-
УТВЕРЖДАЮ
|
Председатель Агентства Республики Казахстан
по информатизации и связи
|
____________________ К. Есекеев
|
_____________________ 2007 г.
|
Политика информационной безопасности
единой системы электронного документооборота государственных органов
СОГЛАСОВАНО
|
Руководитель Канцелярии
Премьер – Министра
Республики Казахстан
_____________________Е. Орынбаев
«______ »____________ 2007 г.
|
|
Председатель Комитета
Национальной безопасности
Республики Казахстан
_____________________А. Шабдарбаев
_____________________2007 г.
|
|
Министр культуры и
информации
Республики Казахстан
_____________________Е. Ертысбаев
______ ______________ 2007 г.
|
Содержание
1
1 ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 3
2 РЕАЛИЗАЦИЯ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ 5
3 ИНФОРМАЦИОННАЯ ИНФРАСТРУКТУРА ЕСЭДО 10
3.1 Область применения Политики информационной безопасности ЕСЭДО 10
4 МЕТОДОЛОГИЯ И ПРИНЦИПЫ ПОСТРОЕНИЯ ПОЛИТИКИ БЕЗОПАСНОСТИ 13
5 УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЕСЭДО, МЕТОДЫ И СРЕДСТВА 16
5.1.Виды угроз 16
5.2 Методы и средства информационной безопасности ЕСЭДО 17
1.1 Правовые методы обеспечения информационной безопасности ЕСЭДО 17
1.2 Организационные формы защиты 18
1.3 Программные и аппаратные формы защиты 27
6 ПЕРЕСМОТР ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ЕСЭДО 32
7 ПЕРЕЧЕНЬ НОРМАТИВНЫХ ПРАВОВЫХ АКТОВ, НА ОСНОВЕ КОТОРЫХ РАЗРАБОТАНА ПОЛИТИКА 32
Приложение 1 34
Приложение 2 41
Приложение 3 47
Приложение 4 52
1ПОЛИТИКА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В соответствии с Концепцией информационной безопасности Республики Казахстан, ЕСЭДО ГО, как часть информационной инфраструктуры «электронного правительства», отнесена к классу общегосударственных информационных и коммуникационных систем.
Главной целью, на достижение которой направлены все положения Политики, является надежное обеспечение информационной безопасности Общества и, как следствие, недопущение нанесения материального, физического, морального или иного ущерба Обществу в результате проектно-технологической и информационной деятельности.
Указанная цель достигается посредством обеспечения и постоянного поддержания следующего состояния:
-
доступность обрабатываемой информации для зарегистрированных пользователей;
-
устойчивое функционирование ЕСЭДО;
-
обеспечения конфиденциальности информации, хранимой, обрабатываемой на средствах вычислительной техники и передаваемой по каналам связи;
-
целостность и аутентичность информации, хранимой и обрабатываемой в ЕСЭДО и передаваемой по каналам связи.
Для достижения поставленной цели необходимо решить следующие задачи:
-
защита от вмешательства посторонних лиц в процесс функционирования ЕСЭДО;
-
разграничение доступа зарегистрированных пользователей к информации аппаратными, программными и криптографическими средствами защиты, используемыми в ЕСЭДО;
-
регистрация действий пользователей при использовании ресурсов ЕСЭДО в системных журналах;
-
периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами информационной безопасности;
-
контроль целостности (обеспечение неизменности) среды исполнения программ и ее восстановление в случае нарушения;
-
защита информации от несанкционированной модификации искажения;
-
контроль целостности используемых программных средств, а также защиту системы от внедрения вредоносных кодов, включая компьютерные вирусы;
-
обеспечение аутентификации пользователей, участвующих в информационном обмене;
-
своевременное выявление угроз информационной безопасности, причин и условий, способствующих нанесению ущерба;
-
создание механизма оперативного реагирования на угрозы информационной безопасности и негативные тенденции;
-
создание условий для минимизации и локализации нанесенного ущерба неправомерными действиями физических и юридических лиц, ослабления негативного влияния и ликвидации последствий нарушения безопасности информации.
2РЕАЛИЗАЦИЯ ПОЛИТИКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Политика информационной безопасности ЕСЭДО является методологической базой:
-
выработки и совершенствования комплекса согласованных нормативных, правовых, технологических и организационных мер, направленных на защиту информации;
-
обеспечения информационной безопасности;
-
координации деятельности структурных подразделений при проведении работ по соблюдению требований обеспечения информационной безопасности.
Для реализации Политики информационной безопасности ЕСЭДО необходимо провести комплекс превентивных мер по защите информации, в том числе конфиденциальных данных, информационных процессов, включающих в себя требования в адрес персонала, менеджеров и технических служб. На основе Политики строится управление информационной безопасностью.
Политика сформирована на основе результатов информационного и технического обследования ЕСЭДО в рамках аудита, результатов анализа информационных рисков и оценки защищенности информации, в соответствии с требованиями нормативно-руководящих документов РК, а также согласно рекомендациям международных стандартов в области защиты информации.
Политика основана на системном подходе, гарантирующем высокую вероятность достижения тактической цели - снижения неэффективности разрозненных решений, и стратегической цели - реализации возможностей единого системного решения.
Политика является неотъемлемой частью политики информационной и общей безопасности организации, а в случае отсутствия таковой является основополагающим документом в вопросах обеспечения информационной безопасности ЕСЭДО.
При наличии обеих политик приоритетной является политика информационной и общей безопасности организаций.
Сокращения, термины и определения, используемые в данном документе
В настоящем документе применяются термины и определения в
соответствии с СТ РК 34.005-2002 «Информационная технология. Основные термины и определения», ISO/IEC 17799:2005 «Информационные технологии – Методы обеспечения безопасности – Практические правила управления информационной безопасностью».
В документе также употребляются следующие определения, понятия и соглашения, наиболее часто используемые в среде информационной безопасноcти:
администратор безопасности информационных систем - работник, обеспечивающий исполнение мер по информационной безопасности;
атака – несанкционированная деятельность с вредоносными намерениями, использующая специально разработанный программный код или специальные методики;
аутентификация - подтверждение подлинности субъекта или объекта доступа путем определения соответствия предъявленных реквизитов доступа реализованными в системе;
авторизация – определение по данным аутентификации полномочий лица или информационного ресурса и элементов, к которым им следует предоставить доступ;
база данных (БД) - упорядоченная совокупность данных и структур их хранения, организованных по определенным правилам, предусматривающим общие принципы описания, хранения и манипулирования данными, и предназначенная для обработки с помощью средств вычислительной техники;
вероятность реализации угрозы через данную уязвимость - степень возможности реализации угрозы через данную уязвимость в тех или иных условиях;
вредоносное программное обеспечение – программное обеспечение создаваемое с целью причинения вреда информационным системам и информационным ресурсам;
защита информации - принятие правовых, организационных и технических (программно-технических) мер в целях обеспечения целостности сохранности информации, недопущения ее несанкционированного изменения или уничтожения, соблюдения конфиденциальности информации ограниченного доступа, реализации права на доступ к информации, а также недопущения несанкционированного воздействия на средства обработки, передачи и хранения информации;
защита информации от несанкционированного доступа - меры, направленные на предотвращение получения защищаемой информации заинтересованными субъектами с нарушением установленных нормативными правовыми актами или собственником, владельцем информации прав или правил доступа к ней;
защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиям, устанавливаемыми собственником информации, которыми может быть государство, юридическое лицо, группа физических лиц, отдельное физическое лицо;
защита программных средств - организационные, правовые, технические и технологические меры, направленные на предотвращение возможных несанкционированных действий по отношению к программным средствам и устранение последствий этих действий;
идентификатор - уникальный персональный код, присвоенный субъекту и объекту системы, предназначенный для регламентированного доступа к системе и ресурсам системы;
идентификация - определение соответствия предъявленного для получения доступа в систему, к ресурсу идентификатора перечню идентификаторов, имеющихся в системе;
несанкционированный доступ к информации – получение защищаемой информации, заинтересованным субъектом, с нарушением установленных правовыми документами правил доступа к ней;
несанкционированный доступ к программным средствам - доступ к программам, записанным в памяти ЭВМ или на машинном носителе, а также отраженным в документации на эти программы, осуществленный с нарушением установленных правил;
пользователь - человек, организация, система, использующие в своей работе в той или иной мере компьютер, вычислительную систему, базу данных, сеть и пр. Очень широкое понятие, которое может заменять понятия: оператор, программист, абонент и т.д.;
доступ - перемещение людей, транспорта и других объектов в (из) помещения, здания, зоны и территории;
разграничение доступа - порядок доступа лиц к техническим и программным средствам, защищаемой информации при ее обработке на средствах вычислительной техники в соответствии с заранее разработанными и утвержденными правилами
;
рабочее место – оборудованное рабо́чее ме́сто пользователя (администратора) — стол, стул, компьютер, с установленными необходимыми ПО, в том числе ЕСЭДО и подключенный к телекоммуникациям
;
рабочая станция – комплекс технических и программных средств предназначенных для решения определенного круга задач;
система обеспечения информационной безопасности – система мер направленная на выявление угроз информационной безопасности, предотвращения и пресечения их реализации, а также ликвидации последствий реализованных в результате НСД;
средства вычислительной техники – совокупность программных и технических элементов систем обработки информации, способных функционировать самостоятельно или в составе других систем;
средства защиты информации – технические, криптографические, программные и другие средства, вещества или материалы, предназначенные или используемые для защиты информации;
средства криптографической защиты информации – средства, осуществляющие криптографическое преобразование информации для обеспечения ее безопасности;
средства обеспечения информационной безопасности – совокупность правовых, организационных, и технических мероприятий, средств и норм, направленных на предотвращение или существенное затруднение нанесения ущерба любого характера собственнику и потребителю информации;
технический канал утечки информации – совокупность объекта разведки, технического средства разведки, с помощью которого добывается информация об объекте, и физической среды, в которой распространяется информационный сигнал;
техническое обеспечение – комплекс технических средств, предназначенных для работы информационной системы, а также соответствующая документация на эти средства и технологические процессы;
угроза доступности – угроза нарушения работоспособности информационной системы при доступе к информации;
угроза конфиденциальности – угроза раскрытия информации;
угроза целостности – угроза изменения информации;
угрозы информационной безопасности – совокупность причин, условий и факторов, создающих опасность для объектов информационной безопасности, реализация которых может повлечь нарушение прав, свобод и законных интересов юридических и физических лиц в информационных процессах;
утечка информации – неконтролируемое распространение защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками;
ущерб – стоимость потерь, которые понесет сторона в случае реализации угрозы конфиденциальности, целостности или доступности по каждому виду ценной информации. Ущерб зависит только от стоимости информации, которая обрабатывается в информационной системе. Ущерб является характеристикой информационной системы и не зависит от степени ее защищенности;
ISO – Международная организация по стандартизации (International Organization for Standardization, ISO), занимающаяся выпуском стандартов;
IEC – Международная электротехническая комиссия (МЭК; англ. International Electrotechnical Commission, IEC) — международная организация по стандартизации в области электрических, электронных и смежных технологий;
ISO/IEC 17799 – стандарт информационной безопасности, опубликованный в 2005 организациями ISO и IEC. Озаглавлен как «Информационные технологии — Технологии безопасности — Практические правила менеджмента информационной безопасности» (англ. Information technology – Security techniques – Code of practice for information security management);
стандарт – в рамках данного документа, под данным термином понимается стандарт информационной безопасности ISO/IEC 17799, если явно неуказанно иное.
Используемые сокращения.
В настоящем документе использованы следующие обозначения и сокращения:
ГО
|
Государственные органы
|
ЕСЭДО
|
Единая система электронного документооборота
|
ЕСЭДО РК
|
Единая система электронного документооборота Республики Казахстан
|
ЕСЭДО-В
|
Единая система электронного документооборота – Ведомственная
|
ЕСЭДО-Ц
|
Единая система электронного документооборота – Центральный узел
|
ЕНСИ
|
Единая нормативная справочная информация
|
ИБ
|
Информационная безопасность
|
ИС
|
Информационная система
|
ИЗ
|
Информационная защита
|
НПА
|
Нормативно-правовой акт
|
НСД
|
Несанкционированный доступ
|
ПИБ
|
Политика информационной безопасности
|
ПО
|
Программное обеспечение
|
РК
|
Республика Казахстан
|
СЗИ
|
Система защиты информации
|
СИБ
|
Служба информационной безопасности
|
ЭЦП
|
Электронная цифровая подпись
|
следующая страница>