Файл: Страница 1 из 27 утверждаю генеральный директор ооо Сатурн.pdf

Страница 1 из 27
УТВЕРЖДАЮ
Генеральный директор
ООО «Сатурн»
Соколов А.А.
«___» _____________ 2018 г.
СИСТЕМА МЕНЕДЖМЕНТА ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
КОНЦЕПЦИЯ
ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
[ИБ-100]
2018г.

Страница 2 из 27
Оглавление
1.
Аннотация ........................................................................................................................................ 4 1.1.
Настоящий документ представляет собой концепцию обеспечения информационной безопасности в ООО «Сатурн» (далее Компания) и определяет: .................................................. 4 2.
Общие положения ........................................................................................................................... 4 2.1.
Назначение и правовая основа документа ........................................................................... 4 2.2.
Объекты защиты .................................................................................................................... 5 2.3.
Категории информационных ресурсов, подлежащих защите ........................................... 5 2.4.
Цели обеспечения безопасности информации .................................................................... 6 2.5.
Задачи обеспечения безопасности информации ................................................................. 7 2.6.
Основные пути решения задач защиты информации ......................................................... 7 2.7.
Угрозы безопасности информации и их источники ........................................................... 8 2.8.
Пути реализации непреднамеренных искусственных (субъективных) угроз безопасности информации ................................................................................................................. 9 2.9.
Пути реализации преднамеренных искусственных (субъективных) угроз безопасности информации ....................................................................................................................................... 10 2.10.
Пути реализации основных естественных угроз безопасности информации ................ 11 2.11.
Неформальная модель возможных нарушителей ............................................................. 11 2.12.
Утечка информации по техническим каналам .................................................................. 13 3.
Основные принципы обеспечения информационной безопасности ........................................ 14 3.1.
Законность ............................................................................................................................ 15 3.2.
Системность ......................................................................................................................... 15 3.3.
Комплексность ..................................................................................................................... 15 3.4.
Непрерывность защиты ....................................................................................................... 15 3.5.
Своевременность .................................................................................................................. 15 3.6.
Преемственность и совершенствование ............................................................................ 16 3.7.
Разумная достаточность (экономическая целесообразность).......................................... 16 3.8.
Персональная ответственность ........................................................................................... 16 3.9.
Минимизация полномочий ................................................................................................. 16 3.10.
Взаимодействие и сотрудничество .................................................................................... 16 3.11.
Гибкость системы защиты .................................................................................................. 17 3.12.
Открытость алгоритмов и механизмов защиты ................................................................ 17 3.13.
Простота применения средств защиты .............................................................................. 17 3.14.
Обоснованность и техническая реализуемость ................................................................ 17 3.15.
Специализация и профессионализм ................................................................................... 18 3.16.
Обязательность контроля .................................................................................................... 18 4.
Меры обеспечения информационной безопасности .................................................................. 18

Страница 3 из 27 4.1.
Законодательные (правовые) меры защиты ...................................................................... 18 4.2.
Морально-этические меры защиты .................................................................................... 19 4.3.
Технологические меры защиты .......................................................................................... 19 4.4.
Организационные (административные) меры защиты .................................................... 19
Формирование политики информационной безопасности ....................................... 19
Регламентация доступа в помещения .......................................................................... 19
Регламентация допуска сотрудников к использованию информационных ресурсов
20
Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов ......................................................................................... 20
Обеспечение и контроль физической целостности (неизменности конфигурации) аппаратных ресурсов..................................................................................................................... 21
Подбор и подготовка персонала, обучение пользователей ....................................... 21
Подразделение информационной безопасности ........................................................ 21
Ответственность за нарушения установленного порядка пользования ресурсами информационной системы Компании. Расследование/исследование нарушений ................. 22 5.
Средства обеспечения информационной безопасности ............................................................ 23 5.1.
Физические средства защиты ............................................................................................. 23 5.2.
Технические средства защиты ............................................................................................ 23 5.3.
Средства управления системой информационной безопасности.................................... 24 5.4.
Средства контроля эффективности системы защиты ....................................................... 24 6.
Техническая политика в области обеспечения безопасности информации ............................ 24 7.
Формирование режима безопасности информации ................................................................... 25 8.
История изменений ....................................................................................................................... 27

Страница 4 из 27
1.
Аннотация
1.1.
Настоящий документ представляет собой концепцию обеспечения информационной безопасности в ООО «Сатурн» (далее Компания) и определяет:
▪ Основные принципы формирования перечня критичных ресурсов, нуждающихся в защите, формируемого в процессе проведения аудита безопасности и анализа рисков.
Данный перечень должен включать в себя описание физических, программных и информационных ресурсов с определением стоимости ресурсов и степени их критичности для Компании.
▪ Основные принципы защиты, определяющие стратегию обеспечения информационной безопасности (ИБ) и перечень политик правил, которыми необходимо руководствоваться при построении системы обеспечения информационной безопасности (СОИБ) Компании.
▪ Модель нарушителя безопасности, определяемую на основе обследования ресурсов
Компании и способов их использования.
▪ Модель угроз безопасности и оценку рисков, связанных с их осуществлением, формируемую на основе перечня критичных ресурсов и модели нарушителя, которая включает определение вероятностей угроз и способов их осуществления, а также оценку возможного ущерба.
▪ Требования безопасности, определяемые по результатам анализа рисков.
▪ Меры обеспечения безопасности организационного и программно-технического уровня, предпринимаемые для реализации требований безопасности.
▪ Ответственность сотрудников Компании за соблюдение установленных требований
ИБ при эксплуатации информационных систем (ИС) Компании.
2.
Общие положения
2.1.
Назначение и правовая основа документа
Концепция информационной безопасности (далее – Концепция) Компании определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, а также требований и базовых подходов к их реализации. В Концепции описывается общая стратегия обеспечения информационной безопасности Компании.
Методологической основой Концепции являются Российские и международные стандарты в области информационной безопасности.
Законодательной основой Концепции являются: Конституция Российской Федерации,
Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации.
Концепция учитывает современное состояние и ближайшие перспективы развития информационных технологий в Компании, цели, задачи и правовые основы их эксплуатации, режимы функционирования, а также содержит анализ угроз безопасности для объектов и субъектов информационных отношений.
Основные положения Концепции базируются на качественном осмыслении вопросов безопасности информации и не затрагивают вопросов экономического (количественного) анализа рисков и обоснования необходимых затрат на защиту информации.
Концепция является методологической основой для:
▪ формирования Политики информационной безопасности в Компании;
▪ выработки комплекса согласованных мер по выявлению, отражению и нейтрализации угроз безопасности информации;

Страница 5 из 27
▪ координации деятельности структурных подразделений Компании и ответственных лиц при проведении работ по созданию, развитию и эксплуатации информационных технологий;
▪ разработки предложений по совершенствованию правового, нормативного, технического и организационного обеспечения Политики информационной безопасности Компании.
Положения и требования Концепции распространяются на все структурные подразделения, входящие в состав Компании.
2.2.
Объекты защиты
Основными объектами системы информационной безопасности Компании являются:
1. Информационные ресурсы, содержащие сведения, составляющие коммерческую тайну, или иные критичные информационные ресурсы Компании;
2. Процессы обработки, хранения и передачи информации в информационной системе
Компании, а также ее участники (пользователи и обслуживающий персонал);
3. Инфраструктура информационной системы Компании (технические и программные средства анализа, обработки, передачи и отображения, каналы информационного обмена и телекоммуникации, объекты и помещения, в которых они размещены);
4. Структура, состав и размещение средств защиты информации, их взаимодействие с информационной системой и точки подключения к ней;
5. Открытая (общедоступная) информация, необходимая для работы Компании, независимо от формы и вида ее представления.
Информационная среда Компании является распределенной структурой, объединяющей различные информационные системы. К основным особенностям информационной среды
Компании относятся:
▪ Территориальная распределенность компонентов информационной системы;
▪ Объединение в единую систему большого количества разнообразных технических средств обработки и передачи информации;
▪ Большое разнообразие решаемых задач и типов обрабатываемых данных, сложные режимы автоматизированной обработки информации с широким совмещением выполнения информационных запросов различных пользователей;
▪ Важность и ответственность решений, принимаемых на основе автоматизированной обработки данных;
▪ Абстрагирование владельцев информации от физических структур и места размещения информации;
▪ Наличие большого числа информационных каналов взаимодействия с «внешним миром» (источниками и потребителями информации);
▪ Высокая интенсивность информационных потоков;
▪ Разнообразие категорий пользователей и обслуживающего персонала информационной системы.
В этих условиях резко возрастают требования, предъявляемые к информационной среде, и в частности - к информационной системе Компании, в которой обрабатываются и накапливаются значительные объемы информации.
2.3.
Категории информационных ресурсов, подлежащих защите
В информационной системе Компании циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (государственная, коммерческая или служебная тайна, персональные данные) и открытые сведения.

Страница 6 из 27
Защите подлежит вся информация, обрабатываемая информационной системой
Компании, независимо от ее представления и местонахождения в информационной среде, относящаяся к следующим категориям:
▪ Сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации в соответствии с Федеральным законом «О коммерческой тайне»;
▪ Служебная информация, угроза безопасности которой может негативно повлиять на деятельность Компании;
▪ Открытая информация, необходимая для обеспечения бизнес-процессов Компании;
▪ Интересы затрагиваемых субъектов информационных отношений.
Субъектами информационных отношений Компании являются:
▪ Структурное подразделение Компании или лица, являющиеся владельцами информационных ресурсов;
▪ Подразделения Компании, участвующие в информационном обмене;
▪ Сотрудники Компании, в соответствии с возложенными на них функциями;
▪ Юридические и физические лица, сведения о которых присутствуют в информационной системе Компании;
▪ Другие юридические и физические лица, прямо или косвенно задействованные в бизнес-процессах Компании (консультанты, разработчики, обслуживающий персонал, организации, привлекаемые для оказания услуг и пр.).
Перечисленные субъекты информационных отношений заинтересованы в обеспечении:
▪ Своевременного доступа к необходимой информации (ее доступности);
▪ Достоверности (полноты, точности, адекватности, целостности) информации;
▪ Конфиденциальности (сохранения в тайне) определенной части информации;
▪ Защиты от навязывания ложной (недостоверной, искаженной) информации;
▪ Ответственности за нарушения прав (интересов) и установленных правил обращения с информацией;
▪ Возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
▪ Защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.).
2.4.
Цели обеспечения безопасности информации
Целями обеспечения безопасности информации являются:
▪ Защита субъектов информационных отношений Компании от возможного нанесения материального, физического, морального или иного ущерба посредством случайного или преднамеренного воздействия на информацию, ее носители, процессы обработки и передачи;
▪ Минимизация уровня рисков (операционные риски, риск нанесения урона деловой репутации Компании, правовой риск и т.д.).
Указанные цели достигаются посредством обеспечения и постоянного поддержания следующих свойств информации:
▪ Доступность информации для легальных пользователей
(устойчивого функционирования информационной системы Компании, при котором пользователи имеют возможность своевременного получения необходимой информации);
▪ Целостность и аутентичность (подтверждение авторства) информации, хранимой, обрабатываемой и передаваемой в информационной системе Компании;
▪ Конфиденциальность определенной части информации, хранимой, обрабатываемой и передаваемой в информационной системе Компании.

Страница 7 из 27
Необходимый уровень доступности, целостности и конфиденциальности информации обеспечивается соответствующими методами и средствами.
2.5.
Задачи обеспечения безопасности информации
Для достижения целей защиты и обеспечения указанных свойств информации система информационной безопасности Компании должна обеспечивать эффективное решение следующих задач:
▪ Своевременное выявление, оценка и прогнозирование источников угроз информационной безопасности, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, нарушению нормального функционирования информационной системы Компании;
▪ Создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
▪ Создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и оперативная ликвидация последствий нарушения безопасности информации;
▪ Защита от утечки (несанкционированного разглашения и ознакомления), разрушения
(несанкционированного уничтожения), блокирования (несанкционированного ограничения) или искажения (несанкционированной модификации) информации и контроль целостности используемых в информационной системе Компании программных средств, а также защита информационной системы от внедрения вредоносных программ;
▪ Защита от вмешательства в процесс функционирования информационной системы
Компании посторонних лиц (доступ к информационным ресурсам должны иметь только авторизованные в установленном порядке пользователи);
▪ Разграничение доступа пользователей к информационным, аппаратным, программным и иным ресурсам Компании (возможность доступа только к тем ресурсам и выполнения только тех операций с ними, которые необходимы конкретным пользователям для выполнения своих служебных обязанностей), то есть защиту от несанкционированного доступа;
▪ Обеспечение аутентификации пользователей, участвующих в информационном обмене (подтверждение подлинности отправителя и получателя информации);
▪ Регистрация действий пользователей при использовании защищаемых ресурсов информационной системы Компании в системных журналах и периодический контроль корректности действий пользователей системы;
▪ Обеспечение надежности криптографических средств защиты информации.
2.6.
Основные пути решения задач защиты информации
Поставленные основные цели защиты информации и решение перечисленных выше задач достигаются:
▪ Строгим учетом всех подлежащих защите ресурсов информационной системы
Компании
(информации, задач, документов, каналов связи, серверов, автоматизированных рабочих мест);
▪ Регламентацией процессов обработки информации и действий пользователей;
▪ Регламентацией действий персонала, осуществляющего обслуживание и модификацию программных и технических средств корпоративной информационной системы;