисков, обмену информацией

Относительно рисков, мониторинг рисков должны выполняться в соответствии со стандартом O'z DSt ISO/IEC 27005:2013.

Угрозы информационной безопасности

Под угрозами ИБ понимается совокупность условий и факторов, создающих

предпосылки к возникновению инцидента информационной безопасности.

Угрозы ИБ подразделяются на:

случайные — стихийные бедствия (природные источники угроз — землетрясение, пожары, осадки, наводнения и т.д.), непреднамеренные ошибочные действия со стороны работников Компании, ошибки аппаратных и программных средств и т.д.;

преднамеренные, т.е. умышленная фальсификация или уничтожение данных, неправомерное использование данных, компьютерные преступления и т.д.

К числу угроз ИБ относятся (но не ограничены ими):

утрата информации, составляющей коммерческую тайну Компании и иную охраняемую законом информацию:

искажение (несанкционированная модификация, подделка) защищаемой информации:

утечка — несанкционированное ознакомление с защищаемой информацией посторонних лиц (несанкционированный доступ, копирование, хищение и т.д.);

несанкционированное использование информационных ресурсов (злоупотребления, мошенничества и т.п.):

недоступность информации в результате ее блокирования, отказа и сбоя оборудования или программ, дезорганизации функционирования операционных систем рабочих станций, серверов, активного сетевого оборудования, систем управления баз данных, распределенных вычислительных сетей, воздействия вирусов, стихийных бедствий и иных форс—мажорных обстоятельств, и злонамеренных действий.

В результате воздействия указанных угроз могут возникнуть следующие негативные последствия, влияющие на состояние ИБ Компании и его нормальное функционирование:

финансовые потери, связанные с утечкой, разглашением, или несанкционированной модификацией защищаемой информации;

финансовые потери, связанные с уничтожением и последующим восстановлением утраченной информации;

финансовые потери, связанные с несанкционированными действиями в информационных pecypcax Компании:

ущерб от дезорганизации деятельности Компании, финансовые и репутаиионные потери, связанные с невозможностью выполнения им своих обязательств;

ущерб от принятия управленческих решений на основе необъективной информации:

ущерб от отсутствия у руководства Компании объективной информации;

ущерб, нанесенный репутации Компании:

иной вид ущерба.

Нарушители ИБ классифицируются следующим образом:

внутренние нарушители — работники Компании, неосознанно либо злонамеренно нарушающие режим ИБ;

внешние нарушители — лица, не связанные с Компанией трудовыми отношениями

(в том числе стажеры и практиканты), из хулиганских или корыстных побуждений

предпринимающие действия, способные нанести ущерб информационным ресурсам Компании.

Опасность нарушителя во многом определяется количеством и степенью важности доступных ему информационных ресурсов. Исходя из этого, наиболее рисковыми категориями следует считать менеджеров высшего и среднего звена, администраторов информационных ресурсов и лиц, работающих с большими объемами клиентской и финансовой информации.

Основные типы внутренних нарушителей:

«необученный/халатный работник» — работник Компании, по незнанию или по собственной

халатности допускающий нарушение, не несущее в себе злого умысла:

«конкурирующий работник» — работник Компании, по личной неприязни либо по иным причинам пытающийся нанести ущерб другому работнику. В результате его действий может пострадать не только его «цель», но и в целом Компания:

«заинтересованный нарушитель» — работник Компании, который заинтересован в неправомерных действиях по отношению к Компании третьей стороной либо собственной выгодой. Как правило, заинтересован в дальнейшем сохранении с Компанией трудовых отношений и не будет предпринимать действий, прямо его компрометирующих. Наиболее вероятное нарушение — утечка информации (в случае заинтересованности собственной выгодой — финансовые мошенничества):

«внедренный злоумышленник» — работник Компании, поступивший на работу с целью совершения противоправных действий в интересах третьих лиц. Практически не заинтересован в дальнейших трудовых отношениях с Компанией:

«увольняющийся работник» — работник, прекращающий с Компанией трудовые отношения без взаимных претензий. Наиболее вероятна утечка информации, к которой он имел непосредственный доступ:

«обиженный работник» — работник Компании, неудовлетворенный условиями трудовой деятельности, либо, как вариант, руководство Компании явно недовольно деятельностью работника. 

Основные типы внешних нарушителей (в данном разделе используется терминология, принятая на настоящий момент в сообществе

специалистов по ИБ):

«Script Kiddie», или «Начинающий» — лицо, интересующееся взломом любого информационного pecypca, имеющего общеиз-

вестные уязвимости. Не нацелен на взлом информационных ресурсов именно Компании, легко прекращает атаку в случае обнаружения серьезных средств защиты. Как правило, использует широко распространенные методы взлома, не разрабатывает собственных средств:

«Black hat» — «Черный хакер» — в отличие от «Script Kiddie» более упорен во взломе конкретного pecypca, обход систем защиты считает «делом чести», может разрабатывать простые атакующие средства. Действует с целью самоутверждения или для извлечения личной выгоды, может продавать свои услуги криминальным структурам:

«Elite hacker», или «Гуру» — высококлассный специалист по взлому информационных систем. Как правило, работает «под заказ» криминальных структур либо конкурирующих организаций. В первом случае будет нацелен на проведение финансового мошенничества, во втором — либо на утечку информации, либо на недоступность серверов и компрометацию Компании в глазах клиентов. В арсенале имеет полный спектр специального программно

-технического обеспечения, а также использует методы социальной инженерии: 4)«Партнер» — работник организации-партнера, имеющих доступ к информационным

системам Компании. Можно определить любым типом внутреннего нарушителя, но он, как правило, менее управляем и менее осведомлен о требованиях ИБ, принятых в Компании:

5)«Консультант» — работник сервисной компании, который имеет доступ к информационным ресурсам. Возможны разные сценарии проявления несанкционированной деятельности, как правило, в рамках обслуживаемой информационной системы:

б)«Стажер/практикант» — как правило, ограничен в доступе к информации

и информационным системам, однако постоянно находится на территории Компании

и может получать информацию косвенно либо методами социальной инженерии. Может нанести серьезный ущерб только при халатном отношении к своим обязанностям работника Компании, курирующего данного стажера/практиканта:

7)«Клиент» — клиент Компании, имеющий доступ к его сервисам дистанционного платежной системе. Может нанести урон при неправильном использовании данных сервисов, утере идентификационных данных либо действовать как первые три типа внешних нарушителей, имея — пусть и ограниченный — доступ к информационным платежным ресурсам.

Основными мерами по обеспечению ИБ Компании являются:

 

административно-правовые и организационные меры:

меры физической безопасности:

программно-технические меры.

Административно—правовые и организационные меры включают

(но не ограничены ими):

контроль исполнения требований законодательства РУз и внутренних документов:

разработку, внедрение и контроль исполнения правил, методик и инструкций,

поддерживающих Политику:

контроль соответствия бизнес-процессов требованиям Политики:

информирование и обучение работников Компании работе с информационными ресурсами и требованиям ИБ:

реагирование на инциденты, локализацию и минимизацию последствий:

анализ новых рисков ИБ:

отслеживание и улучшение морально-делового климата в коллективе:

определение действий при возникновении чрезвычайных ситуаций: