Карта сайта Горячая линия Контакт Ссылки
AzEn
26 Dekabr 2024,
ГЛАВНАЯ СТРАНИЦАПОЛИТИКА БЕЗОПАСНОСТИ

1. Вступление

Стремительное развитие, широкое распространение информационных и коммуникационных технологий, обострение конкуренции в этой сфере требует создания единой системы информационной безопасности в корпоративных сетях на основании научно-методологических принципов обеспечения информационной безопасности, а также координируя правовые, организационные, технические и физические меры безопасности, с учетом тенденции развития современных сетевых технологий.

Под информационной безопасностью понимается обеспечение конфиденциальности, целостности и доступности информации.

Конфиденциальность информации обеспечивается только при  предоставлении доступа лицам, имеющим на это разрешение, целостность - при внесении согласованных изменений в данные, доступность - при получении доступа к информационным ресурсам в нужный момент лицам, имеющим на это разрешение.

В этом смысле политика информационной безопасности (далее - Политика) определяет систему взглядов на проблему обеспечения информационной безопасности, систематически рассматривает цели и задачи, организационные, технологические и процедурные аспекты информационной защиты в корпоративной сети НАНА.

2. Цели и задачи политики

Цель

  • Доведение до минимума вероятности принесения материального и морального ущерба сети и информационным ресурсам НАНА, которые могут нанести угрозы информационной безопасности;
  • Повышение репутации бизнеса НАНА;
  • Формирование единых принципов для создания системы информационной безопасности;
  • Формирование соответствующей организационно-методической базы для создания, деятельности и развития системы информационной безопасности.

Задачи, решение которых важны при создании системы информационной безопасности:

  • Установление списка и анализ потенциальных угроз информационной безопасности;
  • Классификация информационных ресурсов в корпоративной сети НАНА;
  • Установление единых требований, выдвинутых с точки зрения информационной безопасности, информационным технологиям, внедренным в корпоративной сети НАНА;
  • Требования к формированию системы информационной безопасности.

3. Сфера влияния

Эта Политика применяется ко всем информационным ресурсам, системам и сетям, принадлежащим Президиуму НАНА и его организациям, всем сотрудникам НАНА, имеющим любой доступ к прикладным программам.

4. Ответственность за информационную безопасность

4.1.   Все сотрудники и лица, которые в рамках заключенных договоров пользуются корпоративной сетью НАНА, обязательно должны соблюдать требования этой Политики.

4.2.  Основная ответственность за информационную безопасность лежит на руководителе (-ях) организации (-ий). Официальное лицо, уполномоченное по информационной безопасности, непосредственно носит ответственность за реализацию и управление этой Политикой и процедурами, связанными с ней. 

4.3.   Руководители структурных подразделений организации несут ответственность за информирование постоянных и временных сотрудников о следующих пунктах:

  • Политика информационной безопасности, которая может быть внедрена в область их деятельности;
  • Личная ответственность сотрудников за информационную безопасность;
  •  Правила обращения за советом по вопросам информационной безопасности.

4.4.  Все сотрудники обязаны выполнить процедуры информационной безопасности, включая обеспечение конфиденциальности и целостности данных.

4.5.  Руководители структурных подразделений организации в своих областях носят личную ответственность за физическую безопасность среды, где хранится и обрабатывается информация.

4.6.   Каждый сотрудник несет ответственность за безопасную эксплуатацию используемых им информационных систем.

4.7.  Каждый пользователь системы должен выполнять требования безопасности, указанные в соответствующей Политике, а также обеспечивать на высоком уровне защиту конфиденциальности, целостности и доступности используемой информации.

4.8.  Контракты, позволяющие посторонним пользователям подключаться к информационной системе организации, должны предварительно вступать в силу. Эти контракты должны гарантировать выполнение соответствующей политики безопасности.

5. Основы законодательства

Основу законодательства данной Политики составляют нижеследующие законы и нормативно-правовые документы, в том числе международные конвенции, к которым присоединилась Азербайджанская  Республика:

  • Конституция Азербайджанской Республики;
  • Закон Азербайджанской Республики «Об информации, информатизации и защите информации»;
  • Закон Азербайджанской Республики «О государственной тайне»;
  • Закон Азербайджанской Республики «О коммерческой тайне»;
  • Закон Азербайджанской Республики «Об электронной подписи и электронном документе»;
  • Закон Азербайджанской Республики «Об электронной торговле»;
  • Закон Азербайджанской Республики «О правовой защите сборников информации»;
  • Закон Азербайджанской Республики «О доступе к информации»;
  • Закон Азербайджанской Республики «О свободе информации»;
  • Закон Азербайджанской Республики «О средствах массовой информации»;
  • Закон Азербайджанской Республики «О телекоммуникации»;
  • Уголовный кодекс Азербайджанской Республики;
  • Декларация прав человека Организации Объединенных Наций.

6.  Основные положения

6.1 Управление информационной безопасностью

  • Ответственность за информационную безопасность на уровне руководства организации возлагается на первого руководителя организации;
  •  Сотрудник, официально назначенный ответственным за информационную безопасность организации, несет ответственность за реализацию, мониторинг, документацию и информирование сотрудников о требованиях безопасности.

  6.2   Информирование и обучение по информационной безопасности

  • Информирование сотрудников о вопросах информационной безопасности должно включаться в процесс официального начала работы.

 

  • Для обеспечения обновления на необходимом уровне осведомленности сотрудников в новой информации по вопросам информационной безопасности должны быть установлены соответствующие программы информирования и обучения.

6.3  Трудовой договор

  • Требования к информационной безопасности должны быть учтены на этапе принятия на работу, и во всех контрактах должна присутствовать статья о конфиденциальности.
  • Обязанности сотрудников в сфере информационной безопасности должны быть включены в соответствующие должностные обязательства.

6.4   Контроль над безопасностью активов

  • Для каждого актива (аппаратное и программное обеспечение, прикладные программы, электронные документы, базы данных) информационной безопасности должно быть назначено лицо, ответственное за информационную безопасность данного актива.

6.5  Контроль за входом

  • Связанный с деятельностью доступ к важным информационным системам, вход в комнаты или здания, где расположены информационные ресурсы, дается лицам на основании утвержденного и авторизированного разрешения.
  • Разрешение на доступ к информационным и компьютерным средствам должно быть ограничено авторизированными лицами.

Должен контролироваться и ограничиваться вход в базу данных, системные утилиты и библиотеки программ авторизированными пользователями, например, администраторами системы или базы данных.

6.6  Безопасность оборудования

  • Для доведения до минимума потери и повреждений все активы и оборудование должно быть защищено от угроз и стихийных бедствий.

6.7  Защита от вредоносного программного обеспечения

Для защиты корпоративной сети НАНА от вредоносного программного обеспечения должны быть использованы средства программного обеспечения и процедуры управления. Ожидается полная поддержка этой политики со стороны сотрудников. Пользователи не имеют права устанавливать программное обеспечение на имуществе организации без разрешения сетевого или системного администратора. Могут быть предприняты дисциплинарные меры в отношении тех сотрудников, которые нарушат это требование.

6.8              Инциденты и уязвимости информационной безопасности

Служба мониторинга и информационной безопасности корпоративной сети НАНА должна быть проинформирована обо всех инцидентах и сомнительных моментах информационной безопасности. С целью предотвращения подобных явлений в дальнейшем должны быть расследованы причины и последствия инцидентов информационной безопасности.

6.9    Мобильные носители информации

Требуется разрешение  лица, ответственного за информационную безопасность, для использования в системах организации всех видов мобильных носителей информации, хранящих программное обеспечение и данные с внешних источников, или использованных на другом оборудовании. Такие мобильные носители информации перед использованием в оборудовании организации должны быть предварительно проверены антивирусными программами. Могут быть предприняты дисциплинарные меры в отношении тех сотрудников, которые нарушат это требование.

6.10  Аккредитация информационных систем

Организации должны обеспечивать наличие планов по безопасности всех новых информационных систем, прикладных программ и сетей и утверждение этих планов до начала работы лицом, ответственным за информационную безопасность.

 

(Поддерживается создание организациями Политики безопасности системного уровня для систем, которые находятся под их контролем, целью которого является разграничение с точки зрения управления безопасности и требований для каждых систем).

6.11      Контроль за изменениями в системе

Внесение изменений в информационные системы, прикладные программы и сети должно быть заранее согласовано со Службой мониторинга и информационной безопасности.

6.12    Планы бесперебойной деятельности и восстановления после аварии

Организации должны оценить уровень воздействия угрозы информации, прикладных программ, систем и сети на деятельность организации, обеспечивать разработку планов бесперебойной деятельности и восстановления после аварии.

6.13    Отчет

Служба мониторинга и информационной безопасности должна регулярно посредством отчетов и презентаций информировать руководство о состоянии информационной безопасности корпоративной сети НАНА.

6.14   Аудит информационной безопасности

Должен проводиться периодический аудит для проверки и оценки соответствия информационной безопасности корпоративной сети НАНА с требованиями этой Политики. Правила проведения аудита информационной безопасности в корпоративной сети НАНА устанавливаются в политике Аудита.

6.15  Мониторинг доступа и пользования информационными системами

  • Аудиторские записи доступа в информационные системы и пользования информационными ресурсами должны храниться и регулярно контролироваться сотрудниками.
  • В случае сомнения по поводу следования этой политики Служба мониторинга и информационной безопасности имеет право проводить исследование.

6.16   Обзор политики информационной безопасности

  • Политика информационной безопасности должна защищаться, пересматриваться и обновляться Службой мониторинга и информационной безопасности.
  • Используемые информационные технологии, организация службы деятельности и угрозы информационной безопасности беспрерывно меняются, а это в свою очередь делает необходимым внесение коррективов в политике обеспечения информационной безопасности. Таким образом, должно регулярно пересматриваться соответствие этой политики с соответствующими требованиями.
  • Результаты аудита по информационной  безопасности могут служить основой для пересмотра некоторых положений и внесения необходимых поправок. В случае необходимости, при выявлении расхождения с современными требованиями могут быть внесения изменения и дополнения к Политике.

 
  • ОБ AZSCİENCENET
  • ГАЛЕРЕЯ
    • Copyright © İnformasiya Texnologiyaları İnstitutu, 2024